銀行電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理辦法

1、頁眉.XXXXXX 銀行電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理辦法第一章總則第一條 為加強(qiáng) XXXXXX 銀行 (以下簡稱我行 )電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理，保障客戶及我行的合法權(quán)益， 促進(jìn)電子銀行業(yè)務(wù)的健康有序發(fā)展，根據(jù)中華人民共和國電子簽名法 、電子銀行業(yè)務(wù)管理辦法、電子銀行安全評估指引 、電子支付指引（第一號） 、商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引等信息安全的有關(guān)法律法規(guī)，制定本辦法。第二條 電子銀行風(fēng)險(xiǎn)管理的目標(biāo)是通過建立有效的機(jī)制， 實(shí)現(xiàn)對電子銀行風(fēng)險(xiǎn)的識別、計(jì)量、監(jiān)測和控制，促進(jìn)電子銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。第三條 電子銀行風(fēng)險(xiǎn)管理的內(nèi)容包括業(yè)

2、務(wù)風(fēng)險(xiǎn)管理和信息安全風(fēng)險(xiǎn)管理。電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)主要體現(xiàn)為：操作風(fēng)險(xiǎn)、信息科技風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)以及信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)等。電子銀行業(yè)務(wù)信用風(fēng)險(xiǎn)、 市場風(fēng)險(xiǎn)的管理應(yīng)遵守我行現(xiàn)行各項(xiàng)風(fēng)險(xiǎn)管理制度。本辦法重點(diǎn)規(guī)范操作風(fēng)險(xiǎn)、信息科技風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)的管理。第四條我行實(shí)行電子銀行年度評估制度，重大事件報(bào)告制度。對重大事件，按事件性質(zhì)和專項(xiàng)制度規(guī)定及時(shí)向監(jiān)管部門報(bào)告。第五條 由內(nèi)控風(fēng)險(xiǎn)管理部對電子銀行系統(tǒng)的運(yùn)行狀況進(jìn)行定期審計(jì)。第六條 本辦法適用于我行各管理部門、 業(yè)務(wù)部門、營業(yè)機(jī)構(gòu)及全體員工。1 / 9頁眉.第二章風(fēng)險(xiǎn)管理的組織機(jī)構(gòu)與職責(zé)第七條 風(fēng)險(xiǎn)管理委員會負(fù)責(zé)制定電子銀行風(fēng)險(xiǎn)

3、管理政策、 監(jiān)控風(fēng)險(xiǎn)管理政策執(zhí)行情況、 制定我行電子銀行風(fēng)險(xiǎn)管理活動目標(biāo)、 審批電子銀行風(fēng)險(xiǎn)管理的重大事項(xiàng)，協(xié)調(diào)內(nèi)控風(fēng)險(xiǎn)管理部、綜合管理部、會計(jì)核算部、電子銀行部、 信息科技部、金電公司托管中心等相關(guān)業(yè)務(wù)管理部門之間的操作風(fēng)險(xiǎn)管理縫隙， 建立涵蓋轄區(qū)范圍電子銀行各項(xiàng)活動的風(fēng)險(xiǎn)管理系統(tǒng)。第八條 電子銀行部是電子銀行業(yè)務(wù)的主管部門，主要職責(zé)有：貫徹落實(shí)電子銀行監(jiān)管的各項(xiàng)規(guī)定與政策； 擬定電子銀行管理、 運(yùn)營的各項(xiàng)規(guī)章制度； 配合市場營銷部門提供客戶服務(wù)， 配合市場營銷部門組織開展電子銀行業(yè)務(wù)的市場調(diào)研、 產(chǎn)品開發(fā)及產(chǎn)品完善工作； 負(fù)責(zé)提出電子銀行業(yè)務(wù)開發(fā)、 更新、升級需求，并組織相關(guān)測試和培訓(xùn)；落

4、實(shí)電子銀行風(fēng)險(xiǎn)管理政策及內(nèi)控要求， 確保電子銀行業(yè)務(wù)運(yùn)行的連續(xù)性和安全性。第九條 電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理納入我行風(fēng)險(xiǎn)管理體系。 風(fēng)險(xiǎn)管理委員會負(fù)責(zé)制訂與完善風(fēng)險(xiǎn)管理制度及實(shí)施細(xì)則， 組織開展電子銀行業(yè)務(wù)自律監(jiān)管、安全評估，有效識別、監(jiān)測、控制和評估電子銀行業(yè)務(wù)風(fēng)險(xiǎn)，及時(shí)向上級部門或監(jiān)管部門報(bào)告風(fēng)險(xiǎn)信息和處理情況。第十條 會計(jì)核算部負(fù)責(zé)制定會計(jì)核算規(guī)章制度， 確保電子銀行業(yè)務(wù)嚴(yán)格按照國家會計(jì)政策和我行相關(guān)制度執(zhí)行， 參與網(wǎng)銀業(yè)務(wù)的需求討論、系統(tǒng)測試與驗(yàn)收工作。第十一條 信息科技部負(fù)責(zé)產(chǎn)品研發(fā)過程中的技術(shù)風(fēng)險(xiǎn)分析、新產(chǎn)品開發(fā)、投產(chǎn)、運(yùn)行維護(hù)和功能完善工作；制定相關(guān)技術(shù)標(biāo)準(zhǔn)并參與電子銀行業(yè)務(wù)的需求討論

5、、 系統(tǒng)測試與驗(yàn)收工作； 電子銀行運(yùn)營設(shè)備和安全控制設(shè)備的正常運(yùn)轉(zhuǎn)；電子銀行數(shù)據(jù)的安全存放和傳遞；風(fēng)險(xiǎn)管理技術(shù)手段的安全保障； 制定相關(guān)技術(shù)標(biāo)準(zhǔn)并參與電子銀行業(yè)務(wù)的需求討論、 系統(tǒng)測試與驗(yàn)收工作； 及時(shí)解決電子銀行系統(tǒng)運(yùn)行中2 / 9頁眉.出現(xiàn)的技術(shù)問題，確保電子銀行系統(tǒng)安全、正常運(yùn)行。第十二條金電公司托管中心是我行電子銀行系統(tǒng)的運(yùn)維部門，金電公司托管中心負(fù)責(zé)制定信息系統(tǒng)運(yùn)維相關(guān)資產(chǎn)管理、 介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、信息系統(tǒng)變更管理、安全事件處理、數(shù)據(jù)備份與恢復(fù)管理、信息系統(tǒng)應(yīng)急預(yù)案、密碼安全、交付管理等相關(guān)規(guī)章制度；負(fù)責(zé)信息系統(tǒng)運(yùn)維

6、環(huán)境網(wǎng)絡(luò)安全管理； 負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境物理機(jī)房安全監(jiān)控管理； 負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境主機(jī)安全管理， 包括但不限于對服務(wù)器操作系統(tǒng)、 數(shù)據(jù)庫等安全進(jìn)行管理； 負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境應(yīng)用安全管理； 負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境數(shù)據(jù)安全管理， 包括但不限對外包服務(wù)所涉及的重要業(yè)務(wù)數(shù)據(jù)、鑒別信息等的安全管理。第十三條內(nèi)控風(fēng)險(xiǎn)管理部負(fù)責(zé)電子銀行系統(tǒng)的檢查審計(jì)工作，開展電子銀行系統(tǒng)運(yùn)行的審計(jì)，查找并督促消除業(yè)務(wù)風(fēng)險(xiǎn)和管理隱患，查處違反電子銀行系統(tǒng)內(nèi)部控制制度的事件。第十四條 綜合業(yè)務(wù)部負(fù)責(zé)電子銀行安全措施的檢查、協(xié)助公安司法部門對違法行為的調(diào)查、偵破。第十五條 綜合管理部、會計(jì)核算部分別負(fù)責(zé)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理所涉

7、及的法律事務(wù)和反洗錢工作。第十六條 營業(yè)部及各支行應(yīng)指定專人負(fù)責(zé)電子銀行業(yè)務(wù)管理工作，向客戶推介電子銀行業(yè)務(wù)， 按照我行制定的規(guī)章制度受理和辦理電子銀行業(yè)務(wù)、做好電子銀行業(yè)務(wù)營銷、 售后服務(wù)和意見反饋工作。第三章操作風(fēng)險(xiǎn)管理第十七條 操作風(fēng)險(xiǎn)是指我行員工或客戶沒有按照相關(guān)規(guī)定或手冊操作而造成我行收益或資本的風(fēng)險(xiǎn)。第十八條對于員工操作風(fēng)險(xiǎn)控制的基本要求：（一）有效隔離應(yīng)用系統(tǒng)、驗(yàn)證系統(tǒng)、處理系統(tǒng)和數(shù)據(jù)庫等各系3 / 9頁眉.統(tǒng)間的風(fēng)險(xiǎn)傳遞；（二）確保任何單個(gè)員工和外部服務(wù)供應(yīng)商都無法獨(dú)立完成一項(xiàng)交易；（三）加強(qiáng)員工思想道德教育，強(qiáng)化操作人員密碼管理，實(shí)行分級授權(quán)管理 ;（四）實(shí)行電子銀行關(guān)鍵崗位

8、工作人員 AB 角制，崗位第一責(zé)任人不在崗位時(shí)， 應(yīng)指定相應(yīng)工作人員代其行使相關(guān)事權(quán)， 確保工作不間斷、不拖延。（五）電子銀行業(yè)務(wù)操作人員必須熟悉電子銀行的業(yè)務(wù)操作流程，必須參加電子銀行業(yè)務(wù)培訓(xùn)方能辦理業(yè)務(wù)， 電子銀行部定期組織培訓(xùn)和考核。第十九條對于客戶操作風(fēng)險(xiǎn)控制的基本要求：（一）詳細(xì)說明并提供演示流程， 清晰告知客戶電子銀行操作要領(lǐng)；（二）通過客戶服務(wù)中心、操作指南、柜員指導(dǎo)等多渠道提供幫助，并及時(shí)進(jìn)行風(fēng)險(xiǎn)提示；（三）通過登陸保護(hù)、 密碼強(qiáng)度以及各類防范技術(shù)盡可能減少客戶發(fā)生風(fēng)險(xiǎn)損失的概率 ;（四）客戶重要信息（如姓名、身份證號碼等）變更必須由本人持有效證件前往營業(yè)網(wǎng)點(diǎn)辦理 ;（五）對客

9、戶對外支付額度進(jìn)行限制， 支付限額如有調(diào)整必須提前十日向客戶公布。第四章信息科技風(fēng)險(xiǎn)管理第二十條信息科技風(fēng)險(xiǎn)是指信息科技在電子銀行系統(tǒng)運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷導(dǎo)致的我行收益或資本的風(fēng)險(xiǎn)。4 / 9頁眉.第二十一條嚴(yán)密防范并及時(shí)填堵系統(tǒng)后門，以防止黑客通過后門進(jìn)入系統(tǒng)進(jìn)行破壞和竊密。第二十二條嚴(yán)格進(jìn)行網(wǎng)絡(luò)邏輯分段，形成IP 子網(wǎng)，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的隔離，在路由器上實(shí)施數(shù)據(jù)包過濾，并且利用防火墻來實(shí)現(xiàn)基于 IP 地址的內(nèi)外訪問控制。第二十三條建立實(shí)時(shí)病毒防范功能， 以防止系統(tǒng)錯(cuò)誤、 數(shù)據(jù)混亂、服務(wù)失敗等給業(yè)務(wù)系統(tǒng)和管理系統(tǒng)帶來損失。第二十四條 建立數(shù)據(jù)存儲備份管理，確保

10、在發(fā)生系統(tǒng)被破壞、應(yīng)用錯(cuò)誤、數(shù)據(jù)丟失時(shí)，通過數(shù)據(jù)存儲管理進(jìn)行及時(shí)恢復(fù)。第二十五條 建立系統(tǒng)安全漏洞掃描機(jī)制，在系統(tǒng)使用過程中動態(tài)地尋找系統(tǒng)漏洞， 幫助完善系統(tǒng)的安全， 并以此防止由于其它的網(wǎng)絡(luò)操作對系統(tǒng)的安全造成威脅。第二十六條 建立外部攻擊偵測機(jī)制， 通過 IDS、IPS 系統(tǒng)，及時(shí)發(fā)現(xiàn)外部攻擊行為，并對攻擊行為進(jìn)行及時(shí)處理，問題嚴(yán)重時(shí)候，啟動應(yīng)急預(yù)案。第二十七條 采用身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整、數(shù)字簽名、防重發(fā)等安全控制機(jī)制，保證客戶使用的安全性。第二十八條 進(jìn)行風(fēng)險(xiǎn)評估， 制定風(fēng)險(xiǎn)評估計(jì)劃， 識別信息資產(chǎn)，評價(jià)信息資產(chǎn)威脅發(fā)生的可能性以及弱點(diǎn)被利用的容易程度， 確定風(fēng)險(xiǎn)等級，

11、找出目標(biāo)與現(xiàn)狀的差距，改進(jìn)信息安全措施。第二十九條 制定安全計(jì)劃，明確實(shí)施方案，確定可接受風(fēng)險(xiǎn)的程度，制定風(fēng)險(xiǎn)緩釋策略，減少、規(guī)避和轉(zhuǎn)移風(fēng)險(xiǎn)；檢查和測試風(fēng)險(xiǎn)緩釋策略和安全計(jì)劃實(shí)施情況。第三十條 保證電子銀行開發(fā)環(huán)境和應(yīng)用環(huán)境的分離，評估和認(rèn)證后續(xù)開發(fā)應(yīng)用的需求和風(fēng)險(xiǎn)。5 / 9頁眉.第五章法律風(fēng)險(xiǎn)管理第三十一條 法律風(fēng)險(xiǎn)是指違反或不遵守法律、法規(guī)、規(guī)章或約定的慣例，或者沒有完善地界定有關(guān)交易各方在法律上的權(quán)利和義務(wù)而造成我行收益或資本的風(fēng)險(xiǎn)。第三十二條 對于資金轉(zhuǎn)移類交易，必須要采用雙重身份認(rèn)證和加密傳輸，并由客戶設(shè)定支付額度，以此防范人民銀行電子支付指引（第一號）提示的電子支付風(fēng)險(xiǎn)。第三十三

12、條 電子銀行業(yè)務(wù)的開通，必須首先與客戶簽訂電子銀行服務(wù)協(xié)議及合同， 明確雙方的權(quán)利與義務(wù)， 并在協(xié)議條款和網(wǎng)站上對電子銀行業(yè)務(wù)有可能造成的風(fēng)險(xiǎn)進(jìn)行公告。第三十四條 對于客戶有意泄露密碼或未履行應(yīng)盡義務(wù)的，我行應(yīng)根據(jù)法律法規(guī)維護(hù)自身合法權(quán)益。第三十五條 加強(qiáng)對與我行系統(tǒng)存在技術(shù)和業(yè)務(wù)連接的第三方機(jī)構(gòu)的管理，通過正式法律協(xié)議明確雙方的糾紛處理、 賠償?shù)认嚓P(guān)法律責(zé)任，向客戶充分披露銀行與第三方機(jī)構(gòu)的業(yè)務(wù)流程和責(zé)權(quán)關(guān)系， 積極防范法律風(fēng)險(xiǎn)。第六章信譽(yù)風(fēng)險(xiǎn)管理第三十六條 信譽(yù)風(fēng)險(xiǎn)是指負(fù)面的公眾輿論對我行收益或資本所造成的風(fēng)險(xiǎn)。第三十七條 在電子系統(tǒng)中，應(yīng)采用先進(jìn)、成熟的技術(shù)，避免因技術(shù)落后給客戶帶來不便

13、，使客戶對我行整體服務(wù)能力產(chǎn)生不信賴。第三十八條 為客戶信息負(fù)責(zé)，防止因系統(tǒng)安全性缺陷嚴(yán)重?fù)p害客戶的隱私權(quán)。第三十九條 制定合適的應(yīng)急計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，使系統(tǒng)具備為客戶提供不間斷服務(wù)的能力。6 / 9頁眉.第四十條 制定危機(jī)公關(guān)預(yù)案，加強(qiáng)與媒體的合作，針對突發(fā)事件和負(fù)面輿論，要認(rèn)真分析、及時(shí)匯報(bào)、積極響應(yīng)、統(tǒng)一口徑，最大限度地消除負(fù)面影響。第七章合規(guī)風(fēng)險(xiǎn)管理第四十一條 合規(guī)風(fēng)險(xiǎn)是指銀行因未能遵循法律法規(guī)、 監(jiān)管要求、規(guī)則、自律性組織制定的有關(guān)準(zhǔn)則、 已及適用于銀行自身業(yè)務(wù)活動的行為準(zhǔn)則，而可能遭受法律制裁或監(jiān)管處罰、 重大財(cái)務(wù)損失或聲譽(yù)損失的風(fēng)險(xiǎn)。第四十二條電子銀行部應(yīng)定期組織培訓(xùn)學(xué)習(xí)，加

14、大頻度，培訓(xùn)中結(jié)合監(jiān)管部門有關(guān)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理文件要求，通過系統(tǒng)學(xué)習(xí)和培訓(xùn)， 在工作中自覺貫徹執(zhí)行， 提高全員信息科技合規(guī)意識。第四十三條建立各網(wǎng)點(diǎn)一線人員聯(lián)席會議制度，及時(shí)對臨柜操作的各項(xiàng)風(fēng)險(xiǎn)點(diǎn)相互交流， 共同研究和解決工作中出現(xiàn)的新問題、新情況。第四十四條建立電子銀行業(yè)務(wù)管理部門、內(nèi)控風(fēng)險(xiǎn)管理部門與業(yè)務(wù)部門的聯(lián)動機(jī)制， 實(shí)現(xiàn)各部門間的防范優(yōu)勢互補(bǔ)和信息共享，形成風(fēng)險(xiǎn)管理的合力。第四十五條 各營業(yè)網(wǎng)點(diǎn)內(nèi)部建立信息科技風(fēng)險(xiǎn)協(xié)調(diào)機(jī)制，明確責(zé)任，定期自查本網(wǎng)點(diǎn)信息科技合規(guī)方面存在的問題， 遇到內(nèi)部不能協(xié)調(diào)解決的問題，及時(shí)上報(bào)。第四十六條 完善信息科技風(fēng)險(xiǎn)內(nèi)控制度， 查漏補(bǔ)缺，調(diào)整優(yōu)化

15、，嚴(yán)格評估信息安全內(nèi)控體系的完整性和實(shí)施的有效性，電子銀行部、內(nèi)控風(fēng)險(xiǎn)管理部應(yīng)適時(shí)組織開展轄內(nèi)機(jī)構(gòu)信息科技合規(guī)風(fēng)險(xiǎn)的現(xiàn)場檢查。7 / 9頁眉.第八章異常交易監(jiān)控第四十七條要求電子銀行系統(tǒng)外包服務(wù)商應(yīng)用專門軟件對電子銀行系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)控和審計(jì)，并逐日形成日志和審計(jì)報(bào)告。按業(yè)務(wù)規(guī)則定期審查監(jiān)控日志和審計(jì)報(bào)告，對于業(yè)務(wù)異常流量和交易進(jìn)行事后監(jiān)督和確認(rèn)。第四十八條 對電子銀行客戶發(fā)生的大額交易、可疑交易按監(jiān)管部門的要求提取、上報(bào)。第四十九條 電子銀行客戶發(fā)生大額交易、異常交易時(shí)，系統(tǒng)應(yīng)提示相關(guān)工作人員及時(shí)聯(lián)系客戶， 由相關(guān)工作人員根據(jù)客戶的回應(yīng)決定是否放行交易。第九章風(fēng)險(xiǎn)的分析與報(bào)告第五十條 電子銀行業(yè)務(wù)的分析與報(bào)告是指對電子銀行業(yè)務(wù)風(fēng)險(xiǎn)定期進(jìn)行分析，總結(jié)經(jīng)驗(yàn)，發(fā)現(xiàn)問題，分析原因，采取措施，并形成業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告。業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告分為年度業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告和重大突發(fā)事件的專題報(bào)告。第五十一條 年度業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告必須在次年月內(nèi)上報(bào)，其主要內(nèi)容包括：本年度業(yè)務(wù)