非金融机构支付业务系统检测资格人员确认名单(2015-2016)

合集下载

2015年度中国精算师(非寿险方向)资格申请审核通过人员名单

中国精算师（非寿险方向）资格申请审核通过人员名单
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
姓名周玮赵金巧唐景东李宏波张文娜曹术存段义李玉婷吴刚许菁马堃许磊郑锦福伍晨妮刘广君雷智汪明美金星
1
19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34
郭少伟王兴鲁吕成佳于丹董斌孙兆峰林静强李莉侯萍杨为颖林霞杨国桃王卉舒丽玲阳波杨晓漪
中国财产再保险有限责任公司阳光财产华泰财产大连楼兰科技中国人民财产中国出口信用保险上海诺亚荣耀保险经纪有限公司中国人民财产英大泰和大地财产大连楼兰科技安信农业保险股份有限公司中国人民财产天安财产鑫安汽车保险太平洋产险
就职单位中国人民财产保险股份有限公司安邦财产保险股份有限公司安邦财产保险股份有限公司中国人民财产保险股份有限公司广东分公司京东金融集团重庆大学精算系中国人民财产保险股份有限公司江西分公司中国人民财产保险股份有限公司司司中国人民财产保险股份有限公司普华永道咨询（深圳）有限公司上海分公司中国人民财产保险股份有限公司上海分公司中国人民财产保险股份有限公司上海分公司中国太平洋财产保险股份有限公司史带财产保险股份有限公司史带财产保险股份有限公司永安财产保险股份有限公司国元农业保险中国证监会

信息产业信息安全测评中心基本情况及业务讲课文档

报中心
• 参与中国人民银行非金融机构和移动金融技术服务认证
检测体系建立，参与编制规范、标准体系报告编制，并国家部委和重
在能力验证和算法破解方面名列前茅。
要行业主管部
• 支持北京市公安局网络安全总队：应急技术支持、安全渗透
门
测试、网安启明星、地方检查标准等
……
第二十三页，共37页。
中心技术能力对于等级保护的支撑
团公司第十五研究所，授权其成立“电子工业部计算机安全技术检
测中心”，2011年经工信部批示，更名为“信息产业信息安全测评中心” 中央网信办技术支持单位
国家网络与信息安全信息通报机制技术支持单位工信部重点领域信息安全检查技术支持队伍公安部和北京市公安局网安安全检查与应急技术支持单位
第三页，共37页。
机构
第四页，共37页。
单位介绍（三）--所具备的安全管理制度
国家认可检查机构遵循标准
ISO/IEC 17020:1998各类检查
机构能力的通用要求
GB/T 18346-2001 各类检查机
构能力的通用要求
国家认可实验室遵循标准
ISO/IEC 17025:2005 检测和校准实
验室能力的通用要求
GB/T 27025-2008 检测和校准实验室能力的通用要求
智能卡渗透性测试平台
信息安全等级保护测评能力验证平台
信息安全等级保护测评管理平台

信息安全产品安全性测评平台
信息安全等级保护支撑工作
云计算安全测评平台
物联网信息安全测评公共服务平台
Web安全远程监测与挖掘平台
移动应用安全测评平台
第二十四页，共37页。
1、信息安全等级保护测评能力验证平台

《非法金融机构和非法金融业务活动取缔办法》相关修订探究

《非法金融机构和非法金融业务活动取缔办法》相关修订探究为了有效取缔非法金融机构和非法金融活动，1998年7月13日，国务院发布并实施《非法金融机构和非法金融业务活动取缔办法》（以下简称《“两非”取缔办法》）。

但由于各种原因，《“两非”取缔办法》）未能全面有效发挥作用，随着社会经济的不断发展、经济多样化以及金融监管体制改革，当下有关非法设立金融机构和非法从事金融业务活动的问题日益突出，不少民众受之侵害，损失重大，而《“两非”取缔办法》）适用性已然滞后。

因此，为防范化解金融风险，开展相关修订工作已迫在眉睫。

一、《“两非”取缔办法》）修订背景和意义（一）严峻现实的客观要求近年来非法金融活动快速蔓延，愈发猖獗，涉案领域不断扩大，案件日益多发，甚至集中暴露，且犯罪手法不断升级。

如：二清机、移动支付乱象、套路贷等问题。

1.非法集资情况非法集资涉及面广，数额巨大，潜伏着巨大的风险和危机，严重扰乱了金融秩序。

当前非法集资的表现形式花样频出，犯罪手法翻新，犯罪形式更加隐蔽，欺骗诱导性强，网络化趋势明显，突破地域界限。

多数升级包装为低风险、高回报的理财产品，如：“投资理财”、“虚拟货币”等。

同时借助互联网开展宣传、销售，构成互联网+传销+非法1集资的模式，比如“购物返本”等。

此外，非法集资有下乡进村的趋势。

一些投资理财公司或非融资性担保公司粉饰掩盖，利用熟人，夸大收益，宣传虚假理财产品，以实现收集资金的目的。

2.现金贷、套路贷情况现金贷、校园贷虽在不断规范，但不法分子仍有机可乘，甚至发展套路贷，套路贷的本质就是“吃人不吐骨头”，即引诱民众掉入其精心设计的陷阱，只要粘上了这样的贷款，就等于掉入了难以逃脱的陷阱，使贷款者成为任其宰割的糕羊。

目前，套路贷猖獗，通过制造民间借贷假象、制造银行流水痕迹假象、恶意垒高借款金额等套路，不仅诱骗受害人，侵害其财产权益，更破坏社会金融秩序、影响社会稳定。

因此，面对此严峻的现实，有必要修改《“两非”取缔办法》），使其更好地发挥作用，满足金融实践的现实客观需求。

非金融机构支付服务业务系统检测机构入围名单及业务范围

附件
Байду номын сангаас
非金融机构支付服务业务系统检测机构入围名单及业务范围
检测业务范围编号 1 2 3 4 5 6 7 8 9 检测机构名称网络支付中国金融电子化公司上海市信息安全测评认证中心银行卡检测中心工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）中国信息安全测评中心国家应用软件产品质量监督检验中心（北京软件产品质量检测检验中心）信息产业部计算机安全技术检测中心中金金融认证中心有限公司中国电子科技集团公司信息化工程总体研究中心 √ √ √ √ √ √ √ √ √ √ 银行卡收单 √ √ √ √ 预付卡发行与受理 √ √ √ √ √ √ 备注

非金融机构支付业务设施技术认证获证名单

北京雅惠时代信息咨询有限公司
银行卡收单（雅惠时代银行卡收单系统V1.0）
一级
2012-10-11
有效
6
ISCCC-2012-IS-006
山东运达电子商务有限公司
银行卡收单（收单系统V2.0）
一级
2012-11-16
有效
7
ISCCC-2012-IS-007
融金汇通电子支付有限公司
银行卡收单（云南商业企业通用积分系统V1.0）
北京雅酷时空信息交换技术有限公司
互联网支付（雅酷时空酷宝支付系统-互联网支付V1.0）
移动电话支付（远程支付）（雅酷时空酷宝支付系统-移动电话远程支付V1.0）
固定电话支付（雅酷时空酷宝支付系统-固定电话支付V1.0）
预付卡的发行与受理（预付卡系统V4.0）
一级
2012-10-11
有效
5
ISCCC-2012-IS-005
互联网支付（云南商业企业通用积分系统V1.0）
移动电话支付（远程支付）（云南商业企业通用积分系统V1.0）
一级
2012-11-16
有效
非金融机构支付业务设施技术认证获证名单
（截至2012-11-16）
序号
证书编号
申请方
支付业务设施
级别
发证日期
证书状态
1
ISCCC-2012-IS-001
资和信电子支付有限公司
互联网支付（商通卡支付清算服务系统平台V1.0）
一级
2012-9-29
有效
2
ISCCC-2012-IS-002
中期信息技术服务有限公司
互联网支付（融金支付V1.0）
一级
2012-9-29
有效

国家外汇管理局关于发布《金融机构外汇业务数据采集规范(1.1版)》的通知

国家外汇管理局关于发布《金融机构外汇业务数据采集规范(1.1版)》的通知文章属性•【制定机关】国家外汇管理局•【公布日期】2016.09.02•【文号】汇发〔2016〕22号•【施行日期】2016.09.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】外汇管理正文国家外汇管理局关于发布《金融机构外汇业务数据采集规范(1．1版)》的通知汇发〔2016〕22号根据《国务院办公厅关于印发推进“五证合一、一照一码”登记制度改革工作方案的通知》(国办函[2016]53号)、《国家外汇管理局关于印发＜对外金融资产负债及交易统计制度＞的通知》(汇发[2016]15号)、《国家外汇管理局关于调整合格机构投资者数据报送方式的通知》(汇发[2015]45号)、《国家外汇管理局关于印发＜境内机构外币现钞收付管理办法＞的通知》(汇发[2015]47号)等文件要求，国家外汇管理局对《金融机构外汇业务数据采集规范(1．0版)》进行了修订，形成了《金融机构外汇业务数据采集规范(1．1版)》(以下简称《采集规范》)。

现将有关事项通知如下：一、主要修订内容(一)增加机构外币现钞存取数据采集，对应数据采集范围、报送规范和接口文件格式等见《采集规范》相关章节。

(二)取消银行代客业务中QFH／RQFH／QDII数据采集。

(三)根据国家统一社会信用代码有关要求，调整组织机构代码(包含组织机构代码含义的数据项)和机构名称的定义，兼容组织机构代码、统一社会信用代码和特殊机构代码等码值。

(四)根据《通过银行进行国际收支统计申报业务指引(2016年版)》的要求，调整所涉及的相关数据术语解释。

(五)根据经常项目外汇管理需要，如是对私业务，境内银行在填报《涉外收入申报单》对手方“付款人名称”字段以及《境外汇款申请书》对手方“收款人名称”字段时，应在名称后增加付／收款人账户信息，以名称后加“[acc：账号]”表示。

(六)增加账户数据报送主体，即增加代客开立外汇账户以及办理代客结售汇业务的境内非银行金融机构报送外汇账户数据和外汇账户内结售汇数据的要求。

某省金融机构信息验证及检查小组成员名单及职责

附件２某省金融机构信息验证及检查领导小组和工作小组成员及职责一、领导小组成员组长：赵以邗（中国人民银行武汉分行副行长）成员：田耕（中国人民银行武汉分行科技处处长）杨德高（国家开发银行某省分行副行长）郭善求（中国农业发展银行某省分行副行长）李延（中国进出口银行某省分行行长助理）熊红英（中国工商银行某省分行纪委书记）李新平（中国农业银行某省分行副行长）李红文（中国银行某省分行财务总监）王进军（中国建设银行某省分行副行长）张德军（交通银行某省分行纪委书记）段昌峰（招商银行武汉分行行长）张春方（中国民生银行武汉分行副行长）贾荣康（中国光大银行武汉分行副行长）操建安（中信银行武汉分行行长助理）向文桥（华夏银行武汉分行副行长）但文化（兴业银行武汉分行副行长）李炜杰（上海浦东发展银行武汉分行副行长）郑永俊（广发银行武汉分行副行长）周刚（深圳发展银行武汉分行副行长）冯龙跃（中国邮政储蓄银行某省分行副行长）陈璐（法国兴业银行（中国）有限公司武汉分行行长）乐静（汇丰银行（中国）有限公司武汉分行副行长）菊地原翼（瑞穗实业银行（中国）有限公司武汉分行副行长）梁燕（东亚银行（中国）有限公司武汉分行副行长）陈大林（某银行董事长）沈金生（某省农村信用社联合社纪委书记）朱永彤（汉口银行副行长）张向红（武汉农村商业银行党委委员董事）职责：全面负责某省金融业机构信息验证及检查工作，各成员负责其所在机构的全省机构信息自查工作的组织领导，配合人民银行武汉分行做好年度验证检查工作，负责组织完成年度验证检查等相关工作。

二、工作小组成员组长：田耕成员：人民银行武汉分行杨毅、赵凌燕、卿卉、刘晓、杨杰国家开发银行某省分行鲁东云、曾小卉中国农业发展银行某省分行杨桦、高晓燕中国进出口银行某省分行张磊、陈姣中国工商银行某省分行雷鸣、周益勇，中国农业银行某省分行吴卫东、列康美、李阳中国银行某省分行刘蕾、刘永红中国建设银行某省分行刘学勤、蔡永宏、邱利鹏、吴红高交通银行某省分行罗选甫、熊超招商银行武汉分行王晖、刘峰中国民生银行武汉分行余小兰、胡靓中国光大银行武汉分行张良祥、王辉中信银行武汉分行冷煨、李瀚华夏银行武汉分行司德明、孙红兴业银行武汉分行乔玉钦、杜丽霞上海浦东发展银行武汉分行张东林、闫俊岭广发银行武汉分行文晓梦、杨璐深圳发展银行武汉分行杨勇、李珂中国邮政储蓄银行某省分行张崇南、袁越红法国兴业银行（中国）有限公司武汉分行颜鸣秋、蔡佳琪汇丰银行（中国）有限公司武汉分行熊珊、王宇、徐顺嘉瑞穗实业银行（中国）有限公司武汉分行朱霞、周殊东亚银行（中国）有限公司武汉分行何宁、何文杰某银行卢伟、杨馥华某省农村信用社联合社段文杰、张田汉口银行焦家庆、张忠群武汉农村商业银行张冯茜、彭瑶职责：人民银行成员负责拟定某省金融业机构信息管理系统信息验证及检查工作方案和计划，按方案和计划落实各项工作任务；汇总分析某省金融业机构信息的自查情况，完成不一致机构信息的变更；对某省金融机构信息进行检查；审核金融机构信息合格证和不合格证；建立某省年度验证工作规范流程、问题通报机制；负责向人民银行科技司报送年度验证和检查工作情况；实施和落实信息验证及检查工作的其它具体事项。

中国人民银行关于进一步加强银行卡风险管理的通知

中国人民银行关于进一步加强银行卡风险管理的通知文章属性•【制定机关】中国人民银行•【公布日期】2016.06.13•【文号】银发〔2016〕170号•【施行日期】2016.06.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行关于进一步加强银行卡风险管理的通知银发〔2016〕170号中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行；各国有商业银行、股份制商业银行，中国邮政储蓄银行；中国银联股份有限公司，中国支付清算协会：随着移动通信技术和互联网金融的快速发展，银行卡使用安全面临新的挑战。

为进一步加强银行卡信息的安全管理，提升支付风险防控能力，现将有关事项通知如下：一、强化银行卡信息的安全管理(一)强化支付敏感信息内控管理。

各商业银行，支付机构 (从事银行卡收单业务，网络支付业务的非银行支付机构，下同)、银行卡清算机构应严格落实《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)，健全支付敏感信息安全内控管理制度，并将有关情况于2016年9月1日前报告人民银行。

一是严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码，网络支付交易密码等)，确有必要留有的应取得客户本人及账户管理机构的授权。

二是明确相关岗位和人员的管理责任，严格分离不相容岗位并控制信息操作权限，制定信息操作流程和规范，强化内部监督、责任追究机制，严禁从业人员非法存储、窃取、泄露、买卖支付敏感信息。

三是每年应至少开展两次支付敏感信息安全的内部审计，并形成报告存档备查，发现因系统漏洞造成支付敏感信息泄露或内部人员违规行为的，应立即采取有效措施防止风险扩大，并向人民银行报告；涉嫌违法犯罪的，应及时报告公安机关。

(二)加强支付敏感信息的安全防护。

各商业银行，支付机构应在客户端软件与服务器、服务器与服务器之间进行通道加密和双向认证，对重要信息关键字段进行散列或加密存储，保障信息传输，存储、使用安全。

「非金融机构支付服务业务系统现场检查基本要求」

「非金融机构支付服务业务系统现场检查基本要求」非金融机构支付服务业务系统现场检查基本要求是指对非金融机构支付服务业务系统进行检查时需要注意的一些基本要求。

以下是该要求的详细内容：1.检查人员的资质要求：检查人员应具备相关的金融业务知识和技能，并且具备一定的监管经验和法律意识。

同时，检查人员应保持中立，遵守机密性原则，不得泄露相关信息。

2.检查的范围和内容：检查范围应包括非金融机构支付服务业务系统的运行状况、安全性、合规性和稳定性等方面。

具体内容包括系统的业务规模、数据安全保护措施、用户权益保护等。

3.检查的方法和手段：检查一般分为现场检查和离线检查两种方法。

现场检查主要通过实地查看、询问和抽查的方式来获取相关信息。

离线检查则通过查阅文件、资料和数据来获取相关信息。

4.检查的时间和地点：检查时间应由双方协商确定，并将检查时间提前通知被检查单位。

检查地点一般在被检查单位的办公场所进行，同时也可以要求被检查单位提供相关场地。

5.检查的程序和流程：检查前应与被检查单位签订检查通知书，并确保双方对检查内容和方式有清晰的理解。

在检查过程中，检查人员应尊重被检查单位的工作秩序和个人权益，同时要求被检查单位积极配合。

6.检查结果的处理和通告：检查结果应据实，客观，具备合理性和可靠性。

检查人员应将检查结果整理成书面报告，并将报告交由被检查单位。

同时，检查人员还可以要求被检查单位整改不符合要求的问题。

总之，非金融机构支付服务业务系统现场检查基本要求是为保障金融市场的稳定和安全，确保支付服务机构的合规运营而制定的。

通过对支付服务机构的业务系统进行全面的现场检查，可以及时发现和解决问题，保障用户权益，维护金融市场的正常运行。

《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》的理解与适用

《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》的理解与适用文章属性•【公布机关】最高人民法院,最高人民检察院•【公布日期】2019.02.01•【分类】司法解释解读正文《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》的理解与适用为依法惩治非法从事资金支付结算业务、非法买卖外汇犯罪活动，维护金融市场秩序，最高人民法院、最高人民检察院发布了《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》（法释〔2019〕1号，以下简称《解释》），自2019年2月1日起施行。

为便于司法实践中正确理解和适用，现就《解释》的制定背景、起草中的主要考虑和主要内容介绍如下。

一、《解释》的制定背景与经过全国人大常委会于1998年12月29日颁布了《关于惩治骗购外汇、逃汇和非法买卖外汇犯罪的决定》，规定非法买卖外汇，扰乱市场秩序，情节严重的，依照非法经营罪定罪处罚。

2009年2月28日刑法修正案（七）在刑法第二百二十五条第三项中增加了“非法从事资金支付结算业务”的情形，规定非法从事资金支付结算业务，扰乱市场秩序，情节严重的，以非法经营罪定罪处罚。

有关刑事立法为依法惩治地下钱庄非法买卖外汇、非法从事资金支付结算业务犯罪活动提供了法律依据。

近年来，随着国内外经济形势的变化，恐怖主义犯罪国际化，走私犯罪和跨境毒品犯罪增加，以及我国加大对贪污贿赂犯罪的打击力度，从事非法资金支付结算业务、非法买卖外汇等涉地下钱庄犯罪活动日益猖獗，涉地下钱庄刑事案件不断增多。

地下钱庄已成为不法分子从事洗钱和转移资金的最主要通道，不但涉及经济领域的犯罪，还日益成为电信诈骗、网络赌博等犯罪活动转移赃款的渠道，成为贪污腐败分子和恐怖活动的“洗钱工具”和“帮凶”，严重扰乱金融市场秩序，严重危害国家金融安全和社会稳定，必须依法予以严惩。

与此同时，司法实践反映的具体定罪量刑标准尚不明确，一些法律适用问题存在争议，需要通过司法解释作出规定。

支付业务许可证

第二条本办法所称非金融机构支付服务，是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：
（一）络支付；（二）预付卡的发行与受理；（三）银行卡收单；（四）中国人民银行确定的其他支付服务。本办法所称络支付，是指依托公共络或专用络在收付款人之间转移货币资金的行为，包括货币汇兑、互联支付、移动支付、固定支付、数字电视支付等。本办法所称预付卡，是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值，包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。
支付业务许可证
加强对非金融机构的管理的证书
01 管理办法
03 获批单位
目录
02 相关解读 04 公示检测机关名单
基本信息
支付业务许可证是为了加强对从事支付业务的非金融机构的管理，根据《中华人民共和国中国人民银行法》等法律法规，中国人民银行制定《非金融机构支付服务管理办法》，并由中国人民银行核发的非金融行业从业资格证书。
罚则
第四十条中国人民银行及其分支机构的工作人员有下列情形之一的，依法给予行政处分；构成犯罪的，依法追究刑事责任：
（一）违反规定审查批准《支付业务许可证》的申请、变更、终止等事项的；（二）违反规定对支付机构进行检查的；（三）泄露知悉的国家秘密或商业秘密的；（四）滥用职权、玩忽职守的其他行为。第四十一条商业银行有下列情形之一的，中国人民银行及其分支机构责令其限期改正，并给予警告或处1 万元以上3万元以下罚款；情节严重的，中国人民银行责令其暂停或终止客户备付金存管业务：（一）未按规定报送客户备付金的存管或使用情况等信息资料的；（二）未按规定对支付机构调整备付金专用存款账户头寸的行为进行复核的；（三）未对支付机构违反规定使用客户备付金的申请或指令予以拒绝的。

中国人民银行关于建立支付机构监管报告制度的通知

中国人民银行关于建立支付机构监管报告制度的通知文章属性•【制定机关】中国人民银行•【公布日期】2012.07.13•【文号】银发[2012]176号•【施行日期】2012.07.13•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行关于建立支付机构监管报告制度的通知（银发[2012]176号）中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行：为切实贯彻《非金融机构支付服务管理办法》(中国人民银行令[2010]第2号发布)，完善支付机构监管体制，明确监管责任，维护支付体系安全，现就建立支付机构年度监管报告制度有关事项通知如下：一、支付机构年度监管报告的作用及种类支付机构年度监管报告是人民银行对支付机构公司治理、业务运营、内部控制、系统运行、风险管理等实施监管的综合评价和对其采取监管措施的全面阐述。

建立支付机构监管报告制度可及时评价和反映支付机构的业务与经营风险情况，便于监管部门采取有效措施防范和控制风险，保护有关各方正当权益。

支付机构年度监管报告按监管对象可分为支付机构综合监管报告与重点支付机构监管报告(以下分别简称综合监管报告、重点机构监管报告)。

综合监管报告是各分支机构对辖区内所有法人支付机构及其他法人支付机构在辖区内所设分支机构的基本情况、支付业务开展情况、内部控制及风险管理状况、系统安全维护、反洗钱工作开展及监管工作的全面反映。

重点机构监管报告是各分支机构对辖区内在全国具有重要影响的单个法人支付机构的监管报告。

结合支付机构2011年末客户备付金余额、特约商户与客户数量、年度支付业务量等因素，总行确定了需单独编报监管报告的重点支付机构，名单见《重点支付机构名单》(附件1)。

总行将根据支付机构的支付业务发展及风险评估情况，适时调整重点支付机构名单。

二、支付机构年度监管报告的主要内容支付机构年度监管报告包括监管对象基本情况、支付业务开展情况、财务稳健性分析、内部控制制度建设、报告期内重大事项、监管工作概述和对监管对象的监管评价等内容。

非金融机构支付服务业务系统现场检查列表共25页文档

XXX公司XXX业务系统现场检查列表(2019版)1．机房物理环境编号检查项检查点检查方式检查结果1 场地选择周围强电磁环境现场查看、现场访谈有无强电场：□有□无；有无强磁场：□有□无周围易燃、易爆等隐患现场查看、现场访谈周围有无易燃、易爆等隐患：□有□无周围危险建筑现场查看、现场访谈周围有无危险建筑：□有□无自身建筑情况现场查看、现场访谈自身是否为危险建筑：□是□否机房在建筑物中的位置现场查看、现场访谈是否位于建筑物高层或地下室、用水设备的下层或隔壁: □是□否备份机房现场查看、现场访谈有无备份机房：□有□无主、备机房距离现场查看、现场访谈主、备机房距离__________第 1 页编号检查项检查点检查方式检查结果建筑物内独立区域现场查看、现场访谈机房在建筑物内是否为独立区域：□是□否2 门禁系统个人身份识别措施现场查看、现场访谈有无个人身份识别措施：□有□无权限划分调阅文档、现场查看、现场访谈有无权限划分：□有□无，如何划分______________ 门禁记录调阅文档有无门禁记录：□有□无门禁系统应急措施调阅文档有无门禁系统应急措施：□有□无门禁监控现场查看、现场访谈有无门禁监控：□有□无3 灾害预防措施和设备灭火系统现场查看、现场访谈灭火系统_____________自动预警消防系统现场查看、现场访谈有无自动预警消防系统：□有□无排风系统现场查看、现场访谈有无排风系统：□有□无消防联动现场查看、现场访谈有无消防联动：□有□无消防监控现场查看、现场访谈有无消防监控：□有□无消防救生门现场查看、现场访谈有无消防救生门：□有□无□小于100平米不适用第 2 页编号检查项检查点检查方式检查结果手动消防器材数量和位置现场查看、现场访谈手动消防器材数量和位置____________区域隔离措施现场查看、现场访谈是否将重要设备与其他设备隔离开：□是□否建筑材料的耐火等级调阅文档、现场查看、现场访谈建筑材料的耐火等级：__________应急照明设备现场查看、现场访谈有无应急照明设备：□有□无防雷击措施现场查看、现场访谈是否设置避雷装置：□是□否是否设置交流电源地线：□是□否防水防潮措施现场查看、现场访谈屋顶和活动地板下是否有无关水管：□是□否；穿过墙壁和楼板的水管是否有管套：□是□否；有无防雨水、水蒸气和地下积水措施：□有□无防静电措施现场查看、现场访谈地板是否为防静电地板：□是□否防尘现场查看、现场访谈机房是否具有防尘措施：□是□否防鼠害现场查看、现场访谈机房是否具有防鼠害措施：□是□否第 3 页编号检查项检查点检查方式检查结果4 供电系统供电异常报警装置现场查看、现场访谈有无供电异常报警装置：□有□无发电机配备现场查看、现场访谈有无与UPS功率匹配的发电机设备：□有□无UPS负荷情况调阅文档、现场查看、现场访谈UPS负荷情况___________________供电部门保障协议调阅文档有无供电部门保障协议：□有□无电路冗余调阅文档、现场查看、现场访谈有无电路冗余：□有□无稳压器和过电压防护设备现场查看、现场访谈有无稳压器和过电压防护设备：□有□无供电通信线缆隔离现场查看、现场访谈电源线缆和通信线缆是否隔离：□是□否设备电磁屏蔽现场查看、现场访谈关键设备和磁介质是否有电磁屏蔽：□是□否市电双回路供电现场查看、现场访谈有无市电双回路供电：□有□无5 综合布线走线方式调阅文档、现场查看、现场访谈走线方式_____________________ 布线规整调阅文档、现场查看、现场访谈布线是否规整：□是□否统一标识调阅文档、现场查看、现场访谈有无统一标识：□有□无第 4 页编号检查项检查点检查方式检查结果6 机房分区机房区域划分情况现场查看、现场访谈机房区域划分情况_______________；区域和区域之间是否设置物理隔离装置：□是□否；在重要区域前是否设置交付或安装等过渡区域：□是□否7 空调系统专用空调现场查看、现场访谈有无专用空调：□有□无不间断运行能力调阅文档、现场查看、现场访谈有无不间断运行能力：□有□无异常报警调阅文档、现场查看、现场访谈有无异常报警机制：□有□无机房温度调阅文档、现场查看、现场访谈机房温度______________机房湿度调阅文档、现场查看、现场访谈机房湿度______________空调冗余调阅文档、现场查看、现场访谈有无空调冗余：□有□无统一监控调阅文档、现场查看、现场访谈有无统一监控：□有□无漏水报警现场查看、现场访谈是否能够漏水报警：□是□否8 机房访问人员控制人员进入审批调阅文档、现场查看、现场访谈人员进入是否审批：□是□否第 5 页编号检查项检查点检查方式检查结果身份核实现场查看、现场访谈有无身份核实：□有□无专人陪同现场查看、现场访谈有无专人陪同：□有□无访问记录调阅文档、现场查看、现场访谈有无访问记录：□有□无9 机房所在地安保进出人员身份核实现场查看、现场访谈进出人员是否进行身份核实：□是□否外来人员登记调阅文档、现场查看、现场访谈外来人员是否登记：□是□否视频监控系统现场查看、现场访谈有无视频监控系统：□有□无双人值守现场查看、现场访谈是否双人值守：□是□否报警措施现场查看、现场访谈有无报警措施：□有□无应急处理流程调阅文档有无应急处理流程：□有□无10 设备安全管理固定设备或主要部件，并设置明显的不易除去的标记现场查看、现场访谈设备或主要部件是否固定：□是□否；是否设置明显的不易除去的标记：□是□否第 6 页编号检查项检查点检查方式检查结果介质的分类管理现场查看、现场访谈是否对介质分类标识，存储在介质库或档案室中：□是□否设备的监控现场查看、现场访谈设备或存储介质携带出工作环境时，是否监控和记录：□是□否11 安全管理制度机房安全管理制度调阅文档有无机房安全管理制度：□有□无落实情况调阅文档、现场查看、现场访谈落实情况_________________操作规程调阅文档有无操作规程：□有□无12 机房设备维护维护制度调阅文档有无维护制度：□有□无维护记录调阅文档有无维护记录：□有□无签字被检查方检查方第 7 页2．网络安全编号检查项检查点检查方式检查结果1 结构安全网络冗余和备份调阅文档、现场查看、现场访谈有无网络冗余和备份：□有□无路由器安全控制调阅文档、现场查看、现场访谈有无路由安全控制措施：□有□无防火墙安全控制调阅文档、现场查看、现场访谈有无防火墙安全控制措施：□有□无网络拓扑结构调阅文档、现场查看、现场访谈有无网络拓扑结构图：□有□无IP子网划分调阅文档有无IP子网划分：□有□无QoS保证调阅文档有无QoS保证：□有□无2 网络访问控制网络域安全隔离和限制调阅文档、现场查看、现场访谈有无网络域安全隔离和限制：□有□无地址转换和绑定调阅文档有无地址转换和绑定：□有□无内容过滤调阅文档有无内容过滤：□有□无访问控制调阅文档、现场查看、现场访谈有无访问控制：□有□无第 8 页编号检查项检查点检查方式检查结果流量控制调阅文档、现场查看、现场访谈有无流量控制：□有□无会话控制调阅文档有无会话控制：□有□无3 拨号访问控制远程拨号访问控制和记录调阅文档有无远程拨号访问控制和记录：□有□无□不适用4 网络安全审计日志信息调阅文档、现场查看、现场访谈有无日志信息：□有□无日志权限和保护调阅文档、现场查看、现场访谈有无日志权限和保护：□有□无网络对象操作审计调阅文档有无网络对象操作审计：□有□无审计工具调阅文档、现场查看、现场访谈有无审计工具：□有□无5 边界完整性检查内外网非法连接阻断和定位调阅文档、现场查看、现场访谈有无内外网非法连接阻断和定位：□有□无6 网络入侵防范网络ARP欺骗攻击调阅文档有无防范网络ARP欺骗攻击措施：□有□无信息窃取调阅文档有无防范信息窃取措施：□有□无DOS/DDOS攻击调阅文档有无防范DOS/DDOS攻击措施：□有□无□不适用安全设备配置调阅文档、现场查看、现场访谈有无安全设备配置标准：□有□无第 9 页编号检查项检查点检查方式检查结果网络入侵防范设备调阅文档、现场查看、现场访谈有无网络入侵防范设备：□有□无7 网络设备防护设备登录设置调阅文档、现场查看、现场访谈有无设备登录设置：□有□无设备登录口令安全性调阅文档、现场查看、现场访谈有无设备登录口令安全性：□有□无登录地址限制调阅文档、现场查看、现场访谈有无登录地址限制：□有□无远程管理安全调阅文档、现场查看、现场访谈有无远程管理安全：□有□无设备用户设置策略调阅文档有无设备用户设置策略：□有□无最小化服务调阅文档、现场查看、现场访谈是否最小化服务：□是□否配置文件离线备份调阅文档、现场查看、现场访谈是否定期离线备份配置文件：□是□否8 网络安全管理网络设备运维制度调阅文档、现场查看、现场访谈有无网络设备运维制度：□有□无网络配置变更管理调阅文档有无网络配置变更管理：□有□无设备参数配置调阅文档有无设备参数配置：□有□无网络事故管理调阅文档有无网络事故管理：□有□无第 10 页编号检查项检查点检查方式检查结果网络关键数据传输加密调阅文档、现场查看、现场访谈是否对网络关键数据传输加密：□是□否签字被检查方检查方3．主机安全编号检查项检查点检查方式检查结果1 身份鉴别系统与应用管理员用户设置调阅文档、现场查看、现场访谈有无分别设置系统与应用管理员用户：□有□无系统与应用管理员口令安全性调阅文档、现场查看、现场访谈系统与应用管理员口令复杂度是否符合要求：□是□否登录策略调阅文档、现场查看、现场访谈有无登录策略：□有□无非法访问警示现场查看、现场访谈有无非法访问警示：□有□无2 自主访问控制主机信任关系调阅文档、现场查看、现场访谈有无主机信任关系：□有□无默认过期用户调阅文档、现场查看、现场访谈有无默认过期用户：□有□无第 11 页编号检查项检查点检查方式检查结果用户最小授权原则调阅文档、现场查看、现场访谈是否按照最小授权原则分配用户权限：□是□否3 强制访问控制重要系统文件强制访问控制范围调阅文档、现场查看、现场访谈有无重要系统文件强制访问控制范围：□有□无共享目录调阅文档、现场查看、现场访谈有无共享目录安全保护措施：□有□无□不适用远程登录控制调阅文档、现场查看、现场访谈有无远程登录控制：□有□无4 安全审计日志信息现场查看、现场访谈有无日志信息：□有□无日志权限和保护调阅文档、现场查看、现场访谈有无日志权限和保护：□有□无系统信息分析调阅文档、现场查看、现场访谈有无系统信息分析：□有□无对象操作审计调阅文档、现场查看、现场访谈有无对象操作审计：□有□无关键数据删除制度和记录调阅文档有无关键数据删除制度和记录：□有□无5 系统保护系统备份调阅文档有无系统备份：□有□无故障恢复策略调阅文档有无故障恢复策略：□有□无安全配置调阅文档、现场查看、现场访谈有无安全配置：□有□无第 12 页编号检查项检查点检查方式检查结果磁盘空间安全调阅文档有无磁盘空间安全保护措施：□有□无主机加固调阅文档主机有无加固：□有□无6 剩余信息保护过期信息、文档处理调阅文档有无过期信息、文档处理：□有□无7 入侵防范入侵防范记录调阅文档有无入侵防范记录：□有□无关闭服务调阅文档、现场查看、现场访谈是否关闭不必要的服务：□是□否最小安装原则调阅文档、现场查看、现场访谈是否最小安装：□是□否8 恶意代码防范及时更新调阅文档有无及时更新：□有□无□不适用控制措施调阅文档有无控制措施：□有□无□不适用及时安装系统必要的补丁调阅文档、现场查看、现场访谈有无及时安装系统必要的补丁：□有□无漏洞扫描调阅文档有无定期漏洞扫描：□有□无9 资源控制连接控制调阅文档、现场查看、现场访谈有无连接控制：□有□无有无设置登录终端的操作超时锁定或退出：□有□无第 13 页编号检查项检查点检查方式检查结果资源监控和预警调阅文档、现场查看、现场访谈有无资源监控和预警措施：□有□无签字被检查方检查方4．数据安全编号检查项检查点检查方式检查结果1数据存储存储方式现场查看、现场访谈存储方式______________存储内容现场查看、现场访谈存储内容包括：□系统管理数据□鉴别信息□重要业务数据□其他______2 数据存储设备设备类型现场查看、现场访谈设备类型______________ 设备型号调阅文档、现场查看、现场访谈设备型号______________ 设备供应商调阅文档、现场查看、现场访谈设备供应商____________第 14 页编号检查项检查点检查方式检查结果设备安全性现场查看、现场访谈是否采取相应制度、措施保障设备安全性：□是□否”3 数据备份备份周期调阅文档备份周期______________备份介质现场查看、现场访谈备份介质______________备份方式调阅文档、现场查看、现场访谈备份方式______________备份内容调阅文档、现场查看、现场访谈备份内容包括：□系统管理数据□鉴别信息□重要业务数据□其他______异地备份调阅文档、现场查看、现场访谈有无异地备份：□有□无备份数据有效性检验调阅文档、现场查看、现场访谈有无检验备份数据有效性：□有□无4 数据备份介质管理介质保存方式现场查看、现场访谈介质保存方式__________备份介质的安全现场查看、现场访谈备份介质是否安全：□是□否备份介质的销毁调阅文档有无制定备份介质销毁制度：□有□无第 15 页编号检查项检查点检查方式检查结果5 数据备份恢复管理制度恢复制度调阅文档有无数据备份恢复制度：□有□无恢复演练调阅文档有无数据备份恢复演练：□有□无恢复记录调阅文档有无数据备份恢复记录：□有□无签字被检查方检查方5．管理安全编号检查项检查点检查方式检查结果1 安全管理部门设置专职部门调阅文档有无专职安全管理部门：□有□无专用岗位调阅文档有无安全管理专用岗位：□有□无指导委员会调阅文档有无安全管理指导委员会：□有□无2 安全管理制度安全管理制度设置调阅文档有无建立完备的安全管理制度：□有□无3 安全管理人员配备信息安全专业人员现场查看、现场访谈有无信息安全专业人员：□有□无第 16 页编号检查项检查点检查方式检查结果关键岗位人员现场查看、现场访谈有无关键岗位人员：□有□无人员离岗/变动管理调阅文档有无人员离岗/变动管理：□有□无4 设备管理专人管理现场查看、现场访谈有无专人管理设备：□有□无设备登记、维护、报废制度调阅文档有无设备登记、维护、报废制度：□有□无5 代码管理代码访问权限控制现场查看、现场访谈有无代码访问权限控制：□有□无代码访问流程现场查看、现场访谈有无代码访问流程：□有□无安全测试现场查看、现场访谈有无安全测试：□有□无代码版本管理调阅文档有无代码版本管理：□有□无测试验收流程调阅文档、现场查看、现场访谈有无测试验收流程：□有□无6 审计审计制度调阅文档、现场查看、现场访谈有无审计制度：□有□无内部审计调阅文档、现场查看、现场访谈有无内部审计：□有□无外部审计调阅文档、现场查看、现场访谈有无外部审计：□有□无第 17 页编号检查项检查点检查方式检查结果7 变更、备份与故障恢复变更流程调阅文档、现场查看、现场访谈有无变更流程：□有□无备份流程调阅文档、现场查看、现场访谈有无备份流程：□有□无故障恢复流程调阅文档、现场查看、现场访谈有无故障恢复流程：□有□无故障恢复演练调阅文档有无故障恢复演练：□有□无8 业务持续性管理业务持续性计划调阅文档有无业务持续性计划：□有□无单点故障调阅文档、现场查看、现场访谈有无单点故障：□有□无系统冗余调阅文档、现场查看、现场访谈有无系统冗余：□有□无异地灾备调阅文档、现场查看、现场访谈有无异地灾备：□有□无9 密钥安全管理密钥生成调阅文档、现场查看、现场访谈密钥生成是否安全：□是□否密钥使用调阅文档、现场查看、现场访谈密钥使用是否安全：□是□否密钥存储调阅文档、现场查看、现场访谈密钥存储是否安全：□是□否第 18 页编号检查项检查点检查方式检查结果密钥更新调阅文档、现场查看、现场访谈有无密钥更新：□有□无更新周期____________密钥销毁调阅文档、现场查看、现场访谈密钥销毁是否安全：□是□否加密存储调阅文档、现场查看、现场访谈是否加密存储：□是□否硬件加密机（国产）调阅文档、现场查看、现场访谈硬件加密机（国产）：_________ 10 事件、事故报告机制报告制度调阅文档有无报告制度：□有□无报告流程调阅文档有无报告流程：□有□无11外包管理外包管理制度调阅文档有无外包管理制度：□有□无□不适用外包合同调阅文档有无与外包服务机构签订外包服务合同：□有□无□不适用保密协议调阅文档有无与外包服务机构签订保密协议：□有□无□不适用第 19 页编号检查项检查点检查方式检查结果签字被检查方检查方6．应急管理编号检查项检查点检查方式检查结果1 应急预案管理机房环境应急预案调阅文档有无机房环境应急预案：□有□无网络应急预案调阅文档有无网络应急预案：□有□无系统应急预案调阅文档有无系统应急预案：□有□无应急预案评估调阅文档有无定期进行应急预案评估：□有□无应急预案更新调阅文档有无及时进行应急预案更新：□有□无2 应急演练对象机房环境应急演练调阅文档、现场查看、现场访谈有无开展机房环境应急演练：□有□无网络应急演练调阅文档、现场查看、现场访谈有无开展网络应急演练：□有□无系统应急演练调阅文档、现场查看、现场访谈有无开展系统应急演练：□有□无第 20 页3 应急演练制度应急演练方案调阅文档有无应急演练方案：□有□无应急演练组织调阅文档有无应急演练组织：□有□无应急演练计划调阅文档有无应急演练计划：□有□无应急演练培训调阅文档有无应急演练培训：□有□无4 应急演练实施风险评估调阅文档有无应急演练风险评估：□有□无应急演练记录调阅文档有无应急演练记录：□有□无应急演练报告调阅文档有无应急演练报告：□有□无问题整改报告调阅文档有无问题整改报告：□有□无签字被检查方检查方第 21 页。

非金融机构支付服务业务系统检测认证管理规定-中国人民银行公告[2011]第14号

非金融机构支付服务业务系统检测认证管理规定正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行公告（〔2011〕第14号）为做好《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号发布）实施工作，保障非金融机构支付服务业务系统检测认证工作规范有序开展，中国人民银行制定了《非金融机构支付服务业务系统检测认证管理规定》，现公布实施。

中国人民银行二〇一一年六月十六日非金融机构支付服务业务系统检测认证管理规定第一章总则第一条为加强非金融机构支付服务业务的信息安全管理与技术风险防范，保证其系统检测认证的客观性、及时性、全面性和有效性，依据《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号发布）、《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号公布）制定本规定。

第二条非金融机构支付服务业务系统检测认证，是指对申请《支付业务许可证》的非金融机构（以下统称非金融机构）或《非金融机构支付服务管理办法》所指的支付机构（以下统称支付机构），其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。

第三条非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证；支付机构应根据其支付业务发展和安全管理的要求，至少每3年对其业务系统进行一次全面的检测认证。

第四条本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定，通过中国合格评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。

第五条本规定所称的认证机构应经国家认证认可监督管理委员会批准成立，通过中国合格评定国家认可中心的认可，并取得中国人民银行关于非金融机构支付服务业务系统认证授权资格。

02.非金融机构支付服务系统测试准备工作清单(银行卡收单部分)

非金融机构支付服务系统测试准备工作清单（银行卡收单部分）1按照人行要求，非金融机构提交的支付服务系统已上线，且被测版本与上线版本一致。

2填写“5.附件一非金融机构支付服务系统基本情况问卷”。

3功能测试部分3.1填写“6.附件二系统功能与检测指标对应关系表（银行卡收单部分）”。

3.2文档准备。

4风险监控测试4.1文档准备4.2请填写下表第三列（风险监控基本方式）5性能测试5.1填写“7.附件三系统性能测试需求表（银行卡收单部分）”。

5.2文档准备5.3性能测试环境准备6安全性测试6.1网络安全性测试6.1.1文档准备6.1.2策略描述结构安全(1)请描述网络冗余和备份措施。

(2)请描述系统子网划分的规则。

(3)请描述QoS保证措施。

网络访问控制(1)请描述内网、DMZ区、互联网三者之间的访问权限。

拨号访问控制(1)是否通过远程拨号的方式管理网络设备？如果有，请描述远程拨号访问控制措施。

网络安全审计(1)网络设备是否都启用了日志服务？日志信息都包含哪些内容？(2)如果启用了日志服务，请描述日志的存储、备份、定期审核、访问审批等的措施或流程。

(3)是否有审计认证系统，请描述审计认证系统的功能。

网络入侵防范(1)是否部署了入侵检测/入侵防御系统？具体的型号是？(2)是否定期进行安全测试？如果是，多长时间一次？并提供测试报告的样板。

恶意代码防范(1)是否部署恶意代码防范设备或软件？请描述其更新策略。

网络设备防护(1)请描述网络设备登录口令的复杂度策略。

(2)请描述网络设备的变更审批流程，并提供审批单样张。

6.2主机安全性测试6.2.1文档准备6.2.2数据准备准备主机的IP地址和root权限，及扫描设备接入的方式。

6.2.3策略描述安全审计(1)主机服务器是否都启用了日志服务？日志信息都包含哪些内容？(2)如果启用了日志服务，请描述日志的存储、备份、定期审核、访问审批等的措施或流程。