非金融机构支付服务业务系统检测认证管理规定
中国人民银行
非金融机构支付服务业务系统检测认证管理规定
公告〔2011〕第14号
为做好《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)实施工作,保障非金融机构支付服务业务系统检测认证工作规范有序开展,中国人民银行制定了《非金融机构支付服务业务系统检测认证管理规定》,现公布实施。
中国人民银行
二〇一一年六月十六日
非金融机构支付服务业务系统检测认证管理规定
第一章 总 则
第一条 为加强非金融机构支付服务业务的信息安全管理与技术风险防范,保证其系统检测认证的客观性、及时性、全面性和有效性,依据《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)、《非金融机构支付服务管理办法实施细则》(中国人民银行公告〔2010〕第17号公布)制定本规定。
第二条 非金融机构支付服务业务系统检测认证,是指对申请《支付业务许可证》的非金融机构(以下统称非金融机构)或《非金融机构支付服务管理办法》所指的支付机构(以下统称支付机构),其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。
第三条 非金融机构在申请《支付业务许可证》前6个月内应对其业务系统进行检测认证;支付机构应根据其支付业务发展和安全管理的要求,至少每3年对其业务系统进行一次全面的检测认证。
第四条 本规定所称的检测机构应按照国家有关认证认可的规定取得资质认定,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统检测授权资格。
第五条 本规定所称的认证机构应经国家认证认可监督管理委员会批准成立,通过中国合格评定国家认可中心的认可,并取得中国人民银行关于非金融机构支付服务业务系统认证授权资格。
第六条 中国人民银行负责检测、认证资格的认定和管理工作,并定期向社会公布通过检测、认证资格认定的机构名单及其业务范围。
第七条 非金融机构或支付机构在检测认证过程中应与检测机构和认证机构建立信息保密工作机制。
第八条 支付机构不得连续两次将业务系统检测委托给同一家检测机构。
第二章 检 测
第九条 非金融机构或支付机构在实施业务系统检测前,应作如下准备:
(一)与检测机构签订书面合同,合同应明确规定保密条款;
(二)与检测机构就检测的范围、内容、进度等事项进行沟通,制定详细的检测计划,并签字确认;
(三)向检测机构提交所申请检测认证的业务系统与生产系统的一致性声明。
第十条 检测应严格遵守中国人民银行制定的技术标准和检测规范,真实反映非金融机构或支付机构业务系统技术标准符合性和安全性状况,保证非金融机构或支付机构业务系统符合国家信息系统安全等级保护第三级的基本要求。
第十一条 业务系统检测应包括但不限于:
(一)功能测试。
验证业务系统的功能是否正确实现,测试其业务处理的准确性。
(二)风险监控测试。
评估业务系统的风险监控、预警和管理措施,测试其业务系统异常交易、大额交易、非法卡号交易、密码错误交易等风险的监测和防范能力。
(三)性能测试。
验证业务系统是否满足业务需求的多用户并发操作,是否满足业务性能需求,评估压力解除后的自恢复能力,测试系统性能极限。
(四)安全性测试。
评估业务系统在网络安全、主机安全、应用安全、数据安全、运行维护安全、电子认证安全、业务连续性等方面的能力及管理措施,评价其业务系统的安全防控和安全管理水平。
(五)文档审核。
验证业务系统的用户文档、开发文档、管理文档等是否完整、有效、一致,是否符合相关标准并遵从更新控制和配置管理的要求。
第十二条 检测机构应于检测完成后10个工作日内向非金融机构或支付机构提交正式的检测报告(一式四份)。
第十三条 检测报告应包括以下内容:
(一)支付服务业务系统名称、版本;
(二)检测的时间、范围;
(三)检测设备、工具及环境说明;
(四)检测机构名称、检测人员说明;
(五)检测内容与检测具体结果描述;
(六)检测过程中发现的问题及整改情况;
(七)检测结果及建议;
(八)申请检测认证的业务系统与生产系统的一致性声明;
(九)其他需要说明的问题。
第十四条 非金融机构或支付机构在收到检测机构出具的检测报告后,应及时将检测报告及相关材料提交认证机构,并申请认证。
第三章 认 证
第十五条 非金融机构或支付机构在实施支付服务业务系统认证前,应与认证机构签订书面合同,合同应明确规定保密条款。
第十六条 认证应秉承客观、公正、科学的原则,按照国家有关认证认可法律法规及中国人民银行关于非金融机构支付服务业务系统的技术标准和认证要求实施。
第十七条 认证机构应及时处理认证申请,并在正式受理申请后的20个工作日内向非金融机构或支付机构通告认证结果,对合格机构出具认证证书。
第四章 监督与管理
第十八条 支付机构正式开办支付业务后,有下列情况之一的,应及时进行检测:
(一)出现重大安全事故;
(二)业务系统应用架构变更、重要版本变更;
(三)生产中心机房场地迁移;
(四)其他中国人民银行要求的情况。
第十九条 检测认证程序、方法不符合国家检测认证相关规定和中国人民银行相关要求,或检测认证结果严重失真的,中国人民银行及其分支机构可以要求重新进行检测或认证,因此而产生的费用由违反规定的检测机构、认证机构承担。
第二十条 检测机构或认证机构未按照中国人民银行制定的检测认证规范和相关要求进行检测认证活动,或未严格坚持科学、公正的原则进行检测认证工作并造成不良后果的,中国人民银行视其情节轻重给予以下处罚:
(一)通报批评;
(二)责令限期改正,整改期间暂停相关检测认证工作;
(三)整改不力的,取消其从事非金融机构支付服务业务系统检测或认证资格,并报国家认证认可监督管理部门备案。
第五章 附 则
第二十一条 本规定由中国人民银行负责解释。
第二十二条 本规定自发布之日起施行。
中共中央关于印发《党政领导干部选拔任用工作条例》的通知
中共中央
中共中央关于印发《党政领导干部选拔任用工作条例》的通知
各省、自治区、直辖市党委,各大军区党委,中央各部委,国家机关各部委党组(党委),军委各总部、各军兵种党委,各人民团体党组:
现将《党政领导干部选拔任用工作条例》(以下简称《干部任用条例》)印发给你们,请结合本地区、本部门的实际,认真遵照执行。
1995年颁布的《党政领导干部选拔任用工作暂行条例》,在规范干部选拔任用工作,防止和纠正用人上的不正之风,建设高素质党政领导干部队伍等方面发挥了重要作用。在《党政领导干部选拔任用工作暂行条例》的基础上修订的《干部任用条例》,体现了“三个代表”重要思想,贯彻了中央对干部选拔任用工作的新要求,吸收了干部人事制度改革的新成果,是我们党关于党政领导干部选拔任用工作必须遵循的基本规章,也是从源头上预防和治理用人上不正之风的有力武器。《干部任用条例》的颁布和实施,对于建立健全科学的干部选拔任用机制和监督管理机制,推进干部工作的科学化、民主化、制度化,对于形成朝气蓬勃、奋发有为的领导集体,保证党的基本路线的贯彻执行,保证党的事业的兴旺发达和国家的长治久安,具有十分重大的意义。
各级党委(党组)及其组织(人事)部门一定要坚决贯彻执行党的干部路线方针政策,认真学习《干部任用条例》,大力宣传《干部任用条例》,严格遵守《干部任用条例》。选拔任用干部必须按照《干部任用条例》的规定办事,严格把关。对本级管理的干部任用,不符合《干部任用条例》规定的不上会;对上级管理的干部任用,不符合《干部任用条例》规定的不上报;对下级报来的干部任用,不符合《干部任用条例》规定的不审批。要加强思想教育,做好思想政治工作,以坚强的党性、良好的作风保证《干部任用条例》的贯彻执行。各级党政主要领导同志要增强政治观念、组织观念、法纪观念,带头严格执行《干部任用条例》,按照民主集中制原则办事,不允许个人说了算。组织(人事)部门要切实加强自身建设,充分发挥职能作用,坚持照章办事,严格履行程序。要自觉抵制来自各方面不正之风的干扰,做到坚持原则不动摇,执行标准不走样,履行程序不变通,遵守纪律不放松。
要切实加强对《干部任用条例》贯彻执行情况的监督检查,加大对违反《干部任用条例》行为的查处力度。要把党委(党组)和领导干部执行《干部任用条例》的情况作为领导班子民主生活会的重要内容,认真检查,发现问题,及时纠正。要认真落实群众对干部选拔任用工作的知情权、参与权、选择权和监督权,建立健全干部选拔任用工作的民主监督制度。要实行干部选拔任用工作责任追究制度,对用人失察失误造成严重后果的,要追究主要责任人以及其他直接责任人的责任。对违反《干部任用条例》规定的原则、条件、程序和纪律选拔任用干部的,要严肃查处,问题严重的要给予党纪政纪处分。
各级党委(党组)及其组织(人事)部门要结合实际制定具体的贯彻实施意见,不断推进干部选拔任用制度改革,进一步完善选贤任能的科学机制,为优秀人才脱颖而出、健康成长、施展才干创造条件。
各地区、各部门在执行《干部任用条例》中有何问题和建议,请及时报告。
中共中央
2002年7月9日