2020年2月,中国人民银行正式发布《网上银行系统信息安全通用规范》(JR/T 0068-2020)(以下简称“新版规范”)。新版规范是在2012版的《网上银行系统信息安全通用规范》(JR/T 0068-2012)的基础上进行修订完善并替换使用。新版规范作为网上银行系统的第一个有效安全规范,此规范为各银行网上银行系统建设和改造升级提供了最基本的安全性参考。
《网上银行系统信息安全通用规范》(JR/T 0068-2020)
新版规范的发展历程
早在2020年,中国人民银行发布《网上银行系统信息安全通用规范(试行)》,作为试行稿用于指导网上银行系统安全防范能力,同年5月,中国人民银行正式发布《网上银行系统信息安全通用规范》(JR/T 0068-2012)。作为网上银行系统的第一个有效安全规范。
随着近几年信息技术的不断发展和创新,全国金融标准化技术委员会于2015年启动对于《网上银行系统信息安全通用规范》的修订工作,经过多番的专家讨论与修订,最终于2020年发布新版规范。
新版规范与旧版规范的变化内容
- 增加了 SM 系列算法相关要求;
- 删除了与 JR/T 0071《金融行业信息系统信息安全等级保护实施指引》要求重复的内容;
- 修改了客户端安全的表述,补充了自身防护、敏感信息保护等安全要求
- 增加了条码支付相关要求
- 修改了专用安全设备的安全要求,并改名为“专用安全机制”;
- 增加了安全单元和移动终端支付可信环境相关要求;
- 增加了生物特征相关要求;
- 增加了云计算安全相关要求;
- 增加了 IPv6 相关要求;
- 增加了虚拟化安全相关要求;
- 增加了网上银行系统与外部系统连接安全的基本描述和安全要求;
- 修改了业务连续性与灾难恢复安全要求;
- 修改了安全事件与应急响应的安全要求;
- 增加了Ⅱ、Ⅲ类银行结算账户及交易安全锁相关要求;
- 删除了附录中的基本的网络防护架构参考图、增强的网络防护架构参考图和物理安全
新版规范与旧版规范的对比一
新版规范与旧版规范的对比二
新版规范与旧版规范的对比三
重点变化内容解析
1、 新技术下的安全要求
在旧版规范中采用通用的管理架构进行约束,但随着近些年云计算、虚拟化技术的推广,若网上银行系统部署在云环境中,新版规范同步采用网络安全等级保护中的“云计算安全扩展要求”进行约束。同时若网上银行系统部署在虚拟化环境中则应满足JR/T0167-2018(云计算技术金融应用规范 安全技术要求)及本规范要求。
2、 新业务下的安全要求补充
新增针对条码支付,交易安全锁及Ⅱ、Ⅲ类账户的相关要求,明确使用条码支付应符合《条码支付安全技术规范(试行)》相关要求,提供交易安全锁服务需落实《中国人民银行办公厅关于强化银行卡磁条交易 安全管理的通知》(银办发〔2017〕120 号)等文件的相关要求。通过网上银行渠道开立个人Ⅱ、Ⅲ类银行结算账户时,应严格落实《中国人民银行关于改进个 人银行账户服务加强账户管理的通知》(银发〔2015〕392 号)、《中国人民银行关于落实个人 银行账户分类管理制度的通知》(银发〔2016〕302 号)、《中国人民银行关于改进个人银行账 户分类管理有关事项的通知》(银发〔2018〕16 号)等文件相关要求。
3、 梳理业务连续性的相关要求
在新版规范中,将业务连续性与灾难恢复、安全事件与应急响进行了拆分并单独作为一个章节,作为安全管理规范的一部分,提升了相关安全要求,同时对于网上银行业务影响分析、制定备份恢复策略、建立备份恢复程序、实施应用级备份等规定进行了详细的梳理和规定。
总结
新版标准的推出大大加紧了网上银行系统的合规建设、无论是网络安全等级保护、亦或是银保监会及中国人民银行的各项发文都得到了有效的推进。也足以看出在互联网金融大步发展的今天,对于网上银行安全的关注度。
安言咨询可根据新版规范、网络安全等级保护、业务连续性监管指引等标准为各银行提供合规评估及建设咨询服务。
PS:如需新版规范与旧版规范的完整版对比,敬请关注安言咨询公众号,我们会在后期的文章中进行发布。
扫一扫
355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
