JR/T 0225—2021ICS 03.060 CCS A 11JR 中 华 人 民 共 和 国 金 融 行 业 标 准 保险移动应用信息安全基本要求 Basic Requirements for Information Security of Insurance Mobile Applications 2021-10-9发布 2021-10-9实施 中国银行保险监督管理委员会 发 布JR/T 0225—2021JR/T 0225—2021 I目 次 前 言 ................................................................................... I 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语和定义 ............................................................................ 1 4 缩略语 ................................................................................ 2 5 安全原则 .............................................................................. 2 6 安全技术要求 .......................................................................... 2 6.1 移动应用客户端安全 ................................................................ 2 6.2 移动应用服务端安全 ................................................................ 5 6.3 业务安全 .......................................................................... 7 7 安全管理要求 .......................................................................... 8 7.1 组织架构 .......................................................................... 8 7.2 安全管理制度 ...................................................................... 8 7.3 生命周期管理 ...................................................................... 9 参考文献 ............................................................................... 11 JR/T 0225—2021 II前 言 本文件按照 GB/T 1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件由全国金融标准化技术委员会保险分技术委员会（ SAC/TC 180/SC1）提出并归口。 本文件起草单位：中国太平洋保险（集团）股份有限公司、中国平安保险（集团）股份有限公司 、 阳光保险集团股份有限公司。 本文件主要起草人 ：李丽红、韩梅、王琼、万强、夏蕊、张军、刘鸣、范华、马宁、蔡嘉勇、张扬、 高亭宇、赵波、申瑞峰、彭同心、王珩强、熊喆。 本文件为首次制定。 JR/T 0225—2021 1保险移动应用信息安全基本要求 1　范围 本文件规定了保险移动应用系统信息安全风险管理中的安全技术、安全管理方面的基本要求。 本文件适用于保险移动应用系统在需求、设计、编码、测试、发布、运行、维护各阶段的安全建 设与管理。 2　规范性引用文件 下列文件的内容通过文中的规范性引用而构成本文件必不可少的条款 。凡是注日期的引用文件 ，仅 注日期的版本适用于本文件 。凡是不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于本文 件。 GB/T 34975-2017 信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法 GB/T 35273-2020 信息安全技术 个人信息安全规范 JR/T 0092-2019 移动金融客户端应用软件安全管理规范 JR/T 0171-2020 个人金融信息保护技术规范 3　术语和定义 下列术语和定义适用于本文件。 3.1　 移动智能终端 Smart Mobile Terminal 指接入公众移动通信网络 、具有操作系统 、可由用户自行安装和卸载应用软件的移动通信终端产品 。 [来源:GB/T 34975-2017,3.1] 3.2　 移动应用软件 Mobile Application Software 指安装或运行在移动智能终端上 ，通过网络链接服务端进行交互操作的应用程序软件 ，包括移动 App、 微信应用、小程序等。 3.3　 个人敏感信息 Personal Sensitive Information 一旦泄露 、非法提供或滥用可能危害人身和财产安全 ，极易导致个人名誉 、身心健康受到损害或歧 视性待遇等的个人信息。 [来源:GB/T 35273-2020,3.2] 3.4　 JR/T 0225—2021 2签名 Signature 签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串 ，这段数字串同时也是对信息 的发送者发送信息真实性的一个有效证明。 3.5　 关键业务 Critical Business 在移动应用系统上进行的 、对保险服务用户有重大影响的业务 ，包括但不限于：投保、给付、变更、 理赔、贷款、转账、银行卡绑定 、积分兑换等操作 ，信息变更如修改姓名 、身份证、地址、手机号、密 码等操作。 4　缩略语 下列缩略语适用于本文件。 APP：客户端应用软件（ Application software ） XSS：跨站脚本漏洞（ Cross Site Scripting ） NFC: 近场通信（ Near Field Communication ） 5　安全原则 5.1　纵深防御原则 在移动应用系统上采取各种安全措施时 ，在整体上应保证各种安全措施的组合从客户端到服务器构 成一个纵深的安全防御体系，以保证移动应用系统整体的安全保护能力。 5.2　重点保护原则 应根据应用领域和业务特点 ，对不同重要程度的移动应用系统实施不同强度的安全保护 ，集中资源 ， 优先保护重要性高的移动应用系统。 5.3　动态调整原则 应根据移动应用系统的运行机制 、运行环境等方面的变化 ，及时调整安全保护措施 ，确保移动应用 系统的安全。 5.4　充分评估原则 应根据本指南及相关政策标准要求 ，做好移动应用系统的安全测试评估工作 ，充分评估移动应用系 统的安全风险，尽早采取应对措施保障移动应用系统的安全。 5.5　个人信息保护原则 APP运营者收集个人信息时 ，要严格履行网络安全法规定的责任义务 ，对获取的个人信息安全负责 ， 采取有效措施加强个人信息保护。应始终遵循公开告知原则、合法收集原则、最小化收集原则。 6　安全技术要求 6.1　移动应用客户端安全 JR/T 0225—2021 36.1.1 安装与卸载 6.1.1.1 安装要求 移动应用软件的安装需得到明确授权，其安装过程只能运行在特定环境中且不能破坏其运行环境 。 具体技术要求如下： a) 程序应包含可有效表征供应者或开发者身份的签名信息、软件属性信息； b) 正确安装到相关移动智能终端上，并提供查询或卸载的途径； c) 安装时所需的终端数据或权限应提示用户并获取授权； d) 不应对移动智能终端操作系统和其他应用软件的正常运行造成影响； e) 移动应用版本更新时 ，应可正常覆盖安装 ，并保留上个版本的数据 。如版本更新后移动智能终 端的资源调用和权限发生变动，应提示用户并获取授权。 6.1.1.2 卸载要求 移动应用软件卸载后，不影响移动智能终端的正常使用。具体技术要求如下： a) 应能删除安装和使用过程中产生的资源文件、配置文件和用户数据； b) 删除用户使用过程中生成的数据时应有提示。 6.1.2 源代码安全 客户端的源代码应保证保密性、完整性。具体技术要求如下： a) 移动应用的源代码应采用混淆（ IOS应用）或加壳（ Android 应用）等措施防止反编译及动态 调试；