電子銀行安全評(píng)價(jià)指引

1、精選優(yōu)質(zhì)文檔-傾情為你奉上電子銀行安全評(píng)估指引（征求意見稿）第一章 總則第一條 為促進(jìn)電子銀行業(yè)務(wù)的健康發(fā)展，保證電子銀行業(yè)務(wù)安全性評(píng)估的客觀性、及時(shí)性、全面性和有效性，依據(jù)中華人民共和國(guó)銀行業(yè)監(jiān)督管理法、中華人民共和國(guó)金融機(jī)構(gòu)法等法律法規(guī)和電子銀行業(yè)務(wù)管理辦法等監(jiān)管規(guī)章，制定本指引。第二條 電子銀行的安全評(píng)估，是指對(duì)開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)在電子銀行管理過程中的電子銀行安全策略、內(nèi)控制度、系統(tǒng)安全、客戶保護(hù)等方面，進(jìn)行的安全測(cè)試和風(fēng)險(xiǎn)管理能力等的綜合安全考察與評(píng)價(jià)。第三條 在中華人民共和國(guó)境內(nèi)開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)以及利用境內(nèi)的電子銀行系統(tǒng)向境外提供電子銀行服務(wù)的金融機(jī)構(gòu)，都應(yīng)定期對(duì)電

2、子銀行安全進(jìn)行評(píng)估。第四條 開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)可以利用外部專業(yè)化的評(píng)估機(jī)構(gòu)對(duì)電子銀行安全進(jìn)行評(píng)估，也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營(yíng)管理部門的評(píng)估部門進(jìn)行電子銀行安全評(píng)估。第五條 金融機(jī)構(gòu)的電子銀行安全評(píng)估工作應(yīng)納入金融機(jī)構(gòu)風(fēng)險(xiǎn)管理的總體框架，由金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理委員會(huì)或相關(guān)機(jī)構(gòu)直接負(fù)責(zé)。第六條 金融機(jī)構(gòu)的電子銀行安全評(píng)估應(yīng)接受中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì)）的監(jiān)督指導(dǎo)。第二章 安全評(píng)估機(jī)構(gòu)第七條 承擔(dān)金融機(jī)構(gòu)電子銀行安全評(píng)估工作的機(jī)構(gòu)，可以是外部專業(yè)化服務(wù)機(jī)構(gòu)，也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對(duì)獨(dú)立部門。第八條 外部機(jī)構(gòu)從事電子銀行安全評(píng)估，應(yīng)具備以下條件：（一）

3、具有較為完善的開展電子銀行安全評(píng)估業(yè)務(wù)的管理制度和操作規(guī)程；（二）制定了系統(tǒng)全面的內(nèi)部評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件，內(nèi)容應(yīng)至少包括評(píng)估程序、評(píng)估方法和依據(jù)、評(píng)估標(biāo)準(zhǔn)等；（三）擁有與電子銀行安全評(píng)估相關(guān)的各類專業(yè)人才，了解國(guó)際和中國(guó)相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)；（四）其他從事電子銀行安全評(píng)估應(yīng)當(dāng)具備的條件。第九條 金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評(píng)估，除應(yīng)具備第八條規(guī)定的有關(guān)條件外，還應(yīng)具備以下條件：（一）從事電子銀行安全評(píng)估的部門必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門和運(yùn)營(yíng)部門；（二）從事電子銀行安全評(píng)估的部門未直接參與過有關(guān)電子銀行設(shè)備的選購工作。第十條 中國(guó)銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定工作。電子銀行

4、安全評(píng)估機(jī)構(gòu)資格認(rèn)定工作，每年組織一次。電子銀行安全評(píng)估機(jī)構(gòu)在從事金融機(jī)構(gòu)電子銀行安全評(píng)估業(yè)務(wù)之前，應(yīng)向中國(guó)銀監(jiān)會(huì)申請(qǐng)對(duì)其資格進(jìn)行認(rèn)定。第十一條 申請(qǐng)資格認(rèn)定的電子銀行評(píng)估機(jī)構(gòu)，應(yīng)在中國(guó)銀監(jiān)會(huì)公告的時(shí)限內(nèi)提交以下材料（一式七份）：（一）電子銀行安全評(píng)估資格認(rèn)定申請(qǐng)報(bào)告；（二）機(jī)構(gòu)介紹；（三）安全評(píng)估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等；（四）評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件；（五）主要評(píng)估人員簡(jiǎn)歷；（六）中國(guó)銀監(jiān)會(huì)要求提供的其他文件和資料。第十二條 中國(guó)銀監(jiān)會(huì)收到安全評(píng)估機(jī)構(gòu)資格認(rèn)定的完整材料后三個(gè)月內(nèi)，組織有關(guān)專家和監(jiān)管人員對(duì)申請(qǐng)材料進(jìn)行評(píng)議，采用投票的辦法決定電子銀行安全評(píng)估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求

5、。第十三條 中國(guó)銀監(jiān)會(huì)對(duì)評(píng)估機(jī)構(gòu)資質(zhì)評(píng)議后，出具電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書，載明評(píng)議意見，對(duì)評(píng)估機(jī)構(gòu)的資格作出認(rèn)定。第十四條 中國(guó)銀監(jiān)會(huì)出具的電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書，僅供評(píng)估機(jī)構(gòu)與開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)商恰有關(guān)電子銀行評(píng)估業(yè)務(wù)時(shí)使用，不影響評(píng)估機(jī)構(gòu)開展其他經(jīng)營(yíng)活動(dòng)。評(píng)估機(jī)構(gòu)不得將電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書用于宣傳或其他活動(dòng)。第十五條 經(jīng)中國(guó)銀監(jiān)會(huì)評(píng)議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評(píng)估機(jī)構(gòu)，每次資格認(rèn)定的有效期為兩年。 經(jīng)評(píng)議未達(dá)到認(rèn)定資格的，評(píng)估機(jī)構(gòu)可在下一年度重新申請(qǐng)資格認(rèn)定。第十六條 在有效期內(nèi)，電子銀行安全評(píng)估機(jī)構(gòu)如果出現(xiàn)下列情況，中國(guó)銀監(jiān)會(huì)將撤銷已做出的評(píng)議

6、和認(rèn)定意見：（一）評(píng)估機(jī)構(gòu)管理不善，其工作人員泄露被評(píng)估機(jī)構(gòu)秘密的；（二）評(píng)估工作質(zhì)量低下，評(píng)估活動(dòng)出現(xiàn)重要遺漏的；（三）未按要求提交評(píng)估報(bào)告，或評(píng)估報(bào)告中存在不實(shí)表述的；（四）將電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書用于宣傳和其他經(jīng)營(yíng)活動(dòng)的；（五）存在其他嚴(yán)重不盡職行為的。第十七條 評(píng)估機(jī)構(gòu)有下列行為之一的，中國(guó)銀監(jiān)會(huì)將在一定期限或無限期不承接評(píng)估機(jī)構(gòu)的資格認(rèn)定請(qǐng)求，銀行業(yè)金融機(jī)構(gòu)不應(yīng)再委托該評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估：（一）與委托機(jī)構(gòu)合謀，共同隱瞞在安全評(píng)估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評(píng)估報(bào)告；（二）在評(píng)估過程中弄虛作假，編造安全評(píng)估報(bào)告；（三）泄漏銀行機(jī)密信息，或不當(dāng)使用銀行機(jī)密資料；銀行業(yè)

7、金融機(jī)構(gòu)內(nèi)部評(píng)估機(jī)構(gòu)出現(xiàn)以上情況之一的，中國(guó)銀監(jiān)會(huì)將按照有關(guān)法律法規(guī)和行政規(guī)章的規(guī)定，對(duì)相關(guān)責(zé)任人進(jìn)行處罰。第十八條 中國(guó)銀監(jiān)會(huì)認(rèn)可的電子銀行安全評(píng)估機(jī)構(gòu)，以及有關(guān)資格認(rèn)定撤銷決定等信息，僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)，不向社會(huì)公布。 第十九條 金融機(jī)構(gòu)不得向第三方泄露中國(guó)銀監(jiān)會(huì)的有關(guān)通報(bào)信息，影響外部機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng)，也不得將有關(guān)信息用于與電子銀行安全評(píng)估活動(dòng)無關(guān)的其他業(yè)務(wù)活動(dòng)。第二十條 開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)可以在中國(guó)銀監(jiān)會(huì)認(rèn)可的評(píng)估機(jī)構(gòu)范圍內(nèi)，自主選擇安全評(píng)估機(jī)構(gòu)，簽訂書面服務(wù)協(xié)議。 金融機(jī)構(gòu)選擇內(nèi)部部門作為評(píng)估機(jī)構(gòu)時(shí)，應(yīng)由電子銀行運(yùn)營(yíng)部門與評(píng)估部門簽訂評(píng)估責(zé)任確定書。第二十

8、一條 金融機(jī)構(gòu)與評(píng)估機(jī)構(gòu)簽訂的服務(wù)協(xié)議中，必須含有明確的保密條款和保密責(zé)任。第二十二條 安全評(píng)估機(jī)構(gòu)應(yīng)根據(jù)評(píng)估協(xié)議的規(guī)定，認(rèn)真履行評(píng)估職責(zé)，真實(shí)評(píng)估被評(píng)估機(jī)構(gòu)電子銀行運(yùn)營(yíng)的安全狀況。第三章 安全評(píng)估的實(shí)施第二十三條 評(píng)估機(jī)構(gòu)在開始電子銀行安全評(píng)估之前，應(yīng)就評(píng)估的范圍、重點(diǎn)、時(shí)間與要求等問題，與被評(píng)估機(jī)構(gòu)進(jìn)行充分的溝通，制定評(píng)估計(jì)劃，由雙方簽字認(rèn)可。第二十四條 依據(jù)評(píng)估計(jì)劃，評(píng)估機(jī)構(gòu)進(jìn)場(chǎng)對(duì)委托機(jī)構(gòu)的電子銀行安全進(jìn)行評(píng)估。電子銀行安全評(píng)估應(yīng)真實(shí)、全面地評(píng)價(jià)電子銀行系統(tǒng)的安全性。第二十五條 電子銀行安全評(píng)估至少應(yīng)包括以下內(nèi)容：（一）安全策略；（二）內(nèi)控制度建設(shè)；（三）風(fēng)險(xiǎn)管理狀況；（四）系統(tǒng)安全性；

9、（五）電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃；（六）電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃；（七）電子銀行風(fēng)險(xiǎn)預(yù)警體系；（八）其他重要安全環(huán)節(jié)和機(jī)制。第二十六條 電子銀行安全策略的評(píng)估，至少應(yīng)包括以下內(nèi)容：（一）安全策略制定的流程與合理性；（二）系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略；（三）系統(tǒng)測(cè)試與驗(yàn)收的安全策略；（四）系統(tǒng)運(yùn)行與維護(hù)的安全策略；（五）系統(tǒng)備份與應(yīng)急相關(guān)策略。 評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)安全策略的評(píng)估，不僅要評(píng)估安全戰(zhàn)略、規(guī)章制度和程序是否存在，還要評(píng)估這些制度是否能得到貫徹執(zhí)行，是否能做到及時(shí)更新，是否能全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。第二十七條 電子銀行內(nèi)控制度的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）高級(jí)管理層對(duì)電子銀行安全的認(rèn)知

10、能力與水平；（二）安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行；（三）內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行。第二十八條 電子銀行風(fēng)險(xiǎn)管理狀況的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）電子銀行管理機(jī)構(gòu)設(shè)置的合理性與其他部門的協(xié)調(diào)性；（二）電子銀行管理部門主要負(fù)責(zé)人對(duì)電子銀行的熟知程度；（三）管理人員配備與培訓(xùn)情況；（四）電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定、程序等；（五）電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理狀況；（六）業(yè)務(wù)外包管理制度建設(shè)與管理狀況。第二十九條 電子銀行系統(tǒng)安全性的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）物理安全；（二）數(shù)據(jù)通訊安全；（三）應(yīng)用系統(tǒng)安全；（四）密鑰管理；（五）客戶信息認(rèn)證與保密；（六）入侵監(jiān)測(cè)機(jī)制和報(bào)告反應(yīng)機(jī)制。評(píng)估機(jī)構(gòu)應(yīng)突出

11、對(duì)數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評(píng)估，客觀評(píng)價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻，銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫是否安全等，以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時(shí)測(cè)試和審核。第三十條 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃，應(yīng)至少包括以下內(nèi)容：（一）電子銀行保障業(yè)務(wù)連續(xù)運(yùn)營(yíng)的設(shè)備和系統(tǒng)能力；（二）保證業(yè)務(wù)連續(xù)運(yùn)營(yíng)的制度安排和執(zhí)行情況；第三十一條 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃，應(yīng)至少包括以下內(nèi)容：（一）電子銀行應(yīng)急制度建設(shè)和執(zhí)行情況；（二）電子銀行應(yīng)急系統(tǒng)建設(shè)；（三）定期、持續(xù)性的檢測(cè)和演練情況；（四）應(yīng)對(duì)意外事故或非法攻擊的能力。第三十

12、二條 評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估的方式，包括審核有關(guān)資料、與相關(guān)人員談話等，但在電子銀行安全性評(píng)估時(shí)，必須采取至少一種方法對(duì)系統(tǒng)進(jìn)行測(cè)試。第三十三條 評(píng)估機(jī)構(gòu)在進(jìn)行安全評(píng)估時(shí)，應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況，確定不同評(píng)估內(nèi)容對(duì)電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重，對(duì)每項(xiàng)評(píng)估內(nèi)容進(jìn)行評(píng)分，綜合計(jì)算出所評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)。第三十四條 評(píng)估完成后，評(píng)估機(jī)構(gòu)應(yīng)及時(shí)撰寫評(píng)估報(bào)告，并于評(píng)估完成后一個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人簽字認(rèn)可的評(píng)估報(bào)告。第三十五條 評(píng)估報(bào)告應(yīng)至少包括以下內(nèi)容：（一）評(píng)估的時(shí)間、范圍及其他協(xié)議中重要的約定；（二）評(píng)估的總體框架、程序、主要方法及主要評(píng)估人員介紹；（三）不同評(píng)估內(nèi)容風(fēng)險(xiǎn)權(quán)重

13、的確定標(biāo)準(zhǔn)，風(fēng)險(xiǎn)等級(jí)的計(jì)算方法，以及風(fēng)險(xiǎn)等級(jí)的定義；（四）評(píng)估內(nèi)容與評(píng)估活動(dòng)描述；（五）評(píng)估結(jié)論；（六）其他需要說明的問題；（七）主要術(shù)語定義和所采用的國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)介紹（可作為附件）；（八）評(píng)估工作流程記錄表（可作為附件）；（九）參加評(píng)估人員名單（可作為附件）。在評(píng)估結(jié)論中，評(píng)估機(jī)構(gòu)應(yīng)采用量化的辦法，表明被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)，并說明被評(píng)估機(jī)構(gòu)電子銀行安全管理中存在的主要問題與隱患，并說明整改建議。第三十六條 評(píng)估報(bào)告完成并提交委托機(jī)構(gòu)后，如需修改，應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報(bào)告之后，不得直接修改原報(bào)告。第四章 安全評(píng)估活動(dòng)的管理第三十七條 金融機(jī)構(gòu)在申請(qǐng)開辦電子銀行

14、業(yè)務(wù)時(shí)，應(yīng)當(dāng)按照有關(guān)規(guī)定對(duì)完成測(cè)試的電子銀行進(jìn)行安全評(píng)估。第三十八條 金融機(jī)構(gòu)獲準(zhǔn)開辦電子銀行業(yè)務(wù)后，應(yīng)當(dāng)至少每年對(duì)電子銀行進(jìn)行一次安全評(píng)估。有下列情形之一的，應(yīng)立即組織安全評(píng)估：（一）由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)完善的；（二）電子銀行系統(tǒng)進(jìn)行重大的更新和升級(jí)的；（三）電子銀行的基礎(chǔ)設(shè)施出現(xiàn)重大改變的；（四）基于電子銀行安全管理需要應(yīng)即時(shí)評(píng)估的。第三十九條 評(píng)估機(jī)構(gòu)的選擇應(yīng)由金融機(jī)構(gòu)的高級(jí)管理層最終確定。 評(píng)估機(jī)構(gòu)確定后，金融機(jī)構(gòu)必須與評(píng)估機(jī)構(gòu)簽定評(píng)估協(xié)議，明確界定評(píng)估的任務(wù)、雙方的權(quán)利和義務(wù)。評(píng)估協(xié)議應(yīng)由金融機(jī)構(gòu)的高級(jí)管理層簽署。第四十條 金融機(jī)構(gòu)原則上只能確定一個(gè)評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估，

15、若有多個(gè)評(píng)估機(jī)構(gòu)參與評(píng)估，金融機(jī)構(gòu)必須確定一個(gè)主要的評(píng)估機(jī)構(gòu)協(xié)調(diào)總體評(píng)估工作，負(fù)責(zé)總體評(píng)估報(bào)告的制作。金融機(jī)構(gòu)將電子銀行的不同系統(tǒng)委托給不同的評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)當(dāng)明確每個(gè)評(píng)估機(jī)構(gòu)的安全評(píng)估范圍，保證不同的評(píng)估范圍之間沒有遺漏。第四十一條 金融機(jī)構(gòu)應(yīng)在簽署評(píng)估協(xié)議后2周內(nèi)，將評(píng)估機(jī)構(gòu)簡(jiǎn)介、擬采用的評(píng)估方案和評(píng)估步驟等，報(bào)送中國(guó)銀監(jiān)會(huì)。第四十二條 中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可派員參加金融機(jī)構(gòu)電子銀行安全評(píng)估工作，但不作為正式評(píng)估人員，不提供評(píng)估意見。第四十三條 評(píng)估機(jī)構(gòu)應(yīng)本著客觀、公正、真實(shí)和自主的原則，開展評(píng)估活動(dòng)，并嚴(yán)格保守在評(píng)估過程中獲悉的商業(yè)機(jī)密。第四十四條 在評(píng)估過程中，委托機(jī)

16、構(gòu)和評(píng)估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制。（一）評(píng)估過程中，調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等，都應(yīng)建立登記、簽字制度；（二）調(diào)閱的文件資料應(yīng)在指定的場(chǎng)所閱讀，不能復(fù)印，不得帶出指定場(chǎng)所；（三）復(fù)制的文件或數(shù)據(jù)不應(yīng)帶出工作場(chǎng)地，如確需帶出的，必須詳細(xì)登記帶出數(shù)據(jù)的原因、時(shí)間、責(zé)任人等；（四）評(píng)估過程中廢棄的文件、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷毀或刪除；（五）評(píng)估工作結(jié)束后，雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)、資料等的交接情況簽署說明。第四十五條 金融機(jī)構(gòu)在收到評(píng)估機(jī)構(gòu)的評(píng)估報(bào)告一個(gè)月內(nèi)，應(yīng)將評(píng)估報(bào)告抄報(bào)中國(guó)銀監(jiān)會(huì)。 金融機(jī)構(gòu)報(bào)送評(píng)估報(bào)告時(shí)，可對(duì)評(píng)估報(bào)告中的有關(guān)問題作必要的說明。第四十六條 未經(jīng)監(jiān)管部門批準(zhǔn)，電子銀行安全評(píng)估報(bào)告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)。第四十七條 對(duì)未按有關(guān)要求進(jìn)行的安全