附件2 ICS35.240.40 CCSA11JR 中华人民共和国金融行业标准 JR/T0214—2021 金融网络安全网络安全众测实施指南 FinancialcybersecurityGuidelinesofimplementationforcrowdsourced cybersecuritytesting 2021-02-10发布 2021-02-10实施 中国人民银行发布JR/T0214—2021 I目  次 前言.......................................................................................................................................................................II 引言.....................................................................................................................................................................III 1范围......................................................................................................................................................................1 2规范性引用文件..................................................................................................................................................1 3术语和定义..........................................................................................................................................................1 4缩略语..................................................................................................................................................................1 5众测通则..............................................................................................................................................................1 6众测准备..............................................................................................................................................................3 7众测实施..............................................................................................................................................................6 8分析与报告编制..................................................................................................................................................9 附录A（资料性）网络安全众测协议书..........................................................................................................12 附录B（资料性）测试方行为准则参考..........................................................................................................14 附录C（资料性）金融行业漏洞评级参考......................................................................................................15 附录D（资料性）网络安全众测授权委托书..................................................................................................16 参考文献...............................................................................................................................................................17JR/T0214—2021 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国人民银行提出。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国人民银行科技司、中国工商银行股份有限公司、工银科技有限公司、北京中 金安服科技有限公司、中国银行股份有限公司、中国农业银行股份有限公司、中国建设银行股份有限公 司、中国民生银行股份有限公司、兴业银行股份有限公司、恒丰银行股份有限公司、中央国债登记结算 有限责任公司、华泰证券股份有限公司、海通证券股份有限公司、中国平安保险（集团）股份有限公司、 中国太平洋保险（集团）股份有限公司、晋商银行股份有限公司、西安银行股份有限公司、江苏银行股 份有限公司、北京长亭未来科技有限公司、百度时代网络技术（北京）有限公司、北京奇虎科技有限公 司、上海艾芒信息科技有限公司、北京神州绿盟科技有限公司、奇安信科技集团股份有限公司、深信服 科技股份有限公司、亚信科技（成都）有限公司、杭州安恒信息技术股份有限公司、北京启明星辰信息 安全技术有限公司。 本文件主要起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、王涛、敦宏程、苏建明、王贵智、 蒋家堂、王晓、王金希、郭铮铮、秦磊、俞学浩、何启翱、李远祥、刘红波、宋克亚、詹丹丹、李乐天、 翟海超、张爽、江旺、陆颂华、于惊涛、林利钦、张军、周扬、茹华、王楠、王心玉、马男、祁晓丹、 何源源、凌墨缘、张屹、张帆、赵波、高继明、潘立亚、罗伟、俞斌、孙林。JR/T0214—2021 III引  言 本文件是在收集、分析评估金融机构实施网络安全众测流程以及面临的安全风险点的基础上，形 成的一套网络安全众测实施流程指南，内容涉及网络安全众测组织实施架构、网络安全众测实施流程、 网络安全众测实施流程中各参与方的职责。 本文件旨在规范金融机构网络安全众测的实施流程，指导金融机构在安全可控的前提下开展网络 安全众测。 本文件可作为金融机构网络安全众测实施方法的依据。JR/T0214—2021 1金融网络安全网络安全众测实施指南 1范围 本文件提供了金融信息系统网络安全众测（以下简称安全众测）工作实施过程的指导，包括安全众 测准备、实施、分析与报告编制。 本文件适用于开展安全众测工作的境内金融机构。 2规范性引用文件 本文件没有规范性引用文件。 3术语和定义 下列术语和定义适用于本文件。 3.1 金融信息系统financialinformationsystem 金融行业相关的应用、服务、信息技术资产或其他信息处理组件。 [来源：GB/T29246—2017，2.39] 3.2 网络安全众测crowdsourcedsecuritytesting 企业授权专业机构，召集多名安全测试人员，为企业提供漏洞发现服务，帮助其发现安全漏洞及安 全隐患，并参照服务质量与效果，支付服务费用。 4缩略语 下列缩略语适用于本文件。 OWASP：开放式Web应用程序安全项目（OpenWebApplicationSecurityProject） SQL：结构化查询语言（StructuredQueryLanguage） 5众测通则 5.1众测作用 在金融信息系统上线前或生产运行过程中，金融信息系统的运营或使用单位、主管或监管单位委托 专业机构，对金融信息系统实施安全众测，发现并解决潜在的安全问题与隐患，并在此基础