監(jiān)管調(diào)研報(bào)告系列電子銀行安全保護(hù)專題報(bào)告

1、目錄一、引言與調(diào)研背景二、調(diào)研成果摘要1、監(jiān)管2、監(jiān)管概要3、監(jiān)管差異三、調(diào)研成果分析1. 組織與策略2. 系統(tǒng)管理3. 系統(tǒng)安全4. 客戶保護(hù)35567121216192732353839414454595.評(píng)估6.報(bào)批報(bào)備三、應(yīng)對(duì)之道1、方法論2、管理流程3、4、業(yè)務(wù)術(shù)安全附件 監(jiān)管條例匯總本討論資料中所包含之內(nèi)容屬內(nèi)容，雙方正式允諾，交予不得部分或全部，不得使用于目的，不得以任何第或與任何第討論其中之內(nèi)容。一、 引言與調(diào)研背景為進(jìn)一步拓展海外業(yè)務(wù)，提升全球金融服務(wù)水平，中國（以下簡調(diào)研背景稱“中行”或“貴行”）正研究推進(jìn)海外系統(tǒng)整合系統(tǒng)集中管理。的與實(shí)施工作，實(shí)現(xiàn)全球業(yè)務(wù)然而，面對(duì)全球不

2、同和地區(qū)紛繁復(fù)雜的金融IT監(jiān)管形勢(shì)，貴行須及早開展海外IT監(jiān)管 要求的深入梳理和適應(yīng)性分析工作，及時(shí)調(diào)整系統(tǒng)架構(gòu)和運(yùn)維管理模式，以提升全球一體化信息科技服務(wù)能力。（中國）企業(yè)咨詢（以下簡稱“”或“我們”）受貴行委托，對(duì)已經(jīng)開和地區(qū)的業(yè)IT監(jiān)管要求進(jìn)行整理、匯總和設(shè)或即將開設(shè)海外分行的全球三十多個(gè)分析，并結(jié)合貴行系統(tǒng)開發(fā)工作進(jìn)展情況和現(xiàn)有運(yùn)維管理模式，提出適應(yīng)監(jiān)管要求的應(yīng)對(duì)之道，以幫助貴行完成IT監(jiān)管合規(guī)的可行性論證。為了順應(yīng)貴行的推廣計(jì)劃，同時(shí)前瞻性地考慮監(jiān)管要求對(duì)系統(tǒng)建設(shè)和運(yùn)維所帶來的影響，采取業(yè)監(jiān)管調(diào)研報(bào)告系列的模式，以根據(jù)IT監(jiān)管的重點(diǎn)區(qū)域出具專題報(bào)告的形式，為貴行展示我們對(duì)IT監(jiān)管合規(guī)

3、的調(diào)研和分析成果，以及為貴行提供應(yīng)對(duì)監(jiān)管要求所取的措施。我們的調(diào)研方法包括：調(diào)研方法與全球我們與的業(yè)服務(wù)團(tuán)隊(duì)合作：在全球的金融業(yè)領(lǐng)域擁有深厚的專業(yè)，的業(yè)務(wù)IT監(jiān)管現(xiàn)狀，并獲全球的業(yè)服務(wù)團(tuán)隊(duì)合作，了解對(duì)應(yīng)取相應(yīng)IT監(jiān)管要求；與全球的金融監(jiān)管機(jī)構(gòu)接觸和：通過監(jiān)管機(jī)構(gòu)的、通知或有關(guān)金融業(yè)的IT監(jiān)管要求；中國金融業(yè)服務(wù)團(tuán)隊(duì)在中國擁有眾多的直接與其的方式，獲取全球主要與客戶中國金融業(yè)服務(wù)團(tuán)隊(duì)合作：業(yè)以及合規(guī)類項(xiàng)目經(jīng)驗(yàn)，通過與其合作，獲取部分的IT監(jiān)管要求的成果。監(jiān)管機(jī)構(gòu) 監(jiān)管機(jī)構(gòu)名稱 監(jiān)管條例 監(jiān)管環(huán)境初步分析調(diào)研團(tuán)隊(duì)中國金融業(yè)服務(wù)團(tuán)隊(duì)全球3業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告本專題所指的電子是指商

4、業(yè)等業(yè)金融機(jī)構(gòu)利用面向公眾開放的通訊通道網(wǎng)絡(luò)，向客戶提供的調(diào)研范圍或開放型公眾網(wǎng)絡(luò)，以及為特定自助服務(wù)設(shè)施或客戶建立的服務(wù)。調(diào)研的監(jiān)管范圍是與電子安全保護(hù)最相關(guān)的監(jiān)管要求。電子業(yè)務(wù)包括利用計(jì)算機(jī)和互聯(lián)網(wǎng)開展的業(yè)務(wù)（以下簡稱網(wǎng)上業(yè)務(wù)），利用等聲訊設(shè)備和電信網(wǎng)絡(luò)開展的業(yè)務(wù)（以下簡稱業(yè)務(wù)），利用移動(dòng)和無線網(wǎng)絡(luò)開展的業(yè)務(wù)（以下簡稱業(yè)務(wù)），以及其他利用電子服務(wù)設(shè)備和網(wǎng)絡(luò)，業(yè)務(wù)。由客戶通過自助服務(wù)方式完成金融的本期專題調(diào)研報(bào)告關(guān)注全部范圍內(nèi)的主要和地區(qū)的業(yè)與電子安全保護(hù)最相關(guān)的IT監(jiān)管要求進(jìn)行了調(diào)研，覆蓋了貴行已開設(shè)分支機(jī)構(gòu)的34個(gè)及地區(qū)，如下圖所示：俄羅斯英國荷蘭德國愛爾蘭比利時(shí) 盧森堡斯坦匈牙利法國意

5、大利美國韓國巴林阿聯(lián)酋老撾越南柬埔寨開曼群島菲律賓巴拿馬新加坡尼西亞巴西贊比亞秘魯南非澳大利亞美洲地區(qū)非洲地區(qū)和亞太地區(qū) 中國（） 中國（英國） 中國 中國（） 分行 紐約分行 開曼分行 巴拿馬分行 中銀愛爾蘭 法蘭克福分行 巴黎分行 中銀國際（新加坡） 東京分行 中國（巴西） 中國（）中國 秘魯分行分行 首爾分行 匈牙利中國 中國（澳大利亞） 中國 中國 中國（盧森堡）（盧森堡）（盧森堡） 曼谷分行 胡志明市分行 馬尼拉分行 金邊分行分行布魯塞爾分行 俄羅斯中國 迪拜代表處 巴林代表處 贊比亞中國 約翰內(nèi)斯堡分行中國 雅加達(dá)分行4業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告二、 調(diào)研成果概要在本

6、次調(diào)研過程中，我們基于全部范圍各個(gè)主要或地區(qū)的金融監(jiān)度，就與電子銀監(jiān)管行安全保護(hù)最直接相關(guān)的監(jiān)管要求進(jìn)行調(diào)研。我們發(fā)現(xiàn)，近年來海外金融監(jiān)管機(jī)構(gòu)對(duì)電子的監(jiān)管呈現(xiàn)出以下趨勢(shì)：緊跟風(fēng)險(xiǎn)變化趨勢(shì)，積極拓寬監(jiān)管領(lǐng)域：層出不窮的新技術(shù)，方便了電子業(yè)務(wù)的開展，也帶來了新的威脅與風(fēng)險(xiǎn)。同時(shí)，電子業(yè)務(wù)的法律糾紛日益增多，在一定程度上影響著的聲譽(yù)。海外監(jiān)管機(jī)構(gòu)要求更具前瞻性的對(duì)電子的新型威脅進(jìn)行主動(dòng)防御，并注重對(duì)法律與聲譽(yù)風(fēng)險(xiǎn)的管理。不斷細(xì)化監(jiān)度，加強(qiáng)對(duì)高風(fēng)險(xiǎn)領(lǐng)域的監(jiān)管力度：海外監(jiān)管機(jī)構(gòu)在原有監(jiān)度的基礎(chǔ)上，對(duì)重點(diǎn)領(lǐng)域的監(jiān)管要求進(jìn)行進(jìn)一步的細(xì)化，使得能夠更加明確地開展合規(guī)工作。例如：各國對(duì)更加嚴(yán)格。認(rèn)證、數(shù)據(jù)加密與

7、客戶保護(hù)等方面的要求越來越詳細(xì)，也豐富監(jiān)管，深入持續(xù)地監(jiān)管電子風(fēng)險(xiǎn)：越來越多的海外監(jiān)管機(jī)構(gòu)發(fā)布了電子業(yè)務(wù)準(zhǔn)入規(guī)定，并要求電子業(yè)務(wù)的多個(gè)領(lǐng)域進(jìn)行的安全評(píng)估，的目的。同時(shí)還要求就電子的事項(xiàng)進(jìn)行報(bào)告，以達(dá)到深入持續(xù)拓寬新興監(jiān)管領(lǐng)域加強(qiáng)對(duì)高風(fēng)險(xiǎn)領(lǐng)域的監(jiān)管豐富監(jiān)管5業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告 建立電子 業(yè)務(wù)準(zhǔn)入門檻，保證電子銀行的基本安全要求 要求 電子銀行業(yè)務(wù)進(jìn)行定期的安全評(píng)估，及時(shí)識(shí)別業(yè)務(wù)風(fēng)險(xiǎn) 通過現(xiàn)場檢查、非現(xiàn)場檢查、監(jiān)管報(bào)告等方式對(duì)電子 業(yè)務(wù)進(jìn)行持續(xù)性監(jiān)管 加強(qiáng)電子 客戶端的安全保護(hù)，對(duì)使用的 認(rèn)證技術(shù)和加密技術(shù)進(jìn)行更加嚴(yán)格詳細(xì)的要求 將業(yè)務(wù)信息向客戶進(jìn)行必要的披露，并強(qiáng)化對(duì)客戶的

8、安全教育 加強(qiáng)對(duì)異常 的監(jiān)控，建立完善的信息保存機(jī)制，為交易糾紛提供法律依據(jù) 對(duì)通過移動(dòng)終端（手機(jī)、平板電腦等）進(jìn)行的電子 業(yè)務(wù)實(shí)施有效保護(hù) 采用主動(dòng)防御技術(shù) （如防范鍵盤技 術(shù)、計(jì)算MAC、網(wǎng)絡(luò)檢測等）防 范行為 注重法律與聲譽(yù)風(fēng)險(xiǎn) 管理，建立、糾紛處理及機(jī)制通過對(duì)全部范圍或地區(qū)內(nèi)電子相關(guān)監(jiān)度的調(diào)研，我們發(fā)現(xiàn)共有21個(gè)或地電保監(jiān)管概要區(qū)發(fā)布了專門的電子監(jiān)度，或在已發(fā)布的一般信息科技監(jiān)度中納入了子的監(jiān)管要求。我們按照以下幾個(gè)領(lǐng)域歸納總結(jié)出了海外金融監(jiān)管機(jī)構(gòu)對(duì)電子護(hù)的要求：組織與策略：相比傳統(tǒng)業(yè)務(wù)，海外監(jiān)管機(jī)構(gòu)對(duì)電子的管理架構(gòu)與管理策略提出了更具性的要求。包括組織架構(gòu)的設(shè)置與職責(zé)的明確，業(yè)務(wù)策略

9、與風(fēng)險(xiǎn)管理策略的建立與完善，以及電子IT外包管理等要求。系統(tǒng)管理：電子業(yè)務(wù)的開展極其依的安全運(yùn)行。為保障電子業(yè)務(wù)的持續(xù)有效運(yùn)營，海外監(jiān)管機(jī)構(gòu)從管理流程的角度對(duì)電子理、應(yīng)急管理及業(yè)務(wù)連續(xù)性管理進(jìn)行規(guī)范。的性能與容量管理、日志管系統(tǒng)安全：電子業(yè)務(wù)更加依賴于公共網(wǎng)絡(luò)，并且提供了多樣化的自助服務(wù)，這增加了電子系統(tǒng)的未及的風(fēng)險(xiǎn)。因此，海外監(jiān)管機(jī)構(gòu)從系統(tǒng)的主機(jī)與終端、應(yīng)用程序、發(fā)布了大量電子術(shù)的要求，對(duì)電子數(shù)據(jù)、網(wǎng)絡(luò)進(jìn)行保護(hù)?？蛻舯Ｗo(hù)：電子業(yè)務(wù)通常都是客戶自助完成，對(duì)電子風(fēng)險(xiǎn)的力往往不及傳統(tǒng)業(yè)務(wù)。為此海外監(jiān)管機(jī)構(gòu)發(fā)布了大量關(guān)于客戶保護(hù)的監(jiān)管要求，包括：客戶隱私保護(hù)、客戶披露事項(xiàng)、客戶安全教育、以及信息保存

10、。評(píng)估：電子監(jiān)管機(jī)構(gòu)發(fā)布了業(yè)務(wù)相對(duì)較高的風(fēng)險(xiǎn)引起了海外監(jiān)管機(jī)構(gòu)的格外重視，眾多海外電子業(yè)務(wù)和電子系統(tǒng)的評(píng)估或?qū)徲?jì)要求。旨在使銀行更加有效的識(shí)別、評(píng)估及應(yīng)對(duì)電子業(yè)務(wù)風(fēng)險(xiǎn)。報(bào)批報(bào)備：海外監(jiān)管機(jī)構(gòu)對(duì)電子報(bào)批報(bào)備的要求比傳統(tǒng)業(yè)務(wù)更加嚴(yán)格，電子的報(bào)批報(bào)備頻率更高、內(nèi)容也更加詳細(xì)。需要說明的是，由于電子業(yè)務(wù)是眾多業(yè)務(wù)中一種特殊的業(yè)務(wù)，因此既需要遵守本專題中所述的電子系有的IT監(jiān)管要求，還需要遵守所有IT系統(tǒng)共有的一般性監(jiān)管要求。關(guān)于共性的監(jiān)管要求，可參見出具的業(yè)監(jiān)管調(diào)研報(bào)告系列中的專題和其他重點(diǎn)領(lǐng)域?qū)ｎ}報(bào)告。組織與策略系統(tǒng)管理系統(tǒng)安全電子安全保護(hù)客戶保護(hù)評(píng)估報(bào)批報(bào)備6業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)

11、告我們根據(jù)海外監(jiān)管機(jī)構(gòu)的監(jiān)管要求，從監(jiān)管廣度（即監(jiān)管要求所覆蓋領(lǐng)域的數(shù)量）與監(jiān)管監(jiān)管差異深度（即對(duì)某個(gè)或某幾個(gè)領(lǐng)域的監(jiān)管力度）兩方面對(duì)各個(gè)級(jí)。和地區(qū)的監(jiān)管水平進(jìn)行了分我們發(fā)現(xiàn)，各個(gè)或地區(qū)的監(jiān)管廣度與監(jiān)管強(qiáng)度之間存在著一定的正相關(guān)性，即監(jiān)管較全面的對(duì)各領(lǐng)域的監(jiān)管往往較為具體詳細(xì)。海外或地區(qū)電子監(jiān)管強(qiáng)度分布高監(jiān)管深度低低監(jiān)管廣度高7業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告德國澳大利亞新加坡美國巴拿馬越南韓國比利時(shí)匈牙利阿聯(lián)酋 開曼群島尼西波蘭瑞典菲律賓亞各個(gè)或地區(qū)的監(jiān)管機(jī)構(gòu)對(duì)電子的監(jiān)管有著不同的側(cè)重點(diǎn)，其中既包括美國、監(jiān)管差異等對(duì)電子領(lǐng)域?qū)﹄娮拥母鱾€(gè)方面進(jìn)行全面監(jiān)管的和地區(qū)，也包括澳大利亞、德國在

12、某一特定進(jìn)行深入監(jiān)管的。我們對(duì)各個(gè)或地區(qū)的監(jiān)管覆蓋范圍和重點(diǎn)監(jiān)管領(lǐng)域進(jìn)行了歸納總結(jié)，并制作了差異表格，對(duì)各國的監(jiān)管差異進(jìn)行對(duì)比。及亞太地區(qū)監(jiān)管差異分析表注：表中“”表示該的監(jiān)管重點(diǎn)?；虻貐^(qū)對(duì)電子的監(jiān)管已覆蓋到對(duì)應(yīng)的領(lǐng)域，“重點(diǎn)監(jiān)管”表示對(duì)應(yīng)領(lǐng)域?qū)儆谠摶虻貐^(qū)8業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告監(jiān)管領(lǐng)域新加坡馬來西亞越南菲律賓澳大利亞韓國阿聯(lián)酋組織與策略組織架構(gòu)業(yè)務(wù)策略風(fēng)險(xiǎn)管理策略重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管外包管理重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管系統(tǒng)管理性能與容量管理日志管理應(yīng)急管理重點(diǎn)監(jiān)管業(yè)務(wù)連續(xù)性管理系統(tǒng)安全主機(jī)與終端安全應(yīng)用安全重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管認(rèn)證與權(quán)限管理重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管數(shù)據(jù)安

13、全重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管亞太地區(qū)的多個(gè)和地區(qū)都發(fā)布了專門的電子監(jiān)度，對(duì)電子的監(jiān)管強(qiáng)度普監(jiān)管差異遍較高。亞太地區(qū)在運(yùn)維方面的監(jiān)管重點(diǎn)為主機(jī)與終端安全、應(yīng)用安全、認(rèn)證與權(quán)限管理、數(shù)據(jù)安全和求，確保電子等風(fēng)險(xiǎn)較高的領(lǐng)域，各國在這些領(lǐng)域制定了非常具體的技術(shù)要系統(tǒng)的運(yùn)維安全。同時(shí)，亞太十分注重對(duì)客戶隱私保護(hù)、客戶披露事項(xiàng)、客戶教育等客戶保護(hù)領(lǐng)域的監(jiān)管。目前，東南亞地區(qū)（包括中國客戶保護(hù)的監(jiān)管已處于世界領(lǐng)先地位。、中國）對(duì)電子及亞太地區(qū)監(jiān)管差異分析表9業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告監(jiān)管領(lǐng)域新加坡馬來西亞越南菲律賓澳大利亞韓國阿聯(lián)酋客戶保護(hù)客戶隱私保護(hù)重點(diǎn)監(jiān)管客戶披露事項(xiàng)重點(diǎn)監(jiān)管

14、重點(diǎn)監(jiān)管客戶教育重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管信息保存重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管評(píng)估評(píng)估重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管報(bào)批報(bào)備報(bào)告報(bào)批重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管美洲地區(qū)的美國和巴拿馬已發(fā)布了專門的電子監(jiān)度，對(duì)電子開展較為全面的監(jiān)管差異監(jiān)管。而歐非地區(qū)的多數(shù)則傾向于將電子納入到傳統(tǒng)業(yè)的監(jiān)管體系中，未發(fā)發(fā)布的電子商務(wù)相關(guān)監(jiān)布專門的電子監(jiān)管要求，但德國、波蘭、匈牙利、瑞典等度已覆蓋了電子監(jiān)管的部分內(nèi)容。美洲及歐非地區(qū)監(jiān)管差異分析表10業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告監(jiān)管領(lǐng)域美國巴拿馬開曼群島德國匈牙利比利時(shí)瑞典波蘭組織與策略組織架構(gòu)業(yè)務(wù)策略重點(diǎn)監(jiān)管風(fēng)險(xiǎn)管理策略外包管理重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管系統(tǒng)管理性能與容量管理日志管理應(yīng)

15、急管理業(yè)務(wù)連續(xù)性管理系統(tǒng)安全主機(jī)與終端安全應(yīng)用安全重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管認(rèn)證與權(quán)限管理重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管數(shù)據(jù)安全重點(diǎn)監(jiān)管監(jiān)管差異美洲及歐非地區(qū)監(jiān)管差異分析表11業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告監(jiān)管領(lǐng)域美國巴拿馬開曼群島德國匈牙利比利時(shí)瑞典波蘭客戶保護(hù)客戶隱私保護(hù)客戶披露事項(xiàng)客戶教育信息保存重點(diǎn)監(jiān)管重點(diǎn)監(jiān)管評(píng)估與報(bào)告評(píng)估重點(diǎn)監(jiān)管報(bào)批報(bào)備報(bào)告報(bào)批三、 調(diào)研成果分析良好的組織管理架構(gòu)與業(yè)務(wù)策略可以使電子業(yè)務(wù)更加穩(wěn)定、高效地開展，也能夠有效組織與策略降低業(yè)務(wù)風(fēng)險(xiǎn)。眾多海外監(jiān)管機(jī)構(gòu)對(duì)電子的組織架構(gòu)、安全策略以及風(fēng)險(xiǎn)管理策略制定了明確具體的要求。同時(shí)，海外監(jiān)管機(jī)構(gòu)格外重視電子業(yè)務(wù)中的外包管理，電子的外包管

16、理進(jìn)行了嚴(yán)格的規(guī)范。通過調(diào)研全部范圍內(nèi)的和地區(qū)的金融監(jiān)度，我們歸納總結(jié)出對(duì)于組織與策略的一般性原則，以及不同和地區(qū)對(duì)組織與策略的特殊性要求。一般性原則組織架構(gòu)在設(shè)計(jì)IT組織架構(gòu)時(shí)應(yīng)考慮組織架構(gòu)和電子系統(tǒng)的運(yùn)營架構(gòu)，IT組織應(yīng)明確電子系統(tǒng)中的使用責(zé)任，以及員工的能力和職責(zé)。系統(tǒng)運(yùn)營架構(gòu)包括開發(fā)、部署、變更和系統(tǒng)應(yīng)用行組織管理。的組織。可考慮使用流程和功能描述或者組織手冊(cè)等形式進(jìn)保電子處理，電子操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序管理，以及電子系統(tǒng)開發(fā)和維護(hù)過程中的職責(zé)分離。設(shè)立事故應(yīng)變小組，以按照事故相關(guān)程序作出回應(yīng)。該小組應(yīng)被賦予適當(dāng)?shù)臋?quán)利并應(yīng)受過充足的訓(xùn)練，能使用定去采取的適當(dāng)行動(dòng)。檢測系統(tǒng)，審計(jì)的相

17、關(guān)數(shù)據(jù)的重要性及決業(yè)務(wù)策略 制定電子理機(jī)制。的業(yè)務(wù)戰(zhàn)略，作為整體業(yè)務(wù)戰(zhàn)略的一部分。建立有效的電子服務(wù)管合規(guī)應(yīng)該確保對(duì)電子系統(tǒng)采取了適當(dāng)?shù)拇胧?，來落?shí)相關(guān)合規(guī)問題。的安全理念應(yīng)與IT戰(zhàn)略及IT組織相一致，并包括電子商務(wù)風(fēng)險(xiǎn)的評(píng)估。應(yīng)建立電子運(yùn)營管理流程。風(fēng)險(xiǎn)管理策略在提供新的電子業(yè)務(wù)或時(shí)，董事會(huì)及高級(jí)管理層信已對(duì)風(fēng)險(xiǎn)概況、經(jīng)營策略、成本、效益進(jìn)行分析，并能勝任管理此新開業(yè)務(wù)所帶來的風(fēng)險(xiǎn)。在決定是否將電子業(yè)務(wù)進(jìn)行外包時(shí)，應(yīng)對(duì)外包活動(dòng)做風(fēng)險(xiǎn)評(píng)估。需要建立和維護(hù)詳細(xì)的部威脅等及時(shí)調(diào)整和更新該體系，并根據(jù)技術(shù)變更、體系，該體系應(yīng)包括：敏感性、內(nèi)外Ø 識(shí)別和評(píng)估網(wǎng)上的與服務(wù)的風(fēng)險(xiǎn)；Ø

18、定義降低風(fēng)險(xiǎn)的措施，包括適當(dāng)?shù)恼J(rèn)證強(qiáng)度；Ø 檢查評(píng)估客戶意識(shí)的有效性。12業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告一般性原則組織與策略風(fēng)險(xiǎn)管理策略 明確電子風(fēng)險(xiǎn)偏好并確保電子風(fēng)險(xiǎn)管理流程與整體風(fēng)險(xiǎn)管理實(shí)踐的一致性；定期審閱現(xiàn)有政策及流程；確保上述政策與流程能夠覆蓋電子業(yè)務(wù)的新型風(fēng)或服務(wù)的保供應(yīng)商采險(xiǎn)；識(shí)別電子服務(wù)的風(fēng)險(xiǎn)因素，并采取風(fēng)險(xiǎn)措施確保電子安全性、完整性和可用性，若將關(guān)鍵系統(tǒng)或應(yīng)用外包給第，取了與類似的保護(hù)措施。應(yīng)建立適當(dāng)?shù)陌踩绦?，包括：建立認(rèn)證和機(jī)制，對(duì)內(nèi)部和外部用戶行為、和數(shù)據(jù)真實(shí)性等進(jìn)行安全，保留所有電子的審計(jì)軌跡，敏感數(shù)據(jù)應(yīng)實(shí)施適當(dāng)?shù)拇胧?，?yīng)時(shí)刻警惕并電子系統(tǒng)受到的，

19、對(duì)員工進(jìn)行科技和相關(guān)安全的培訓(xùn)，并對(duì)所有用戶進(jìn)行安全意識(shí)培訓(xùn)。應(yīng)向所有電子相關(guān)廣泛傳達(dá)電子安全保護(hù)的相關(guān)信息，使相關(guān)電子的潛在風(fēng)險(xiǎn)，利用適當(dāng)?shù)陌踩逃牧希趦?nèi)培養(yǎng)。高級(jí)管理層保建立了電子安全政策及流程。監(jiān)事會(huì)和董事必須對(duì)電子活動(dòng)的風(fēng)險(xiǎn)實(shí)施有效監(jiān)督。應(yīng)當(dāng)跨境電子服務(wù)實(shí)施適當(dāng)?shù)娘L(fēng)險(xiǎn)管理措施。外包與第管理應(yīng)當(dāng)確保雇傭的外部供應(yīng)商的勝任能力，保證其能夠滿足的安全需求。供應(yīng)商的安全控應(yīng)電子外包制定適當(dāng)?shù)牟呗?，至少包括職?zé)分離和制。特殊性要求組織架構(gòu)：要求董事會(huì)（或常務(wù)董事會(huì)）及高管層成立專職或指定專人，建立有效風(fēng)險(xiǎn)管理制度，包括風(fēng)險(xiǎn)管理政策及風(fēng)險(xiǎn)控管程序，以有效管理電子業(yè)務(wù)風(fēng)險(xiǎn)。業(yè)務(wù)策略：尼西亞要求：

20、必須在商業(yè)計(jì)劃中包含新增電子的計(jì)劃。的安全性，包括：服務(wù)不能用于大額或高ü對(duì)于電子服務(wù)，必須確保ü所有語音交互式會(huì)話，使用可靠安全的認(rèn)證，使用PIN和風(fēng)險(xiǎn)、必須。13業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求組織與策略業(yè)務(wù)策略要求制定妥善的管控措施，以管理法律及信譽(yù)風(fēng)險(xiǎn)，包括妥善的電子章條款，在電子或其他有關(guān)文件上列載資料披露及免責(zé)，以符合法律規(guī)定，如個(gè)人資料條例及海外地區(qū)的保障消費(fèi)者條例，并考慮是否需要就剩余法律風(fēng)險(xiǎn)適當(dāng)?shù)谋ｋU(xiǎn)。美國要求：建立電子的戰(zhàn)略計(jì)劃：1.應(yīng)根據(jù)客戶的需求和風(fēng)險(xiǎn)評(píng)估提供不同等級(jí)的電子銀ü行服務(wù)；2.電子計(jì)劃董事會(huì)審批，考慮到用戶需求

21、、競爭、專業(yè)化、實(shí)施費(fèi)用、維護(hù)費(fèi)用及資金支持；3.金融機(jī)構(gòu)應(yīng)定期審閱一致。，確保其與業(yè)務(wù)戰(zhàn)略保持在制定電子業(yè)務(wù)的提供或擴(kuò)張業(yè)務(wù)的計(jì)劃時(shí)，應(yīng)考慮技術(shù)風(fēng)險(xiǎn)。及服務(wù)的監(jiān)管策略時(shí)應(yīng)考慮：1.管理層審閱、審批和科技ü制定對(duì)電子相關(guān)的電子應(yīng)商；3.電子ü項(xiàng)目；2.關(guān)鍵電子和服務(wù)的安全、恢復(fù)性和第供的技術(shù)和與業(yè)務(wù)戰(zhàn)略目標(biāo)和市場需求相一致；4.高級(jí)管理層對(duì)計(jì)劃的執(zhí)行情況定期審閱；5.對(duì)高風(fēng)險(xiǎn)的活動(dòng)建立流程；6.具有足夠能力評(píng)估、選擇和實(shí)施電子的技術(shù)。巴拿馬要求ü 在提供電子：服務(wù)時(shí)，必須確保每條的真實(shí)性、完整性和性，必須避免拒絕任何已經(jīng)同意的有效，及必須確份驗(yàn)證及的職責(zé)分離。必須

22、確保至少滿號(hào)碼；b.種類1客戶在接入設(shè)備時(shí)為了達(dá)到此目的，足以下安全措施：a.用移動(dòng)支付。于移動(dòng)支付，必須自動(dòng)且清晰獲取識(shí)別客戶的移動(dòng)必須至少具有4位字符；c.提供必要的措施，以防止所提供的識(shí)別和認(rèn)證信息；d.客戶敏感時(shí)實(shí)施補(bǔ)償性?？蛻敉ㄟ^電子保對(duì)電子服務(wù)執(zhí)行時(shí)應(yīng)提供確認(rèn)。ü使用了適當(dāng)?shù)膬?nèi)部，特別是網(wǎng)上相關(guān)的操作，如：ü1.，修改或關(guān)閉；2.金融結(jié)果；3.批準(zhǔn)客戶超出預(yù)先已設(shè)定的權(quán)限；4.批。準(zhǔn)，修改或撤銷系統(tǒng)權(quán)限或風(fēng)險(xiǎn)管理策略： 越南要求根據(jù)業(yè)和性的自身制定的信息系統(tǒng)安全性和性的制定性網(wǎng)上系統(tǒng)安全性和，且必須每年對(duì)其網(wǎng)上系統(tǒng)安全性和進(jìn)行檢查和修訂。 新加坡要求參照網(wǎng)上銀系

23、統(tǒng)的安全措使用無線網(wǎng)絡(luò)的電子系統(tǒng)（如）使用類似的保護(hù)方法，并對(duì)移動(dòng)網(wǎng)絡(luò)服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別可能出現(xiàn)的詐騙場景并采取相應(yīng)的防控措施防止詐騙的發(fā)生。14業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求組織與策略外包與第管理要求，機(jī)制及數(shù)據(jù)電子機(jī)制應(yīng)符合業(yè)務(wù)外包或委托第本身的標(biāo)準(zhǔn)。服務(wù)事項(xiàng)制定的風(fēng)險(xiǎn)管理、德國要求：ü 當(dāng)電子系統(tǒng)的備份和外部流程委托于第時(shí)，必須通過額外的內(nèi)部，以及與外包商簽訂明確的正式合同和服務(wù)水平協(xié)議等，確保對(duì)于外包供應(yīng)商的備份和外部流程是適當(dāng)?shù)牟⒈挥行?zhí)行。ü 董事會(huì)及高級(jí)管理層應(yīng)建立全面持續(xù)嚴(yán)謹(jǐn)?shù)谋O(jiān)督程序，以管理由外包商所負(fù)責(zé)的電子業(yè)務(wù)。尼西亞要求如果電

24、子系統(tǒng)的部分運(yùn)維任務(wù)委托給第，必須制定和實(shí)施流程和盡職，并持續(xù)管理與第的關(guān)系。要求，分行的服務(wù)供應(yīng)商定期提交或的報(bào)告，以使跟蹤其服務(wù)易活動(dòng)情況、表現(xiàn)、安全隱患及財(cái)務(wù)狀況。具體應(yīng)包括但不限于：服務(wù)的可用服務(wù)效率（如應(yīng)答時(shí)間）、安全事故、供應(yīng)商財(cái)務(wù)穩(wěn)定性保證材料、質(zhì)量及安全保證材料。越南要求人信息的服務(wù)供應(yīng)商必須在服務(wù)合同中明確對(duì)使用網(wǎng)上服務(wù)的客戶個(gè)，收集、使用的方式，且出售或披露。要求越南要求要求對(duì)于電子業(yè)務(wù)外包或第服務(wù)事項(xiàng)建立一套適當(dāng)?shù)木o急應(yīng)變計(jì)劃。的外包供應(yīng)商制定并提交對(duì)被外包業(yè)務(wù)中斷時(shí)的處理步驟。應(yīng)從有信譽(yù)的，業(yè)內(nèi)公認(rèn)的技術(shù)水平較為先進(jìn)的供應(yīng)商處采購及路由器設(shè)備，確保與路由器設(shè)備可應(yīng)對(duì)新型

25、網(wǎng)絡(luò)威脅。且在挑選檢測系統(tǒng)時(shí)，應(yīng)考慮有關(guān)能否提供所需的數(shù)據(jù)以偵測可能的情況，以及供貨商能否適時(shí)提供最新的特征。15業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告電子業(yè)務(wù)的開展極其依賴IT系統(tǒng)，IT運(yùn)營是電子日常管理活動(dòng)中工作量最大、安系統(tǒng)管理全需求最高的環(huán)節(jié)。因此I建立有效的T系統(tǒng)安全管理管理是電子基礎(chǔ)。業(yè)務(wù)順利開展的重要在對(duì)全部范圍內(nèi)歐盟以及美國、和地區(qū)金融監(jiān)、巴拿馬等度調(diào)研時(shí)，我們發(fā)現(xiàn)亞太的絕大部分和地區(qū)、或地區(qū)，對(duì)電子的系統(tǒng)管理流程做了較為具體的規(guī)定，涉及范圍包括：性能與容量管理、日志管理、應(yīng)急管理、業(yè)務(wù)連續(xù)性管理等領(lǐng)域。一般性原則性能與容量管理應(yīng)根據(jù)電子商務(wù)市場動(dòng)態(tài)及客戶接受程度，來分析電子

26、系統(tǒng)所需容量及將來規(guī)模，并為電子及容量?；A(chǔ)架構(gòu)設(shè)備和電子系統(tǒng)建立冗余配備，保證傳輸性能日志管理應(yīng)當(dāng)應(yīng)當(dāng)和維護(hù)所有電子的日志。電子活動(dòng)保留清楚的審計(jì)軌跡，下列電子尤為適用：1. 客戶賬戶的開立、修改和取消2. 任何有財(cái)務(wù)結(jié)果的3. 任何容許客戶超出限額的4.任何系統(tǒng)或的授予、修改和取消應(yīng)急管理 建立正式的管理流計(jì)劃，及告和處理已發(fā)生的或潛在的安全。業(yè)務(wù)連續(xù)性管理重要的電子試。業(yè)務(wù)處理程序及傳輸系統(tǒng)建立災(zāi)備及業(yè)務(wù)恢復(fù)計(jì)劃并定期對(duì)其進(jìn)16業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求系統(tǒng)管理日志管理規(guī)定，應(yīng)將客戶在日志中，并網(wǎng)上系統(tǒng)中的金融。網(wǎng)驗(yàn)證上系統(tǒng)的、賦予或取消亦應(yīng)在日志中，包括系統(tǒng)更新

27、過程、系統(tǒng)配置操作、系統(tǒng)和使用設(shè)備的權(quán)限、事務(wù)處理和異常。越南要求，必須對(duì)網(wǎng)上系統(tǒng)的所有日志進(jìn)行歸檔，保存期限為至少3年。至少每月對(duì)日志進(jìn)行檢查，以監(jiān)測和防范異常和的；。巴拿馬規(guī)定，日志應(yīng)包括系統(tǒng)后的一年內(nèi)獲得監(jiān)管機(jī)構(gòu)的及客戶及操作的說明。日期對(duì)日志進(jìn)行維護(hù)。日志應(yīng)至少包括以：Ø 電子，包括客戶，日期及時(shí)間Ø 詳細(xì)的貨幣操作，包括日期，時(shí)間，技術(shù)和類型（借方/信貸），數(shù)量，賬戶及目標(biāo)賬戶，對(duì)電子及/或，日志的數(shù)據(jù)，以方便找到或試圖的根源Ø于網(wǎng)上需要通過網(wǎng)絡(luò)服務(wù)器進(jìn)行收集，應(yīng)至少包括方法ØGET/POST/HEAD)，統(tǒng)一標(biāo)示符（URI）及參數(shù)的日期和時(shí)間

28、（timestamp）。系統(tǒng)的所有日志進(jìn)行歸檔，保存期限為至少3年。至少越南要求，必須對(duì)網(wǎng)上每月對(duì)日志進(jìn)行檢查，以監(jiān)測和防范異常和的。性能與容量管理 德國要求通過測試及定期檢查等，估計(jì)電子系統(tǒng)的性能容量。業(yè)務(wù)連續(xù)性管理要求：電子業(yè)務(wù)連續(xù)性計(jì)劃遇有業(yè)務(wù)受干擾的情況，如何恢復(fù)或取代電子銀的程序。ü行處理能力及在有需要時(shí)重建電子的服務(wù)。業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)能處理依賴于外部服務(wù)供應(yīng)商（如互聯(lián)網(wǎng)服務(wù)供應(yīng)商）ü若關(guān)鍵電子服務(wù)的應(yīng)變安排會(huì)利用其他服務(wù)傳送，要考慮到客戶的ü需求與期望，確保該服務(wù)傳送可向其客戶提供適當(dāng)水平的持續(xù)服務(wù)。電子的互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的關(guān)鍵部分應(yīng)預(yù)留災(zāi)備設(shè)備，以防止

29、單點(diǎn)故障造成整ü個(gè)網(wǎng)絡(luò)及基礎(chǔ)設(shè)施無法運(yùn)行。17業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求系統(tǒng)管理業(yè)務(wù)連續(xù)性管理 美國要求：ü 建立業(yè)務(wù)連續(xù)性計(jì)劃時(shí)應(yīng)考慮：1.電子服務(wù)的業(yè)務(wù)影響分析，定義最低恢復(fù)目標(biāo)和恢復(fù)時(shí)間目標(biāo)；2.對(duì)關(guān)鍵的網(wǎng)絡(luò)組件建立冗余，避免單點(diǎn)失??；3.維護(hù)電子銀行業(yè)務(wù)連續(xù)性計(jì)劃；4.業(yè)務(wù)中斷時(shí)的客戶性計(jì)劃；6.定期測試業(yè)務(wù)恢復(fù)能力。計(jì)劃；5.審閱的業(yè)務(wù)連續(xù)ü 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)包括：1.定期審閱和更新電子連續(xù)性計(jì)劃；2.指定負(fù)責(zé)起草和管理電子恢復(fù)性計(jì)劃；3.充分分析并減輕關(guān)鍵網(wǎng)絡(luò)的任何單點(diǎn)失??；4.恢復(fù)硬件、軟件、鏈和數(shù)據(jù)文件的策略；5.定期對(duì)外部

30、供應(yīng)商或關(guān)鍵供應(yīng)商的備份協(xié)議進(jìn)試。應(yīng)急管理規(guī)定，在發(fā)現(xiàn)或接獲有關(guān)電子應(yīng)用程序的問題后，應(yīng)按情況檢查有關(guān)程序的源代碼，確保有關(guān)問題得到適當(dāng)處理。要求：建立電子件，例如業(yè)務(wù)風(fēng)險(xiǎn)管理及通報(bào)機(jī)制（影響經(jīng)營及聲譽(yù)之緊急突發(fā)事風(fēng)險(xiǎn)管理現(xiàn)狀向董事會(huì)ü、外泄），定期或于必要及高級(jí)管理階層報(bào)告。緊急的發(fā)生應(yīng)有明確的評(píng)估及認(rèn)定機(jī)制，包括發(fā)生所帶來的、ü的重要性及服務(wù)中斷的信譽(yù)風(fēng)險(xiǎn)。聯(lián)機(jī)支持操作和定期分析客戶抱怨事項(xiàng)，以幫助確認(rèn)現(xiàn)有機(jī)制之漏洞。系統(tǒng)失敗的事ü對(duì)于市場及大眾件，要建立適當(dāng)?shù)慕橘|(zhì)所關(guān)心的及聯(lián)絡(luò)策略。漏洞、及網(wǎng)絡(luò)ü重要的應(yīng)設(shè)置緊急或服務(wù)中斷應(yīng)建立緊急通報(bào)程序，通報(bào)主

31、管機(jī)關(guān)。ü處理小組，小組應(yīng)經(jīng)過充分專業(yè)訓(xùn)練，以分析、解釋、處理ü相關(guān)結(jié)果的意義及重要性。應(yīng)有明確的指揮體系，處理內(nèi)部或外包業(yè)務(wù)的緊急，并適時(shí)通報(bào)董事會(huì)。ü對(duì)于重要電子業(yè)務(wù)中斷及業(yè)務(wù)恢復(fù)，應(yīng)實(shí)時(shí)對(duì)外公告。ü應(yīng)搜集及保留法律證據(jù)訟的佐證。，以協(xié)助電子緊急的追蹤檢查及提供法律訴ü18業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告電子業(yè)務(wù)的開展極其依賴IT系統(tǒng)，IT運(yùn)營是電子日常管理活動(dòng)中工作量最大、安系統(tǒng)安全全需求最高的環(huán)節(jié)。務(wù)順利開展的重要保障。主機(jī)、終端、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)所部署的術(shù)是電子業(yè)在對(duì)全部范圍內(nèi)歐盟以及美國、和地區(qū)金融監(jiān)、巴拿馬等度調(diào)研時(shí)，我們

32、發(fā)現(xiàn)亞太的絕大部分和地區(qū)、或地區(qū)，對(duì)電子的系統(tǒng)運(yùn)營與系統(tǒng)安全管理做了全面的規(guī)定，涉及范圍包括：主機(jī)與終端安全、應(yīng)用安全、認(rèn)證與權(quán)限管理、數(shù)據(jù)安全、等領(lǐng)域。一般性原則應(yīng)用安全應(yīng)制定適當(dāng)?shù)陌踩Ｗo(hù)措施，如進(jìn)行代碼審閱，部署防軟件、網(wǎng)絡(luò)和檢測系統(tǒng)，以避免系統(tǒng)中出現(xiàn)代碼并防止電子系統(tǒng)受到或惡意（包括拒絕服務(wù)、中間人。、緩沖區(qū)溢出）的影響。此外，還取相應(yīng)措施，防止電子應(yīng)及時(shí)對(duì)電子相關(guān)設(shè)備及系統(tǒng)進(jìn)行升級(jí)，包括應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫及、檢查設(shè)備，確保電子相關(guān)系統(tǒng)和設(shè)備更新至安全的版本。認(rèn)證與權(quán)限管理取適當(dāng)?shù)拇腚娮拥姆?wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫和應(yīng)用程序進(jìn)行控制，防止對(duì)上述設(shè)備或系統(tǒng)的未問。，并確保系統(tǒng)對(duì)不相容職

33、責(zé)進(jìn)行了適當(dāng)?shù)脑L取適當(dāng)?shù)恼J(rèn)證技術(shù)來保證用戶的是電子的或通過電子。同時(shí)采取適當(dāng)?shù)拇腚娮涌蛻暨M(jìn)行認(rèn)證?？蛻暨M(jìn)行，必須要求客戶使用帶有客戶數(shù)字簽名的數(shù)字，以確?；顒?dòng)的不可抵賴性。此。多因素認(rèn)證包括以外，還應(yīng)對(duì)客戶進(jìn)行多因素認(rèn)證，以最大限度的防止未下要素：Ø 用戶所知（如、）Ø 用戶所有（如令牌、智能卡、ATM卡）Ø 用戶特征（如生物特征）Ø 用戶位置（如地理位置）當(dāng)客戶完成高風(fēng)險(xiǎn)后，過第二（如）通知客戶本次交）。易。通知內(nèi)容應(yīng)包括類型、發(fā)款人的部分賬戶號(hào)碼、金額（19業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告一般性原則系統(tǒng)安全數(shù)據(jù)安全對(duì)于在通過電子系統(tǒng)、傳輸、處

34、理、使用的敏感數(shù)據(jù)，應(yīng)使用國際認(rèn)可或經(jīng)過合理測試的加密算法，保護(hù)數(shù)據(jù)的性。對(duì)于在網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)，用端到端加密，如行加密。此外，接層的使用。還應(yīng)對(duì)客戶、加密其他加密代碼進(jìn)性。還應(yīng)定期審閱加密算法是否能夠保證數(shù)據(jù)的取適當(dāng)?shù)拇胧?，保證與電子系統(tǒng)和傳輸中的、及其他信息的完整性、性、準(zhǔn)確性、真實(shí)性和不可抵賴性。應(yīng)建立密鑰管理流程，不應(yīng)任何個(gè)人掌握密鑰生命周期的全部信息。過期、失效或已泄露的密鑰。鑰的生成應(yīng)經(jīng)過合理的。及時(shí)應(yīng)建立管理流程，在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間實(shí)施足夠的安全措施， 如對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行分段、應(yīng)用多個(gè)在關(guān)鍵位置部署非軍事區(qū)、安裝IDS/IPS系統(tǒng)等。定期檢查上述設(shè)備或系統(tǒng)的安全策略

35、是否適應(yīng)當(dāng)前安全環(huán)境，及時(shí)修補(bǔ)相關(guān)漏洞。應(yīng)根據(jù)的要求，對(duì)網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)奈锢砼c邏輯，并建立網(wǎng)絡(luò)拓?fù)鋱D，網(wǎng)絡(luò)中各方的連接情況。取適當(dāng)?shù)拇腚娮拥木W(wǎng)絡(luò)會(huì)話進(jìn)行保護(hù)，設(shè)置會(huì)話中斷時(shí)間，對(duì)失效的會(huì)話必須進(jìn)行重新連接。確保已知客戶的連接無法被未知的第不能夠通過修改認(rèn)證數(shù)據(jù)庫的方法被回避。代替，以及認(rèn)證20業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求系統(tǒng)安全主機(jī)與終端安全新加坡規(guī)定，移動(dòng)設(shè)備易丟失或，應(yīng)對(duì)用于移動(dòng)網(wǎng)絡(luò)服務(wù)和支付的敏感數(shù)據(jù)進(jìn)行加密保護(hù)，保證數(shù)據(jù)在、傳輸和處理過程中的性和完整性。要求對(duì)電子客戶認(rèn)證數(shù)據(jù)庫和敏感系統(tǒng)進(jìn)行保護(hù)，防止系統(tǒng)干擾或中斷的影響。系統(tǒng)干擾應(yīng)能被檢測并審計(jì)痕跡。規(guī)定，并應(yīng)用加

36、密、應(yīng)盡量避免在臺(tái)式機(jī)和筆記本計(jì)算機(jī)上敏感或高風(fēng)險(xiǎn)數(shù)據(jù)，和數(shù)據(jù)恢復(fù)計(jì)劃對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)。要求應(yīng)安排程序。負(fù)責(zé)適當(dāng)檢查、測試及應(yīng)用服務(wù)器、及路由器的修補(bǔ)規(guī)定，應(yīng)使用互聯(lián)網(wǎng)基礎(chǔ)設(shè)施或非軍事區(qū)內(nèi)與處理電子系統(tǒng)相關(guān)的前端處理程序，如核實(shí)數(shù)據(jù)或響應(yīng)客戶的程序，易受來自互聯(lián)網(wǎng)用戶的，因此裝有這些程序的服務(wù)器不得任何數(shù)據(jù)。規(guī)定，載有的管理網(wǎng)頁或敏感數(shù)據(jù)的隱藏目錄應(yīng)從生產(chǎn)服務(wù)器中移除，或以有效的認(rèn)證及接達(dá)管控機(jī)制保護(hù)。同時(shí)，備用及共享也應(yīng)從生產(chǎn)網(wǎng)站服務(wù)器或目錄的結(jié)構(gòu)中移除，以免被用戶接入。越南在主機(jī)與終端方面做出了以下規(guī)定：應(yīng)制定獲準(zhǔn)安裝在網(wǎng)上更新和檢查；服務(wù)器中的軟件，并且每季度對(duì)該進(jìn)行Ø應(yīng)保證

37、網(wǎng)上系統(tǒng)的數(shù)據(jù)庫管理系統(tǒng)滿足穩(wěn)定運(yùn)行的要求，并能夠根據(jù)運(yùn)Ø行要求處理和儲(chǔ)存大量數(shù)據(jù)，以及具備安全機(jī)制和對(duì)數(shù)據(jù)庫的。德國要求金融機(jī)構(gòu)應(yīng)運(yùn)用適當(dāng)?shù)膾呙韫ぞ叨ㄆ跈z查電子運(yùn)行環(huán)境及IT內(nèi)控系統(tǒng)，以識(shí)別潛在的安全問題。并對(duì)應(yīng)用進(jìn)行合理配置和維護(hù)，以修補(bǔ)發(fā)現(xiàn)的漏洞。美國規(guī)定應(yīng)對(duì)系統(tǒng)進(jìn)行加固，移除不需要或不安全的服務(wù)及文件，更改配置和密碼的默認(rèn)設(shè)置。應(yīng)用安全要求機(jī)構(gòu)應(yīng)考慮在開發(fā)電子應(yīng)用程序時(shí)，評(píng)估不同的工具或語言可以提供的安全功能，以確保能夠?qū)嵤┯行У膽?yīng)用程序安全措施。 新加坡要求，應(yīng)保證客戶可從第移動(dòng)網(wǎng)絡(luò)服務(wù)及支付應(yīng)用,客戶應(yīng)能夠確也應(yīng)檢查客戶所使用的移動(dòng)網(wǎng)絡(luò)服務(wù)應(yīng)用的認(rèn)上述應(yīng)用的可靠性及真實(shí)性

38、，同時(shí)有效性及完整性。21業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求系統(tǒng)安全應(yīng)用安全規(guī)定，查問卷。給客戶的電子郵件不能包含以及需要客戶個(gè)人數(shù)據(jù)的調(diào)要求越南要求應(yīng)考慮電子指定專人管理網(wǎng)上錯(cuò)時(shí)不應(yīng)透露系統(tǒng)的敏感細(xì)節(jié)。系統(tǒng)的源程序。并確保對(duì)源程序的應(yīng)當(dāng)?shù)玫竭m當(dāng)?shù)膶徟透?，且在日志中?；蚴盏焦?yīng)商建議之后對(duì)電子越南要求金融機(jī)構(gòu)至少每6一次補(bǔ)丁更新和錯(cuò)誤糾正。數(shù)據(jù)庫管理系統(tǒng)進(jìn)行新加坡要求，在客戶使用從第（如App store、Play等）的服務(wù)或應(yīng)用時(shí)，應(yīng)檢查客戶端的應(yīng)用是否真實(shí)有效。規(guī)定，對(duì)于類電子服務(wù)（能夠進(jìn)行），應(yīng)實(shí)施別的保護(hù)，包括強(qiáng)健的認(rèn)證方法以及對(duì)傳輸中的敏感信息加密。巴拿馬要求建立

39、管理電子服務(wù)相關(guān)行為的系統(tǒng)和全面的客戶行 跟進(jìn)。建立為的解決方案，包括識(shí)別方法、早期另外，為防止電子服務(wù)的不當(dāng)使用，、防范措施及必須確保各種情況的認(rèn)證及可疑及有效的安全措施。因此，必須制定了解客戶的相關(guān)政策，對(duì)程序及其他有關(guān)電子使用不當(dāng)?shù)谋O(jiān)管條例及法律條款進(jìn)行盡職。認(rèn)證與權(quán)限管理對(duì)認(rèn)證做出了以下特殊性規(guī)定：Ø 機(jī)構(gòu)應(yīng)向客戶提供真實(shí)性的適當(dāng)方法（如服務(wù)器及密鑰輪）；Ø 若機(jī)構(gòu)在評(píng)估認(rèn)證機(jī)制后，決定只利用用戶名及方式驗(yàn)證客戶，應(yīng)實(shí)施足夠的客戶安全措施保護(hù)客戶，并采取有效的監(jiān)察機(jī)制，以偵測任何異?；顒?dòng)；Ø 如果機(jī)構(gòu)使用數(shù)字作為雙因素認(rèn)證方式，機(jī)構(gòu)保數(shù)字及其私鑰是不可的，

40、且保存在安全介質(zhì)中。客戶在使用完畢后，應(yīng)提示客戶斷開數(shù)字介質(zhì)和電腦終端的連接；在使用的方式向客戶前，應(yīng)向客戶信息：Ø類型，發(fā)款人的部分賬號(hào)信息，金額?？蛻魬?yīng)對(duì)信息的準(zhǔn)確性作出 有效期應(yīng)小于100秒；確認(rèn)后再輸入高風(fēng)險(xiǎn)客戶每進(jìn)行一次高風(fēng)險(xiǎn)的的。的操作，需要使用不同的Ø 機(jī)構(gòu)應(yīng)考慮采用可靠的安全機(jī)制管理電子會(huì)話，例如設(shè)置超時(shí)中斷措施；被冒用的可能，例如：使用不同的登應(yīng)實(shí)施必要的管控措施以降低客戶Ø錄和，只可以向已的賬戶進(jìn)行轉(zhuǎn)賬，設(shè)置限額；22業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求系統(tǒng)安全認(rèn)證與權(quán)限管理對(duì)認(rèn)證進(jìn)行了以下規(guī)定：低風(fēng)險(xiǎn)非約定轉(zhuǎn)入賬戶的轉(zhuǎn)賬應(yīng)增設(shè)；

41、Ø凡是新增、刪除或變更個(gè)人、可修改認(rèn)證系統(tǒng)數(shù)據(jù)庫；者、系統(tǒng)的認(rèn)證數(shù)據(jù)，均需經(jīng)過認(rèn)證及，才Ø經(jīng)認(rèn)證的電子系統(tǒng)聯(lián)機(jī)應(yīng)全程保持安全性，當(dāng)發(fā)生安全時(shí)，此類會(huì)話應(yīng)重Ø新認(rèn)證客戶及權(quán)限；機(jī)構(gòu)簽發(fā)的并遵循金融XML跨行應(yīng)用應(yīng)使用經(jīng)認(rèn)可的共享性Ø技術(shù)規(guī)范且法人用戶必須使用硬件裝置儲(chǔ)存密鑰?？缇W(wǎng)使用時(shí)必須使用管機(jī)構(gòu)審核通過的中間件所支持的；實(shí)依操作標(biāo)準(zhǔn)/流程辦理相關(guān)業(yè)務(wù)。如使用網(wǎng)絡(luò)認(rèn)證金融機(jī)構(gòu)有Ø限公司（TWCA）NBCA應(yīng)以臨柜或郵遞方式向(Network Banking CA，網(wǎng)絡(luò)使用之)的客戶，中心申請(qǐng)新；使用金融XML(eXtensible Markup

42、Language，可擴(kuò)展標(biāo)記語言)的客戶，應(yīng)以使用中的有效私鑰簽名后傳遞中心申請(qǐng)新。菲律賓要求應(yīng)用，采取適當(dāng)?shù)恼J(rèn)證技術(shù)來保證用戶取與運(yùn)營商單獨(dú)區(qū)分的認(rèn)證協(xié)議。的是的；對(duì)于無線韓國規(guī)定，用戶同意或帶有可驗(yàn)證的電子簽名的電子文檔所示的認(rèn)證憑證在其預(yù)計(jì)使用日期的六內(nèi)尚未使用，則應(yīng)對(duì)該途徑進(jìn)行更新或更替。美國要求應(yīng)根據(jù)客戶類型、類型、信息敏感程度、通訊設(shè)備使用情況和量等方面評(píng)估網(wǎng)上認(rèn)證的風(fēng)險(xiǎn)。美國規(guī)定，對(duì)于敏感操作，一人以上進(jìn)行審批后才可以操作，如大額電子資金轉(zhuǎn)移或密鑰。數(shù)據(jù)安全 德國在數(shù)據(jù)保護(hù)方面做了如下特殊性規(guī)定：Ø 為確保數(shù)據(jù)接收方能接收到完整的數(shù)據(jù)，數(shù)據(jù)在被前，完整性校驗(yàn)；數(shù)據(jù)方只能

43、通過完整性校驗(yàn)的數(shù)據(jù)；Ø 對(duì)于已發(fā)生但未被的，必須采取適當(dāng)?shù)男袆?dòng)，以確保信息完整性；Ø 用戶名和必須不得于互聯(lián)網(wǎng)瀏覽器或者電子商務(wù)和IT系統(tǒng)中，除非采取適當(dāng)?shù)陌踩胧┓乐蛊涞?。?guī)定，對(duì)于的泄露。與客戶間的數(shù)據(jù)傳輸，需使用接層（SSL）來防止 澳大利亞審慎監(jiān)管署要求對(duì)數(shù)據(jù)的加密強(qiáng)度要與其敏感程度和重要程度相符，并且要 定期檢查以保證加密技術(shù)及其強(qiáng)度始終適合風(fēng)險(xiǎn)環(huán)境；還規(guī)定金融機(jī)構(gòu)要通過加密技術(shù)保證重要敏感數(shù)據(jù)跨境傳輸?shù)陌踩浴?3業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求系統(tǒng)安全數(shù)據(jù)安全規(guī)定，如果無法部署端到端加密，且電子系統(tǒng)通信在客戶設(shè)備與統(tǒng)之間傳輸時(shí)需要，則取適當(dāng)

44、的措施保護(hù)，如步驟特殊安全設(shè)備上進(jìn)行（防篡改設(shè)備）。澳大利亞要求在生成網(wǎng)絡(luò)服務(wù)的PIN碼時(shí)加密。規(guī)定當(dāng)應(yīng)用PKI認(rèn)證，機(jī)構(gòu)保滿足以下安全需求（包括但不限于）：在安全生效前檢查數(shù)字和密鑰的合理性；Ø為在設(shè)置合理的有效期，在過期后應(yīng)評(píng)估密鑰長度和加密算法的有效性，Ø再次生效前根據(jù)需要對(duì)密鑰長度和加密算法進(jìn)行變更；在進(jìn)行前檢查撤銷列表，確保數(shù)字的有效性；Ø定義撤銷的情景，如客戶密鑰用或用戶賬號(hào)已注銷；Ø在數(shù)據(jù)庫中對(duì)已被撤銷的進(jìn)行定時(shí)狀態(tài)更新，最好可以實(shí)時(shí)更新；Ø確保對(duì)根密鑰實(shí)施了嚴(yán)格的安全保護(hù)措施；Ø定期進(jìn)行審計(jì)，確保已實(shí)施了合理的安全、公

45、鑰與私鑰長度合理、Ø模塊的設(shè)計(jì)符合業(yè)界標(biāo)準(zhǔn)，并已對(duì)認(rèn)證中心的系統(tǒng)進(jìn)行了保護(hù)；保存認(rèn)證中心系統(tǒng)所有安全的審計(jì)日志，包括對(duì)根密鑰的使用；Ø定期審閱認(rèn)證中心的異常報(bào)告及其雇員的系統(tǒng)活動(dòng)，防止的發(fā)生；破壞和未Ø確保機(jī)構(gòu)的數(shù)字及認(rèn)證系統(tǒng)符合被廣泛接受的PKI技術(shù)標(biāo)準(zhǔn)，確保機(jī)構(gòu)的安全Ø與其他認(rèn)證中心的兼容性。24業(yè)監(jiān)管調(diào)研報(bào)告系列：電子安全保護(hù)專題報(bào)告特殊性要求系統(tǒng)安全數(shù)據(jù)安全對(duì)數(shù)據(jù)加密做出了如下規(guī)定：為了信息的性，可采取對(duì)稱加系統(tǒng)或非對(duì)稱加系統(tǒng)：ØI.應(yīng)至少采用DES(密鑰有效長度固定為56位)或其他安全強(qiáng)度相同之算法；II.如采用RSA，密鑰長度不得小于1024位，采用其他算法則其安全強(qiáng)度至少須與前述規(guī)范之RSA強(qiáng)度相同；III. 信息須全文加密。通過互聯(lián)網(wǎng)執(zhí)行電子轉(zhuǎn)賬及指示類的低風(fēng)險(xiǎn)指示信息，除限定性繳費(fèi)Ø稅外，其運(yùn)用安全機(jī)制若不具備無法否認(rèn)傳遞信息、無法否認(rèn)接收信息等基本防護(hù)措施者，則其運(yùn)用