网上银行系统信息安全通用规范_2012版

为提升网上银行系统的安全性，防范网上银行系统建设、运维以及与技术相关的关键业务运作的风险，整改网上银行系统安全隐患，系统性地提高网上银行系统安全水平，在总结前期工作经验及金融信息安全新形势的基础上，中国人民银行组织编制了《网上银行系统信息安全通用规范》（JR/T 0068-2012）行业标准，并于近日发布。 本标准明确了网上银行系统的定义，对系统进行了简要描述，并从安全技术、安全管理和业务运作三个方面详细阐述了安全规范的具体内容。安全技术规范从客户端安全、专用安全设备安全、网络通信安全和网上银行服务器端安全几个方面提出要求；安全管理规范从安全管理机构、安全策略、管理制度、人员安全管理、系统建设管理、系统运维管理几个方面提出要求；业务运作安全规范从业务申请及开通、业务安全交易机制、客户教育及权益保护几个方面提出要求。另外，考虑到网上支付应用广泛，相关安全问题倍受关注，结合其业务相关性，本标准还包含与网上银行相关的网上支付部分安全技术要求。 本标准分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本标准下发之日起的三年内应达到的安全要求。该标准的发布执行，必将促进银行加强客户端（含移动终端）安全防护、规范认证介质等专业辅助安全产品选型，提高安全认证强度，完善交易机制安全性。对于提高网上银行安全水平，增强客户信息，保护客户权益，推动网上银行更好更快发展具有十分重要的意义。本标准为银行开展网上银行系统建设以及内部安全检查和合规性审计提供了规范性依据，为行业主管部门、评估检测机构进行检查、检测及认证提供了标准化依据。 该标准为首次发布，为网上银行健康、良好发展奠定了基础，填补了国内金融业空白。