農(nóng)村信用社手機(jī)銀行業(yè)務(wù)風(fēng)險管理辦法（試行）模版

1、xx農(nóng)村信用社手機(jī)銀行風(fēng)險管理辦法（試行）第一章總則第一條 為確保xx農(nóng)村信用社手機(jī)銀行系統(tǒng)運行安全， 按照中國銀行業(yè)監(jiān)督管理委員會電子銀行業(yè)務(wù)管理辦法的有 關(guān)要求，特制定本辦法。第二條 手機(jī)銀行安全管理設(shè)計的基本原則（一）完善手機(jī)銀行安全管理體系。手機(jī)銀行的安全管理體系包括技術(shù)管理體系、業(yè)務(wù)管理體系和內(nèi)控管理體系。（二）建立合理的授權(quán)制度。（三）采用綜合性的智能網(wǎng)絡(luò)管理系統(tǒng)，提供一體化的網(wǎng)絡(luò)管理服務(wù)。（四）手機(jī)銀行的安全管理應(yīng)建立完善的內(nèi)控管理制度。（五）手機(jī)銀行應(yīng)該建立起一套集保護(hù)、監(jiān)測、反應(yīng)于一體的動態(tài)監(jiān)控和預(yù)警體系。（六）對于可能引起系統(tǒng)中斷或故障的各種原因要進(jìn)行評估， 要事先制定出相

2、應(yīng)的災(zāi)難恢復(fù)計劃。第二章技術(shù)方面的風(fēng)險控制措施第三條 采用權(quán)威性的、可信賴性的金融認(rèn)證中心（cfca） 證書認(rèn)證體系，以及電子簽名技術(shù)，保證客戶的身份認(rèn)證，交易 信息的完整性、保密性、可用性、可控性、可審查性以及不可抵 賴性。第四條在手機(jī)銀行系統(tǒng)中，采用二級防火墻、入侵檢測、 漏洞掃描技術(shù)作為系統(tǒng)安全的核心,可以有效的抵御內(nèi)外的攻擊。 第五條訪問控制。網(wǎng)絡(luò)接入點采用兩臺防火墻互為備份，通過劃分外網(wǎng)區(qū)、dmz 區(qū)和內(nèi)網(wǎng)區(qū)不同安全區(qū)域，對不同級別的訪問進(jìn)行嚴(yán)格端口和服務(wù)限制。第六條 入侵檢測系統(tǒng)置于手機(jī)銀行 web 服務(wù)器區(qū)域。移動網(wǎng)絡(luò)的接入點通過防火墻進(jìn)行隔離，對于進(jìn)入內(nèi)部的信息，入侵 檢測進(jìn)行

3、掃描，入侵檢測一旦發(fā)現(xiàn)危險的操作，技術(shù)人員通過對 入侵檢測的信息進(jìn)行分析，及時對防火墻進(jìn)行相應(yīng)的安全策略調(diào) 整，能夠有效防止入侵者（黑客）的欺騙性攻擊。進(jìn)入我行社的內(nèi)部網(wǎng)（防火墻內(nèi)部端口區(qū)）后，所有與相關(guān)服務(wù)器的連接都要經(jīng)過二級防火墻，一級防火墻的內(nèi)部區(qū)位于二級防火墻的外部區(qū)，此區(qū)域?qū)Ψ阑饓Φ钠渌麉^(qū)域進(jìn)入要求非常高。手機(jī)銀行數(shù)據(jù)和應(yīng)用服務(wù)器都在防火墻單獨的區(qū)域內(nèi)，內(nèi)部網(wǎng)絡(luò)都無法直接訪問數(shù)據(jù)服務(wù)器，均設(shè)定訪問控制、端口控制和地址轉(zhuǎn)換。第七條 為保證整個系統(tǒng)的安全，利用漏洞掃描系統(tǒng)定期對移動網(wǎng)絡(luò)入口設(shè)備、內(nèi)部網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行檢測，一旦發(fā)現(xiàn) 漏洞及時對系統(tǒng)進(jìn)行升級，對網(wǎng)絡(luò)部署進(jìn)行調(diào)整，并充分發(fā)揮

4、現(xiàn) 有設(shè)備的作用，保證系統(tǒng)的安全性和穩(wěn)定性。第八條 通過防火墻日志，能夠?qū)崟r監(jiān)控系統(tǒng)的運行，及時地掌握系統(tǒng)安全狀況，發(fā)現(xiàn)問題并作出相應(yīng)的對策。第三章業(yè)務(wù)流程方面的風(fēng)險控制措施第九條系統(tǒng)管理員對主管柜員的操作權(quán)限進(jìn)行設(shè)置，不允 許其操作個人指令，只允許其查詢。第十條簽約個人用戶登錄、使用手機(jī)銀行，綁定用戶當(dāng)前 使用的手機(jī)終端設(shè)備，并增加短信驗證碼對其密碼的保護(hù)。第十一條系統(tǒng)設(shè)置單筆限額和累計限額。采用動態(tài)短信驗證碼及支付密碼認(rèn)證，系統(tǒng)設(shè)置最高單筆限額和最高日累計限額， 同時支持客戶在系統(tǒng)最高限額范圍內(nèi)根據(jù)個人需求設(shè)置最高單筆限額和最高日累計限額。第十二條客戶在每次登錄手機(jī)銀行系統(tǒng)時，系統(tǒng)提示預(yù)留

5、 信息和登錄次數(shù)。第十三條為防止經(jīng)辦柜員遺漏操作業(yè)務(wù)造成風(fēng)險。系統(tǒng)設(shè)置經(jīng)辦人員查詢業(yè)務(wù)處理時，直接打印清單，才能進(jìn)行業(yè)務(wù)處理， 如果未打印清單，則不能進(jìn)行業(yè)務(wù)處理。第十四條 各行社內(nèi)管柜員如果發(fā)現(xiàn)可疑指令,先通過綜合業(yè)務(wù)系統(tǒng)進(jìn)行查詢；如果已經(jīng)扣款成功，打印清單后直接處理； 如果綜合業(yè)務(wù)系統(tǒng)扣款不成功，內(nèi)管柜員選擇放棄該筆指令。第十五條 如果落地指令經(jīng)過柜員審核不通過而選擇拒絕， 則柜員要進(jìn)行手工沖賬，確?？蛻籼峤坏拿抗P指令安全性。第十六條 轉(zhuǎn)賬交易需同時輸入收款人賬號和收款人戶名， 并在后續(xù)交易界面重復(fù)顯示收款人賬號、收款人戶名和轉(zhuǎn)賬金額 等重要信息，防止操作失誤。第四章管理制度方面的風(fēng)險控制

6、措施第十七條設(shè)置手機(jī)銀行相關(guān)管理機(jī)構(gòu)或崗位,省聯(lián)社設(shè)置 手機(jī)銀行安全主管及安全管理組、手機(jī)銀行應(yīng)急小組等。第十八條制定手機(jī)銀行系統(tǒng)運行考核指標(biāo)，建立安全評估制度，定期檢測所有關(guān)鍵設(shè)備（網(wǎng)絡(luò)設(shè)備、主機(jī)等）、系統(tǒng)軟件的工作狀態(tài)、業(yè)務(wù)操作系統(tǒng)的運作情況，審查其工作日志。嚴(yán)密監(jiān)控手機(jī)銀行系統(tǒng)（防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、病毒防護(hù)系統(tǒng)、主機(jī)系統(tǒng)等）的日常運行，發(fā)現(xiàn)異常情況即時處理， 確保手機(jī)銀行的安全。第十九條制定整體安全策略、業(yè)務(wù)運行應(yīng)急計劃、業(yè)務(wù)連 續(xù)性計劃。（一）系統(tǒng)的備份情況，包括軟硬件的備份和數(shù)據(jù)的備份。 備份系統(tǒng)核心系統(tǒng)的安放位置應(yīng)足以保證在當(dāng)前系統(tǒng)無法運作時 不會受到影響，備份系統(tǒng)

7、的安全水平應(yīng)不低于當(dāng)前系統(tǒng)的安全水 平。（二）對意外事故的處理。在自然災(zāi)害或突發(fā)性事件（例如 地震、電擊、非正常斷電、外力帶來的物理性損毀等）導(dǎo)致系統(tǒng) 突然停頓、業(yè)務(wù)中斷情況下的應(yīng)對措施和實施程序，包括啟用備 用設(shè)備、恢復(fù)系統(tǒng)和數(shù)據(jù)的措施等。（三）對非法侵入或攻擊的處理。主要指在遭到內(nèi)外部的非 法侵入和攻擊而導(dǎo)致數(shù)據(jù)被竊、資金損失、程序混亂、系統(tǒng)癱瘓 等情況下的應(yīng)對措施和實施程序。第二十條 以網(wǎng)站的方式向客戶說明和公開各種手機(jī)銀行業(yè)務(wù)品種的交易規(guī)則，在客戶申請某項手機(jī)銀行業(yè)務(wù)品種時，向客 戶說明該品種的交易風(fēng)險及其在具體交易中的權(quán)利與義務(wù)。第二十一條 內(nèi)部審計。配備手機(jī)銀行業(yè)務(wù)審計力量，定期對手機(jī)銀行業(yè)務(wù)進(jìn)行審計。第二十二條 人員培訓(xùn)。根據(jù)業(yè)務(wù)發(fā)展需要，適時對從業(yè)人員進(jìn)行培訓(xùn)，及時更新系統(tǒng)安全保障技術(shù)和設(shè)備。第二十三條 手機(jī)銀行管理崗位和