JRT 0240-2021 证券期货业移动互联网应用程序安全检测规范

ICS03.060CCSA11JR中华人民共和国金融行业标准JR/T0240—2021证券期货业移动互联网应用程序安全检测规范Securitytestingspecificationsformobileinternetapplicationsofsecuritiesandfuturesindustry2021-12-29发布2021-12-29实施中国证券监督管理委员会发布JR/T0240—2021I目  次前言.......................................................................................................................................................................II1范围...................................................................................................................................................................12规范性引用文件...............................................................................................................................................13术语和定义.......................................................................................................................................................14检测总体要求...................................................................................................................................................24.1程序类型与检测范围...............................................................................................................................24.2检测框架...................................................................................................................................................24.3检测过程...................................................................................................................................................34.4检测方法...................................................................................................................................................34.5A类检测项和B类检测项........................................................................................................................35检测要求及检测方式.......................................................................................................................................45.1移动终端安全...........................................................................................................................................45.2身份鉴别...................................................................................................................................................95.3网络通信安全.........................................................................................................................................135.4数据安全.................................................................................................................................................175.5开发安全.................................................................................................................................................185.6安全审计.................................................................................................................................................215.7个人信息保护.........................................................................................................................................24附录A（规范性）A类检测项和B类检测项统计.........................................................................................25参考文献...............................................................................................................................................................27JR/T0240—2021II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规范》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国金融标准化技术委员会证券分技术委员会（SACTC180）提出。本文件由全国金融标准化技术委员会（SACTC180/SC4）归口管理。本文件起草单位：中国证券监督管理委员会、中证信息技术服务有限责任公司、大商所飞泰测试技术有限公司、上海市信息安全测评认证中心、上海证券交易所、国泰君安证券股份有限公司、光大证券股份有限公司、华福证券股份有限公司、国泰君安期货有限公司、信息产业信息安全测评中心。本文件主要起草人：姚前、蒋东兴、周云晖、陆骋、周思宇、王晓、王恺、周嘉杰、周桉、路一、罗璇、贾石、任亚男、孙瑞超、肖昱、孙川、李宏达、倪惠康、俞枫、陈凯晖、沙明、刘嵩、甘张生、万晓鹰、董晶晶、冀乃杰。JR/T0240—20211证券期货业移动互联网应用程序安全检测规范1范围本文件规定了证券期货业移动互联网应用程序安全检测的总体要求、检测要求及检测方法。本文件适用于信息安全检测服务机构、运营使用单位对证券期货业发布的移动互联网应用程序进行的安全测试评估，自动化安全检测工具开发商进行设计与开发工作等。注1：本文件中涉及到的密码应用，依据国家密码管理局规定实施。注2：本文件仅给出了证券期货业移动互联网应用程序安全技术要求及检测法，对具体技术实现方式、方法等不作规定。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范JR/T0192—2020证券期货业移动互联网应用程序安全规范3术语和定义GB/T25069、GB/T35273—2020、JR/T0192—2020界定的以及下列术语和定义适用于本文件。3.1移动终端mobileterminal以手机、平板电脑等智能设备为代表，能够安装并使用证券期货移动互联网应用程序，可以在移动中使用的计算机设备。[来源：JR/T0192—2020，3.1]3.2移动互联网应用程序mobileinternetapplication由证券期货行业机构（核心机构或经营机构）或其它参与机构（信息技术服务机构）发布的，安装在移动终端上，通过互联网方式访问，用于证券期货查询、交易、业务办理等相关业务，或办公、信息披露等的应用程序。注：包括但不限于可执行文件、组件等。[来源：JR/T0192—2020，3.2，有修改]3.3移动终端环境mobileterminalenvironmentJR/T0240—20212支撑移动互联网应用程序运行的硬件（包括智能手机、平板电脑等终端）及依托该硬件运行的操作系统和其它程序等软件所组成的整体运行环境。3.4个人信息personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。[来源：GB/T35273—2020，3.1，有修改]3.5个人敏感信息personalsensitiveinformation一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。注2：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦