
电子银行安全评估指引.docx
11页发布单位】中国银行业监督管理委员会【发布文号】【发布日期】-02-07【生效日期】-03-01【失效日期】【所属类别】政策参照【文献来源】中国银行业监督管理委员会 ﻫ ﻫ 电子银行安全评估指引 第一章 总 则 ﻫ ﻫ 第一条第一条 为加强电子银行业务的安全与风险管理,保证电子银行安全评估的客观性、及时性、全面性和有效性,根据《 电子银行业务管理措施》的有关规定,制定本指引 ﻫ 第二条第二条 电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全方略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价 第三条第三条 开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估 第四条第四条 金融机构可以运用外部专业化的评估机构对电子银行进行安全评估,也可以运用内部独立于电子银行业务运营和管理部门的评估部门对电子银行进行安全评估 ﻫ 第五条第五条 金融机构应建立电子银行安全评估的规章制度体系和工作规程,保证电子银行安全评估可以及时、客观地得以实行。
ﻫ ﻫ 第六条第六条 金融机构的电子银行安全评估,应接受中国银行业监督管理委员会(如下简称中国银监会)的监督指引 ﻫ 第二章 安全评估机构 ﻫ 第七条第七条 承当金融机构电子银行安全评估工作的机构,可以是金融机构外部的社会专业化机构,也可以是金融机构内部具有相应条件的相对独立部门 第八条第八条 外部机构从事电子银行安全评估,应具有如下条件: (一) 具有较为完善的开展电子银行安全评估业务的管理制度和操作规程; ﻫ (二) 制定了系统、全面的评估手册或评估指引文献,评估手册或评估指引文献的内容应至少涉及评估程序、评估措施和根据、评估原则等; (三) 拥有与电子银行安全评估有关的各类专业人才,理解国际和中国有关行业的行业原则; ﻫ (四) 中国银监会规定的其她从事电子银行安全评估应当具有的条件 ﻫ ﻫ 第九条第九条 金融机构内部部门从事电子银行安全评估,除应具有第八条规定的有关条件外,还应具有如下条件: ﻫ ﻫ (一) 必须独立于电子银行业务系统开发部门、运营部门和管理部门; ﻫ (二) 未直接参与过有关电子银行设备的选购工作。
ﻫ 第十条第十条 中国银监会负责电子银行安全评估机构资质认定工作 ﻫ 电子银行安全评估机构在开展金融机构电子银行安全评估业务前,可以向中国银监会申请对其资质进行认定 ﻫ 第十一条第十一条 金融机构在进行电子银行安全评估时,可以选择经中国银监会资质认定的安全评估机构,也可以选择未经中国银监会资质认定的安全评估机构 金融机构选择经中国银监会资质认定的安全评估机构时,有关安全评估机构的管理合用本指引有关规定金融机构选择未经中国银监会资质认定的安全评估机构时,安全评估机构的选择原则应不低于第八条、第九条规定的条件规定,并应按照《电子银行业务管理措施》的有关规定,报送有关材料 ﻫ电子银行安全评估机构无论与否通过中国银监会资质认定,在开展电子银行安全评估活动时,都应遵守有关电子银行安全评估实行和管理的规定 ﻫ 第十二条第十二条 中国银监会每年将组织一次电子银行安全评估机构资质认定工作,评估时间应提前1个月公示 ﻫ 第十三条第十三条 申请资质认定的电子银行安全评估机构,应在中国银监会公示规定的时限内提交如下材料(一式七份): ﻫ (一) 电子银行安全评估资质认定申请报告; ﻫ (二) 机构简介; (三) 安全评估业务管理框架、管理制度、操作规程等; ﻫ (四) 评估手册或评估指引文献; ﻫ (五) 重要评估人员简历; ﻫ (六) 中国银监会规定提供的其她文献、资料。
ﻫ 第十四条第十四条 中国银监会收到安全评估机构资质认定申请完整材料后,组织有关专家和监管人员对申请材料进行评议,采用投票的措施评估电子银行安全评估机构与否达到了有关资质规定 ﻫ 第十五条第十五条 中国银监会对评估机构资质评议后,出具《电子银行安全评估机构资质认定意见书》,载明评议意见,对评估机构的资质做出认定 第十六条第十六条 中国银监会出具的《电子银行安全评估机构资质认定意见书》,仅供评估机构与金融机构商恰有关电子银行安全评估业务时使用,不影响评估机构开展其她经营活动 ﻫ 评估机构不得将《电子银行安全评估机构资质认定意见书》用于宣传或其她活动 ﻫ 第十七条第十七条 经中国银监会评议并被觉得达到有关资质规定的评估机构,每次资质认定的有效期限为2年 ﻫ 经评议不符合认定资质的,评估机构可在下一年度重新申请资质认定 第十八条第十八条 在资质认定的有效期限内,电子银行安全评估机构如果浮现下列状况,中国银监会将撤销已做出的评议和认定意见: ﻫ (一) 评估机构管理不善,其工作人员泄露被评估机构秘密的; ﻫ (二) 评估工作质量低下,评估活动浮现重要漏掉的; ﻫ (三) 未按规定提交评估报告,或评估报告中存在不实表述的; (四) 将《电子银行安全评估机构资质认定意见书》用于宣传和其她经营活动的; (五) 存在其她严重不尽职行为的。
ﻫ 第十九条第十九条 评估机构有下列行为之一的,中国银监会将在一定期限或无限期不再受理评估机构的资质认定申请,金融机构不应再委托该评估机构进行安全评估: ﻫ (一) 与委托机构合谋,共同隐瞒在安全评估过程中发现的安全漏洞,未按规定写入评估报告的; ﻫ (二) 在评估过程中弄虚作假,编造安全评估报告的; ﻫ ﻫ (三) 泄漏被评估机构机密信息,或不当使用被评估机构机密资料的 ﻫ ﻫ金融机构内部评估机构浮现以上状况之一的,中国银监会将依法对有关机构和负责人进行惩罚 ﻫ ﻫ 第二十条第二十条 中国银监会承认的电子银行安全评估机构,以及有关资质认定、撤销等信息,仅向开展电子银行业务的各金融机构通报,不向社会发布 ﻫ 金融机构不得向第三方泄露中国银监会的有关通报信息,影响有关机构的其她业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其她业务活动 第二十一条第二十一条 金融机构可以在中国银监会认定的评估机构范畴内,自主选择电子银行安全评估机构 第二十二条第二十二条 电子银行重要系统设立于境外并在境外实行电子银行安全评估的外资金融机构,以及需要按照所在地监管部门的规定在境外实行电子银行安全评估的中资金融机构境外分支机构,电子银行安全评估机构的选择应遵循所在国家或地区的法律规定。
ﻫ 所在国家或地区没有有关法律规定的,金融机构应参照本指引的有关规定开展安全评估活动 ﻫ ﻫ 第二十三条第二十三条 金融机构应与聘任的电子银行安全评估机构签订书面服务合同,在服务合同中,必须具有明确的保密条 款和保密责任 ﻫ 金融机构选择内部部门作为评估机构时,应由电子银行管理部门与评估部门签订评估责任拟定书 ﻫ ﻫ 第二十四条第二十四条 安全评估机构应根据评估合同的规定,认真履行评估职责,真实评估被评估机构电子银行安全状况 ﻫ 第三章 安全评估的实行 第二十五条第二十五条 评估机构在开始电子银行安全评估之前,应就评估的范畴、重点、时间与规定等问题,与被评估机构进行充足的沟通,制定评估筹划,由双方签字承认 ﻫ 第二十六条第二十六条 根据评估筹划,评估机构进场对委托机构的电子银行安全进行评估 ﻫ ﻫ电子银行安全评估应真实、全面地评价电子银行系统的安全性 ﻫ 第二十七条第二十七条 电子银行安全评估至少应涉及如下内容: (一) 安全方略; ﻫ (二) 内控制度建设; ﻫ (三) 风险管理状况; ﻫ (四) 系统安全性; ﻫ (五) 电子银行业务运营持续性筹划; ﻫ ﻫ (六) 电子银行业务运营应急筹划; ﻫ (七) 电子银行风险预警体系; ﻫ ﻫ (八) 其她重要安全环节和机制的管理。
第二十八条第二十八条 电子银行安全方略的评估,至少应涉及如下内容: ﻫ (一) 安全方略制定的流程与合理性; ﻫ (二) 系统设计与开发的安全方略; ﻫ (三) 系统测试与验收的安全方略; ﻫ (四) 系统运营与维护的安全方略; (五) 系统备份与应急的安全方略; ﻫ (六) 客户信息安全方略 ﻫ 评估机构对金融机构安全方略的评估,不仅要评估安全方略、规章制度和程序与否存在,还要评估这些制度与否得到贯彻执行,与否及时更新,与否全面覆盖电子银行业务系统 ﻫ 第二十九条第二十九条 电子银行内控制度的评估,应至少涉及如下内容: ﻫ (一) 内部控制体系总体建设的科学性与合适性; ﻫ ﻫ (二) 董事会和高档管理层在电子银行安全和风险管理体系中的职责,以及有关部门职责和责任的合理性; ﻫ (三) 安全监控机制的建设与运营状况; ﻫ (四) 内部审计制度的建设与运营状况 ﻫ ﻫ 第三十条第三十条 电子银行风险管理状况的评估,应至少涉及如下内容: (一) 电子银行风险管理架构的适应性和合理性; ﻫ ﻫ (二) 董事会和高档管理层对电子银行安全与风险管理的认知能力与有关政策、方略的制定执行状况; (三) 电子银行管理机构职责设立的合理性及对有关风险的管控能力; ﻫ (四) 管理人员配备与培训状况; ﻫ ﻫ (五) 电子银行风险管理的规章制度与操作规定、程序等的执行状况; ﻫ ﻫ (六) 电子银行业务的重要风险及管理状况; (七) 业务外包管理制度建设与管理状况。
第三十一条第三十一条 电子银行系统安全性的评估,应至少涉及如下内容: ﻫ (一) 物理安全; ﻫ ﻫ (二) 数据通讯安全; ﻫ (三) 应用系统安全; ﻫ (四) 密钥管理; ﻫ ﻫ (五) 客户信息认证与保密; ﻫ ﻫ (六) 入侵监测机制和报告反映机制 ﻫ ﻫ 评估机构应突出对数据通讯安全和应用系统安全的评估,客观评价金融机构与否采用了合适的加密技术、合理设计和配备了服务器和。












