国产午夜精品一二区理论影院,麻花豆传媒剧在线MV免费牛牛

電子銀行安全評估指引

第一章總則

第一條為加強電子銀行業(yè)務的安全與風險管理，保證電子銀行安全評估的客觀性,、及時性,、全面性和有效性，依據(jù)《電子銀行業(yè)務管理辦法》的有關規(guī)定,，制定本指引,。

第二條電子銀行的安全評估，是指金融機構在開展電子銀行業(yè)務過程中,，對電子銀行的安全策略,、內(nèi)控制度、風險管理,、系統(tǒng)安全,、客戶保護等方面進行的安全測試和管控能力的考察與評價。

第三條開展電子銀行業(yè)務的金融機構,，應根據(jù)其電子銀行發(fā)展和管理的需要,，至少每2年對電子銀行進行一次全面的安全評估。

第四條金融機構可以利用外部專業(yè)化的評估機構對電子銀行進行安全評估,，也可以利用內(nèi)部獨立于電子銀行業(yè)務運營和管理部門的評估部門對電子銀行進行安全評估,。

第五條金融機構應建立電子銀行安全評估的規(guī)章制度體系和工作規(guī)程，保證電子銀行安全評估能夠及時,、客觀地得以實施,。

第六條金融機構的電子銀行安全評估，應接受中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）的監(jiān)督指導,。

第二章安全評估機構

第七條承擔金融機構電子銀行安全評估工作的機構,，可以是金融機構外部的社會專業(yè)化機構，也可以是金融機構內(nèi)部具備相應條件的相對獨立部門,。

第八條外部機構從事電子銀行安全評估,，應具備以下條件：

（一）具有較為完善的開展電子銀行安全評估業(yè)務的管理制度和操作規(guī)程；

（二）制定了系統(tǒng),、全面的評估手冊或評估指導文件,，評估手冊或評估指導文件的內(nèi)容應至少包括評估程序、評估方法和依據(jù),、評估標準等,；

（三）擁有與電子銀行安全評估相關的各類專業(yè)人才,，了解國際和中國相關行業(yè)的行業(yè)標準；

（四）中國銀監(jiān)會規(guī)定的其他從事電子銀行安全評估應當具備的條件,。

第九條金融機構內(nèi)部部門從事電子銀行安全評估,，除應具備第八條規(guī)定的有關條件外，還應具備以下條件：

（一）必須獨立于電子銀行業(yè)務系統(tǒng)開發(fā)部門,、運營部門和管理部門,；

（二）未直接參與過有關電子銀行設備的選購工作。

第十條中國銀監(jiān)會負責電子銀行安全評估機構資質(zhì)認定工作,。

電子銀行安全評估機構在開展金融機構電子銀行安全評估業(yè)務前,，可以向中國銀監(jiān)會申請對其資質(zhì)進行認定。

第十一條金融機構在進行電子銀行安全評估時,，可以選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構,，也可以選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構。

金融機構選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構時,，有關安全評估機構的管理適用本指引有關規(guī)定,。金融機構選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構時，安全評估機構的選擇標準應不低于第八條,、第九條規(guī)定的條件要求,，并應按照《電子銀行業(yè)務管理辦法》的有關規(guī)定，報送相關材料,。

電子銀行安全評估機構無論是否經(jīng)過中國銀監(jiān)會資質(zhì)認定,，在開展電子銀行安全評估活動時，都應遵守有關電子銀行安全評估實施和管理的規(guī)定,。

第十二條中國銀監(jiān)會每年將組織一次電子銀行安全評估機構資質(zhì)認定工作,，評定時間應提前1個月公告。

第十三條申請資質(zhì)認定的電子銀行安全評估機構,，應在中國銀監(jiān)會公告規(guī)定的時限內(nèi)提交以下材料（一式七份）：

（一）電子銀行安全評估資質(zhì)認定申請報告,；

（二）機構介紹；

（三）安全評估業(yè)務管理框架,、管理制度,、操作規(guī)程等；

（四）評估手冊或評估指導文件,；

（五）主要評估人員簡歷,；

（六）中國銀監(jiān)會要求提供的其他文件、資料,。

第十四條中國銀監(jiān)會收到安全評估機構資質(zhì)認定申請完整材料后，組織有關專家和監(jiān)管人員對申請材料進行評議,，采用投票的辦法評定電子銀行安全評估機構是否達到了有關資質(zhì)要求,。

第十五條中國銀監(jiān)會對評估機構資質(zhì)評議后,，出具《電子銀行安全評估機構資質(zhì)認定意見書》，載明評議意見,，對評估機構的資質(zhì)做出認定,。

第十六條中國銀監(jiān)會出具的《電子銀行安全評估機構資質(zhì)認定意見書》，僅供評估機構與金融機構商恰有關電子銀行安全評估業(yè)務時使用,，不影響評估機構開展其他經(jīng)營活動,。

評估機構不得將《電子銀行安全評估機構資質(zhì)認定意見書》用于宣傳或其他活動。

第十七條經(jīng)中國銀監(jiān)會評議并被認為達到有關資質(zhì)要求的評估機構,，每次資質(zhì)認定的有效期限為2年,。

經(jīng)評議不符合認定資質(zhì)的，評估機構可在下一年度重新申請資質(zhì)認定,。

第十八條在資質(zhì)認定的有效期限內(nèi),，電子銀行安全評估機構如果出現(xiàn)下列情況，中國銀監(jiān)會將撤銷已做出的評議和認定意見：

（一）評估機構管理不善,，其工作人員泄露被評估機構秘密的,；

（二）評估工作質(zhì)量低下，評估活動出現(xiàn)重要遺漏的,；

（三）未按要求提交評估報告,，或評估報告中存在不實表述的；

（四）將《電子銀行安全評估機構資質(zhì)認定意見書》用于宣傳和其他經(jīng)營活動的,；

（五）存在其他嚴重不盡職行為的,。

第十九條評估機構有下列行為之一的，中國銀監(jiān)會將在一定期限或無限期不再受理評估機構的資質(zhì)認定申請,，金融機構不應再委托該評估機構進行安全評估：

（一）與委托機構合謀,，共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報告的,；

（二）在評估過程中弄虛作假,，編造安全評估報告的；

（三）泄漏被評估機構機密信息,，或不當使用被評估機構機密資料的,。

金融機構內(nèi)部評估機構出現(xiàn)以上情況之一的，中國銀監(jiān)會將依法對相關機構和責任人進行處罰,。

第二十條中國銀監(jiān)會認可的電子銀行安全評估機構,，以及有關資質(zhì)認定、撤銷等信息,，僅向開展電子銀行業(yè)務的各金融機構通報,，不向社會發(fā)布。

金融機構不得向第三方泄露中國銀監(jiān)會的有關通報信息，影響有關機構的其他業(yè)務活動,，也不得將有關信息用于與電子銀行安全評估活動無關的其他業(yè)務活動,。

第二十一條金融機構可以在中國銀監(jiān)會認定的評估機構范圍內(nèi)，自主選擇電子銀行安全評估機構,。

第二十二條電子銀行主要系統(tǒng)設置于境外并在境外實施電子銀行安全評估的外資金融機構,，以及需要按照所在地監(jiān)管部門的要求在境外實施電子銀行安全評估的中資金融機構境外分支機構，電子銀行安全評估機構的選擇應遵循所在國家或地區(qū)的法律要求,。

所在國家或地區(qū)沒有相關法律要求的,，金融機構應參照本指引的有關規(guī)定開展安全評估活動。

第二十三條金融機構應與聘用的電子銀行安全評估機構簽訂書面服務協(xié)議,，在服務協(xié)議中,，必須含有明確的保密條款和保密責任。

金融機構選擇內(nèi)部部門作為評估機構時,，應由電子銀行管理部門與評估部門簽訂評估責任確定書,。

第二十四條安全評估機構應根據(jù)評估協(xié)議的規(guī)定，認真履行評估職責,，真實評估被評估機構電子銀行安全狀況,。

第三章安全評估的實施

第二十五條評估機構在開始電子銀行安全評估之前，應就評估的范圍,、重點,、時間與要求等問題，與被評估機構進行充分的溝通,，制定評估計劃,，由雙方簽字認可。

第二十六條依據(jù)評估計劃,，評估機構進場對委托機構的電子銀行安全進行評估,。

電子銀行安全評估應真實、全面地評價電子銀行系統(tǒng)的安全性,。

第二十七條電子銀行安全評估至少應包括以下內(nèi)容：

（一）安全策略,；

（二）內(nèi)控制度建設；

（三）風險管理狀況,；

（四）系統(tǒng)安全性,；

（五）電子銀行業(yè)務運行連續(xù)性計劃；

（六）電子銀行業(yè)務運行應急計劃,；

（七）電子銀行風險預警體系,；

（八）其他重要安全環(huán)節(jié)和機制的管理。

第二十八條電子銀行安全策略的評估,，至少應包括以下內(nèi)容：

（一）安全策略制定的流程與合理性,；

（二）系統(tǒng)設計與開發(fā)的安全策略；

（三）系統(tǒng)測試與驗收的安全策略；

（四）系統(tǒng)運行與維護的安全策略,；

（五）系統(tǒng)備份與應急的安全策略,；

（六）客戶信息安全策略。

評估機構對金融機構安全策略的評估,，不僅要評估安全策略、規(guī)章制度和程序是否存在,，還要評估這些制度是否得到貫徹執(zhí)行,，是否及時更新，是否全面覆蓋電子銀行業(yè)務系統(tǒng),。

第二十九條電子銀行內(nèi)控制度的評估,，應至少包括以下內(nèi)容：

（一）內(nèi)部控制體系總體建設的科學性與適宜性；

（二）董事會和高級管理層在電子銀行安全和風險管理體系中的職責,，以及相關部門職責和責任的合理性,；

（三）安全監(jiān)控機制的建設與運行情況；

（四）內(nèi)部審計制度的建設與運行情況,。

第三十條電子銀行風險管理狀況的評估,，應至少包括以下內(nèi)容：

（一）電子銀行風險管理架構的適應性和合理性；

（二）董事會和高級管理層對電子銀行安全與風險管理的認知能力與相關政策,、策略的制定執(zhí)行情況,；

（三）電子銀行管理機構職責設置的合理性及對相關風險的管控能力；

（四）管理人員配備與培訓情況,；

（五）電子銀行風險管理的規(guī)章制度與操作規(guī)定,、程序等的執(zhí)行情況；

（六）電子銀行業(yè)務的主要風險及管理狀況,；

（七）業(yè)務外包管理制度建設與管理狀況,。

第三十一條電子銀行系統(tǒng)安全性的評估，應至少包括以下內(nèi)容：

（一）物理安全,；

（二）數(shù)據(jù)通訊安全,；

（三）應用系統(tǒng)安全；

（四）密鑰管理,；

（五）客戶信息認證與保密,；

（六）入侵監(jiān)測機制和報告反應機制。

評估機構應突出對數(shù)據(jù)通訊安全和應用系統(tǒng)安全的評估,，客觀評價金融機構是否采用了合適的加密技術,、合理設計和配置了服務器和防火墻，銀行內(nèi)部運作系統(tǒng)和數(shù)據(jù)庫是否安全等,，以及金融機構是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序,，并能保證各種修改得到及時測試和審核。

第三十二條電子銀行業(yè)務運行連續(xù)性計劃的評估，應至少包括以下內(nèi)容：

（一）保障業(yè)務連續(xù)運營的設備和系統(tǒng)能力,；

（二）保證業(yè)務連續(xù)運營的制度安排和執(zhí)行情況,。

第三十三條電子銀行業(yè)務運行應急計劃的評估,，應至少包括以下內(nèi)容：

（一）電子銀行應急制度建設與執(zhí)行情況,；

（二）電子銀行應急設施設備配備情況,；

（三）定期,、持續(xù)性檢測與演練情況,；

（四）應對意外事故或外部攻擊的能力,。

第三十四條評估機構應制定本機構電子銀行安全評定標準,，在進行安全評估時,，應根據(jù)委托機構的實際情況,，確定不同評估內(nèi)容對電子銀行總體風險影響程度的權重,，對每項評估內(nèi)容進行評分,，綜合計算出被評估機構電子銀行的風險等級。

第三十五條評估完成后,，評估機構應及時撰寫評估報告,，并于評估完成后1個月內(nèi)向委托機構提交由其法定代表人或其授權委托人簽字認可的評估報告,。

第三十六條評估報告應至少包括以下內(nèi)容：

（一）評估的時間、范圍及其他協(xié)議中重要的約定,；

（二）評估的總體框架,、程序,、主要方法及主要評估人員介紹,；

（三）不同評估內(nèi)容風險權重的確定標準,，風險等級的計算方法,，以及風險等級的定義；

（四）評估內(nèi)容與評估活動描述,；

（五）評估結論,；

（六）對被評估機構電子銀行安全管理的建議,；

（七）其他需要說明的問題,；

（八）主要術語定義和所采用的國際或國內(nèi)標準介紹（可作為附件）,；

（九）評估工作流程記錄表（可作為附件）,；

（十）評估機構參加評估人員名單（可作為附件）,。

在評估結論中，評估機構應采用量化的辦法表明被評估機構電子銀行的風險等級,，說明被評估機構電子銀行安全管理中存在的主要問題與隱患,，并提出整改建議。

第三十七條評估報告完成并提交委托機構后,，如需修改,，應將修改的原因、依據(jù)和修改意見作為附件附在原報告之后,，不得直接修改原報告,。

第四章安全評估活動的管理

第三十八條金融機構在申請開辦電子銀行業(yè)務時,，應當按照有關規(guī)定對完成測試的電子銀行系統(tǒng)進行安全評估。

第三十九條金融機構開辦電子銀行業(yè)務后,，有下列情形之一的，應立即組織安全評估：

（一）由于安全漏洞導致系統(tǒng)被攻擊癱瘓,，修復運行的,；

（二）電子銀行系統(tǒng)進行重大更新或升級后，出現(xiàn)系統(tǒng)意外停機12小時以上的,；

（三）電子銀行關鍵設備與設施更換后,，出現(xiàn)重大事故修復后仍不能保持連續(xù)不間斷運行的,；

（四）基于電子銀行安全管理需要立即評估的,。

第四十條金融機構對電子銀行外部安全評估機構的選聘,，應由金融機構的董事會或高級管理層負責,。

第四十一條已實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構，其分支機構開展電子銀行業(yè)務不需單獨進行安全評估,，在總行（公司）的電子銀行安全評估中應包含對其分支機構電子銀行安全管理狀況的評估。

第四十二條未實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構,，其分支機構開展電子銀行業(yè)務且擁有獨立的業(yè)務處理設備與系統(tǒng)的,，分支機構的電子銀行系統(tǒng)應在總行（公司）的統(tǒng)一管理和指導下,，按照有關規(guī)定進行安全評估,。

第四十三條電子銀行主要業(yè)務處理系統(tǒng)設置在境外的外資金融機構,，其境外總行（公司）已經(jīng)進行了安全評估且符合本指引有關規(guī)定的，其境內(nèi)分支機構開展電子銀行業(yè)務不需單獨進行安全評估，但應按照本指引的有關要求,，向監(jiān)管部門報送安全評估報告。

第四十四條電子銀行主要業(yè)務處理系統(tǒng)設置在境內(nèi)的外資金融機構,，或者雖設置在境外但其境外總行（公司）未進行安全評估或安全評估不符合本指引有關規(guī)定的,，應按規(guī)定開展電子銀行安全評估工作。

第四十五條電子銀行安全評估工作，確需由多個評估機構共同承擔或實施時,，金融機構應確定一個主要的評估機構協(xié)調(diào)總體評估工作,，負責總體評估報告的編制,。

金融機構將電子銀行系統(tǒng)委托給不同的評估機構進行安全評估,，應當明確每個評估機構安全評估的范圍，并保證全面覆蓋了應評估的事項,，沒有遺漏,。

第四十六條金融機構應在簽署評估協(xié)議后兩周內(nèi)，將評估機構簡介,、擬采用的評估方案和評估步驟等,，報送中國銀監(jiān)會,。

第四十七條中國銀監(jiān)會根據(jù)監(jiān)管工作的需要,，可派員參加金融機構電子銀行安全評估工作，但不作為正式評估人員,，不提供評估意見,。

第四十八條評估機構應本著客觀,、公正、真實和自主的原則,，開展評估活動,，并嚴格保守在評估過程中獲悉的商業(yè)機密。

第四十九條在評估過程中,，委托機構和評估機構之間應建立信息保密工作機制：

（一）評估過程中,，調(diào)閱相關資料、復制相關文件或數(shù)據(jù)等,，都應建立登記,、簽字制度；

（二）調(diào)閱的文件資料應在指定的場所閱讀,，不得帶出指定場所,；

（三）復制的文件或數(shù)據(jù)一般也不應帶出工作場所，如確需帶出的,，必須詳細登記帶出文件或數(shù)據(jù)名稱,、數(shù)量、帶出原因,、文件與數(shù)據(jù)的最終處理方式,、責任人等，并由相關負責人簽字確認,；

（四）評估過程中廢棄的文件,、材料和不再使用的數(shù)據(jù)，應立即予以銷毀或刪除,；

（五）評估工作結束后,，雙方應就有關機密數(shù)據(jù)、資料等的交接情況簽署說明,。

第五十條金融機構在收到評估機構評估報告的1個月內(nèi),，應將評估報告報送中國銀監(jiān)會。

金融機構報送評估報告時,，可對評估報告中的有關問題作必要的說明,。

第五十一條未經(jīng)監(jiān)管部門批準，電子銀行安全評估報告不得作為廣告宣傳資料使用,，也不得提供給除監(jiān)管部門以外的第三方機構,。

第五十二條對未按有關要求進行的安全評估，或者評估程序,、方法和評估報告存在重要缺陷的安全評估,，中國銀監(jiān)會可以要求金融機構進行重新評估。

第五十三條中國銀監(jiān)會根據(jù)監(jiān)管工作的需要，可以自己組織或委托評估機構對金融機構的電子銀行系統(tǒng)進行安全評估,，金融機構應予以配合,。

第五十四條中國銀監(jiān)會根據(jù)監(jiān)管工作的需要，可直接向評估機構了解其評估的方法,、范圍和程序等,。

第五十五條對于評估報告中所反映出的問題，金融機構應采取有效的措施加以糾正,。

第五章附則

第五十六條本指引由中國銀監(jiān)會負責解釋,。

第五十七條本指引自2006年3月1日起施行。

電子銀行安全評估指引

最新法律法規(guī)

相關法律法規(guī)