農(nóng)村信用社網(wǎng)上銀行業(yè)務(wù)風(fēng)險管理辦法

XX農(nóng)村信用社網(wǎng)上銀行業(yè)務(wù)風(fēng)險管理辦法（試行）目錄第一章總則第二章風(fēng)險管理的組織機(jī)構(gòu)與職責(zé)第三章風(fēng)險管理內(nèi)容第一節(jié)操作風(fēng)險管理第二節(jié)信息科技風(fēng)險管理第三節(jié)聲譽(yù)風(fēng)險管理第一章總則第一條為加強(qiáng)XX農(nóng)村信用社網(wǎng)上銀行業(yè)務(wù)的風(fēng)險管理，保障客戶及銀行的合法權(quán)益，促進(jìn)電子銀行業(yè)務(wù)的健康有序發(fā)展，根據(jù)《中華人民共和國電子簽名法》、《電子銀行業(yè)務(wù)管理辦法》、《電子銀行安全評估指引》、《商業(yè)銀行信息科技風(fēng)險管理指引》《電子支付指引（第一號）》《XX農(nóng)村信用社風(fēng)險管理辦法》等，制定本辦法。第二條XX農(nóng)村信用社網(wǎng)上銀行風(fēng)險管理的目標(biāo)是通過建立有效的機(jī)制，實(shí)現(xiàn)對網(wǎng)上銀行風(fēng)險的識別、計量、監(jiān)測和控制，促進(jìn)電子銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動業(yè)務(wù)創(chuàng)第1頁共8頁新，提高信息技術(shù)使用水平，增強(qiáng)核心競爭力和可持續(xù)發(fā)展能力。第三條網(wǎng)上銀行的風(fēng)險主要體現(xiàn)為：操作風(fēng)險、信息科技風(fēng)險、法律風(fēng)險、聲譽(yù)風(fēng)險以及信用風(fēng)險、市場風(fēng)險。網(wǎng)上銀行信用風(fēng)險、市場風(fēng)險的管理應(yīng)遵守XX農(nóng)村信用社現(xiàn)行各項風(fēng)險管理制度。本辦法重點(diǎn)規(guī)范操作風(fēng)險、信息科技風(fēng)險、法律風(fēng)險、聲譽(yù)風(fēng)險的管理。第四條本辦法適用于全省農(nóng)村信用社（含農(nóng)村商業(yè)銀行、農(nóng)村合作銀行）。第二章風(fēng)險管理的組織機(jī)構(gòu)與職責(zé)第五條各級農(nóng)村信用社的理（董）事會是網(wǎng)上銀行風(fēng)險管理的最高決策管理機(jī)構(gòu)，應(yīng)當(dāng)對轄內(nèi)的網(wǎng)上銀行風(fēng)險管理工作承擔(dān)最終責(zé)任。第六條XX農(nóng)村信用社聯(lián)合社負(fù)責(zé)制定網(wǎng)上銀行風(fēng)險管理政策、監(jiān)控風(fēng)險管理政策執(zhí)行情況、確定網(wǎng)上銀行風(fēng)險管理活動目標(biāo)、審批網(wǎng)上銀行風(fēng)險管理的重大事項，建立涵蓋XX農(nóng)村信用社范圍的網(wǎng)上銀行各項活動的風(fēng)險管理體系。第七條省聯(lián)社網(wǎng)上銀行管理部門，主要職責(zé)有：貫徹落實(shí)網(wǎng)上銀行監(jiān)管的各項規(guī)定與政策；擬定網(wǎng)上銀行管理、運(yùn)營的各項規(guī)章制度；提供客戶服務(wù)，開展網(wǎng)上銀行業(yè)務(wù)的市場調(diào)研、產(chǎn)品開發(fā)及產(chǎn)品完善工作；負(fù)責(zé)提出網(wǎng)上銀行業(yè)務(wù)開發(fā)、更新、升級需求，并組織相關(guān)測試和培訓(xùn)；落實(shí)網(wǎng)上銀行風(fēng)險管理政策及內(nèi)控要求，確保網(wǎng)上銀行業(yè)務(wù)運(yùn)行的連續(xù)性和安全性。負(fù)責(zé)產(chǎn)品研發(fā)過程中的技術(shù)風(fēng)險分析、新產(chǎn)品開發(fā)、投產(chǎn)和功能完善工作；負(fù)責(zé)網(wǎng)上銀行運(yùn)營設(shè)備和安全控制設(shè)備的正常運(yùn)轉(zhuǎn)；網(wǎng)上銀行數(shù)據(jù)的安全存放和傳遞；風(fēng)險管理技術(shù)手段的安全保障；及時解決網(wǎng)上銀行系統(tǒng)運(yùn)行中出現(xiàn)的技術(shù)問題，確保網(wǎng)上銀行系統(tǒng)安全、正常運(yùn)行。第八條財務(wù)管理處負(fù)責(zé)制定會計核算規(guī)章制度，確保網(wǎng)上銀行業(yè)務(wù)嚴(yán)格按照國家會計政策和相關(guān)制度執(zhí)行，參與電子銀行業(yè)務(wù)的需求討論、系統(tǒng)測試與驗收工作。第九條轄內(nèi)各級稽核部門負(fù)責(zé)網(wǎng)上銀行系統(tǒng)的檢查審計工作，開展電子銀行系統(tǒng)運(yùn)行的審計，查找并督促消除業(yè)務(wù)風(fēng)險和管理隱患，查處違反電子銀行系統(tǒng)內(nèi)部控制制度的事件。第十條風(fēng)險合規(guī)處負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)風(fēng)險管理所涉及的法律事務(wù)，并負(fù)責(zé)電子銀行業(yè)務(wù)知識產(chǎn)權(quán)的保護(hù)工作。第十一條反洗錢工作由反洗錢辦公室負(fù)責(zé)，對大額和可疑支付交易向監(jiān)管部門進(jìn)行報告。第三章風(fēng)險管理內(nèi)容第一節(jié)操作風(fēng)險管理第十二條操作風(fēng)險是指由不完善或有問題的內(nèi)部程序、員工和信息科技系統(tǒng)，以及外部事件所造成的損失，包括法律風(fēng)險。第十三條對于XX農(nóng)村信用社員工操作風(fēng)險控制的基本要求：（一）有效隔離應(yīng)用系統(tǒng)、驗證系統(tǒng)、處理系統(tǒng)和數(shù)據(jù)庫等各系統(tǒng)間的風(fēng)險傳遞；（二）確保任何單個員工和外部服務(wù)供應(yīng)商都無法獨(dú)立完成一項交易；（三）加強(qiáng)員工思想道德教育，強(qiáng)化操作人員密碼管理，實(shí)行分級授權(quán)管理。（四）實(shí)行電子銀行關(guān)鍵崗位工作人員AB崗制，崗位第一責(zé)任人不在崗位時，應(yīng)指定相應(yīng)工作人員代其行使相關(guān)事權(quán)，確保工作不間斷、不拖延。第十四條對于客戶的操作風(fēng)險提示：（一）詳細(xì)說明并提供演示流程，清晰告知客戶網(wǎng)上銀行操作要領(lǐng)；（二）通過客戶服務(wù)中心、操作指南、柜員指導(dǎo)等多渠道提供幫助，并及時進(jìn)行風(fēng)險提示；（三）通過登陸保護(hù)、密碼強(qiáng)度以及各類防范技術(shù)盡可能減少客戶發(fā)生風(fēng)險損失的概率。（四）客戶重要信息（如姓名、身份證號碼等）變更必須由本人持有效證件前往營業(yè)網(wǎng)點(diǎn)辦理。第十五條客戶辦理網(wǎng)上銀行業(yè)務(wù)，填寫的業(yè)務(wù)申請表、授權(quán)書等內(nèi)容不得涂改。第十六條受理機(jī)構(gòu)接受客戶網(wǎng)上銀行業(yè)務(wù)申請時，必須堅持“三核對”，即：核對客戶出示的有效證件、賬戶憑證原件與申請表上填寫的內(nèi)容是否相符；通過系統(tǒng)核對客戶密碼或直接核對賬戶預(yù)留印鑒；核對申請表、授權(quán)書上的填寫內(nèi)容與系統(tǒng)顯示的客戶信息（戶名、證件類型、證件號碼等）是否相符。第十七條各級審計部門應(yīng)建立網(wǎng)上銀行業(yè)務(wù)的自律監(jiān)管與檢查制度，并納入全省綜合業(yè)務(wù)自律監(jiān)管與檢查的統(tǒng)一管理，對網(wǎng)上銀行業(yè)務(wù)的操作風(fēng)險進(jìn)行監(jiān)督。第十八條法律風(fēng)險是指違反或不遵守法律、法規(guī)、規(guī)章或慣例等給銀行收益或資本所造成的風(fēng)險。第十九條電子銀行業(yè)務(wù)的開通，必須首先與客戶簽訂電子銀行服務(wù)協(xié)議及合同，明確雙方的權(quán)利與義務(wù)，并在協(xié)議條款和網(wǎng)站上對電子銀行業(yè)務(wù)有可能造成的風(fēng)險進(jìn)行公告。第二十條對于客戶有意泄露密碼或未履行應(yīng)盡義務(wù)的，xx農(nóng)村信用社應(yīng)根據(jù)法律法規(guī)維護(hù)自身合法權(quán)益。

第二節(jié)信息科技風(fēng)險管理第二條本辦法所稱信息科技風(fēng)險是指信息科技在XX農(nóng)村信用社網(wǎng)上銀行系統(tǒng)運(yùn)用過程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷導(dǎo)致的銀行收益或資本的風(fēng)險。第二十二條嚴(yán)密防范并及時填堵系統(tǒng)后門，以防止黑客通過后門進(jìn)入系統(tǒng)進(jìn)行破壞和竊密。第二十三條建立網(wǎng)絡(luò)邏輯分段，形成IP子網(wǎng)，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的隔離，在路由器上實(shí)施包過濾，并且利用防火墻來實(shí)現(xiàn)基于IP地址的內(nèi)外訪問控制。第二十四條建立實(shí)時病毒防范功能，以防止系統(tǒng)錯誤、數(shù)據(jù)混亂、服務(wù)失敗等給業(yè)務(wù)系統(tǒng)和管理系統(tǒng)帶來損失。第二十四條建立實(shí)時病毒防范功能，以防止系統(tǒng)錯第二十五條建立數(shù)據(jù)存儲備份管理，確保在發(fā)生系統(tǒng)被破壞、應(yīng)用錯誤、數(shù)據(jù)丟失時，通過數(shù)據(jù)存儲管理進(jìn)行及時恢復(fù)。第二十六條建立系統(tǒng)安全漏洞掃描機(jī)制，在系統(tǒng)使用過程中動態(tài)地尋找系統(tǒng)漏洞，幫助完善系統(tǒng)的安全，并以此防止由于其它的網(wǎng)絡(luò)操作對系統(tǒng)的安全造成威脅。第二十七條建立外部攻擊偵測機(jī)制，通過IDS、IPS系統(tǒng)，及時發(fā)現(xiàn)外部攻擊行為，并對攻擊行為進(jìn)行及時處理，問題嚴(yán)重時候，啟動應(yīng)急預(yù)案。

第二十八條采用身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整、數(shù)字簽名、防重發(fā)等安全控制機(jī)制，保證客戶使用的安全性。第二十九條進(jìn)行風(fēng)險評估，制定風(fēng)險評估計劃，識別信息資產(chǎn)，評價信息資產(chǎn)威脅發(fā)生的可能性以及弱點(diǎn)被利用的容易程度，確定風(fēng)險等級，找出目標(biāo)與現(xiàn)狀的差距，改進(jìn)信息安全措施。第三十條制定安全計劃，明確實(shí)施方案，確定可接受風(fēng)險的程度，制定風(fēng)險緩釋策略，減少、規(guī)避和轉(zhuǎn)移風(fēng)險；檢查和測試風(fēng)險緩釋策略和安全計劃實(shí)施情況。第三十一條保證網(wǎng)上銀行開發(fā)環(huán)境和應(yīng)用環(huán)境的分離，評估和認(rèn)證后續(xù)開發(fā)應(yīng)用的需求和風(fēng)險。第三節(jié)聲譽(yù)風(fēng)險管理第三十二條聲譽(yù)風(fēng)險是指負(fù)面的公眾輿論對XX農(nóng)村信用社收益或資本所造成的風(fēng)險。第三十三條在網(wǎng)上銀行系統(tǒng)中，應(yīng)采用先進(jìn)的成熟技術(shù)，避免因技術(shù)落后給客戶帶來不便，使客戶對我單位整體服務(wù)能力產(chǎn)生懷疑。第三十四條為客戶信息負(fù)責(zé)，防止