ICS 35.240.40A 11SZDB/Z深 圳 市标 准 化 指 导性 技 术 文 件SZDB/Z 204—2016 金融服务移动应用信息安全指南 Information Security Guide for Mobile Application of Financial Services 2016-11-04发布 2016-12-01实施深圳市市场监督管理局 发 布 SZDB/Z 204—2016目次前言............................................................................II1 范围............................................................................12 规范性引用文件.................................................................. 13 术语和定义...................................................................... 14 基本原则........................................................................ 25 安全管理要求.................................................................... 26 业务安全要求.................................................................... 37 客户端安全要求.................................................................. 48 服务器安全要求.................................................................. 6附录A客户端安全风险评分.......................................................8参考文献.......................................................................... 12ISZDB/Z 204—2016前言本指南按照 GB/T 1.1-2009给出的规则起草本指南适用于金融相关业务组织的金融服务移动应用系统的安全防护金融服务移动应用系统包括但不限于业务组织内部与外部使用的移动应用系统以及其合作的金融服务接口系统本指南由金融服务业标准联盟提出并归口本指南主要起草单位：深圳市金融信息服务协会中国平安保险（集团）股份有限公司深圳海云安网络安全技术有限公司等本指南主要起草人：谢朝海李绅韩梅陈铁勇熊少军聂君熊莹罗振伟金文佳陈镜萍李杰殷春富郑太海张瑞峰陈胜芬占长敬唐秀江邓华威吴国友等本指南为首次制定IISZDB/Z 204—2016金融服务移动应用信息安全指南1范围本指南规定了金融服务移动应用系统信息安全风险管理中的信息安全管理业务安全客户端安全和服务器端安全的基本要求本指南适用于指导深圳市辖区内的金融机构以及其他从事金融相关业务的组织进行金融服务移动应用系统的需求设计编码测试发布运行维护等过程的安全保护2规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅所注日期的版本适用于本文件凡是不注日期的引用文件其最新版本（包括所有的修改单）适用于本文件GB/T 5271.8信息技术 词汇 第8部分：安全GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南GB/T 27910-2011 金融服务 信息安全指南JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求JR/T 0068-2012 网上银行系统信息安全通用规范JR/T 0071-2012 金融行业