2020年2月,中國人民銀行正式發佈《網上銀行系統信息安全通用規範》(JR/T 0068-2020)(以下簡稱“新版規範”)。新版規範是在2012版的《網上銀行系統信息安全通用規範》(JR/T 0068-2012)的基礎上進行修訂完善並替換使用。新版規範作為網上銀行系統的第一個有效安全規範,此規範為各銀行網上銀行系統建設和改造升級提供了最基本的安全性參考。
《網上銀行系統信息安全通用規範》(JR/T 0068-2020)
新版規範的發展歷程
早在2020年,中國人民銀行發佈《網上銀行系統信息安全通用規範(試行)》,作為試行稿用於指導網上銀行系統安全防範能力,同年5月,中國人民銀行正式發佈《網上銀行系統信息安全通用規範》(JR/T 0068-2012)。作為網上銀行系統的第一個有效安全規範。
隨著近幾年信息技術的不斷髮展和創新,全國金融標準化技術委員會於2015年啟動對於《網上銀行系統信息安全通用規範》的修訂工作,經過多番的專家討論與修訂,最終於2020年發佈新版規範。
新版規範與舊版規範的變化內容
- 增加了 SM 系列算法相關要求;
- 刪除了與 JR/T 0071《金融行業信息系統信息安全等級保護實施指引》要求重複的內容;
- 修改了客戶端安全的表述,補充了自身防護、敏感信息保護等安全要求
- 增加了條碼支付相關要求
- 修改了專用安全設備的安全要求,並改名為“專用安全機制”;
- 增加了安全單元和移動終端支付可信環境相關要求;
- 增加了生物特徵相關要求;
- 增加了雲計算安全相關要求;
- 增加了 IPv6 相關要求;
- 增加了虛擬化安全相關要求;
- 增加了網上銀行系統與外部系統連接安全的基本描述和安全要求;
- 修改了業務連續性與災難恢復安全要求;
- 修改了安全事件與應急響應的安全要求;
- 增加了Ⅱ、Ⅲ類銀行結算賬戶及交易安全鎖相關要求;
- 刪除了附錄中的基本的網絡防護架構參考圖、增強的網絡防護架構參考圖和物理安全
新版規範與舊版規範的對比一
新版規範與舊版規範的對比二
新版規範與舊版規範的對比三
重點變化內容解析
1、 新技術下的安全要求
在舊版規範中採用通用的管理架構進行約束,但隨著近些年雲計算、虛擬化技術的推廣,若網上銀行系統部署在雲環境中,新版規範同步採用網絡安全等級保護中的“雲計算安全擴展要求”進行約束。同時若網上銀行系統部署在虛擬化環境中則應滿足JR/T0167-2018(雲計算技術金融應用規範 安全技術要求)及本規範要求。
2、 新業務下的安全要求補充
新增針對條碼支付,交易安全鎖及Ⅱ、Ⅲ類賬戶的相關要求,明確使用條碼支付應符合《條碼支付安全技術規範(試行)》相關要求,提供交易安全鎖服務需落實《中國人民銀行辦公廳關於強化銀行卡磁條交易 安全管理的通知》 (銀辦發〔2017〕120 號)等文件的相關要求。通過網上銀行渠道開立個人Ⅱ、Ⅲ類銀行結算賬戶時,應嚴格落實《中國人民銀行關於改進個 人銀行賬戶服務加強賬戶管理的通知》(銀髮〔2015〕392 號)、《中國人民銀行關於落實個人 銀行賬戶分類管理制度的通知》(銀髮〔2016〕302 號)、《中國人民銀行關於改進個人銀行賬 戶分類管理有關事項的通知》(銀髮〔2018〕16 號)等文件相關要求。
3、 梳理業務連續性的相關要求
在新版規範中,將業務連續性與災難恢復、安全事件與應急響進行了拆分並單獨作為一個章節,作為安全管理規範的一部分,提升了相關安全要求,同時對於網上銀行業務影響分析、制定備份恢復策略、建立備份恢復程序、實施應用級備份等規定進行了詳細的梳理和規定。
總結
新版標準的推出大大加緊了網上銀行系統的合規建設、無論是網絡安全等級保護、亦或是銀保監會及中國人民銀行的各項發文都得到了有效的推進。也足以看出在互聯網金融大步發展的今天,對於網上銀行安全的關注度。
安言諮詢可根據新版規範、網絡安全等級保護、業務連續性監管指引等標準為各銀行提供合規評估及建設諮詢服務。
PS:如需新版規範與舊版規範的完整版對比,敬請關注安言諮詢公眾號,我們會在後期的文章中進行發佈。
閱讀更多 安言諮詢 的文章
