非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測操作規(guī)程

1、非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測操作規(guī)程（2011版）中國人民銀行2011年3月總 則第一條 為統(tǒng)一非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測的基本指標和方法，統(tǒng)一檢測尺度，規(guī)范檢測流程，保證檢測工作的一致性，制訂本規(guī)程。第二條 本規(guī)程適用于獲得非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測資格的檢測機構(gòu)在其批準資格范圍內(nèi)開展的檢測工作，是檢測機構(gòu)開展檢測的規(guī)則規(guī)范性文檔。第三條 本規(guī)程依據(jù)中國人民銀行的非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測規(guī)范（以下簡稱檢測規(guī)范）編制。第四條 本規(guī)程參考現(xiàn)行國家有關(guān)的法律、法規(guī)、管理標準和有關(guān)技術(shù)標準編制。第五條 檢測過程中除執(zhí)行本規(guī)程外，尚應符合現(xiàn)行國家有關(guān)標準、規(guī)范的規(guī)定。第六條 檢測機構(gòu)及

2、其檢測人員應當嚴格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標準，遵從本規(guī)程，提供客觀、公平、公正、有效的檢測服務，并承擔相應的法律責任。第一節(jié) 術(shù)語規(guī)定第七條 檢測機構(gòu)在檢測過程中的檢測計劃、過程記錄、檢測報告等文檔內(nèi)的術(shù)語及名稱要保持一致。第八條 基本術(shù)語定義如下：（一）檢測機構(gòu)：獲得非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測資格并且嚴格依據(jù)人民銀行制定的非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測操作規(guī)程開展檢測工作的單位；（二）檢測人員：隸屬于本檢測機構(gòu)的參與檢測的人員；（三）檢測報告：完成檢測后按照人民銀行發(fā)布的報告模板提交給被檢測機構(gòu)的交付物； （四）測試環(huán)境：為開展檢測工作，被檢測機構(gòu)按照要求搭建的模擬環(huán)境；（五）生產(chǎn)環(huán)境：

3、被檢測機構(gòu)的支付服務業(yè)務系統(tǒng)的在線運行環(huán)境；（六）在線用戶數(shù)：泛指模擬的活動會話用戶數(shù)。（七）并發(fā)用戶數(shù)：在同一時刻與服務器進行了交互的在線用戶數(shù)量。（八）極限測試：系統(tǒng)的最大處理能力的測試過程或者驗證過程。第二節(jié) 基本規(guī)定第九條 檢測啟動應滿足檢測規(guī)范以及其他相關(guān)規(guī)定的要求。第十條 檢測機構(gòu)的檢測流程包括但不限于：前期準備、現(xiàn)場檢測、綜合分析、出具報告等部分。其中，現(xiàn)場檢測包括但不限于：啟動會議、末次會議、中間問題溝通及最終問題確認環(huán)節(jié)。第十一條 在準備階段，檢測機構(gòu)應向被檢測機構(gòu)提供非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測準備清單，要求被檢測機構(gòu)填寫非金融機構(gòu)支付服務業(yè)務系統(tǒng)情況調(diào)查表，并且要求其逐

4、頁簽字確認并反饋，同時檢測機構(gòu)要與被檢測機構(gòu)共同制定非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測計劃，并且雙方簽字確認。第十二條 檢測機構(gòu)對現(xiàn)場檢測中檢測出的問題進行分析匯總，向被檢測機構(gòu)出具非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測問題確認單，并且雙方逐頁簽字確認；被檢測機構(gòu)要聲明外包情況，并蓋章后反饋給檢測機構(gòu)。第十三條 問題確認后，經(jīng)過檢測機構(gòu)和被檢測機構(gòu)協(xié)商，被檢測機構(gòu)可以就某些或者全部問題進行整改，并出具非金融機構(gòu)支付服務業(yè)務系統(tǒng)檢測整改報告，整改后檢測機構(gòu)要進行回歸測試。第十四條 現(xiàn)場檢測過程中要保證測試環(huán)境、系統(tǒng)版本穩(wěn)定，一旦進入現(xiàn)場檢測階段，不允許再修改。第十五條 被檢測機構(gòu)的涉密文檔、核心配置等材料，

5、檢測機構(gòu)要在被檢測機構(gòu)的制度約定下，協(xié)商查看方式、地點等。第三節(jié) 功能測試第十六條 功能測試的對象是非金融機構(gòu)支付服務業(yè)務系統(tǒng)情況調(diào)查表中聲明的系統(tǒng)，系統(tǒng)根據(jù)支付業(yè)務類型，分為網(wǎng)絡互聯(lián)網(wǎng)支付類、預付卡的發(fā)行與受理類、銀行卡收單類、移動支付類等。第十七條 功能測試的目的是在測試環(huán)境下，從適合性和準確性兩方面考慮，測試檢測規(guī)范中規(guī)定的業(yè)務功能處理及相關(guān)要求。第十八條 檢測人員應在檢測報告中聲明檢測規(guī)范中規(guī)定的業(yè)務功能點所對應的系統(tǒng)位置。第十九條 被檢測機構(gòu)應聲明支持的瀏覽器及其版本，以及其他必需共存軟件的版本情況，檢測人員應根據(jù)聲明采取隨機抽樣的方式確定測試環(huán)境中瀏覽器的版本或共存軟件的版本，被檢

6、測機構(gòu)按照確定的版本搭建客戶端的模擬環(huán)境，檢測人員應在檢測報告中聲明使用的瀏覽器或必要共存軟件的版本。第二十條 檢測人員應采用黑盒測試方法。適合性方面建議采用功能分解的方法，將每一個功能加以分解，確保各個功能被全面地檢測；準確性方面建議采用如等價類劃分、邊界值分析、猜錯法、因果圖等方法，確保功能測試的充分性。第二十一條 檢測人員檢測時應獲取測試數(shù)據(jù)，包括獲取現(xiàn)有的測試數(shù)據(jù)或生成新的數(shù)據(jù)，并按照要求驗證所有數(shù)據(jù)。第四節(jié) 風險監(jiān)控測試第二十二條 非金融機構(gòu)風險監(jiān)控測試是針對非金融機構(gòu)支付服務業(yè)務系統(tǒng)風險監(jiān)控能力的測試，檢測機構(gòu)須遵照檢測規(guī)范中風險監(jiān)控測試部分包含的檢測項進行測試，并給出相應的評價。

7、第二十三條 檢測人員應按檢測規(guī)范的檢測內(nèi)容進行逐項檢測，檢測方法包括但不限于：(一) 檢測非金融機構(gòu)在相關(guān)風險管理制度中是否完整、明確地描述賬戶風險事件類型和相應的風險控制措施；(二) 通過行為記錄、日志檢查、賬戶資金變更跟蹤等手段進行風險分析；(三) 檢測對賬戶的人工操作是否保證處理過程中的職責分離。(四) 檢測非金融機構(gòu)在相關(guān)風險管理制度中是否明確定義各類交易監(jiān)控和交易審核規(guī)則;(五) 通過實際交易或查看交易監(jiān)控與交易審核規(guī)則,以及相關(guān)記錄驗證交易監(jiān)控與交易審核的實時性；(六) 通過報表查詢測試交易記錄的正確性；(七) 通過檢測交易監(jiān)控系統(tǒng)對風險交易和異常交易的識別，檢測其對異常事件的預警

8、能力。(八) 檢測風險管理體系中是否支持人工對規(guī)則進行維護。第五節(jié) 性能測試第二十四條 性能測試主要目的是驗證在規(guī)定的硬件環(huán)境條件和給定的業(yè)務壓力下，考核系統(tǒng)是否滿足性能需求。其測試內(nèi)容包括以下3個方面：一是系統(tǒng)的并發(fā)能力驗證；二是驗證在規(guī)定的硬件環(huán)境條件和給定的業(yè)務壓力下，考核系統(tǒng)是否滿足性能需求和壓力解除后系統(tǒng)自恢復能力；三是系統(tǒng)性能極限驗證。第二十五條 檢測人員應按照非金融機構(gòu)支付服務業(yè)務系統(tǒng)情況調(diào)查表中聲明的需求，確定在規(guī)定環(huán)境下的在線用戶數(shù)、并發(fā)用戶數(shù)、場景壓力分配比例、吞吐量、大數(shù)據(jù)量、系統(tǒng)自恢復時間等指標，并在檢測報告中聲明。第二十六條 檢測人員應在測試開始前檢查測試環(huán)境，主要包

9、括：基礎(chǔ)數(shù)據(jù)是否到位、測試用賬戶和數(shù)據(jù)是否準備完畢等，并在檢測報告中聲明測試環(huán)境、測試工具、基礎(chǔ)數(shù)據(jù)量等信息。第二十七條 在系統(tǒng)的并發(fā)能力驗證方面，檢測人員應采用并發(fā)測試策略，記錄響應時間、并發(fā)用戶數(shù)、系統(tǒng)資源利用情況（CPU、內(nèi)存等），并發(fā)測試業(yè)務點按照以下要求選擇：（一） 網(wǎng)絡互聯(lián)網(wǎng)支付類支付系統(tǒng)應選擇支付業(yè)務點；（二） 銀行卡收單類支付系統(tǒng)應選擇消費業(yè)務點；（三） 預付卡類支付系統(tǒng)應選擇聯(lián)機消費業(yè)務點；（四） 移動支付類支付系統(tǒng)應選擇支付業(yè)務點。第二十八條 在壓力解除后系統(tǒng)自恢復能力驗證方面，檢測人員應采用吞吐量測試策略，記錄平均響應時間、吞吐量、在線用戶數(shù)、系統(tǒng)恢復時間及系統(tǒng)資源利用情

10、況（CPU、內(nèi)存等）。在線用戶數(shù)的分配比例參照場景壓力分配比例，吞吐量的測試典型場景選擇按照檢測規(guī)范性能部分要求的業(yè)務測試點進行選擇，其中必測項必須包含在典型場景內(nèi)。第二十九條 在系統(tǒng)性能極限驗證方面，檢測人員應采用極限測試策略，記錄響應時間、并發(fā)用戶數(shù)、系統(tǒng)資源利用情況（CPU、內(nèi)存等）。在執(zhí)行極限測試時，當被測并發(fā)用戶數(shù)落入并發(fā)用戶數(shù)的1.5-3倍區(qū)間內(nèi)，可以停止測試，當前被測并發(fā)用戶數(shù)可以視作極限并發(fā)用戶數(shù)。極限測試業(yè)務點按照以下要求選擇：（一） 網(wǎng)絡互聯(lián)網(wǎng)支付類支付系統(tǒng)應選擇支付業(yè)務點；（二） 銀行卡收單類支付系統(tǒng)應選擇消費業(yè)務點；（三） 預付卡類支付系統(tǒng)應選擇聯(lián)機消費業(yè)務點；（四）

11、移動支付類支付系統(tǒng)應選擇支付業(yè)務點。第六節(jié) 安全性測試第三十條 安全性測試的內(nèi)容包括網(wǎng)絡安全性測試、主機安全性測試、應用安全性測試、數(shù)據(jù)安全性測試、運維安全性測試和業(yè)務連續(xù)性測試。第三十一條 網(wǎng)絡安全性測試應根據(jù)檢測規(guī)范，按結(jié)構(gòu)安全、網(wǎng)絡訪問控制、網(wǎng)絡安全審計、邊界完整性檢查、網(wǎng)絡入侵檢測、惡意代碼防范、網(wǎng)絡設備防護、網(wǎng)絡安全管理、網(wǎng)絡相關(guān)人員安全管理等逐項檢測，并結(jié)合對現(xiàn)場人員的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對網(wǎng)絡設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備、或安全設備的核查對網(wǎng)絡設備進行掃描等。第三十二條 結(jié)構(gòu)安全測試應根據(jù)網(wǎng)

12、絡拓撲圖，在現(xiàn)場檢測網(wǎng)絡安全路由器和防火墻的相應配置及網(wǎng)絡冗余和備份情況，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對網(wǎng)絡設備的安全配置策略的檢測、對相關(guān)文檔的審核。第三十三條 網(wǎng)絡訪問控制測試應在現(xiàn)場環(huán)境下針對訪問控制，、流量控制和會話控制等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對網(wǎng)絡設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對網(wǎng)絡設備進行掃描等。第三十四條 網(wǎng)絡安全審計測試應在現(xiàn)場環(huán)境下針對日志信息和審計工具等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測

13、方法包括但不限于：對網(wǎng)絡設備的安全配置策略的檢測、故障知識庫的檢查、對日志訪問權(quán)限和保存的檢查、對相關(guān)文檔的審核等。第三十五條 邊界完整性測試應在現(xiàn)場環(huán)境下針對內(nèi)外網(wǎng)非法連接阻斷和定位進行檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對網(wǎng)絡設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對網(wǎng)絡設備進行掃描等。第三十六條 網(wǎng)絡入侵防范測試應在現(xiàn)場環(huán)境下針對安全設備配置、信息竊取、入侵攻擊等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對網(wǎng)絡設備的安全配置策略的檢測、對相關(guān)文檔的

14、審核、用相應工具設備對網(wǎng)絡設備進行掃描等。第三十七條 網(wǎng)絡安全中的惡意代碼防范測試應在現(xiàn)場環(huán)境下針對防護軟件的部署、補丁與漏洞的更新等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對網(wǎng)絡設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對網(wǎng)絡設備進行掃描、檢查防惡意代碼產(chǎn)品（硬件、軟件、或通過其他安全設備實現(xiàn)）的策略配置、漏洞更新情況等。第三十八條 網(wǎng)絡設備防護測試應在現(xiàn)場環(huán)境下針對設備登錄限制、權(quán)限限制等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對網(wǎng)絡設備的安全

15、配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對網(wǎng)絡設備進行掃描、對安全設備的配置檢查，檢查部署何種安全設備或在安全設備上開啟何種策略來抵抗DOS/DDOS攻擊等。第三十九條 網(wǎng)絡安全管理測試應在現(xiàn)場環(huán)境下針對參數(shù)設置、漏洞掃描和傳輸加密等進行逐項檢測。結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：在現(xiàn)場環(huán)境下針對網(wǎng)絡安全管理制度、參數(shù)設置、漏洞掃描和傳輸加密等進行逐項檢測。結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價等。第四十條 網(wǎng)絡相關(guān)人員安全管理測試應在現(xiàn)場環(huán)境下針對人員配備、責任劃分、人員管理等進行逐項檢測，并結(jié)合現(xiàn)場

16、的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的查看、檢查防惡意代碼產(chǎn)品（硬件、軟件、或通過其他安全設備實現(xiàn)）的策略配置、漏洞更新情況等。第四十一條 主機安全性測試應根據(jù)檢測規(guī)范的內(nèi)容，按身份鑒別、訪問控制、安全審計、系統(tǒng)保護、剩余信息保護、入侵防范、惡意代碼防范、資源控制、主機安全管理等逐項檢測，并結(jié)合對現(xiàn)場人員的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對主機設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對主機設備進行掃描、檢查設備采用哪兩種身份鑒別機制、對配置文件的離線備份的檢查等。第四十二條

17、 主機安全的身份鑒別測試應在現(xiàn)場環(huán)境下針對登錄策略、管理員設置、口令安全性等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對主機安全配置、相關(guān)文檔的查看等。第四十三條 主機安全的訪問控制測試應在現(xiàn)場環(huán)境下針對主機信任關(guān)系、訪問控制范圍等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對主機設備的安全配置策略的檢測、對相關(guān)文檔的審核等。第四十四條 主機安全的安全審計測試應在現(xiàn)場環(huán)境下針對日志信息、日志保護、日志權(quán)限等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各

18、項評價內(nèi)容給出評價。檢測方法包括但不限于：對主機設備的安全配置策略的檢測、對相關(guān)文檔的審核等。第四十五條 系統(tǒng)保護測試應在現(xiàn)場環(huán)境下針對系統(tǒng)備份、主機加固、安全配置等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對主機設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對主機設備進行掃描、對系統(tǒng)備份策略、備份數(shù)據(jù)如何保存、遇到問題如何恢復等檢查等。第四十六條 主機安全的剩余信息保護測試應在現(xiàn)場環(huán)境下針對過期信息、過期文檔等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對

19、主機設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對主機設備進行掃描等。第四十七條 入侵防范測試應在現(xiàn)場環(huán)境下針對入侵防范記錄、關(guān)閉服務、最小安裝原則等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對主機設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對主機設備進行掃描、對審計安全配置、審計日志保存空間的權(quán)限分配等策略的檢查等。第四十八條 主機安全中的惡意代碼防范測試應在現(xiàn)場環(huán)境下針對防范軟件的部署，相關(guān)補丁更新、漏洞掃描等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方

20、法包括但不限于：對主機設備上防惡意代碼產(chǎn)品的部署情況、病毒庫更新和定期掃描策略等進行檢查等。第四十九條 主機安全的資源控制測試應在現(xiàn)場環(huán)境下針對連接控制、資源監(jiān)控、預警等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對主機設備的安全配置策略的檢測、對相關(guān)文檔的審核、用相應工具設備對主機設備進行掃描、對資源監(jiān)控軟件的配置檢查等。第五十條 主機安全管理測試應在現(xiàn)場環(huán)境下針對參數(shù)設置、漏洞掃描、系統(tǒng)補丁、操作日志等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄，進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價、檢查是否有部署主機完整性檢測程序。檢測方法包

21、括但不限于：對管理員是否使用漏洞掃描設備對主機設備進行定期掃描等進行檢查等。第五十一條 主機相關(guān)人員安全管理測試應在現(xiàn)場環(huán)境下針對人員配備、責任劃分、人員管理等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核、對主機操作系統(tǒng)上用戶權(quán)限劃分的檢查、相關(guān)文檔的審核等。第五十二條 應用安全性測試應根據(jù)檢測規(guī)范的內(nèi)容，按身份鑒別、WEB頁面安全、訪問控制、安全審計、剩余信息保護、資源控制、應用容錯、報文完整性、報文保密性、抗抵賴、編碼安全、電子認證應用等逐項檢測，并結(jié)合對現(xiàn)場人員的抽查記錄，進行統(tǒng)計分析，按規(guī)定對相應表格的各項評價

22、內(nèi)容給出評價，其它未提及的項目可以參照執(zhí)行。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描等。第五十三條 應用安全的身份鑒別測試應在現(xiàn)場環(huán)境下針對登錄策略、管理員設置、口令安全性等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核、對登錄口令的復雜度要求、登錄失敗處理參數(shù)進行檢查等。第五十四條 WEB頁面安全測試應在現(xiàn)場環(huán)境下針對頁面安全、網(wǎng)站安全狀況等進行逐項檢測， 并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透

23、性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描、對中間件（如IIS、Weblogic、Apache等）的安全配置的檢查和漏洞掃描等。第五十五條 應用安全的訪問控制測試應在現(xiàn)場環(huán)境下針對關(guān)鍵數(shù)據(jù)存放、訪問權(quán)限設置等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描、對數(shù)據(jù)存放位置的權(quán)限的檢查等。第五十六條 應用安全的安全審計測試應在現(xiàn)場環(huán)境下針對日志信息、日志保護、日志權(quán)限等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價

24、。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描、對應用系統(tǒng)審計日志及日志訪問權(quán)限的檢查等。第五十七條 應用安全的剩余信息保護測試應在現(xiàn)場環(huán)境下針對過期信息、過期文檔等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描、從歷史記錄直接進入系統(tǒng)的檢測等。第五十八條 應用安全的資源控制測試應在現(xiàn)場環(huán)境下針對資源的分配和預警等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但

25、不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描、對應用用戶并發(fā)、應用系統(tǒng)的資源利用情況等的監(jiān)測和報警措施檢查（如是否限制了單個用戶對資源的使用限制）等。第五十九條 應用容錯測試應在現(xiàn)場環(huán)境下針對數(shù)據(jù)有效性、相應容錯機制等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、對程序出現(xiàn)問題后的故障恢復措施進行檢測等。第六十條 報文完整性測試應在現(xiàn)場環(huán)境下針對通信報文有效性、通信完整性說明等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價

26、。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、用相應工具設備對服務器設備進行掃描、對通信報文和會話進行抓包分析，分析報文是否采用校驗或密碼技術(shù)保證完整性等。第六十一條 報文保密性測試應在現(xiàn)場環(huán)境下針對報文或會話加密、通信異常處理等進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、用相應工具設備對服務器設備進行掃描、對通信報文和會話進行抓包分析，分析報文是否采用校驗或密碼技術(shù)保證保密性等。第六十二條 抗抵賴測試應在現(xiàn)場環(huán)境下針對原發(fā)和接受證據(jù)進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出

27、評價。檢測方法包括但不限于：對被測系統(tǒng)是否提供原發(fā)和抗抵賴功能進行檢測，檢測系統(tǒng)如何給出原發(fā)或接收證據(jù)等。第六十三條 編碼安全測試應在現(xiàn)場環(huán)境下針對代碼管理進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：采用白盒測試方法，使用源代碼檢測工具進行源代碼安全分析或檢查是否能夠提供原代碼安全分析報告、檢查系統(tǒng)使用方的源代碼安全使用和管理制度，并檢查制度落實情況等。第六十四條 電子認證應用測試應在現(xiàn)場環(huán)境下針對電子認證應用情況進行逐項檢測，并結(jié)合現(xiàn)場的抽查記錄進行統(tǒng)計分析，對相應表格的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對使用的認證技術(shù)和

28、證書進行檢查，檢查服務器證書保護措施等。第六十五條 數(shù)據(jù)安全性測試應根據(jù)檢測規(guī)范的內(nèi)容，按數(shù)據(jù)保護、數(shù)據(jù)完整性、交易數(shù)據(jù)、客戶數(shù)據(jù)的安全性等逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描等。第六十六條 數(shù)據(jù)保護測試應在現(xiàn)場環(huán)境下針對相關(guān)信息保護處理進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、對客戶身份基本信息、支付業(yè)務信息保存年限是否符合要求進行檢查等。第六十七條 數(shù)據(jù)完整性測試應在現(xiàn)場環(huán)境下針對重要數(shù)據(jù)備份與更改處理等進行逐項檢測，并

29、對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描等。第六十八條 交易數(shù)據(jù)以及客戶數(shù)據(jù)的安全性測試應在現(xiàn)場環(huán)境下針對相關(guān)數(shù)據(jù)處理的物理安全、加密安全、災難備份等進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)應用的滲透性測試、對相關(guān)文檔的審核、用相應工具設備對服務器設備進行掃描等。第六十九條 運維安全性測試應根據(jù)檢測規(guī)范的內(nèi)容，按環(huán)境管理、介質(zhì)管理、設備管理、人員管理、監(jiān)控管理、變更管理、安全事件處置、應急預案管理等逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的

30、審核等。第七十條 環(huán)境管理測試應在現(xiàn)場環(huán)境下針對相關(guān)機房進出安全管理文檔進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七十一條 介質(zhì)管理測試應在現(xiàn)場環(huán)境下針對相關(guān)介質(zhì)存放、使用、維修、銷毀記錄文檔進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七十二條 設備管理測試應在現(xiàn)場環(huán)境下針對相關(guān)設備管理使用、操作規(guī)程、日志文檔等進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七十三條 人員管理測試應在現(xiàn)場環(huán)境下針對相關(guān)人員錄用、考核、培訓、職責等進行逐項檢測，并對相應的各項評

31、價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七十四條 監(jiān)控管理測試應在現(xiàn)場環(huán)境下針對核心設備的資源指標監(jiān)控情況進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核、對使用的監(jiān)控手段和設備進行核查等。第七十五條 變更管理測試應在現(xiàn)場環(huán)境下針對相應重要變更所產(chǎn)生的文檔等進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七十六條 安全事件處置測試應在現(xiàn)場環(huán)境下針對出現(xiàn)安全事件所產(chǎn)生的文檔等進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七十七條 應急預案管理測試應在現(xiàn)場環(huán)

32、境下針對相關(guān)人員應急預案培訓、制定不同事件應急預案文檔等進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七十八條 業(yè)務連續(xù)性測試應根據(jù)檢測規(guī)范的內(nèi)容，按業(yè)務連續(xù)性需求分析、業(yè)務連續(xù)性技術(shù)環(huán)境、業(yè)務連續(xù)性管理、備份與恢復管理、日常維護等逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對備份設備查看及相關(guān)文檔的審核等。第七十九條 業(yè)務連續(xù)性需求分析測試應在現(xiàn)場環(huán)境下針對業(yè)務中斷影響分析、災難恢復目標等管理文檔進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第八十條 業(yè)務連續(xù)性技術(shù)環(huán)境測試應在現(xiàn)場環(huán)境下

33、針對設備和數(shù)據(jù)備份、存儲介質(zhì)等進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)設備的檢測、對相關(guān)文檔的審核等。第八十一條 業(yè)務連續(xù)性管理測試應應在現(xiàn)場環(huán)境下針對業(yè)務連續(xù)性管理的制度、流程、預案等管理文檔進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核、對備份鏈路、備份數(shù)據(jù)等的查看等。第八十二條 備份與恢復管理測試應在現(xiàn)場環(huán)境下針對備份與恢復的范圍、手冊、記錄等文檔進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第八十三條 日常維護測試應在現(xiàn)場環(huán)境下針對業(yè)務連續(xù)性的定期演練、培訓等管理文檔和記錄進行逐項檢測，并對相應的各項評價內(nèi)容給出評價。檢測方法包括但不限于：對相關(guān)文檔的審核等。第七節(jié) 文檔測試第八十四條 文檔測試是針對被檢測機構(gòu)文檔