第一章 總 則

第一條 為加強電子銀行業(yè)務(wù)的安全與風(fēng)險管理,，保證電子銀行安全評估的客觀性,、及時性、全面性和有效性,，依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,，制定本指引。

第二條 電子銀行的安全評估,，是指金融機構(gòu)在開展電子銀行業(yè)務(wù)過程中,，對電子銀行的安全策略、內(nèi)控制度,、風(fēng)險管理,、系統(tǒng)安全、客戶保護等方面進行的安全測試和管控能力的考察與評價,。

第三條 開展電子銀行業(yè)務(wù)的金融機構(gòu),，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對電子銀行進行一次全面的安全評估,。

第四條 金融機構(gòu)可以利用外部專業(yè)化的評估機構(gòu)對電子銀行進行安全評估,，也可以利用內(nèi)部獨立于電子銀行業(yè)務(wù)運營和管理部門的評估部門對電子銀行進行安全評估。

第五條 金融機構(gòu)應(yīng)建立電子銀行安全評估的規(guī)章制度體系和工作規(guī)程,，保證電子銀行安全評估能夠及時,、客觀地得以實施。

第六條 金融機構(gòu)的電子銀行安全評估,，應(yīng)接受中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）的監(jiān)督指導(dǎo),。

第二章 安全評估機構(gòu)

第七條 承擔(dān)金融機構(gòu)電子銀行安全評估工作的機構(gòu),，可以是金融機構(gòu)外部的社會專業(yè)化機構(gòu)，也可以是金融機構(gòu)內(nèi)部具備相應(yīng)條件的相對獨立部門,。

第八條 外部機構(gòu)從事電子銀行安全評估,，應(yīng)具備以下條件：

（一） 具有較為完善的開展電子銀行安全評估業(yè)務(wù)的管理制度和操作規(guī)程；

（二） 制定了系統(tǒng),、全面的評估手冊或評估指導(dǎo)文件,，評估手冊或評估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評估程序、評估方法和依據(jù),、評估標(biāo)準等,；

（三） 擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才，了解國際和中國相關(guān)行業(yè)的行業(yè)標(biāo)準,；

（四） 中國銀監(jiān)會規(guī)定的其他從事電子銀行安全評估應(yīng)當(dāng)具備的條件,。

第九條 金融機構(gòu)內(nèi)部部門從事電子銀行安全評估，除應(yīng)具備第八條 規(guī)定的有關(guān)條件外,，還應(yīng)具備以下條件：

（一） 必須獨立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門,、運營部門和管理部門；

（二） 未直接參與過有關(guān)電子銀行設(shè)備的選購工作,。

第十條 中國銀監(jiān)會負責(zé)電子銀行安全評估機構(gòu)資質(zhì)認定工作,。

電子銀行安全評估機構(gòu)在開展金融機構(gòu)電子銀行安全評估業(yè)務(wù)前，可以向中國銀監(jiān)會申請對其資質(zhì)進行認定,。

第十一條 金融機構(gòu)在進行電子銀行安全評估時,，可以選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)，也可以選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu),。

金融機構(gòu)選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)時,，有關(guān)安全評估機構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機構(gòu)選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)時,，安全評估機構(gòu)的選擇標(biāo)準應(yīng)不低于第八條,、第九條規(guī)定的條件要求，并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,，報送相關(guān)材料,。

電子銀行安全評估機構(gòu)無論是否經(jīng)過中國銀監(jiān)會資質(zhì)認定,，在開展電子銀行安全評估活動時,，都應(yīng)遵守有關(guān)電子銀行安全評估實施和管理的規(guī)定。

第十二條 中國銀監(jiān)會每年將組織一次電子銀行安全評估機構(gòu)資質(zhì)認定工作,，評定時間應(yīng)提前1個月公告,。

第十三條 申請資質(zhì)認定的電子銀行安全評估機構(gòu)，應(yīng)在中國銀監(jiān)會公告規(guī)定的時限內(nèi)提交以下材料（一式七份）：

（一） 電子銀行安全評估資質(zhì)認定申請報告,；

（二） 機構(gòu)介紹,；

（三） 安全評估業(yè)務(wù)管理框架,、管理制度、操作規(guī)程等,；

（四） 評估手冊或評估指導(dǎo)文件,；

（五） 主要評估人員簡歷；

（六） 中國銀監(jiān)會要求提供的其他文件,、資料,。

第十四條 中國銀監(jiān)會收到安全評估機構(gòu)資質(zhì)認定申請完整材料后，組織有關(guān)專家和監(jiān)管人員對申請材料進行評議,，采用投票的辦法評定電子銀行安全評估機構(gòu)是否達到了有關(guān)資質(zhì)要求,。

第十五條 中國銀監(jiān)會對評估機構(gòu)資質(zhì)評議后，出具《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》,，載明評議意見,，對評估機構(gòu)的資質(zhì)做出認定。

第十六條 中國銀監(jiān)會出具的《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》,，僅供評估機構(gòu)與金融機構(gòu)商恰有關(guān)電子銀行安全評估業(yè)務(wù)時使用,，不影響評估機構(gòu)開展其他經(jīng)營活動。

評估機構(gòu)不得將《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》用于宣傳或其他活動,。

第十七條 經(jīng)中國銀監(jiān)會評議并被認為達到有關(guān)資質(zhì)要求的評估機構(gòu),，每次資質(zhì)認定的有效期限為2年。

經(jīng)評議不符合認定資質(zhì)的,，評估機構(gòu)可在下一年度重新申請資質(zhì)認定,。

第十八條 在資質(zhì)認定的有效期限內(nèi)，電子銀行安全評估機構(gòu)如果出現(xiàn)下列情況,，中國銀監(jiān)會將撤銷已做出的評議和認定意見：

（一） 評估機構(gòu)管理不善,，其工作人員泄露被評估機構(gòu)秘密的；

（二） 評估工作質(zhì)量低下,，評估活動出現(xiàn)重要遺漏的,；

（三） 未按要求提交評估報告，或評估報告中存在不實表述的,；

（四） 將《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》用于宣傳和其他經(jīng)營活動的,；

（五） 存在其他嚴重不盡職行為的。

第十九條 評估機構(gòu)有下列行為之一的,，中國銀監(jiān)會將在一定期限或無限期不再受理評估機構(gòu)的資質(zhì)認定申請,，金融機構(gòu)不應(yīng)再委托該評估機構(gòu)進行安全評估：

（一） 與委托機構(gòu)合謀，共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞,，未按要求寫入評估報告的,；

（二） 在評估過程中弄虛作假，編造安全評估報告的；

（三） 泄漏被評估機構(gòu)機密信息,，或不當(dāng)使用被評估機構(gòu)機密資料的,。

金融機構(gòu)內(nèi)部評估機構(gòu)出現(xiàn)以上情況之一的，中國銀監(jiān)會將依法對相關(guān)機構(gòu)和責(zé)任人進行處罰,。

第二十條 中國銀監(jiān)會認可的電子銀行安全評估機構(gòu),，以及有關(guān)資質(zhì)認定、撤銷等信息,，僅向開展電子銀行業(yè)務(wù)的各金融機構(gòu)通報,，不向社會發(fā)布。

金融機構(gòu)不得向第三方泄露中國銀監(jiān)會的有關(guān)通報信息,，影響有關(guān)機構(gòu)的其他業(yè)務(wù)活動,，也不得將有關(guān)信息用于與電子銀行安全評估活動無關(guān)的其他業(yè)務(wù)活動。

第二十一條 金融機構(gòu)可以在中國銀監(jiān)會認定的評估機構(gòu)范圍內(nèi),，自主選擇電子銀行安全評估機構(gòu),。

第二十二條 電子銀行主要系統(tǒng)設(shè)置于境外并在境外實施電子銀行安全評估的外資金融機構(gòu)，以及需要按照所在地監(jiān)管部門的要求在境外實施電子銀行安全評估的中資金融機構(gòu)境外分支機構(gòu),，電子銀行安全評估機構(gòu)的選擇應(yīng)遵循所在國家或地區(qū)的法律要求,。

所在國家或地區(qū)沒有相關(guān)法律要求的，金融機構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評估活動,。

第二十三條 金融機構(gòu)應(yīng)與聘用的電子銀行安全評估機構(gòu)簽訂書面服務(wù)協(xié)議,，在服務(wù)協(xié)議中，必須含有明確的保密條 款和保密責(zé)任,。

金融機構(gòu)選擇內(nèi)部部門作為評估機構(gòu)時,，應(yīng)由電子銀行管理部門與評估部門簽訂評估責(zé)任確定書。

第二十四條 安全評估機構(gòu)應(yīng)根據(jù)評估協(xié)議的規(guī)定,，認真履行評估職責(zé),，真實評估被評估機構(gòu)電子銀行安全狀況。

第三章 安全評估的實施

第二十五條 評估機構(gòu)在開始電子銀行安全評估之前,，應(yīng)就評估的范圍,、重點、時間與要求等問題,，與被評估機構(gòu)進行充分的溝通,，制定評估計劃，由雙方簽字認可,。

第二十六條 依據(jù)評估計劃,，評估機構(gòu)進場對委托機構(gòu)的電子銀行安全進行評估。

電子銀行安全評估應(yīng)真實,、全面地評價電子銀行系統(tǒng)的安全性,。

第二十七條 電子銀行安全評估至少應(yīng)包括以下內(nèi)容：

（一） 安全策略；

（二） 內(nèi)控制度建設(shè),；

（三） 風(fēng)險管理狀況,；

（四） 系統(tǒng)安全性；

（五） 電子銀行業(yè)務(wù)運行連續(xù)性計劃,；

（六） 電子銀行業(yè)務(wù)運行應(yīng)急計劃,；

（七） 電子銀行風(fēng)險預(yù)警體系；

（八） 其他重要安全環(huán)節(jié)和機制的管理,。

第二十八條 電子銀行安全策略的評估,，至少應(yīng)包括以下內(nèi)容：

（一） 安全策略制定的流程與合理性；

（二） 系統(tǒng)設(shè)計與開發(fā)的安全策略,；

（三） 系統(tǒng)測試與驗收的安全策略,；

（四） 系統(tǒng)運行與維護的安全策略；

（五） 系統(tǒng)備份與應(yīng)急的安全策略,；

（六） 客戶信息安全策略,。

評估機構(gòu)對金融機構(gòu)安全策略的評估，不僅要評估安全策略,、規(guī)章制度和程序是否存在,，還要評估這些制度是否得到貫徹執(zhí)行，是否及時更新,，是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng),。

第二十九條 電子銀行內(nèi)控制度的評估，應(yīng)至少包括以下內(nèi)容：

（一） 內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性,；

（二） 董事會和高級管理層在電子銀行安全和風(fēng)險管理體系中的職責(zé)，以及相關(guān)部門職責(zé)和責(zé)任的合理性,；

（三） 安全監(jiān)控機制的建設(shè)與運行情況,；

（四） 內(nèi)部審計制度的建設(shè)與運行情況。

第三十條 電子銀行風(fēng)險管理狀況的評估,，應(yīng)至少包括以下內(nèi)容：

（一） 電子銀行風(fēng)險管理架構(gòu)的適應(yīng)性和合理性,；

（二） 董事會和高級管理層對電子銀行安全與風(fēng)險管理的認知能力與相關(guān)政策、策略的制定執(zhí)行情況,；

（三） 電子銀行管理機構(gòu)職責(zé)設(shè)置的合理性及對相關(guān)風(fēng)險的管控能力,；

（四） 管理人員配備與培訓(xùn)情況；

（五） 電子銀行風(fēng)險管理的規(guī)章制度與操作規(guī)定,、程序等的執(zhí)行情況,；

（六） 電子銀行業(yè)務(wù)的主要風(fēng)險及管理狀況；

（七） 業(yè)務(wù)外包管理制度建設(shè)與管理狀況,。

第三十一條 電子銀行系統(tǒng)安全性的評估,，應(yīng)至少包括以下內(nèi)容：

（一） 物理安全,；

（二） 數(shù)據(jù)通訊安全；

（三） 應(yīng)用系統(tǒng)安全,；

（四） 密鑰管理,；

（五） 客戶信息認證與保密；

（六） 入侵監(jiān)測機制和報告反應(yīng)機制,。

評估機構(gòu)應(yīng)突出對數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評估,，客觀評價金融機構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計和配置了服務(wù)器和防火墻,，銀行內(nèi)部運作系統(tǒng)和數(shù)據(jù)庫是否安全等,，以及金融機構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時測試和審核,。

第三十二條 電子銀行業(yè)務(wù)運行連續(xù)性計劃的評估,，應(yīng)至少包括以下內(nèi)容：

（一） 保障業(yè)務(wù)連續(xù)運營的設(shè)備和系統(tǒng)能力；

（二） 保證業(yè)務(wù)連續(xù)運營的制度安排和執(zhí)行情況,。

第三十三條 電子銀行業(yè)務(wù)運行應(yīng)急計劃的評估,，應(yīng)至少包括以下內(nèi)容：

（一） 電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況；

（二） 電子銀行應(yīng)急設(shè)施設(shè)備配備情況,；

（三） 定期,、持續(xù)性檢測與演練情況；

（四） 應(yīng)對意外事故或外部攻擊的能力,。

第三十四條 評估機構(gòu)應(yīng)制定本機構(gòu)電子銀行安全評定標(biāo)準,，在進行安全評估時，應(yīng)根據(jù)委托機構(gòu)的實際情況,，確定不同評估內(nèi)容對電子銀行總體風(fēng)險影響程度的權(quán)重,，對每項評估內(nèi)容進行評分，綜合計算出被評估機構(gòu)電子銀行的風(fēng)險等級,。

第三十五條 評估完成后,，評估機構(gòu)應(yīng)及時撰寫評估報告，并于評估完成后1個月內(nèi)向委托機構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認可的評估報告,。

第三十六條 評估報告應(yīng)至少包括以下內(nèi)容：

（一） 評估的時間,、范圍及其他協(xié)議中重要的約定；

（二） 評估的總體框架,、程序,、主要方法及主要評估人員介紹；

（三） 不同評估內(nèi)容風(fēng)險權(quán)重的確定標(biāo)準,，風(fēng)險等級的計算方法,，以及風(fēng)險等級的定義；

（四） 評估內(nèi)容與評估活動描述,；

（五） 評估結(jié)論,；

（六） 對被評估機構(gòu)電子銀行安全管理的建議,；

（七） 其他需要說明的問題；

（八） 主要術(shù)語定義和所采用的國際或國內(nèi)標(biāo)準介紹（可作為附件）,；

（九） 評估工作流程記錄表（可作為附件）,；

（十） 評估機構(gòu)參加評估人員名單（可作為附件）。

在評估結(jié)論中,，評估機構(gòu)應(yīng)采用量化的辦法表明被評估機構(gòu)電子銀行的風(fēng)險等級，說明被評估機構(gòu)電子銀行安全管理中存在的主要問題與隱患,，并提出整改建議,。

第三十七條 評估報告完成并提交委托機構(gòu)后，如需修改,，應(yīng)將修改的原因,、依據(jù)和修改意見作為附件附在原報告之后，不得直接修改原報告,。

第四章 安全評估活動的管理

第三十八條 金融機構(gòu)在申請開辦電子銀行業(yè)務(wù)時,，應(yīng)當(dāng)按照有關(guān)規(guī)定對完成測試的電子銀行系統(tǒng)進行安全評估。

第三十九條 金融機構(gòu)開辦電子銀行業(yè)務(wù)后,，有下列情形之一的,，應(yīng)立即組織安全評估：

（一） 由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)運行的,；

（二） 電子銀行系統(tǒng)進行重大更新或升級后,，出現(xiàn)系統(tǒng)意外停機12小時以上的；

（三） 電子銀行關(guān)鍵設(shè)備與設(shè)施更換后,，出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運行的,；

（四） 基于電子銀行安全管理需要立即評估的。

第四十條 金融機構(gòu)對電子銀行外部安全評估機構(gòu)的選聘,，應(yīng)由金融機構(gòu)的董事會或高級管理層負責(zé),。

第四十一條 已實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構(gòu)，其分支機構(gòu)開展電子銀行業(yè)務(wù)不需單獨進行安全評估,，在總行（公司）的電子銀行安全評估中應(yīng)包含對其分支機構(gòu)電子銀行安全管理狀況的評估,。

第四十二條 未實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構(gòu)，其分支機構(gòu)開展電子銀行業(yè)務(wù)且擁有獨立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的,，分支機構(gòu)的電子銀行系統(tǒng)應(yīng)在總行（公司）的統(tǒng)一管理和指導(dǎo)下,，按照有關(guān)規(guī)定進行安全評估。

第四十三條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機構(gòu),，其境外總行（公司）已經(jīng)進行了安全評估且符合本指引有關(guān)規(guī)定的,，其境內(nèi)分支機構(gòu)開展電子銀行業(yè)務(wù)不需單獨進行安全評估，但應(yīng)按照本指引的有關(guān)要求,，向監(jiān)管部門報送安全評估報告,。

第四十四條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機構(gòu),，或者雖設(shè)置在境外但其境外總行（公司）未進行安全評估或安全評估不符合本指引有關(guān)規(guī)定的，應(yīng)按規(guī)定開展電子銀行安全評估工作,。

第四十五條 電子銀行安全評估工作,，確需由多個評估機構(gòu)共同承擔(dān)或?qū)嵤r，金融機構(gòu)應(yīng)確定一個主要的評估機構(gòu)協(xié)調(diào)總體評估工作,，負責(zé)總體評估報告的編制,。

金融機構(gòu)將電子銀行系統(tǒng)委托給不同的評估機構(gòu)進行安全評估，應(yīng)當(dāng)明確每個評估機構(gòu)安全評估的范圍,，并保證全面覆蓋了應(yīng)評估的事項,，沒有遺漏。

第四十六條 金融機構(gòu)應(yīng)在簽署評估協(xié)議后兩周內(nèi),，將評估機構(gòu)簡介,、擬采用的評估方案和評估步驟等，報送中國銀監(jiān)會,。

第四十七條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要,，可派員參加金融機構(gòu)電子銀行安全評估工作，但不作為正式評估人員,，不提供評估意見,。

第四十八條 評估機構(gòu)應(yīng)本著客觀、公正,、真實和自主的原則,，開展評估活動，并嚴格保守在評估過程中獲悉的商業(yè)機密,。

第四十九條 在評估過程中,，委托機構(gòu)和評估機構(gòu)之間應(yīng)建立信息保密工作機制：

（一） 評估過程中，調(diào)閱相關(guān)資料,、復(fù)制相關(guān)文件或數(shù)據(jù)等,，都應(yīng)建立登記、簽字制度,；

（二） 調(diào)閱的文件資料應(yīng)在指定的場所閱讀,，不得帶出指定場所；

（三） 復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場所,，如確需帶出的,，必須詳細登記帶出文件或數(shù)據(jù)名稱、數(shù)量,、帶出原因,、文件與數(shù)據(jù)的最終處理方式、責(zé)任人等,，并由相關(guān)負責(zé)人簽字確認,；

（四） 評估過程中廢棄的文件,、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷毀或刪除,；

（五） 評估工作結(jié)束后,，雙方應(yīng)就有關(guān)機密數(shù)據(jù)、資料等的交接情況簽署說明,。

第五十條 金融機構(gòu)在收到評估機構(gòu)評估報告的1個月內(nèi),，應(yīng)將評估報告報送中國銀監(jiān)會。

金融機構(gòu)報送評估報告時,，可對評估報告中的有關(guān)問題作必要的說明,。

第五十一條 未經(jīng)監(jiān)管部門批準，電子銀行安全評估報告不得作為廣告宣傳資料使用,，也不得提供給除監(jiān)管部門以外的第三方機構(gòu),。

第五十二條 對未按有關(guān)要求進行的安全評估,，或者評估程序,、方法和評估報告存在重要缺陷的安全評估，中國銀監(jiān)會可以要求金融機構(gòu)進行重新評估,。

第五十三條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要,，可以自己組織或委托評估機構(gòu)對金融機構(gòu)的電子銀行系統(tǒng)進行安全評估，金融機構(gòu)應(yīng)予以配合,。

第五十四條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要,，可直接向評估機構(gòu)了解其評估的方法、范圍和程序等,。

第五十五條 對于評估報告中所反映出的問題,，金融機構(gòu)應(yīng)采取有效的措施加以糾正。

第五章 附則

第五十六條 本指引由中國銀監(jiān)會負責(zé)解釋,。

第五十七條 本指引自2006年3月1日起施行,。