非金融机构支付服务业务系统检测操作规程.doc

非金融机构支付服务业务系统检测 操作规程 （2011版） 中国人民银行 2011年3月 总 则 为统一非金融机构支付服务业务系统检测的基本指标和方法，统一检测尺度，规范检测流程，保证检测工作的一致性，制订本规程。 本规程适用于获得非金融机构支付服务业务系统检测资格的检测机构在其批准资格范围内开展的检测工作，是检测机构开展检测的规范性文档。 本规程依据中国人民银行的《非金融机构支付服务业务系统检测规范》（以下简称《检测规范》）编制。 本规程参考现行国家有关的法律、法规、管理标准和有关技术标准编制。 检测过程中除执行本规程外，尚应符合现行国家有关标准、规范的规定。 检测机构及其检测人员应当严格执行有关管理规范和技术标准，遵从本规程，提供客观、公平、公正、有效的检测服务，并承担相应的法律责任。 术语规定 检测机构在检测过程中的检测计划、过程记录、检测报告等文档内的术语及名称要保持一致。 基本术语定义如下： （一）检测机构：获得非金融机构支付服务业务系统检测资格并且严格依据人民银行制定的《非金融机构支付服务业务系统检测操作规程》开展检测工作的单位； （二）检测人员：隶属于本检测机构的参与检测的人员； （三）检测报告：完成检测后按照人民银行发布的报告模板提交给被检测机构的交付物； （四）测试环境：为开展检测工作，被检测机构按照要求搭建的模拟环境； （五）生产环境：被检测机构的支付服务业务系统的在线运行环境； （六）在线用户数：泛指模拟的活动会话用户数。 （七）并发用户数：在同一时刻与服务器进行了交互的在线用户数量基本规定 检测启动应满足《检测规范》以及其他相关规定的要求。 检测机构的检测流程包括但不限于：前期准备、现场检测、综合分析、出具报告等部分。其中，现场检测包括但不限于：启动会议、末次会议、中间问题沟通及最终问题确认环节。 在准备阶段，检测机构应向被检测机构提供《非金融机构支付服务业务系统检测准备清单》，要求被检测机构填写《非金融机构支付服务业务系统情况调查表》，并且要求其逐页签字确认并反馈，同时检测机构要与被检测机构共同制定《非金融机构支付服务业务系统检测计划》，并且双方签字确认。 检测机构对现场检测中检测出的问题进行分析汇总，向被检测机构出具《非金融机构支付服务业务系统检测问题确认单》，并且双方逐页签字确认；被检测机构要声明外包情况，并盖章后反馈给检测机构。 问题确认后，经过检测机构和被检测机构协商，被检测机构可以就某些或者全部问题进行整改，并出具《非金融机构支付服务业务系统检测整改报告》，整改后检测机构要进行回归测试。 现场检测过程中要保证测试环境、系统版本稳定，一旦进入现场检测阶段，不允许再修改。 被检测机构的涉密文档、核心配置等材料，检测机构要在被检测机构的制度约定下，协商查看方式、地点等。 功能测试 功能测试的对象是《非金融机构支付服务业务系统情况调查表》中声明的系统，系统根据支付业务，互联网支付类、 功能测试的目的是在测试环境下，从适合性和准确性两方面考虑，测试《检测规范》中规定的业务功能处理及相关要求。 检测人员应在检测报告中声明《检测规范》中规定的业务功能点所对应的系统位置。 被检测机构应声明支持的浏览器及其版本，以及其他必需共存软件的版本情况，检测人员应根据声明采取随机抽样的方式确定测试环境中浏览器的版本或共存软件的版本，被检测机构按照确定的版本搭建客户端的模拟环境，检测人员应在检测报告中声明使用的浏览器或必要共存软件的版本。 检测人员应采用黑盒测试方法。适合性方面建议采用功能分解的方法，将每一个功能加以分解，确保各个功能被全面地检测；准确性方面建议采用如等价类划分、边界值分析、猜错法、因果图等方法，确保功能测试的充分性。 检测人员检测时应获取测试数据，包括获取现有的测试数据生成新的数据，并按照要求验证所有数据风险监控测试 风险监控测试是针对支付服务业务系统性能测试 性能测试主要目的是在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求。其测试内容包括以下3个方面：一是系统的并发能力验证；二是在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是系统性能极限验证。 检测人员应按照《非金融机构支付服务业务系统情况调查表》中声明的需求，确定在规定环境下的在线用户数、并发用户数、场景压力分配比例、吞吐量、大数据量、系统自恢复时间等指标，并在检测报告中声明。 检测人员应在测试开始前检查测试环境，主要包括：基础数据是否到位、测试用账户和数据是否准备完毕等，并在检测报告中声明测试环境、测试工具、基础数据量等信息。 在系统的并发能力验证方面，检测人员应采用并发测试策略，记录响应时间、并发用户数、系统资源利用情况（CPU、内存等），