金融服务移动应用信息安全指南.docxVIP

1

金融服务移动应用信息安全指南

1范围

本指南规定了金融服务移动应用系统信息安全风险管理中的信息安全管理、业务安全、客户端安

全和服务器端安全的基本要求。

本指南适用于指导金融机构以及其他从事金融相关业务的组织进行金融服务移动应用系统的需求

、设计、编码、测试、发布、运行、维护等过程的安全保护。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本

文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T5271.8信息技术词汇第8部分：安全

GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

GB/T28448-2012信息安全技术信息系统安全等级保护测评要求

GB/T30279-2013信息安全技术安全漏洞等级划分指南

GB/T27910-2011金融服务信息安全指南

JR/T0060-2010证券期货业信息系统安全等级保护基本要求

JR/T0068-2012网上银行系统信息安全通用规范

JR/T0071-2012金融行业信息系统信息安全等级保护实施指引

3术语和定义

GB/T5271.8和GB/T30279-2013所确立的以及下列术语和定义适用于本标准。

3.1

金融服务移动应用安全评估securityassessmentformobileapplicationoffinancialservices

由外部评估机构或内部独立部门执行的对移动应用系统面临的信息安全风险进行的评估工作，评估内容包括但不限于安全管理、业务安全、客户端安全、服务器端安全等重要环节的风险管控能力。

3.2

2

敏感信息sensitiveinformation

一旦遭到泄露或修改，会对标识的信息主体造成不良影响的信息，例如金融服务中个人客户的敏

感信息包括但不限于姓名、身份证号码、手机号码、地址等信息的组合。

3.3

关键业务criticalbusiness

在移动应用系统上进行的、对金融服务客户有重大影响的业务，包含但不限于：转账、积分兑换、

银行卡绑定等操作，修改姓名、地址、手机号、密码等操作。

4基本原则

a）纵深防御原则

在移动应用系统上采取各种安全措施时，在整体上应保证各种安全措施的组合从客户端到服务器

构成一个纵深的安全防御体系，以保证移动应用系统整体的安全保护能力。

b）重点保护原则

应根据应用领域和业务特点，对不同重要程度的移动应用系统实施不同强度的安全保护，集中资

源，优先保护重要性高的移动应用系统。

c）动态调整原则

应根据移动应用系统的运行机制、运行环境等方面的变化，及时调整安全保护措施，确保移动应

用系统的安全。

d）充分评估原则

应根据本指南及相关政策标准要求，做好移动应用系统的安全测试评估工作，充分评估移动应用

系统的安全风险，尽早采取应对措施保障移动应用系统的安全。

5安全管理要求

5.1.组织架构

5.1.1.应建立分工明确、报告关系清晰的内部移动应用安全管理组织，以保证移动业务管理、信息科

技管理和审计监督职能的有效履行。

5.1.2.应设立移动应用信息安全相关技术和管理岗位，并制定明确的岗位职责要求和人员配置要求。

5.2.安全管理制度

5.2.1.应建立覆盖移动应用管理的安全策略、安全管理制度、安全操作规程和操作记录手册等层次的

3

完善的安全管理制度体系，并及时更新。

5.2.2.应建立有效的移动应用数据安全管理机制，对信息数据进行分类分级管理，并从数据创建、传

输、存储、使用、销毁等环节对数据安全采取技术防护措施。

5.2.3.应建立有效的移动应用安全开发生命周期管理机制，对移动应用系统需求分析、规划、采购、开发、测试、部署、维护、升级和报废环节采取有效的安全防护措施，以保证软件全生命周期的安全

性。

5.2.4.应建立有效的移动应用系统安全运行管理机制，从物理安全、逻辑安全、第三方人员安全、运行操作安全、事件管理、应急响应处置、变更管理、系统监控、容量管理、入侵防御等方面保证移动

应用系统的安全运行。

5.2.5.应将移动应用业务纳入到本单位业务连续性管理体系中，并进行持续的维护更新，以降低业务

中断给业务带来的风险。

5.2.6.应妥善管理移动应用系统相关外包服务，制定外包服务管理规范，以确保客户资料等敏感信息

的安全，降低因外包服务中断给移动业务持续运行带来的影响。

6业务安全要求

6.1业务流程管理

6.1.1.业务流程建立应符合行业监管要求，并采取充分的控制措施进行风险防范。

6.1.2.对于需要开通资产交易等高风险业务的客户，应要求客户本人主动申请并书