電子銀行安全評價指引

1、精選優(yōu)質(zhì)文檔-傾情為你奉上電子銀行安全評估指引（征求意見稿）第一章 總則第一條 為促進電子銀行業(yè)務的健康發(fā)展，保證電子銀行業(yè)務安全性評估的客觀性、及時性、全面性和有效性，依據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國金融機構法等法律法規(guī)和電子銀行業(yè)務管理辦法等監(jiān)管規(guī)章，制定本指引。第二條 電子銀行的安全評估，是指對開展電子銀行業(yè)務的金融機構在電子銀行管理過程中的電子銀行安全策略、內(nèi)控制度、系統(tǒng)安全、客戶保護等方面，進行的安全測試和風險管理能力等的綜合安全考察與評價。第三條 在中華人民共和國境內(nèi)開展電子銀行業(yè)務的金融機構以及利用境內(nèi)的電子銀行系統(tǒng)向境外提供電子銀行服務的金融機構，都應定期對電

2、子銀行安全進行評估。第四條 開展電子銀行業(yè)務的金融機構可以利用外部專業(yè)化的評估機構對電子銀行安全進行評估，也可以利用內(nèi)部獨立于電子銀行業(yè)務運營管理部門的評估部門進行電子銀行安全評估。第五條 金融機構的電子銀行安全評估工作應納入金融機構風險管理的總體框架，由金融機構的風險管理委員會或相關機構直接負責。第六條 金融機構的電子銀行安全評估應接受中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）的監(jiān)督指導。第二章 安全評估機構第七條 承擔金融機構電子銀行安全評估工作的機構，可以是外部專業(yè)化服務機構，也可以是金融機構內(nèi)部具備相應條件的相對獨立部門。第八條 外部機構從事電子銀行安全評估，應具備以下條件：（一）

3、具有較為完善的開展電子銀行安全評估業(yè)務的管理制度和操作規(guī)程；（二）制定了系統(tǒng)全面的內(nèi)部評估手冊或評估指導文件，內(nèi)容應至少包括評估程序、評估方法和依據(jù)、評估標準等；（三）擁有與電子銀行安全評估相關的各類專業(yè)人才，了解國際和中國相關行業(yè)的行業(yè)標準；（四）其他從事電子銀行安全評估應當具備的條件。第九條 金融機構內(nèi)部部門從事電子銀行安全評估，除應具備第八條規(guī)定的有關條件外，還應具備以下條件：（一）從事電子銀行安全評估的部門必須獨立于電子銀行業(yè)務系統(tǒng)開發(fā)部門和運營部門；（二）從事電子銀行安全評估的部門未直接參與過有關電子銀行設備的選購工作。第十條 中國銀監(jiān)會負責電子銀行安全評估機構資格認定工作。電子銀行

4、安全評估機構資格認定工作，每年組織一次。電子銀行安全評估機構在從事金融機構電子銀行安全評估業(yè)務之前，應向中國銀監(jiān)會申請對其資格進行認定。第十一條 申請資格認定的電子銀行評估機構，應在中國銀監(jiān)會公告的時限內(nèi)提交以下材料（一式七份）：（一）電子銀行安全評估資格認定申請報告；（二）機構介紹；（三）安全評估業(yè)務管理框架、管理制度、操作規(guī)程等；（四）評估手冊或評估指導文件；（五）主要評估人員簡歷；（六）中國銀監(jiān)會要求提供的其他文件和資料。第十二條 中國銀監(jiān)會收到安全評估機構資格認定的完整材料后三個月內(nèi)，組織有關專家和監(jiān)管人員對申請材料進行評議，采用投票的辦法決定電子銀行安全評估機構是否達到了有關資質(zhì)要求

5、。第十三條 中國銀監(jiān)會對評估機構資質(zhì)評議后，出具電子銀行安全評估機構資格認定意見書，載明評議意見，對評估機構的資格作出認定。第十四條 中國銀監(jiān)會出具的電子銀行安全評估機構資格認定意見書，僅供評估機構與開展電子銀行業(yè)務的金融機構商恰有關電子銀行評估業(yè)務時使用，不影響評估機構開展其他經(jīng)營活動。評估機構不得將電子銀行安全評估機構資格認定意見書用于宣傳或其他活動。第十五條 經(jīng)中國銀監(jiān)會評議并被認為達到有關資質(zhì)要求的評估機構，每次資格認定的有效期為兩年。 經(jīng)評議未達到認定資格的，評估機構可在下一年度重新申請資格認定。第十六條 在有效期內(nèi)，電子銀行安全評估機構如果出現(xiàn)下列情況，中國銀監(jiān)會將撤銷已做出的評議

6、和認定意見：（一）評估機構管理不善，其工作人員泄露被評估機構秘密的；（二）評估工作質(zhì)量低下，評估活動出現(xiàn)重要遺漏的；（三）未按要求提交評估報告，或評估報告中存在不實表述的；（四）將電子銀行安全評估機構資格認定意見書用于宣傳和其他經(jīng)營活動的；（五）存在其他嚴重不盡職行為的。第十七條 評估機構有下列行為之一的，中國銀監(jiān)會將在一定期限或無限期不承接評估機構的資格認定請求，銀行業(yè)金融機構不應再委托該評估機構進行安全評估：（一）與委托機構合謀，共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報告；（二）在評估過程中弄虛作假，編造安全評估報告；（三）泄漏銀行機密信息，或不當使用銀行機密資料；銀行業(yè)

7、金融機構內(nèi)部評估機構出現(xiàn)以上情況之一的，中國銀監(jiān)會將按照有關法律法規(guī)和行政規(guī)章的規(guī)定，對相關責任人進行處罰。第十八條 中國銀監(jiān)會認可的電子銀行安全評估機構，以及有關資格認定撤銷決定等信息，僅向開展電子銀行業(yè)務的各金融機構通報，不向社會公布。 第十九條 金融機構不得向第三方泄露中國銀監(jiān)會的有關通報信息，影響外部機構的其他業(yè)務活動，也不得將有關信息用于與電子銀行安全評估活動無關的其他業(yè)務活動。第二十條 開展電子銀行業(yè)務的金融機構可以在中國銀監(jiān)會認可的評估機構范圍內(nèi)，自主選擇安全評估機構，簽訂書面服務協(xié)議。 金融機構選擇內(nèi)部部門作為評估機構時，應由電子銀行運營部門與評估部門簽訂評估責任確定書。第二十

8、一條 金融機構與評估機構簽訂的服務協(xié)議中，必須含有明確的保密條款和保密責任。第二十二條 安全評估機構應根據(jù)評估協(xié)議的規(guī)定，認真履行評估職責，真實評估被評估機構電子銀行運營的安全狀況。第三章 安全評估的實施第二十三條 評估機構在開始電子銀行安全評估之前，應就評估的范圍、重點、時間與要求等問題，與被評估機構進行充分的溝通，制定評估計劃，由雙方簽字認可。第二十四條 依據(jù)評估計劃，評估機構進場對委托機構的電子銀行安全進行評估。電子銀行安全評估應真實、全面地評價電子銀行系統(tǒng)的安全性。第二十五條 電子銀行安全評估至少應包括以下內(nèi)容：（一）安全策略；（二）內(nèi)控制度建設；（三）風險管理狀況；（四）系統(tǒng)安全性；

9、（五）電子銀行業(yè)務運行連續(xù)性計劃；（六）電子銀行業(yè)務運行應急計劃；（七）電子銀行風險預警體系；（八）其他重要安全環(huán)節(jié)和機制。第二十六條 電子銀行安全策略的評估，至少應包括以下內(nèi)容：（一）安全策略制定的流程與合理性；（二）系統(tǒng)設計與開發(fā)的安全策略；（三）系統(tǒng)測試與驗收的安全策略；（四）系統(tǒng)運行與維護的安全策略；（五）系統(tǒng)備份與應急相關策略。 評估機構對金融機構安全策略的評估，不僅要評估安全戰(zhàn)略、規(guī)章制度和程序是否存在，還要評估這些制度是否能得到貫徹執(zhí)行，是否能做到及時更新，是否能全面覆蓋電子銀行業(yè)務系統(tǒng)。第二十七條 電子銀行內(nèi)控制度的評估，應至少包括以下內(nèi)容：（一）高級管理層對電子銀行安全的認知

10、能力與水平；（二）安全監(jiān)控機制的建設與運行；（三）內(nèi)部審計制度的建設與運行。第二十八條 電子銀行風險管理狀況的評估，應至少包括以下內(nèi)容：（一）電子銀行管理機構設置的合理性與其他部門的協(xié)調(diào)性；（二）電子銀行管理部門主要負責人對電子銀行的熟知程度；（三）管理人員配備與培訓情況；（四）電子銀行風險管理的規(guī)章制度與操作規(guī)定、程序等；（五）電子銀行業(yè)務風險管理狀況；（六）業(yè)務外包管理制度建設與管理狀況。第二十九條 電子銀行系統(tǒng)安全性的評估，應至少包括以下內(nèi)容：（一）物理安全；（二）數(shù)據(jù)通訊安全；（三）應用系統(tǒng)安全；（四）密鑰管理；（五）客戶信息認證與保密；（六）入侵監(jiān)測機制和報告反應機制。評估機構應突出

11、對數(shù)據(jù)通訊安全和應用系統(tǒng)安全的評估，客觀評價金融機構是否采用了合適的加密技術、合理設計和配置了服務器和防火墻，銀行內(nèi)部運作系統(tǒng)和數(shù)據(jù)庫是否安全等，以及金融機構是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時測試和審核。第三十條 電子銀行業(yè)務運行連續(xù)性計劃，應至少包括以下內(nèi)容：（一）電子銀行保障業(yè)務連續(xù)運營的設備和系統(tǒng)能力；（二）保證業(yè)務連續(xù)運營的制度安排和執(zhí)行情況；第三十一條 電子銀行業(yè)務運行應急計劃，應至少包括以下內(nèi)容：（一）電子銀行應急制度建設和執(zhí)行情況；（二）電子銀行應急系統(tǒng)建設；（三）定期、持續(xù)性的檢測和演練情況；（四）應對意外事故或非法攻擊的能力。第三十

12、二條 評估機構進行安全評估的方式，包括審核有關資料、與相關人員談話等，但在電子銀行安全性評估時，必須采取至少一種方法對系統(tǒng)進行測試。第三十三條 評估機構在進行安全評估時，應根據(jù)委托機構的實際情況，確定不同評估內(nèi)容對電子銀行總體風險影響程度的權重，對每項評估內(nèi)容進行評分，綜合計算出所評估機構電子銀行的風險等級。第三十四條 評估完成后，評估機構應及時撰寫評估報告，并于評估完成后一個月內(nèi)向委托機構提交由其法定代表人簽字認可的評估報告。第三十五條 評估報告應至少包括以下內(nèi)容：（一）評估的時間、范圍及其他協(xié)議中重要的約定；（二）評估的總體框架、程序、主要方法及主要評估人員介紹；（三）不同評估內(nèi)容風險權重

13、的確定標準，風險等級的計算方法，以及風險等級的定義；（四）評估內(nèi)容與評估活動描述；（五）評估結(jié)論；（六）其他需要說明的問題；（七）主要術語定義和所采用的國際或國內(nèi)標準介紹（可作為附件）；（八）評估工作流程記錄表（可作為附件）；（九）參加評估人員名單（可作為附件）。在評估結(jié)論中，評估機構應采用量化的辦法，表明被評估機構電子銀行的風險等級，并說明被評估機構電子銀行安全管理中存在的主要問題與隱患，并說明整改建議。第三十六條 評估報告完成并提交委托機構后，如需修改，應將修改的原因、依據(jù)和修改意見作為附件附在原報告之后，不得直接修改原報告。第四章 安全評估活動的管理第三十七條 金融機構在申請開辦電子銀行

14、業(yè)務時，應當按照有關規(guī)定對完成測試的電子銀行進行安全評估。第三十八條 金融機構獲準開辦電子銀行業(yè)務后，應當至少每年對電子銀行進行一次安全評估。有下列情形之一的，應立即組織安全評估：（一）由于安全漏洞導致系統(tǒng)被攻擊癱瘓，修復完善的；（二）電子銀行系統(tǒng)進行重大的更新和升級的；（三）電子銀行的基礎設施出現(xiàn)重大改變的；（四）基于電子銀行安全管理需要應即時評估的。第三十九條 評估機構的選擇應由金融機構的高級管理層最終確定。 評估機構確定后，金融機構必須與評估機構簽定評估協(xié)議，明確界定評估的任務、雙方的權利和義務。評估協(xié)議應由金融機構的高級管理層簽署。第四十條 金融機構原則上只能確定一個評估機構進行評估，

15、若有多個評估機構參與評估，金融機構必須確定一個主要的評估機構協(xié)調(diào)總體評估工作，負責總體評估報告的制作。金融機構將電子銀行的不同系統(tǒng)委托給不同的評估機構進行安全評估，應當明確每個評估機構的安全評估范圍，保證不同的評估范圍之間沒有遺漏。第四十一條 金融機構應在簽署評估協(xié)議后2周內(nèi)，將評估機構簡介、擬采用的評估方案和評估步驟等，報送中國銀監(jiān)會。第四十二條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要，可派員參加金融機構電子銀行安全評估工作，但不作為正式評估人員，不提供評估意見。第四十三條 評估機構應本著客觀、公正、真實和自主的原則，開展評估活動，并嚴格保守在評估過程中獲悉的商業(yè)機密。第四十四條 在評估過程中，委托機

16、構和評估機構之間應建立信息保密工作機制。（一）評估過程中，調(diào)閱相關資料、復制相關文件或數(shù)據(jù)等，都應建立登記、簽字制度；（二）調(diào)閱的文件資料應在指定的場所閱讀，不能復印，不得帶出指定場所；（三）復制的文件或數(shù)據(jù)不應帶出工作場地，如確需帶出的，必須詳細登記帶出數(shù)據(jù)的原因、時間、責任人等；（四）評估過程中廢棄的文件、材料和不再使用的數(shù)據(jù)，應立即予以銷毀或刪除；（五）評估工作結(jié)束后，雙方應就有關機密數(shù)據(jù)、資料等的交接情況簽署說明。第四十五條 金融機構在收到評估機構的評估報告一個月內(nèi)，應將評估報告抄報中國銀監(jiān)會。 金融機構報送評估報告時，可對評估報告中的有關問題作必要的說明。第四十六條 未經(jīng)監(jiān)管部門批準，電子銀行安全評估報告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門以外的第三方機構。第四十七條 對未按有關要求進行的安全