• 【發(fā)布單位】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)
• 【發(fā)布文號(hào)】--
• 【發(fā)布日期】2006-02-07
• 【生效日期】2006-03-01
• 【失效日期】--
• 【文件來(lái)源】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)
• 【所屬類(lèi)別】政策參考

電子銀行安全評(píng)估指引

電子銀行安全評(píng)估指引






第一章 總 則




第一條 為加強(qiáng)電子銀行業(yè)務(wù)的安全與風(fēng)險(xiǎn)管理，保證電子銀行安全評(píng)估的客觀性,、及時(shí)性、全面性和有效性,，依據(jù)《
電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,，制定本指引。




第二條 電子銀行的安全評(píng)估,，是指金融機(jī)構(gòu)在開(kāi)展電子銀行業(yè)務(wù)過(guò)程中,，對(duì)電子銀行的安全策略、內(nèi)控制度,、風(fēng)險(xiǎn)管理,、系統(tǒng)安全、客戶(hù)保護(hù)等方面進(jìn)行的安全測(cè)試和管控能力的考察與評(píng)價(jià),。




第三條 開(kāi)展電子銀行業(yè)務(wù)的金融機(jī)構(gòu),，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對(duì)電子銀行進(jìn)行一次全面的安全評(píng)估,。




第四條 金融機(jī)構(gòu)可以利用外部專(zhuān)業(yè)化的評(píng)估機(jī)構(gòu)對(duì)電子銀行進(jìn)行安全評(píng)估,，也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營(yíng)和管理部門(mén)的評(píng)估部門(mén)對(duì)電子銀行進(jìn)行安全評(píng)估。




第五條 金融機(jī)構(gòu)應(yīng)建立電子銀行安全評(píng)估的規(guī)章制度體系和工作規(guī)程,，保證電子銀行安全評(píng)估能夠及時(shí),、客觀地得以實(shí)施。




第六條 金融機(jī)構(gòu)的電子銀行安全評(píng)估,，應(yīng)接受中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱(chēng)中國(guó)銀監(jiān)會(huì)）的監(jiān)督指導(dǎo),。




第二章 安全評(píng)估機(jī)構(gòu)




第七條 承擔(dān)金融機(jī)構(gòu)電子銀行安全評(píng)估工作的機(jī)構(gòu),，可以是金融機(jī)構(gòu)外部的社會(huì)專(zhuān)業(yè)化機(jī)構(gòu)，也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對(duì)獨(dú)立部門(mén),。




第八條 外部機(jī)構(gòu)從事電子銀行安全評(píng)估,，應(yīng)具備以下條件：



 （一） 具有較為完善的開(kāi)展電子銀行安全評(píng)估業(yè)務(wù)的管理制度和操作規(guī)程；



 （二） 制定了系統(tǒng),、全面的評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件,，評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評(píng)估程序、評(píng)估方法和依據(jù),、評(píng)估標(biāo)準(zhǔn)等,；



 （三） 擁有與電子銀行安全評(píng)估相關(guān)的各類(lèi)專(zhuān)業(yè)人才，了解國(guó)際和中國(guó)相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn),；



 （四） 中國(guó)銀監(jiān)會(huì)規(guī)定的其他從事電子銀行安全評(píng)估應(yīng)當(dāng)具備的條件,。




第九條 金融機(jī)構(gòu)內(nèi)部部門(mén)從事電子銀行安全評(píng)估，除應(yīng)具備第八條規(guī)定的有關(guān)條件外,，還應(yīng)具備以下條件：



 （一） 必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開(kāi)發(fā)部門(mén),、運(yùn)營(yíng)部門(mén)和管理部門(mén)；



 （二） 未直接參與過(guò)有關(guān)電子銀行設(shè)備的選購(gòu)工作,。




第十條 中國(guó)銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作,。



電子銀行安全評(píng)估機(jī)構(gòu)在開(kāi)展金融機(jī)構(gòu)電子銀行安全評(píng)估業(yè)務(wù)前，可以向中國(guó)銀監(jiān)會(huì)申請(qǐng)對(duì)其資質(zhì)進(jìn)行認(rèn)定,。




第十一條 金融機(jī)構(gòu)在進(jìn)行電子銀行安全評(píng)估時(shí),，可以選擇經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)，也可以選擇未經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu),。



金融機(jī)構(gòu)選擇經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí),，有關(guān)安全評(píng)估機(jī)構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機(jī)構(gòu)選擇未經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí),，安全評(píng)估機(jī)構(gòu)的選擇標(biāo)準(zhǔn)應(yīng)不低于第八條,、第九條規(guī)定的條件要求，并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,，報(bào)送相關(guān)材料,。



電子銀行安全評(píng)估機(jī)構(gòu)無(wú)論是否經(jīng)過(guò)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定，在開(kāi)展電子銀行安全評(píng)估活動(dòng)時(shí),，都應(yīng)遵守有關(guān)電子銀行安全評(píng)估實(shí)施和管理的規(guī)定,。




第十二條 中國(guó)銀監(jiān)會(huì)每年將組織一次電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作，評(píng)定時(shí)間應(yīng)提前1個(gè)月公告,。




第十三條 申請(qǐng)資質(zhì)認(rèn)定的電子銀行安全評(píng)估機(jī)構(gòu),，應(yīng)在中國(guó)銀監(jiān)會(huì)公告規(guī)定的時(shí)限內(nèi)提交以下材料（一式七份）：



 （一） 電子銀行安全評(píng)估資質(zhì)認(rèn)定申請(qǐng)報(bào)告；



 （二） 機(jī)構(gòu)介紹,；



 （三） 安全評(píng)估業(yè)務(wù)管理框架,、管理制度,、操作規(guī)程等；



 （四） 評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件,；



 （五） 主要評(píng)估人員簡(jiǎn)歷,；



 （六） 中國(guó)銀監(jiān)會(huì)要求提供的其他文件、資料,。




第十四條 中國(guó)銀監(jiān)會(huì)收到安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定申請(qǐng)完整材料后,，組織有關(guān)專(zhuān)家和監(jiān)管人員對(duì)申請(qǐng)材料進(jìn)行評(píng)議，采用投票的辦法評(píng)定電子銀行安全評(píng)估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求,。




第十五條 中國(guó)銀監(jiān)會(huì)對(duì)評(píng)估機(jī)構(gòu)資質(zhì)評(píng)議后,，出具《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見(jiàn)書(shū)》，載明評(píng)議意見(jiàn),，對(duì)評(píng)估機(jī)構(gòu)的資質(zhì)做出認(rèn)定,。




第十六條 中國(guó)銀監(jiān)會(huì)出具的《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見(jiàn)書(shū)》，僅供評(píng)估機(jī)構(gòu)與金融機(jī)構(gòu)商恰有關(guān)電子銀行安全評(píng)估業(yè)務(wù)時(shí)使用,，不影響評(píng)估機(jī)構(gòu)開(kāi)展其他經(jīng)營(yíng)活動(dòng),。



 評(píng)估機(jī)構(gòu)不得將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見(jiàn)書(shū)》用于宣傳或其他活動(dòng)。




第十七條 經(jīng)中國(guó)銀監(jiān)會(huì)評(píng)議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評(píng)估機(jī)構(gòu),，每次資質(zhì)認(rèn)定的有效期限為2年,。



 經(jīng)評(píng)議不符合認(rèn)定資質(zhì)的，評(píng)估機(jī)構(gòu)可在下一年度重新申請(qǐng)資質(zhì)認(rèn)定,。




第十八條 在資質(zhì)認(rèn)定的有效期限內(nèi),，電子銀行安全評(píng)估機(jī)構(gòu)如果出現(xiàn)下列情況，中國(guó)銀監(jiān)會(huì)將撤銷(xiāo)已做出的評(píng)議和認(rèn)定意見(jiàn)：



 （一） 評(píng)估機(jī)構(gòu)管理不善,，其工作人員泄露被評(píng)估機(jī)構(gòu)秘密的；



 （二） 評(píng)估工作質(zhì)量低下,，評(píng)估活動(dòng)出現(xiàn)重要遺漏的,；



 （三） 未按要求提交評(píng)估報(bào)告，或評(píng)估報(bào)告中存在不實(shí)表述的,；



 （四） 將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見(jiàn)書(shū)》用于宣傳和其他經(jīng)營(yíng)活動(dòng)的,；



 （五） 存在其他嚴(yán)重不盡職行為的。




第十九條 評(píng)估機(jī)構(gòu)有下列行為之一的,，中國(guó)銀監(jiān)會(huì)將在一定期限或無(wú)限期不再受理評(píng)估機(jī)構(gòu)的資質(zhì)認(rèn)定申請(qǐng),，金融機(jī)構(gòu)不應(yīng)再委托該評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估：



 （一） 與委托機(jī)構(gòu)合謀，共同隱瞞在安全評(píng)估過(guò)程中發(fā)現(xiàn)的安全漏洞,，未按要求寫(xiě)入評(píng)估報(bào)告的,；



 （二） 在評(píng)估過(guò)程中弄虛作假，編造安全評(píng)估報(bào)告的,；



 （三） 泄漏被評(píng)估機(jī)構(gòu)機(jī)密信息,，或不當(dāng)使用被評(píng)估機(jī)構(gòu)機(jī)密資料的,。



金融機(jī)構(gòu)內(nèi)部評(píng)估機(jī)構(gòu)出現(xiàn)以上情況之一的，中國(guó)銀監(jiān)會(huì)將依法對(duì)相關(guān)機(jī)構(gòu)和責(zé)任人進(jìn)行處罰,。




第二十條 中國(guó)銀監(jiān)會(huì)認(rèn)可的電子銀行安全評(píng)估機(jī)構(gòu),，以及有關(guān)資質(zhì)認(rèn)定、撤銷(xiāo)等信息,，僅向開(kāi)展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào),，不向社會(huì)發(fā)布。



金融機(jī)構(gòu)不得向第三方泄露中國(guó)銀監(jiān)會(huì)的有關(guān)通報(bào)信息,，影響有關(guān)機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng),，也不得將有關(guān)信息用于與電子銀行安全評(píng)估活動(dòng)無(wú)關(guān)的其他業(yè)務(wù)活動(dòng)。




第二十一條 金融機(jī)構(gòu)可以在中國(guó)銀監(jiān)會(huì)認(rèn)定的評(píng)估機(jī)構(gòu)范圍內(nèi),，自主選擇電子銀行安全評(píng)估機(jī)構(gòu),。




第二十二條 電子銀行主要系統(tǒng)設(shè)置于境外并在境外實(shí)施電子銀行安全評(píng)估的外資金融機(jī)構(gòu)，以及需要按照所在地監(jiān)管部門(mén)的要求在境外實(shí)施電子銀行安全評(píng)估的中資金融機(jī)構(gòu)境外分支機(jī)構(gòu),，電子銀行安全評(píng)估機(jī)構(gòu)的選擇應(yīng)遵循所在國(guó)家或地區(qū)的法律要求,。



 所在國(guó)家或地區(qū)沒(méi)有相關(guān)法律要求的，金融機(jī)構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開(kāi)展安全評(píng)估活動(dòng),。




第二十三條 金融機(jī)構(gòu)應(yīng)與聘用的電子銀行安全評(píng)估機(jī)構(gòu)簽訂書(shū)面服務(wù)協(xié)議,，在服務(wù)協(xié)議中，必須含有明確的保密條 款和保密責(zé)任,。



 金融機(jī)構(gòu)選擇內(nèi)部部門(mén)作為評(píng)估機(jī)構(gòu)時(shí),，應(yīng)由電子銀行管理部門(mén)與評(píng)估部門(mén)簽訂評(píng)估責(zé)任確定書(shū)。




第二十四條 安全評(píng)估機(jī)構(gòu)應(yīng)根據(jù)評(píng)估協(xié)議的規(guī)定,，認(rèn)真履行評(píng)估職責(zé),，真實(shí)評(píng)估被評(píng)估機(jī)構(gòu)電子銀行安全狀況。




第三章 安全評(píng)估的實(shí)施




第二十五條 評(píng)估機(jī)構(gòu)在開(kāi)始電子銀行安全評(píng)估之前,，應(yīng)就評(píng)估的范圍,、重點(diǎn)、時(shí)間與要求等問(wèn)題,，與被評(píng)估機(jī)構(gòu)進(jìn)行充分的溝通,，制定評(píng)估計(jì)劃，由雙方簽字認(rèn)可,。




第二十六條 依據(jù)評(píng)估計(jì)劃,，評(píng)估機(jī)構(gòu)進(jìn)場(chǎng)對(duì)委托機(jī)構(gòu)的電子銀行安全進(jìn)行評(píng)估。



電子銀行安全評(píng)估應(yīng)真實(shí),、全面地評(píng)價(jià)電子銀行系統(tǒng)的安全性,。




第二十七條 電子銀行安全評(píng)估至少應(yīng)包括以下內(nèi)容：



 （一） 安全策略；



 （二） 內(nèi)控制度建設(shè),；



 （三） 風(fēng)險(xiǎn)管理狀況,；



 （四） 系統(tǒng)安全性,；



 （五） 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃；



 （六） 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃,；



 （七） 電子銀行風(fēng)險(xiǎn)預(yù)警體系,；



 （八） 其他重要安全環(huán)節(jié)和機(jī)制的管理。




第二十八條 電子銀行安全策略的評(píng)估,，至少應(yīng)包括以下內(nèi)容：



 （一） 安全策略制定的流程與合理性,；



 （二） 系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)的安全策略；



 （三） 系統(tǒng)測(cè)試與驗(yàn)收的安全策略,；



 （四） 系統(tǒng)運(yùn)行與維護(hù)的安全策略,；



 （五） 系統(tǒng)備份與應(yīng)急的安全策略；



 （六） 客戶(hù)信息安全策略,。



 評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)安全策略的評(píng)估,，不僅要評(píng)估安全策略、規(guī)章制度和程序是否存在,，還要評(píng)估這些制度是否得到貫徹執(zhí)行,，是否及時(shí)更新，是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng),。




第二十九條 電子銀行內(nèi)控制度的評(píng)估,，應(yīng)至少包括以下內(nèi)容：



 （一） 內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性；



 （二） 董事會(huì)和高級(jí)管理層在電子銀行安全和風(fēng)險(xiǎn)管理體系中的職責(zé),，以及相關(guān)部門(mén)職責(zé)和責(zé)任的合理性,；



 （三） 安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況；



 （四） 內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行情況,。




第三十條 電子銀行風(fēng)險(xiǎn)管理狀況的評(píng)估,，應(yīng)至少包括以下內(nèi)容：



 （一） 電子銀行風(fēng)險(xiǎn)管理架構(gòu)的適應(yīng)性和合理性；



 （二） 董事會(huì)和高級(jí)管理層對(duì)電子銀行安全與風(fēng)險(xiǎn)管理的認(rèn)知能力與相關(guān)政策,、策略的制定執(zhí)行情況,；



 （三） 電子銀行管理機(jī)構(gòu)職責(zé)設(shè)置的合理性及對(duì)相關(guān)風(fēng)險(xiǎn)的管控能力；



 （四） 管理人員配備與培訓(xùn)情況,；



 （五） 電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定、程序等的執(zhí)行情況,；



 （六） 電子銀行業(yè)務(wù)的主要風(fēng)險(xiǎn)及管理狀況,；



 （七） 業(yè)務(wù)外包管理制度建設(shè)與管理狀況。




第三十一條 電子銀行系統(tǒng)安全性的評(píng)估,，應(yīng)至少包括以下內(nèi)容：



 （一） 物理安全,；



 （二） 數(shù)據(jù)通訊安全；



 （三） 應(yīng)用系統(tǒng)安全,；



 （四） 密鑰管理,；



 （五） 客戶(hù)信息認(rèn)證與保密,；



 （六） 入侵監(jiān)測(cè)機(jī)制和報(bào)告反應(yīng)機(jī)制。



 評(píng)估機(jī)構(gòu)應(yīng)突出對(duì)數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評(píng)估,，客觀評(píng)價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù),、合理設(shè)計(jì)和配置了服務(wù)器和防火墻，銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫(kù)是否安全等,，以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序,，并能保證各種修改得到及時(shí)測(cè)試和審核。




第三十二條 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃的評(píng)估,，應(yīng)至少包括以下內(nèi)容：



 （一） 保障業(yè)務(wù)連續(xù)運(yùn)營(yíng)的設(shè)備和系統(tǒng)能力,；



 （二） 保證業(yè)務(wù)連續(xù)運(yùn)營(yíng)的制度安排和執(zhí)行情況。




第三十三條 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃的評(píng)估,，應(yīng)至少包括以下內(nèi)容：



 （一） 電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況,；



 （二） 電子銀行應(yīng)急設(shè)施設(shè)備配備情況；



 （三） 定期,、持續(xù)性檢測(cè)與演練情況,；



 （四） 應(yīng)對(duì)意外事故或外部攻擊的能力。




第三十四條 評(píng)估機(jī)構(gòu)應(yīng)制定本機(jī)構(gòu)電子銀行安全評(píng)定標(biāo)準(zhǔn),，在進(jìn)行安全評(píng)估時(shí),，應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況，確定不同評(píng)估內(nèi)容對(duì)電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重,，對(duì)每項(xiàng)評(píng)估內(nèi)容進(jìn)行評(píng)分,，綜合計(jì)算出被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)。




第三十五條 評(píng)估完成后,，評(píng)估機(jī)構(gòu)應(yīng)及時(shí)撰寫(xiě)評(píng)估報(bào)告,，并于評(píng)估完成后1個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評(píng)估報(bào)告。




第三十六條 評(píng)估報(bào)告應(yīng)至少包括以下內(nèi)容：



 （一） 評(píng)估的時(shí)間,、范圍及其他協(xié)議中重要的約定,；



 （二） 評(píng)估的總體框架、程序,、主要方法及主要評(píng)估人員介紹,；



 （三） 不同評(píng)估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn)，風(fēng)險(xiǎn)等級(jí)的計(jì)算方法,，以及風(fēng)險(xiǎn)等級(jí)的定義,；



 （四） 評(píng)估內(nèi)容與評(píng)估活動(dòng)描述,；



 （五） 評(píng)估結(jié)論,；



 （六） 對(duì)被評(píng)估機(jī)構(gòu)電子銀行安全管理的建議；



 （七） 其他需要說(shuō)明的問(wèn)題,；



 （八） 主要術(shù)語(yǔ)定義和所采用的國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)介紹（可作為附件）；



 （九） 評(píng)估工作流程記錄表（可作為附件）,；



 （十） 評(píng)估機(jī)構(gòu)參加評(píng)估人員名單（可作為附件）,。



 在評(píng)估結(jié)論中，評(píng)估機(jī)構(gòu)應(yīng)采用量化的辦法表明被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí),，說(shuō)明被評(píng)估機(jī)構(gòu)電子銀行安全管理中存在的主要問(wèn)題與隱患,，并提出整改建議。




第三十七條 評(píng)估報(bào)告完成并提交委托機(jī)構(gòu)后,，如需修改,，應(yīng)將修改的原因、依據(jù)和修改意見(jiàn)作為附件附在原報(bào)告之后,，不得直接修改原報(bào)告,。




第四章 安全評(píng)估活動(dòng)的管理




第三十八條 金融機(jī)構(gòu)在申請(qǐng)開(kāi)辦電子銀行業(yè)務(wù)時(shí)，應(yīng)當(dāng)按照有關(guān)規(guī)定對(duì)完成測(cè)試的電子銀行系統(tǒng)進(jìn)行安全評(píng)估,。




第三十九條 金融機(jī)構(gòu)開(kāi)辦電子銀行業(yè)務(wù)后,，有下列情形之一的，應(yīng)立即組織安全評(píng)估：



 （一） 由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓,，修復(fù)運(yùn)行的,；



 （二） 電子銀行系統(tǒng)進(jìn)行重大更新或升級(jí)后，出現(xiàn)系統(tǒng)意外停機(jī)12小時(shí)以上的,；



 （三） 電子銀行關(guān)鍵設(shè)備與設(shè)施更換后,，出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運(yùn)行的；



 （四） 基于電子銀行安全管理需要立即評(píng)估的,。




第四十條 金融機(jī)構(gòu)對(duì)電子銀行外部安全評(píng)估機(jī)構(gòu)的選聘,，應(yīng)由金融機(jī)構(gòu)的董事會(huì)或高級(jí)管理層負(fù)責(zé)。




第四十一條 已實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu),，其分支機(jī)構(gòu)開(kāi)展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估,，在總行（公司）的電子銀行安全評(píng)估中應(yīng)包含對(duì)其分支機(jī)構(gòu)電子銀行安全管理狀況的評(píng)估。




第四十二條 未實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu),，其分支機(jī)構(gòu)開(kāi)展電子銀行業(yè)務(wù)且擁有獨(dú)立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的,，分支機(jī)構(gòu)的電子銀行系統(tǒng)應(yīng)在總行（公司）的統(tǒng)一管理和指導(dǎo)下，按照有關(guān)規(guī)定進(jìn)行安全評(píng)估,。




第四十三條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機(jī)構(gòu),，其境外總行（公司）已經(jīng)進(jìn)行了安全評(píng)估且符合本指引有關(guān)規(guī)定的，其境內(nèi)分支機(jī)構(gòu)開(kāi)展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估,，但應(yīng)按照本指引的有關(guān)要求,，向監(jiān)管部門(mén)報(bào)送安全評(píng)估報(bào)告。




第四十四條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機(jī)構(gòu),，或者雖設(shè)置在境外但其境外總行（公司）未進(jìn)行安全評(píng)估或安全評(píng)估不符合本指引有關(guān)規(guī)定的，應(yīng)按規(guī)定開(kāi)展電子銀行安全評(píng)估工作。




第四十五條 電子銀行安全評(píng)估工作,，確需由多個(gè)評(píng)估機(jī)構(gòu)共同承擔(dān)或?qū)嵤r(shí),，金融機(jī)構(gòu)應(yīng)確定一個(gè)主要的評(píng)估機(jī)構(gòu)協(xié)調(diào)總體評(píng)估工作，負(fù)責(zé)總體評(píng)估報(bào)告的編制,。



 金融機(jī)構(gòu)將電子銀行系統(tǒng)委托給不同的評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估,，應(yīng)當(dāng)明確每個(gè)評(píng)估機(jī)構(gòu)安全評(píng)估的范圍，并保證全面覆蓋了應(yīng)評(píng)估的事項(xiàng),，沒(méi)有遺漏,。




第四十六條 金融機(jī)構(gòu)應(yīng)在簽署評(píng)估協(xié)議后兩周內(nèi)，將評(píng)估機(jī)構(gòu)簡(jiǎn)介,、擬采用的評(píng)估方案和評(píng)估步驟等,，報(bào)送中國(guó)銀監(jiān)會(huì)。




第四十七條 中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要,，可派員參加金融機(jī)構(gòu)電子銀行安全評(píng)估工作,，但不作為正式評(píng)估人員，不提供評(píng)估意見(jiàn),。




第四十八條 評(píng)估機(jī)構(gòu)應(yīng)本著客觀,、公正、真實(shí)和自主的原則,，開(kāi)展評(píng)估活動(dòng),，并嚴(yán)格保守在評(píng)估過(guò)程中獲悉的商業(yè)機(jī)密。




第四十九條 在評(píng)估過(guò)程中,，委托機(jī)構(gòu)和評(píng)估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制：



 （一） 評(píng)估過(guò)程中,，調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等,，都應(yīng)建立登記,、簽字制度；



 （二） 調(diào)閱的文件資料應(yīng)在指定的場(chǎng)所閱讀,，不得帶出指定場(chǎng)所,；



 （三） 復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場(chǎng)所，如確需帶出的,，必須詳細(xì)登記帶出文件或數(shù)據(jù)名稱(chēng),、數(shù)量、帶出原因,、文件與數(shù)據(jù)的最終處理方式,、責(zé)任人等，并由相關(guān)負(fù)責(zé)人簽字確認(rèn),；



 （四） 評(píng)估過(guò)程中廢棄的文件,、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷(xiāo)毀或刪除；



 （五） 評(píng)估工作結(jié)束后,，雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù),、資料等的交接情況簽署說(shuō)明。




第五十條 金融機(jī)構(gòu)在收到評(píng)估機(jī)構(gòu)評(píng)估報(bào)告的1個(gè)月內(nèi),，應(yīng)將評(píng)估報(bào)告報(bào)送中國(guó)銀監(jiān)會(huì),。



 金融機(jī)構(gòu)報(bào)送評(píng)估報(bào)告時(shí)，可對(duì)評(píng)估報(bào)告中的有關(guān)問(wèn)題作必要的說(shuō)明,。




第五十一條 未經(jīng)監(jiān)管部門(mén)批準(zhǔn),，電子銀行安全評(píng)估報(bào)告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門(mén)以外的第三方機(jī)構(gòu),。




第五十二條 對(duì)未按有關(guān)要求進(jìn)行的安全評(píng)估,，或者評(píng)估程序、方法和評(píng)估報(bào)告存在重要缺陷的安全評(píng)估,，中國(guó)銀監(jiān)會(huì)可以要求金融機(jī)構(gòu)進(jìn)行重新評(píng)估,。




第五十三條 中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可以自己組織或委托評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的電子銀行系統(tǒng)進(jìn)行安全評(píng)估,，金融機(jī)構(gòu)應(yīng)予以配合,。




第五十四條 中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可直接向評(píng)估機(jī)構(gòu)了解其評(píng)估的方法,、范圍和程序等,。




第五十五條 對(duì)于評(píng)估報(bào)告中所反映出的問(wèn)題，金融機(jī)構(gòu)應(yīng)采取有效的措施加以糾正,。




第五章 附則




第五十六條 本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋,。




第五十七條 本指引自2006年3月1日起施行。