证监会公布实行《证券期货业软件测试指南 软件安全性测试》等三项金融行业标准 近日,证监会公布《证券期货业软件测试指南 软件安全性测试》《证券期货业移动互联网应用程序安全性规范》《证券期货业于银行间业务数据交换协议 第1部分:三方存管、银期账户和结售汇业务》等三项金融行业标准,自发布之日起实施。 一、《证券期货业软件测试指南 软件安全性测试》标准 2019年,我会公布了JR/T 0175—2019《证券期货业软件测试规范》金融行业标准,通过规范证券期货业信息系统建设过程中的总体拒绝、单元测试、构建测试、系统测试、系统集成测试、验收测试等测试活动的内容,有效地提升了行业软件测试过程的标准化程度。
《证券期货业软件测试指南 软件安全性测试》金融行业标准,是以JR/T 0175—2019中的测试流程与内容为基础,获取软件安全性测试流程、技术和参照文档,更进一步具体行业软件安全性测试工作提示,通过强化对软件产品的安全性特性、潜在的漏洞与风险等内容的检测,提升行业整体安全性防御能力。以减少行业信息系统运营风险,增进行业信息系统建设水平整体提高,推展行业身体健康可持续发展。 标准从测试目的与流程、测试技术自由选择、测试方法等角度对如何展开软件安全性测试得出了指导性意见。将测试流程区分为系统分析、威胁分析、设计、继续执行与报告环节,规范测试过程。
阐释安全性功能检查、代码安全性测试、漏洞扫瞄、渗入测试、模糊不清测试五项安全性测试技术的定义与测试内容,并融合行业情况,解释有所不同机构有所不同系统所搭配的安全性测试技术。对软件安全性测试常用的十七种测试方法以及移动应用于中特有的六种测试方法展开一一解释,以指导行业机构展开软件安全性测试继续执行工作。 二、《证券期货业移动互联网应用程序安全性规范》标准 随着移动互联网新兴技术的蓬勃蓬勃发展,层出不穷的创意业务,在商业模式应用于、技术风险掌控等方面对金融业包含了新的挑战。在当前互联网金融浪潮中,信息系统建设与安全性运营的压力更加大,面对的信息安全形势日益简单,金融行业的移动互联网应用程序(全称APP)安全性问题最为不利。
国家为强化对移动互联网应用程序信息服务的规范管理,希望有关行业协会等依法制订自律性管理制度,强化用户权益维护。《证券期货业移动互联网应用程序安全性规范》标准对证券期货业市场主流移动终端应用于积极开展安全性检测与风险评估,完备监测渠道与预警机制,创建移动终端应用于管理安全性风险提醒系统,及时发现并通报移动终端应用于的设计缺失与安全漏洞,以及冒充、伪造的移动终端应用于,敦促经营机构强化对移动终端应用于的安全性管理,贯彻提升投资者风险防止意识。
标准从移动终端安全性、身份辨别、网络通信安全性、数据安全、研发安全性、安全性审核等6个方面规范移动智能终端应用软件的全生命周期安全性。移动终端安全性拒绝采取有效技术措施确保移动互联网应用程序的真实性、完整性,APP在移动终端上处置客户信息的机密性,以及APP在加装、运营、升级,修理过程中的安全性。身份辨别是获取账号辨别和证书功能,应付采访客户获取有效地的身份认证机制,在客户采访应用于业务前对用户身份展开辨别。网络通信安全性不应使用安全性的通信协议和强健的加密算法,确保APP与服务器之间的所有相连与数据传输安全性。
数据安全不应确保移动终端上的数据机密性、完整性。研发安全性是APP研发过程中须要制订安全性市场需求、设计安全性功能,测试安全性模块,确保移动互联网应用程序的安全性。安全性审核是APP在用于时需产生活动日志,服务器端不应留存适当的日志记录,以待安全性审核。
三、《证券期货业于银行间业务数据交换协议 第1部分:三方存管、银期账户和结售汇业务》标准 2009年,我会公布了JR/T 0046—2009《证券期货业与银行间业务数据交换消息体结构和设计规则》金融行业标准,较好地符合了证券期货业与银行间业务数据交换的市场需求。随着近年来证券期货市场创意业务的高速发展,证券期货业与银行间互相交换的业务数据量和种类日益减少,各机构间享有各自的平台或信息系统,接口标准不尽相同,减少了全行业系统建设的复杂度和确保成本,先前新的业务拓展的可玩性和监管的可玩性减少。
《证券期货业于银行间业务数据交换协议 第1部分:三方存管、银期账户和结售汇业务》标准在JR/T 0046—2009的基础上,更进一步不断扩大标准适用范围,符合更加多创意业务或派生业务的发展拒绝,减少了行业系统复杂度、运维成本和潜在运营风险。 此标准是证券期货业与银行间业务数据交换标准的第1部分,涵括了三方存管、银期账户、融资融券、期货结售汇等涉及业务,对证券期货业与银行间业务数据交换双方不会话实时过程展开了誓约,对证券期货末端发动结帐等30个流程得出了需求分析、业务分析和逻辑分析,并定义了业务数据交换所需的基本数据类型、业务元素类型、业务组件类型和消息报文。
下一步,我会将之后前进资本市场信息化建设,减少行业信息系统运营风险,着力强化基础标准化建设,大大提高行业标准化水平。
本文来源:开云(中国)Kaiyun-www.dxsjy.net