SZDBZ 204-2016 金融服务移动应用信息安全指南.docx

ICS35.240.40

A11

SZDB/Z

深圳市标准化指导性技术文件

SZDB/Z204—2016

金融服务移动应用信息安全指南

InformationSecurityGuideforMobileApplicationofFinancialServices

2016-11-04发布2016-12-01实施

深圳市市场监督管理局发布

I

SZDB/Z204—2016

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4基本原则 2

5安全管理要求 2

6业务安全要求 3

7客户端安全要求 4

8服务器安全要求 6

附录A客户端安全风险评分 8

参考文献 12

II

SZDB/Z204—2016

前言

本指南按照GB/T1.1-2009给出的规则起草。

本指南适用于金融相关业务组织的金融服务移动应用系统的安全防护，金融服务移动应用系统包括但不限于业务组织内部与外部使用的移动应用系统以及其合作的金融服务接口系统。

本指南由金融服务业标准联盟提出并归口。

本指南主要起草单位：深圳市金融信息服务协会、中国平安保险（集团）股份有限公司、深圳海云安网络安全技术有限公司等。

本指南主要起草人：谢朝海、李绅、韩梅、陈铁勇、熊少军、聂君、熊莹、罗振伟、金文佳、陈镜萍、李杰、殷春富、郑太海、张瑞峰、陈胜芬、占长敬、唐秀江、邓华威、吴国友等。

本指南为首次制定。

1

SZDB/Z204—2016

金融服务移动应用信息安全指南

1范围

本指南规定了金融服务移动应用系统信息安全风险管理中的信息安全管理、业务安全、客户端安全和服务器端安全的基本要求。

本指南适用于指导深圳市辖区内的金融机构以及其他从事金融相关业务的组织进行金融服务移动应用系统的需求、设计、编码、测试、发布、运行、维护等过程的安全保护。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T5271.8信息技术词汇第8部分：安全

GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T28448-2012信息安全技术信息系统安全等级保护测评要求

GB/T30279-2013信息安全技术安全漏洞等级划分指南GB/T27910-2011金融服务信息安全指南

JR/T0060-2010证券期货业信息系统安全等级保护基本要求JR/T0068-2012网上银行系统信息安全通用规范

JR/T0071-2012金融行业信息系统信息安全等级保护实施指引

3术语和定义

GB/T5271.8和GB/T30279-2013所确立的以及下列术语和定义适用于本标准。3.1

金融服务移动应用安全评估securityassessmentformobileapplicationoffinancialservices

由外部评估机构或内部独立部门执行的对移动应用系统面临的信息安全风险进行的评估工作，评估内容包括但不限于安全管理、业务安全、客户端安全、服务器端安全等重要环节的风险管控能力。3.2

2

SZDB/Z204—2016

敏感信息sensitiveinformation

一旦遭到泄露或修改，会对标识的信息主体造成不良影响的信息，例如金融服务中个人客户的敏感信息包括但不限于姓名、身份证号码、手机号码、地址等信息的组合。

3.3

关键业务criticalbusiness

在移动应用系统上进行的、对金融服务客户有重大影响的业务，包含但不限于：转账、积分兑换、银行卡绑定等操作，修改姓名、地址、手机号、密码等操作。

4基本原则

a）纵深防御原则

在移动应用系统上采取各种安全措施时，在整体上应保证各种安全措施的组合从客户端到服务器构成一个纵深的安全防御体系，以保证移动应用系统整体的安全保护能力。

b）重点保护原则

应根据应用领域和业务特点，对不同重要程度的移动应用系统实施不同强度的安全保护，集中资源，优先保护重要性高的移动应用系统。

c）动态调整原则

应根据移动应用系统的运行机制、运行环境等方面的变化，及时调整安全保护措施，确保移动应用系统的安全。

d）充分评估原则

应根据本指南及相关政策标准要求，做好移动应