非金融机构支付服务业务系统检测评估准则.docVIP

PAGE PAGE 16 PAGE 1 非金融机构支付服务业务系统检测 评估准则 （征求意见稿） 中国人民银行 2010年12月  说 明 为统一非金融机构支付服务业务系统检测过程发现问题的等级分类和结果判定标准，规范等级分类方法，统一判定尺度，保证检测结果的一致性和准确性，订本评估准则。 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc279831436 一、问题等级分类 PAGEREF _Toc279831436 \h 3 HYPERLINK \l _Toc279831437 二、检测结果判定 PAGEREF _Toc279831437 \h 4 HYPERLINK \l _Toc279831438 三、问题等级分类判例 PAGEREF _Toc279831438 \h 7 一、问题等级分类 问题等级分为严重性问题、一般性问题和建议性问题。问题等级的分类标准如下： 1．严重性问题 与相关法律法规、标准规范有明显冲突；系统不满足业务需求；主要业务流程不正确；存在安全风险，会对客户利益造成严重的损害。 2. 一般性问题 局部功能无法正常使用，但不影响系统整体流程的实现；存在安全风险，会对客户利益造成直接或潜在的损害。 3．建议性问题 功能能够正常使用，但系统易用性差；存在安全风险，但不会对客户利益造成直接或潜在的损害。 序号 等级 检测类 问题等级的分类标准 1 严重性问题 功能测试 系统崩溃、死机、异常退出 功能模块失效 数据发生不可挽救的丢失或损坏 数据处理错误 主要业务流程出现断点 未提供必备的功能，或者必备的功能未正确实现 风险监控测试 未提供必备的风险监控措施 必备的风险监控措施未正确实现 性能测试 性能未满足业务需求 系统出现异常，且无法自动恢复 安全性测试 敏感数据泄漏、丢失或者篡改。敏感数据包括但不限于：密钥、密码、身份信息、账户信息、银行卡信息、交易信息等 系统核心配置文件、源代码泄漏、丢失或者篡改 影响交易数据完整性 导致越权访问 影响支付业务连续性，导致系统无法恢复 外包测试 未与第三方服务机构签订支付服务系统外包合同和安全保密协议 未对外包服务建立风险评估制度 未对第三方服务机构资质建立认定制度 未对外包服务建立控制和监督制度 2 一般性问题 功能测试 必测项功能实现不完善，但不影响业务功能使用，或者有替代方法 存在非必测项功能，但未正确实现 未对关键数据域进行校验，或者校验不严格 提示信息错误 用户界面错误 风险监控测试 风险监控功能不完善 安全性测试 非敏感数据泄漏、丢失或者篡改 系统一般的配置文件泄漏、丢失或者篡改 影响支付业务连续性，导致系统无法及时恢复 文档测试 文档缺失 文档自身、文档之间或者文档与实际情况不一致 文档内容不完整 外包测试 外包合同内容不完善 未对外包服务进行持续、有效的控制和监督 3 建议性问题 功能测试 系统出现偶发性错误，但不影响正常业务使用 系统操作不方便 人机交互界面不友好 安全性测试 影响支付业务连续性，但系统能够及时恢复 文档测试 文档格式不统一，不易于浏览，文档内容不容易理解 文档管理不规范 二、检测结果判定 （一）检测项结果判定原则 不符合 在检测过程中，发现严重性问题，该检测项的检测结果判定为“不符合”。 基本符合 在检测过程中，发现一般性问题，该检测项的检测结果判定为“基本符合”。 符合 在检测过程中，未发现问题或仅发现建议性问题，该检测项的检测结果判定为“符合”。 （二）检测类结果判定原则 不符合 检测项的检测结果存在“不符合”，该检测类的检测结果判定为“不符合”。 检测项的检测结果“基本符合”率为以下情况的，该检测类的检测结果判定为“不符合”： （1）属于功能类的检测项，其检测结果中“基本符合”率大于15%。 （2）属于风险监控类的检测项，其检测结果中“基本符合”率大于15%。 （3）属于性能类的检测项，其检测结果中“基本符合”率大于15%。 （4）属于安全类的检测项，其检测结果中“基本符合”率大于15%。 （5）属于文档类的检测项，其检测结果中“基本符合”率大于15%。 （6）属于外包类的检测项，其检测结果中“基本符合”率大于15%。 基本符合 检测项的检测结果“基本符合”率为以下情况的，该检测类的检测结果判定为“基本符合”： （1）属于功能类的检测项，其检测结果中“基本符合”率小于等于15%。 （2）属于风险监控类的检测项，其检测结果中“基本符合”率小于等于15%。 （3）属于性能类的检测项，其检测结果中“基本符合”率小于等于15%。 （4）属于安全类的检测项，其检测结