非银行支付机构支付业务设施的安全管理

"运维安全性要求-《介绍丛书：分形学》作者: 尼格尔.高尔顿 / 威尔.鲁德 译者: 杨晓晨 出版年: 2014年；非金支付 支付机构 代替2014版 JR/T 0122" 本文讨论的是运维安全性要求，主要关注点在于机房管理和介质管理，以确保非银行支付机构支付业务设施的安全。以下是对这些要点的详细说明： 1. **环境管理**： - **机房基本设施定期维护**：为确保机房正常运行，应有专门的部门或人员负责定期维护供配电、空调和温湿度控制等设施。同时，需要对机房环境进行规范化管理，包括温度、湿度、防火、防盗、供电和线路的整洁等。 - **机房的出入管理制度化和文档化**：制定明确的机房安全管理政策，设立专门的部门负责机房安全，配置安全管理人员，对人员进出、服务器操作等进行管控。 - **办公环境的保密性措施**：强化办公环境的保密性，规定员工离职时必须归还办公区域钥匙，禁止在办公区域内接待非工作人员，离开座位时需确保电脑退出登录并清理桌面敏感信息。 2. **机房安全管理制度**： - 应建立一套全面的机房安全管理制度，包括对机房物理访问的控制、物品进出的管理以及环境安全的规定，以降低未经授权的访问和操作风险。 3. **增强要求**： - 开发、测试和运行环境应分离，防止未授权访问或对运行系统的改动，提高系统安全性。 4. **介质管理**： - **介质的存放环境保护措施**：介质应存储在安全的环境中，实施专人管理，控制并保护各类介质。 - **介质的使用管理文档化**：建立介质安全管理制度，规定介质的存放、使用、维护和销毁流程。 - **介质的维修或销毁**：在送修或销毁介质前，先清除敏感数据，高保密性介质需经审批后方可销毁。 - **介质管理记录**：记录介质的物理传输、归档、查询等信息，定期盘点，确保介质安全。 以上内容出自 JR/T 0122—2018《非银行支付机构支付业务设施技术要求》，该标准替代了2014年的版本，增加了和修订了一系列安全性和风险监控的要求，以适应非银行支付机构的业务发展和监管需求。标准涵盖功能要求、风险监控、性能要求和安全性要求等多个方面，旨在提高支付业务设施的技术安全水平和业务连续性。