好律師網(wǎng) > 專題 > 互聯(lián)網(wǎng)金融 > 政策法規(guī) > 正文
第一章 總 則
第一條 為加強電子銀行業(yè)務(wù)的安全與風(fēng)險管理,,保證電子銀行安全評估的客觀性,、及時性、全面性和有效性,,依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,,制定本指引。
第二條 電子銀行的安全評估,,是指金融機構(gòu)在開展電子銀行業(yè)務(wù)過程中,,對電子銀行的安全策略、內(nèi)控制度,、風(fēng)險管理,、系統(tǒng)安全、客戶保護等方面進行的安全測試和管控能力的考察與評價,。
第三條 開展電子銀行業(yè)務(wù)的金融機構(gòu),,應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要,至少每2年對電子銀行進行一次全面的安全評估,。
第四條 金融機構(gòu)可以利用外部專業(yè)化的評估機構(gòu)對電子銀行進行安全評估,,也可以利用內(nèi)部獨立于電子銀行業(yè)務(wù)運營和管理部門的評估部門對電子銀行進行安全評估。
第五條 金融機構(gòu)應(yīng)建立電子銀行安全評估的規(guī)章制度體系和工作規(guī)程,,保證電子銀行安全評估能夠及時,、客觀地得以實施。
第六條 金融機構(gòu)的電子銀行安全評估,,應(yīng)接受中國銀行業(yè)監(jiān)督管理委員會(以下簡稱中國銀監(jiān)會)的監(jiān)督指導(dǎo),。
第二章 安全評估機構(gòu)
第七條 承擔(dān)金融機構(gòu)電子銀行安全評估工作的機構(gòu),,可以是金融機構(gòu)外部的社會專業(yè)化機構(gòu),也可以是金融機構(gòu)內(nèi)部具備相應(yīng)條件的相對獨立部門,。
第八條 外部機構(gòu)從事電子銀行安全評估,,應(yīng)具備以下條件:
(一) 具有較為完善的開展電子銀行安全評估業(yè)務(wù)的管理制度和操作規(guī)程;
(二) 制定了系統(tǒng),、全面的評估手冊或評估指導(dǎo)文件,,評估手冊或評估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評估程序、評估方法和依據(jù),、評估標(biāo)準等,;
(三) 擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才,了解國際和中國相關(guān)行業(yè)的行業(yè)標(biāo)準,;
(四) 中國銀監(jiān)會規(guī)定的其他從事電子銀行安全評估應(yīng)當(dāng)具備的條件,。
第九條 金融機構(gòu)內(nèi)部部門從事電子銀行安全評估,除應(yīng)具備第八條 規(guī)定的有關(guān)條件外,,還應(yīng)具備以下條件:
(一) 必須獨立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門,、運營部門和管理部門;
(二) 未直接參與過有關(guān)電子銀行設(shè)備的選購工作,。
第十條 中國銀監(jiān)會負責(zé)電子銀行安全評估機構(gòu)資質(zhì)認定工作,。
電子銀行安全評估機構(gòu)在開展金融機構(gòu)電子銀行安全評估業(yè)務(wù)前,可以向中國銀監(jiān)會申請對其資質(zhì)進行認定,。
第十一條 金融機構(gòu)在進行電子銀行安全評估時,,可以選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu),也可以選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu),。
金融機構(gòu)選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)時,,有關(guān)安全評估機構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機構(gòu)選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)時,,安全評估機構(gòu)的選擇標(biāo)準應(yīng)不低于第八條,、第九條規(guī)定的條件要求,并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,,報送相關(guān)材料,。
電子銀行安全評估機構(gòu)無論是否經(jīng)過中國銀監(jiān)會資質(zhì)認定,,在開展電子銀行安全評估活動時,,都應(yīng)遵守有關(guān)電子銀行安全評估實施和管理的規(guī)定。
第十二條 中國銀監(jiān)會每年將組織一次電子銀行安全評估機構(gòu)資質(zhì)認定工作,,評定時間應(yīng)提前1個月公告,。
第十三條 申請資質(zhì)認定的電子銀行安全評估機構(gòu),應(yīng)在中國銀監(jiān)會公告規(guī)定的時限內(nèi)提交以下材料(一式七份):
(一) 電子銀行安全評估資質(zhì)認定申請報告,;
(二) 機構(gòu)介紹,;
(三) 安全評估業(yè)務(wù)管理框架,、管理制度、操作規(guī)程等,;
(四) 評估手冊或評估指導(dǎo)文件,;
(五) 主要評估人員簡歷;
(六) 中國銀監(jiān)會要求提供的其他文件,、資料,。
第十四條 中國銀監(jiān)會收到安全評估機構(gòu)資質(zhì)認定申請完整材料后,組織有關(guān)專家和監(jiān)管人員對申請材料進行評議,,采用投票的辦法評定電子銀行安全評估機構(gòu)是否達到了有關(guān)資質(zhì)要求,。
第十五條 中國銀監(jiān)會對評估機構(gòu)資質(zhì)評議后,出具《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》,,載明評議意見,,對評估機構(gòu)的資質(zhì)做出認定。
第十六條 中國銀監(jiān)會出具的《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》,,僅供評估機構(gòu)與金融機構(gòu)商恰有關(guān)電子銀行安全評估業(yè)務(wù)時使用,,不影響評估機構(gòu)開展其他經(jīng)營活動。
評估機構(gòu)不得將《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》用于宣傳或其他活動,。
第十七條 經(jīng)中國銀監(jiān)會評議并被認為達到有關(guān)資質(zhì)要求的評估機構(gòu),,每次資質(zhì)認定的有效期限為2年。
經(jīng)評議不符合認定資質(zhì)的,,評估機構(gòu)可在下一年度重新申請資質(zhì)認定,。
第十八條 在資質(zhì)認定的有效期限內(nèi),電子銀行安全評估機構(gòu)如果出現(xiàn)下列情況,,中國銀監(jiān)會將撤銷已做出的評議和認定意見:
(一) 評估機構(gòu)管理不善,,其工作人員泄露被評估機構(gòu)秘密的;
(二) 評估工作質(zhì)量低下,,評估活動出現(xiàn)重要遺漏的,;
(三) 未按要求提交評估報告,或評估報告中存在不實表述的,;
(四) 將《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》用于宣傳和其他經(jīng)營活動的,;
(五) 存在其他嚴重不盡職行為的。
第十九條 評估機構(gòu)有下列行為之一的,,中國銀監(jiān)會將在一定期限或無限期不再受理評估機構(gòu)的資質(zhì)認定申請,,金融機構(gòu)不應(yīng)再委托該評估機構(gòu)進行安全評估:
(一) 與委托機構(gòu)合謀,共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞,,未按要求寫入評估報告的,;
(二) 在評估過程中弄虛作假,編造安全評估報告的;
(三) 泄漏被評估機構(gòu)機密信息,,或不當(dāng)使用被評估機構(gòu)機密資料的,。
金融機構(gòu)內(nèi)部評估機構(gòu)出現(xiàn)以上情況之一的,中國銀監(jiān)會將依法對相關(guān)機構(gòu)和責(zé)任人進行處罰,。
第二十條 中國銀監(jiān)會認可的電子銀行安全評估機構(gòu),,以及有關(guān)資質(zhì)認定、撤銷等信息,,僅向開展電子銀行業(yè)務(wù)的各金融機構(gòu)通報,,不向社會發(fā)布。
金融機構(gòu)不得向第三方泄露中國銀監(jiān)會的有關(guān)通報信息,,影響有關(guān)機構(gòu)的其他業(yè)務(wù)活動,,也不得將有關(guān)信息用于與電子銀行安全評估活動無關(guān)的其他業(yè)務(wù)活動。
第二十一條 金融機構(gòu)可以在中國銀監(jiān)會認定的評估機構(gòu)范圍內(nèi),,自主選擇電子銀行安全評估機構(gòu),。
第二十二條 電子銀行主要系統(tǒng)設(shè)置于境外并在境外實施電子銀行安全評估的外資金融機構(gòu),以及需要按照所在地監(jiān)管部門的要求在境外實施電子銀行安全評估的中資金融機構(gòu)境外分支機構(gòu),,電子銀行安全評估機構(gòu)的選擇應(yīng)遵循所在國家或地區(qū)的法律要求,。
所在國家或地區(qū)沒有相關(guān)法律要求的,金融機構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評估活動,。
第二十三條 金融機構(gòu)應(yīng)與聘用的電子銀行安全評估機構(gòu)簽訂書面服務(wù)協(xié)議,,在服務(wù)協(xié)議中,必須含有明確的保密條 款和保密責(zé)任,。
金融機構(gòu)選擇內(nèi)部部門作為評估機構(gòu)時,,應(yīng)由電子銀行管理部門與評估部門簽訂評估責(zé)任確定書。
第二十四條 安全評估機構(gòu)應(yīng)根據(jù)評估協(xié)議的規(guī)定,,認真履行評估職責(zé),,真實評估被評估機構(gòu)電子銀行安全狀況。
第三章 安全評估的實施
第二十五條 評估機構(gòu)在開始電子銀行安全評估之前,,應(yīng)就評估的范圍,、重點、時間與要求等問題,,與被評估機構(gòu)進行充分的溝通,,制定評估計劃,由雙方簽字認可,。
第二十六條 依據(jù)評估計劃,,評估機構(gòu)進場對委托機構(gòu)的電子銀行安全進行評估。
電子銀行安全評估應(yīng)真實,、全面地評價電子銀行系統(tǒng)的安全性,。
第二十七條 電子銀行安全評估至少應(yīng)包括以下內(nèi)容:
(一) 安全策略;
(二) 內(nèi)控制度建設(shè),;
(三) 風(fēng)險管理狀況,;
(四) 系統(tǒng)安全性;
(五) 電子銀行業(yè)務(wù)運行連續(xù)性計劃,;
(六) 電子銀行業(yè)務(wù)運行應(yīng)急計劃,;
(七) 電子銀行風(fēng)險預(yù)警體系;
(八) 其他重要安全環(huán)節(jié)和機制的管理,。
第二十八條 電子銀行安全策略的評估,,至少應(yīng)包括以下內(nèi)容:
(一) 安全策略制定的流程與合理性;
(二) 系統(tǒng)設(shè)計與開發(fā)的安全策略,;
(三) 系統(tǒng)測試與驗收的安全策略,;
(四) 系統(tǒng)運行與維護的安全策略;
(五) 系統(tǒng)備份與應(yīng)急的安全策略,;
(六) 客戶信息安全策略,。
評估機構(gòu)對金融機構(gòu)安全策略的評估,不僅要評估安全策略,、規(guī)章制度和程序是否存在,,還要評估這些制度是否得到貫徹執(zhí)行,是否及時更新,,是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng),。
第二十九條 電子銀行內(nèi)控制度的評估,應(yīng)至少包括以下內(nèi)容:
(一) 內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性,;
(二) 董事會和高級管理層在電子銀行安全和風(fēng)險管理體系中的職責(zé),以及相關(guān)部門職責(zé)和責(zé)任的合理性,;
(三) 安全監(jiān)控機制的建設(shè)與運行情況,;
(四) 內(nèi)部審計制度的建設(shè)與運行情況。
第三十條 電子銀行風(fēng)險管理狀況的評估,,應(yīng)至少包括以下內(nèi)容:
(一) 電子銀行風(fēng)險管理架構(gòu)的適應(yīng)性和合理性,;
(二) 董事會和高級管理層對電子銀行安全與風(fēng)險管理的認知能力與相關(guān)政策、策略的制定執(zhí)行情況,;
(三) 電子銀行管理機構(gòu)職責(zé)設(shè)置的合理性及對相關(guān)風(fēng)險的管控能力,;
(四) 管理人員配備與培訓(xùn)情況;
(五) 電子銀行風(fēng)險管理的規(guī)章制度與操作規(guī)定,、程序等的執(zhí)行情況,;
(六) 電子銀行業(yè)務(wù)的主要風(fēng)險及管理狀況;
(七) 業(yè)務(wù)外包管理制度建設(shè)與管理狀況,。
第三十一條 電子銀行系統(tǒng)安全性的評估,,應(yīng)至少包括以下內(nèi)容:
(一) 物理安全,;
(二) 數(shù)據(jù)通訊安全;
(三) 應(yīng)用系統(tǒng)安全,;
(四) 密鑰管理,;
(五) 客戶信息認證與保密;
(六) 入侵監(jiān)測機制和報告反應(yīng)機制,。
評估機構(gòu)應(yīng)突出對數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評估,,客觀評價金融機構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計和配置了服務(wù)器和防火墻,,銀行內(nèi)部運作系統(tǒng)和數(shù)據(jù)庫是否安全等,,以及金融機構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序,并能保證各種修改得到及時測試和審核,。
第三十二條 電子銀行業(yè)務(wù)運行連續(xù)性計劃的評估,,應(yīng)至少包括以下內(nèi)容:
(一) 保障業(yè)務(wù)連續(xù)運營的設(shè)備和系統(tǒng)能力;
(二) 保證業(yè)務(wù)連續(xù)運營的制度安排和執(zhí)行情況,。
第三十三條 電子銀行業(yè)務(wù)運行應(yīng)急計劃的評估,,應(yīng)至少包括以下內(nèi)容:
(一) 電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況;
(二) 電子銀行應(yīng)急設(shè)施設(shè)備配備情況,;
(三) 定期,、持續(xù)性檢測與演練情況;
(四) 應(yīng)對意外事故或外部攻擊的能力,。
第三十四條 評估機構(gòu)應(yīng)制定本機構(gòu)電子銀行安全評定標(biāo)準,,在進行安全評估時,應(yīng)根據(jù)委托機構(gòu)的實際情況,,確定不同評估內(nèi)容對電子銀行總體風(fēng)險影響程度的權(quán)重,,對每項評估內(nèi)容進行評分,綜合計算出被評估機構(gòu)電子銀行的風(fēng)險等級,。
第三十五條 評估完成后,,評估機構(gòu)應(yīng)及時撰寫評估報告,并于評估完成后1個月內(nèi)向委托機構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認可的評估報告,。
第三十六條 評估報告應(yīng)至少包括以下內(nèi)容:
(一) 評估的時間,、范圍及其他協(xié)議中重要的約定;
(二) 評估的總體框架,、程序,、主要方法及主要評估人員介紹;
(三) 不同評估內(nèi)容風(fēng)險權(quán)重的確定標(biāo)準,,風(fēng)險等級的計算方法,,以及風(fēng)險等級的定義;
(四) 評估內(nèi)容與評估活動描述,;
(五) 評估結(jié)論,;
(六) 對被評估機構(gòu)電子銀行安全管理的建議,;
(七) 其他需要說明的問題;
(八) 主要術(shù)語定義和所采用的國際或國內(nèi)標(biāo)準介紹(可作為附件),;
(九) 評估工作流程記錄表(可作為附件),;
(十) 評估機構(gòu)參加評估人員名單(可作為附件)。
在評估結(jié)論中,,評估機構(gòu)應(yīng)采用量化的辦法表明被評估機構(gòu)電子銀行的風(fēng)險等級,說明被評估機構(gòu)電子銀行安全管理中存在的主要問題與隱患,,并提出整改建議,。
第三十七條 評估報告完成并提交委托機構(gòu)后,如需修改,,應(yīng)將修改的原因,、依據(jù)和修改意見作為附件附在原報告之后,不得直接修改原報告,。
第四章 安全評估活動的管理
第三十八條 金融機構(gòu)在申請開辦電子銀行業(yè)務(wù)時,,應(yīng)當(dāng)按照有關(guān)規(guī)定對完成測試的電子銀行系統(tǒng)進行安全評估。
第三十九條 金融機構(gòu)開辦電子銀行業(yè)務(wù)后,,有下列情形之一的,,應(yīng)立即組織安全評估:
(一) 由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓,修復(fù)運行的,;
(二) 電子銀行系統(tǒng)進行重大更新或升級后,,出現(xiàn)系統(tǒng)意外停機12小時以上的;
(三) 電子銀行關(guān)鍵設(shè)備與設(shè)施更換后,,出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運行的,;
(四) 基于電子銀行安全管理需要立即評估的。
第四十條 金融機構(gòu)對電子銀行外部安全評估機構(gòu)的選聘,,應(yīng)由金融機構(gòu)的董事會或高級管理層負責(zé),。
第四十一條 已實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構(gòu),其分支機構(gòu)開展電子銀行業(yè)務(wù)不需單獨進行安全評估,,在總行(公司)的電子銀行安全評估中應(yīng)包含對其分支機構(gòu)電子銀行安全管理狀況的評估,。
第四十二條 未實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構(gòu),其分支機構(gòu)開展電子銀行業(yè)務(wù)且擁有獨立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的,,分支機構(gòu)的電子銀行系統(tǒng)應(yīng)在總行(公司)的統(tǒng)一管理和指導(dǎo)下,,按照有關(guān)規(guī)定進行安全評估。
第四十三條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機構(gòu),,其境外總行(公司)已經(jīng)進行了安全評估且符合本指引有關(guān)規(guī)定的,,其境內(nèi)分支機構(gòu)開展電子銀行業(yè)務(wù)不需單獨進行安全評估,但應(yīng)按照本指引的有關(guān)要求,,向監(jiān)管部門報送安全評估報告,。
第四十四條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機構(gòu),,或者雖設(shè)置在境外但其境外總行(公司)未進行安全評估或安全評估不符合本指引有關(guān)規(guī)定的,應(yīng)按規(guī)定開展電子銀行安全評估工作,。
第四十五條 電子銀行安全評估工作,,確需由多個評估機構(gòu)共同承擔(dān)或?qū)嵤r,金融機構(gòu)應(yīng)確定一個主要的評估機構(gòu)協(xié)調(diào)總體評估工作,,負責(zé)總體評估報告的編制,。
金融機構(gòu)將電子銀行系統(tǒng)委托給不同的評估機構(gòu)進行安全評估,應(yīng)當(dāng)明確每個評估機構(gòu)安全評估的范圍,,并保證全面覆蓋了應(yīng)評估的事項,,沒有遺漏。
第四十六條 金融機構(gòu)應(yīng)在簽署評估協(xié)議后兩周內(nèi),,將評估機構(gòu)簡介,、擬采用的評估方案和評估步驟等,報送中國銀監(jiān)會,。
第四十七條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要,,可派員參加金融機構(gòu)電子銀行安全評估工作,但不作為正式評估人員,,不提供評估意見,。
第四十八條 評估機構(gòu)應(yīng)本著客觀、公正,、真實和自主的原則,,開展評估活動,并嚴格保守在評估過程中獲悉的商業(yè)機密,。
第四十九條 在評估過程中,,委托機構(gòu)和評估機構(gòu)之間應(yīng)建立信息保密工作機制:
(一) 評估過程中,調(diào)閱相關(guān)資料,、復(fù)制相關(guān)文件或數(shù)據(jù)等,,都應(yīng)建立登記、簽字制度,;
(二) 調(diào)閱的文件資料應(yīng)在指定的場所閱讀,,不得帶出指定場所;
(三) 復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場所,,如確需帶出的,,必須詳細登記帶出文件或數(shù)據(jù)名稱、數(shù)量,、帶出原因,、文件與數(shù)據(jù)的最終處理方式、責(zé)任人等,,并由相關(guān)負責(zé)人簽字確認,;
(四) 評估過程中廢棄的文件,、材料和不再使用的數(shù)據(jù),應(yīng)立即予以銷毀或刪除,;
(五) 評估工作結(jié)束后,,雙方應(yīng)就有關(guān)機密數(shù)據(jù)、資料等的交接情況簽署說明,。
第五十條 金融機構(gòu)在收到評估機構(gòu)評估報告的1個月內(nèi),,應(yīng)將評估報告報送中國銀監(jiān)會。
金融機構(gòu)報送評估報告時,,可對評估報告中的有關(guān)問題作必要的說明,。
第五十一條 未經(jīng)監(jiān)管部門批準,電子銀行安全評估報告不得作為廣告宣傳資料使用,,也不得提供給除監(jiān)管部門以外的第三方機構(gòu),。
第五十二條 對未按有關(guān)要求進行的安全評估,,或者評估程序,、方法和評估報告存在重要缺陷的安全評估,中國銀監(jiān)會可以要求金融機構(gòu)進行重新評估,。
第五十三條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要,,可以自己組織或委托評估機構(gòu)對金融機構(gòu)的電子銀行系統(tǒng)進行安全評估,金融機構(gòu)應(yīng)予以配合,。
第五十四條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要,,可直接向評估機構(gòu)了解其評估的方法、范圍和程序等,。
第五十五條 對于評估報告中所反映出的問題,,金融機構(gòu)應(yīng)采取有效的措施加以糾正。
第五章 附則
第五十六條 本指引由中國銀監(jiān)會負責(zé)解釋,。
第五十七條 本指引自2006年3月1日起施行,。
加載更多
【警方破獲10億虛擬幣傳銷案】近日,江蘇徐州睢寧警方披露了一起特大網(wǎng)絡(luò)傳銷案,。民警偵查發(fā)現(xiàn),,這個平臺通過所謂的“BBGO全球生態(tài)”項目鼓動投資人購買BBGO虛擬幣,并以高額回報和高返利為誘餌...