非金融机构支付服务业务系统检测操作规程

1、非金融机构支付服务业务系统检测操作规程（2011版）中国人民银行2011年3月总 则第一条 为统一非金融机构支付服务业务系统检测的基本指标和方法，统一检测尺度，规范检测流程，保证检测工作的一致性，制订本规程。第二条 本规程适用于获得非金融机构支付服务业务系统检测资格的检测机构在其批准资格范围内开展的检测工作，是检测机构开展检测的规则规范性文档。第三条 本规程依据中国人民银行的非金融机构支付服务业务系统检测规范（以下简称检测规范）编制。第四条 本规程参考现行国家有关的法律、法规、管理标准和有关技术标准编制。第五条 检测过程中除执行本规程外，尚应符合现行国家有关标准、规范的规定。第六条 检测机构及

2、其检测人员应当严格执行有关管理规范和技术标准，遵从本规程，提供客观、公平、公正、有效的检测服务，并承担相应的法律责任。第一节 术语规定第七条 检测机构在检测过程中的检测计划、过程记录、检测报告等文档内的术语及名称要保持一致。第八条 基本术语定义如下：（一）检测机构：获得非金融机构支付服务业务系统检测资格并且严格依据人民银行制定的非金融机构支付服务业务系统检测操作规程开展检测工作的单位；（二）检测人员：隶属于本检测机构的参与检测的人员；（三）检测报告：完成检测后按照人民银行发布的报告模板提交给被检测机构的交付物； （四）测试环境：为开展检测工作，被检测机构按照要求搭建的模拟环境；（五）生产环境：

3、被检测机构的支付服务业务系统的在线运行环境；（六）在线用户数：泛指模拟的活动会话用户数。（七）并发用户数：在同一时刻与服务器进行了交互的在线用户数量。（八）极限测试：系统的最大处理能力的测试过程或者验证过程。第二节 基本规定第九条 检测启动应满足检测规范以及其他相关规定的要求。第十条 检测机构的检测流程包括但不限于：前期准备、现场检测、综合分析、出具报告等部分。其中，现场检测包括但不限于：启动会议、末次会议、中间问题沟通及最终问题确认环节。第十一条 在准备阶段，检测机构应向被检测机构提供非金融机构支付服务业务系统检测准备清单，要求被检测机构填写非金融机构支付服务业务系统情况调查表，并且要求其逐

4、页签字确认并反馈，同时检测机构要与被检测机构共同制定非金融机构支付服务业务系统检测计划，并且双方签字确认。第十二条 检测机构对现场检测中检测出的问题进行分析汇总，向被检测机构出具非金融机构支付服务业务系统检测问题确认单，并且双方逐页签字确认；被检测机构要声明外包情况，并盖章后反馈给检测机构。第十三条 问题确认后，经过检测机构和被检测机构协商，被检测机构可以就某些或者全部问题进行整改，并出具非金融机构支付服务业务系统检测整改报告，整改后检测机构要进行回归测试。第十四条 现场检测过程中要保证测试环境、系统版本稳定，一旦进入现场检测阶段，不允许再修改。第十五条 被检测机构的涉密文档、核心配置等材料，

5、检测机构要在被检测机构的制度约定下，协商查看方式、地点等。第三节 功能测试第十六条 功能测试的对象是非金融机构支付服务业务系统情况调查表中声明的系统，系统根据支付业务类型，分为网络互联网支付类、预付卡的发行与受理类、银行卡收单类、移动支付类等。第十七条 功能测试的目的是在测试环境下，从适合性和准确性两方面考虑，测试检测规范中规定的业务功能处理及相关要求。第十八条 检测人员应在检测报告中声明检测规范中规定的业务功能点所对应的系统位置。第十九条 被检测机构应声明支持的浏览器及其版本，以及其他必需共存软件的版本情况，检测人员应根据声明采取随机抽样的方式确定测试环境中浏览器的版本或共存软件的版本，被检

6、测机构按照确定的版本搭建客户端的模拟环境，检测人员应在检测报告中声明使用的浏览器或必要共存软件的版本。第二十条 检测人员应采用黑盒测试方法。适合性方面建议采用功能分解的方法，将每一个功能加以分解，确保各个功能被全面地检测；准确性方面建议采用如等价类划分、边界值分析、猜错法、因果图等方法，确保功能测试的充分性。第二十一条 检测人员检测时应获取测试数据，包括获取现有的测试数据或生成新的数据，并按照要求验证所有数据。第四节 风险监控测试第二十二条 非金融机构风险监控测试是针对非金融机构支付服务业务系统风险监控能力的测试，检测机构须遵照检测规范中风险监控测试部分包含的检测项进行测试，并给出相应的评价。

7、第二十三条 检测人员应按检测规范的检测内容进行逐项检测，检测方法包括但不限于：(一) 检测非金融机构在相关风险管理制度中是否完整、明确地描述账户风险事件类型和相应的风险控制措施；(二) 通过行为记录、日志检查、账户资金变更跟踪等手段进行风险分析；(三) 检测对账户的人工操作是否保证处理过程中的职责分离。(四) 检测非金融机构在相关风险管理制度中是否明确定义各类交易监控和交易审核规则;(五) 通过实际交易或查看交易监控与交易审核规则,以及相关记录验证交易监控与交易审核的实时性；(六) 通过报表查询测试交易记录的正确性；(七) 通过检测交易监控系统对风险交易和异常交易的识别，检测其对异常事件的预警

8、能力。(八) 检测风险管理体系中是否支持人工对规则进行维护。第五节 性能测试第二十四条 性能测试主要目的是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求。其测试内容包括以下3个方面：一是系统的并发能力验证；二是验证在规定的硬件环境条件和给定的业务压力下，考核系统是否满足性能需求和压力解除后系统自恢复能力；三是系统性能极限验证。第二十五条 检测人员应按照非金融机构支付服务业务系统情况调查表中声明的需求，确定在规定环境下的在线用户数、并发用户数、场景压力分配比例、吞吐量、大数据量、系统自恢复时间等指标，并在检测报告中声明。第二十六条 检测人员应在测试开始前检查测试环境，主要包

9、括：基础数据是否到位、测试用账户和数据是否准备完毕等，并在检测报告中声明测试环境、测试工具、基础数据量等信息。第二十七条 在系统的并发能力验证方面，检测人员应采用并发测试策略，记录响应时间、并发用户数、系统资源利用情况（CPU、内存等），并发测试业务点按照以下要求选择：（一） 网络互联网支付类支付系统应选择支付业务点；（二） 银行卡收单类支付系统应选择消费业务点；（三） 预付卡类支付系统应选择联机消费业务点；（四） 移动支付类支付系统应选择支付业务点。第二十八条 在压力解除后系统自恢复能力验证方面，检测人员应采用吞吐量测试策略，记录平均响应时间、吞吐量、在线用户数、系统恢复时间及系统资源利用情

10、况（CPU、内存等）。在线用户数的分配比例参照场景压力分配比例，吞吐量的测试典型场景选择按照检测规范性能部分要求的业务测试点进行选择，其中必测项必须包含在典型场景内。第二十九条 在系统性能极限验证方面，检测人员应采用极限测试策略，记录响应时间、并发用户数、系统资源利用情况（CPU、内存等）。在执行极限测试时，当被测并发用户数落入并发用户数的1.5-3倍区间内，可以停止测试，当前被测并发用户数可以视作极限并发用户数。极限测试业务点按照以下要求选择：（一） 网络互联网支付类支付系统应选择支付业务点；（二） 银行卡收单类支付系统应选择消费业务点；（三） 预付卡类支付系统应选择联机消费业务点；（四）

11、移动支付类支付系统应选择支付业务点。第六节 安全性测试第三十条 安全性测试的内容包括网络安全性测试、主机安全性测试、应用安全性测试、数据安全性测试、运维安全性测试和业务连续性测试。第三十一条 网络安全性测试应根据检测规范，按结构安全、网络访问控制、网络安全审计、边界完整性检查、网络入侵检测、恶意代码防范、网络设备防护、网络安全管理、网络相关人员安全管理等逐项检测，并结合对现场人员的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对网络设备的安全配置策略的检测、对相关文档的审核、用相应工具设备、或安全设备的核查对网络设备进行扫描等。第三十二条 结构安全测试应根据网

12、络拓扑图，在现场检测网络安全路由器和防火墙的相应配置及网络冗余和备份情况，并对相应的各项评价内容给出评价。检测方法包括但不限于：对网络设备的安全配置策略的检测、对相关文档的审核。第三十三条 网络访问控制测试应在现场环境下针对访问控制，、流量控制和会话控制等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对网络设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对网络设备进行扫描等。第三十四条 网络安全审计测试应在现场环境下针对日志信息和审计工具等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测

13、方法包括但不限于：对网络设备的安全配置策略的检测、故障知识库的检查、对日志访问权限和保存的检查、对相关文档的审核等。第三十五条 边界完整性测试应在现场环境下针对内外网非法连接阻断和定位进行检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对网络设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对网络设备进行扫描等。第三十六条 网络入侵防范测试应在现场环境下针对安全设备配置、信息窃取、入侵攻击等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对网络设备的安全配置策略的检测、对相关文档的

14、审核、用相应工具设备对网络设备进行扫描等。第三十七条 网络安全中的恶意代码防范测试应在现场环境下针对防护软件的部署、补丁与漏洞的更新等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对网络设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对网络设备进行扫描、检查防恶意代码产品（硬件、软件、或通过其他安全设备实现）的策略配置、漏洞更新情况等。第三十八条 网络设备防护测试应在现场环境下针对设备登录限制、权限限制等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对网络设备的安全

15、配置策略的检测、对相关文档的审核、用相应工具设备对网络设备进行扫描、对安全设备的配置检查，检查部署何种安全设备或在安全设备上开启何种策略来抵抗DOS/DDOS攻击等。第三十九条 网络安全管理测试应在现场环境下针对参数设置、漏洞扫描和传输加密等进行逐项检测。结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：在现场环境下针对网络安全管理制度、参数设置、漏洞扫描和传输加密等进行逐项检测。结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价等。第四十条 网络相关人员安全管理测试应在现场环境下针对人员配备、责任划分、人员管理等进行逐项检测，并结合现场

16、的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关文档的查看、检查防恶意代码产品（硬件、软件、或通过其他安全设备实现）的策略配置、漏洞更新情况等。第四十一条 主机安全性测试应根据检测规范的内容，按身份鉴别、访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制、主机安全管理等逐项检测，并结合对现场人员的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对主机设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对主机设备进行扫描、检查设备采用哪两种身份鉴别机制、对配置文件的离线备份的检查等。第四十二条

17、 主机安全的身份鉴别测试应在现场环境下针对登录策略、管理员设置、口令安全性等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对主机安全配置、相关文档的查看等。第四十三条 主机安全的访问控制测试应在现场环境下针对主机信任关系、访问控制范围等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对主机设备的安全配置策略的检测、对相关文档的审核等。第四十四条 主机安全的安全审计测试应在现场环境下针对日志信息、日志保护、日志权限等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各

18、项评价内容给出评价。检测方法包括但不限于：对主机设备的安全配置策略的检测、对相关文档的审核等。第四十五条 系统保护测试应在现场环境下针对系统备份、主机加固、安全配置等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对主机设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对主机设备进行扫描、对系统备份策略、备份数据如何保存、遇到问题如何恢复等检查等。第四十六条 主机安全的剩余信息保护测试应在现场环境下针对过期信息、过期文档等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对

19、主机设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对主机设备进行扫描等。第四十七条 入侵防范测试应在现场环境下针对入侵防范记录、关闭服务、最小安装原则等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对主机设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对主机设备进行扫描、对审计安全配置、审计日志保存空间的权限分配等策略的检查等。第四十八条 主机安全中的恶意代码防范测试应在现场环境下针对防范软件的部署，相关补丁更新、漏洞扫描等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方

20、法包括但不限于：对主机设备上防恶意代码产品的部署情况、病毒库更新和定期扫描策略等进行检查等。第四十九条 主机安全的资源控制测试应在现场环境下针对连接控制、资源监控、预警等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对主机设备的安全配置策略的检测、对相关文档的审核、用相应工具设备对主机设备进行扫描、对资源监控软件的配置检查等。第五十条 主机安全管理测试应在现场环境下针对参数设置、漏洞扫描、系统补丁、操作日志等进行逐项检测，并结合现场的抽查记录，进行统计分析，对相应表格的各项评价内容给出评价、检查是否有部署主机完整性检测程序。检测方法包

21、括但不限于：对管理员是否使用漏洞扫描设备对主机设备进行定期扫描等进行检查等。第五十一条 主机相关人员安全管理测试应在现场环境下针对人员配备、责任划分、人员管理等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核、对主机操作系统上用户权限划分的检查、相关文档的审核等。第五十二条 应用安全性测试应根据检测规范的内容，按身份鉴别、WEB页面安全、访问控制、安全审计、剩余信息保护、资源控制、应用容错、报文完整性、报文保密性、抗抵赖、编码安全、电子认证应用等逐项检测，并结合对现场人员的抽查记录，进行统计分析，按规定对相应表格的各项评价

22、内容给出评价，其它未提及的项目可以参照执行。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描等。第五十三条 应用安全的身份鉴别测试应在现场环境下针对登录策略、管理员设置、口令安全性等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核、对登录口令的复杂度要求、登录失败处理参数进行检查等。第五十四条 WEB页面安全测试应在现场环境下针对页面安全、网站安全状况等进行逐项检测， 并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透

23、性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描、对中间件（如IIS、Weblogic、Apache等）的安全配置的检查和漏洞扫描等。第五十五条 应用安全的访问控制测试应在现场环境下针对关键数据存放、访问权限设置等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描、对数据存放位置的权限的检查等。第五十六条 应用安全的安全审计测试应在现场环境下针对日志信息、日志保护、日志权限等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价

24、。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描、对应用系统审计日志及日志访问权限的检查等。第五十七条 应用安全的剩余信息保护测试应在现场环境下针对过期信息、过期文档等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描、从历史记录直接进入系统的检测等。第五十八条 应用安全的资源控制测试应在现场环境下针对资源的分配和预警等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但

25、不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描、对应用用户并发、应用系统的资源利用情况等的监测和报警措施检查（如是否限制了单个用户对资源的使用限制）等。第五十九条 应用容错测试应在现场环境下针对数据有效性、相应容错机制等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、对程序出现问题后的故障恢复措施进行检测等。第六十条 报文完整性测试应在现场环境下针对通信报文有效性、通信完整性说明等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价

26、。检测方法包括但不限于：对相关应用的渗透性测试、用相应工具设备对服务器设备进行扫描、对通信报文和会话进行抓包分析，分析报文是否采用校验或密码技术保证完整性等。第六十一条 报文保密性测试应在现场环境下针对报文或会话加密、通信异常处理等进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、用相应工具设备对服务器设备进行扫描、对通信报文和会话进行抓包分析，分析报文是否采用校验或密码技术保证保密性等。第六十二条 抗抵赖测试应在现场环境下针对原发和接受证据进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出

27、评价。检测方法包括但不限于：对被测系统是否提供原发和抗抵赖功能进行检测，检测系统如何给出原发或接收证据等。第六十三条 编码安全测试应在现场环境下针对代码管理进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：采用白盒测试方法，使用源代码检测工具进行源代码安全分析或检查是否能够提供原代码安全分析报告、检查系统使用方的源代码安全使用和管理制度，并检查制度落实情况等。第六十四条 电子认证应用测试应在现场环境下针对电子认证应用情况进行逐项检测，并结合现场的抽查记录进行统计分析，对相应表格的各项评价内容给出评价。检测方法包括但不限于：对使用的认证技术和

28、证书进行检查，检查服务器证书保护措施等。第六十五条 数据安全性测试应根据检测规范的内容，按数据保护、数据完整性、交易数据、客户数据的安全性等逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描等。第六十六条 数据保护测试应在现场环境下针对相关信息保护处理进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、对客户身份基本信息、支付业务信息保存年限是否符合要求进行检查等。第六十七条 数据完整性测试应在现场环境下针对重要数据备份与更改处理等进行逐项检测，并

29、对相应的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描等。第六十八条 交易数据以及客户数据的安全性测试应在现场环境下针对相关数据处理的物理安全、加密安全、灾难备份等进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关应用的渗透性测试、对相关文档的审核、用相应工具设备对服务器设备进行扫描等。第六十九条 运维安全性测试应根据检测规范的内容，按环境管理、介质管理、设备管理、人员管理、监控管理、变更管理、安全事件处置、应急预案管理等逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的

30、审核等。第七十条 环境管理测试应在现场环境下针对相关机房进出安全管理文档进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七十一条 介质管理测试应在现场环境下针对相关介质存放、使用、维修、销毁记录文档进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七十二条 设备管理测试应在现场环境下针对相关设备管理使用、操作规程、日志文档等进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七十三条 人员管理测试应在现场环境下针对相关人员录用、考核、培训、职责等进行逐项检测，并对相应的各项评

31、价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七十四条 监控管理测试应在现场环境下针对核心设备的资源指标监控情况进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核、对使用的监控手段和设备进行核查等。第七十五条 变更管理测试应在现场环境下针对相应重要变更所产生的文档等进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七十六条 安全事件处置测试应在现场环境下针对出现安全事件所产生的文档等进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七十七条 应急预案管理测试应在现场环

32、境下针对相关人员应急预案培训、制定不同事件应急预案文档等进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七十八条 业务连续性测试应根据检测规范的内容，按业务连续性需求分析、业务连续性技术环境、业务连续性管理、备份与恢复管理、日常维护等逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对备份设备查看及相关文档的审核等。第七十九条 业务连续性需求分析测试应在现场环境下针对业务中断影响分析、灾难恢复目标等管理文档进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第八十条 业务连续性技术环境测试应在现场环境下

33、针对设备和数据备份、存储介质等进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关设备的检测、对相关文档的审核等。第八十一条 业务连续性管理测试应应在现场环境下针对业务连续性管理的制度、流程、预案等管理文档进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核、对备份链路、备份数据等的查看等。第八十二条 备份与恢复管理测试应在现场环境下针对备份与恢复的范围、手册、记录等文档进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第八十三条 日常维护测试应在现场环境下针对业务连续性的定期演练、培训等管理文档和记录进行逐项检测，并对相应的各项评价内容给出评价。检测方法包括但不限于：对相关文档的审核等。第七节 文档测试第八十四条 文档测试是针对被检测机构文档