非金融机构支付服务系统测试准备工作清单网络支付部分.docx

非金融机构支付服务系统测试准备工作清单网络支付部分.docx

《非金融机构支付服务系统测试准备工作清单网络支付部分.docx》由会员分享，可在线阅读，更多相关《非金融机构支付服务系统测试准备工作清单网络支付部分.docx（13页珍藏版）》请在冰豆网上搜索。

非金融机构支付服务系统测试准备工作清单网络支付部分

非金融机构支付服务系统测试准备工作清单

（网络支付部分）

1按照人行要求，非金融机构提交的支付服务系统已上线，且被测版本与上线版本一致。

2填写“5.附件一非金融机构支付服务系统基本情况问卷”。

3功能测试部分

3.1填写“6.附件二系统功能与检测指标对应关系表（网络支付部分）”。

3.2文档准备

编号

检测项

有/无

对应文档名称

1

相关的功能测试报告（电子版或者纸质版复印件）

4风险监控测试

4.1文档准备

编号

检测项

有/无

对应文档名称

1

风险监控规则描述文档

2

风险测试报告

4.2请填写下表第三列（风险监控基本方式）

编号

检测项

监控方式

1

账户风险管理

转移备付金

描述风险监控系统的相应功能或人工处理流程,如果暂无功能或流程，则写无。

多种用户身份鉴别方式

……

甄别可疑交易

2

交易监控

监控规则管理

当日交易查询

历史交易查询

实时交易监控

异常交易监控

交易事件报警

4

交易审核

系统自动审核

人工审核

6

风控规则

风控规则管理

黑名单

风险识别

事件管理

风险报表

5性能测试

5.1填写“7.附件三系统性能测试需求表（网络支付部分）”。

5.2文档准备

编号

检测项

有/无

对应文档名称

1

性能测试报告

5.3数据准备

准备内容

准备状态

配置好系统运行的基础参数，主要业务流程及功能项正确

准备性能测试所需要的数据

测试环境（测试工具和测试脚本），包含登陆、提现、交易明细查询、支付。

6安全性测试

6.1网络安全性测试

6.1.1文档准备

编号

检测项

有/无

对应文档名称

1

网络设备的操作手册

2

网络设备运维管理制度

3

网络设备最新的配置文件

4

网络设备的巡检记录

5

网络设备日志管理制度

6

网络设备变更管理制度

7

网络设备变更审批单样张

8

安全事件处理制度

9

网络设备安全审计报告

10

网络安全关键岗位人员管理制度

11

网络设备补丁管理制度

6.1.2策略描述

Ø结构安全

（1）请描述网络冗余和备份措施。

（2）请描述系统子网划分的规则。

（3）请描述QoS保证措施。

Ø网络访问控制

（1）请描述内网、DMZ区、互联网三者之间的访问权限。

Ø拨号访问控制

（1）是否通过远程拨号的方式管理网络设备？

如果有，请描述远程拨号访问控制措施。

Ø网络安全审计

（1）网络设备是否都启用了日志服务？

日志信息都包含哪些内容？

（2）如果启用了日志服务，请描述日志的存储、备份、定期审核、访问审批等的措施或流程。

（3）是否有审计认证系统，请描述审计认证系统的功能。

Ø网络入侵防范

（1）是否部署了入侵检测/入侵防御系统？

具体的型号是？

（2）是否定期进行安全测试？

如果是，多长时间一次？

并提供测试报告的样板。

Ø恶意代码防范

（1）是否部署恶意代码防范设备或软件？

请描述其更新策略。

Ø网络设备防护

（1）请描述网络设备登录口令的复杂度策略。

（2）请描述网络设备的变更审批流程，并提供审批单样张。

6.2主机安全性测试

6.2.1文档准备

编号

检测项

有/无

对应文档名称

1

主机服务器的操作手册

2

主机服务器运维管理制度

3

主机服务器最新的配置文件

4

主机服务器的巡检记录

5

主机服务器日志管理制度

6

主机服务器变更管理制度

7

主机服务器变更审批单样张

8

安全事件处理制度

9

主机服务器安全审计报告

10

主机安全关键岗位人员管理制度

11

操作系统补丁管理制度

6.2.2数据准备

准备主机的IP地址和root权限，及扫描设备接入的方式。

6.2.3策略描述

Ø安全审计

（4）主机服务器是否都启用了日志服务？

日志信息都包含哪些内容？

（5）如果启用了日志服务，请描述日志的存储、备份、定期审核、访问审批等的措施或流程。

（6）是否有审计认证系统，请描述审计认证系统的功能。

Ø系统保护

（1）请描述主机服务器的备份方式，包括备份的地点等。

（2）是否部署监控设备？

请描述监控设备的名称、型号、监控的内容、报警方式等。

Ø恶意代码防范

（1）是否部署恶意代码防范设备或软件？

请描述其更新策略。

6.3应用安全性测试

6.3.1文档准备

编号

检测项

有/无

对应文档名称

1

应用系统口令安全性策略制度

2

应用系统数据备份和恢复制度

3

应用系统过期信息文档处理流程

4

应用系统补丁管理制度

5

编码规范及源代码管理制度

6

终端管理制度

6.3.2策略描述

Ø身份鉴别

（1）应用系统用户分为哪几类？

权限如何划分？

（2）请描述用户账号的添加、删除、修改审批流程。

ØWEB页面安全

（1）提供网站ICP备案号。

Ø数据安全

（1）请描述应用系统的数据的备份机制。

Ø应用容错

（1）请描述应用系统数据有效性校验机制、容错机制、故障恢复机制、回退机制。

Ø编码安全

（1）请提供编码规范，以及源代码管理制度。

Ø密钥管理

（1）请详细描述应用系统密钥管理体系（必填项）。

6.4数据安全性测试

6.4.1文档准备

编号

检测项

有/无

对应文档名称

1

客户权益数据保护制度

2

客户身份信息保护制度

3

支付业务信息保护制度

4

会计档案信息保护制度

5

数据访问控制制度

6

数据备份机制

7

备份数据的恢复策略

8

数据销毁制度和记录

6.5运维安全性测试

6.5.1文档准备

编号

检测项

有/无

对应文档名称

1

机房管理制度

2

机房进出登记表

3

介质的管理制度（存放、维修、销毁）

4

设备管理制度

5

人员管理制度（录用、转岗、考核、安全培训、岗位职责）

6

安全事件处理制度

7

应急预案

8

变更管理制度

9

设备监控记录单

6.6业务连续性测试

6.6.1文档准备

编号

检测项

有/无

对应文档名称

1

业务中断影响分析

2

业务连续性管理制度

3

备份数据范围和备份频率清单

4

备份记录和定期恢复测试记录

5

业务连续性培训记录

7文档测试

提供下列文档，要求：

完善文档密级管理，进行分类，在封面注明机密、秘密、内部、公开等；注明分发范围；确保文档的完整性、可操作性、文字描述的准确性、一致性。

编号

检测项

有/无

对应文档名称

1

网络支付系统用户手册

2

网络支付系统操作手册

3

网络支付系统需求说明书

4

网络支付系统需求分析文档

5

网络支付系统总体设计方案

6

网络支付系统数据库设计文档

7

网络支付系统概要设计文档

8

网络支付系统详细设计文档

9

网络支付系统工程实施方案

10

网络支付系统功能测试报告

11

网络支付系统运维手册

12

网络支付系统应急手册

13

网络支付系统运维管理制度

14

网络支付系统安全管理制度

15

网络支付系统安全审计报告

8外包附加测试

8.1文档准备

如果没有外包（开发外包、运维外包等），则可以不填写下表。

编号

检测项

有/无

对应文档名称

1

外包服务的外包内容

2

安全保密协议

3

外包合同

4

控制和监督策略

5

外包交付流程

8.2策略描述

（1）请描述如何进行风险评估和对外包商资质进行审核。

9配合人员和办公场所

准备内容

状态（完毕/准备中）

准备启动会议（结束会议）会议室，并安放投影仪

邀请公司高层参与启动会议

通知所有测试配合人员参与启动会议

准备可供4-6人工作，进行访谈的办公场所