電子銀行安全評估指引(征求意見稿)

1、電子銀行安全評估指引（征求意見稿）第一章 總則第一條 為促進(jìn)電子銀行業(yè)務(wù)的健康發(fā)展，保證電子銀行業(yè)務(wù)安全性評估的客觀性、及時(shí)性、全面性和有效性，依據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國金融機(jī)構(gòu)法等法律法規(guī)和電子銀行業(yè)務(wù)管理辦法等監(jiān)管規(guī)章，制定本指引。第二條 電子銀行的安全評估，是指對開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)在電子銀行管理過程中的電子銀行安全策略、內(nèi)控制度、系統(tǒng)安全、客戶保護(hù)等方面，進(jìn)行的安全測試和風(fēng)險(xiǎn)管理能力等的綜合安全考察與評價(jià)。第三條 在中華人民共和國境內(nèi)開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)以及利用境內(nèi)的電子銀行系統(tǒng)向境外提供電子銀行服務(wù)的金融機(jī)構(gòu)，都應(yīng)定期對電子銀行安全進(jìn)行評估。第四條

2、 開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)可以利用外部專業(yè)化的評估機(jī)構(gòu)對電子銀行安全進(jìn)行評估，也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營管理部門的評估部門進(jìn)行電子銀行安全評估。第五條 金融機(jī)構(gòu)的電子銀行安全評估工作應(yīng)納入金融機(jī)構(gòu)風(fēng)險(xiǎn)管理的總體框架，由金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理委員會或相關(guān)機(jī)構(gòu)直接負(fù)責(zé)。第六條 金融機(jī)構(gòu)的電子銀行安全評估應(yīng)接受中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）的監(jiān)督指導(dǎo)。第二章 安全評估機(jī)構(gòu)第七條 承擔(dān)金融機(jī)構(gòu)電子銀行安全評估工作的機(jī)構(gòu)，可以是外部專業(yè)化服務(wù)機(jī)構(gòu)，也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對獨(dú)立部門。第八條 外部機(jī)構(gòu)從事電子銀行安全評估，應(yīng)具備以下條件：（一）具有較為完善的開展電子銀行

3、安全評估業(yè)務(wù)的管理制度和操作規(guī)程；（二）制定了系統(tǒng)全面的內(nèi)部評估手冊或評估指導(dǎo)文件，內(nèi)容應(yīng)至少包括評估程序、評估方法和依據(jù)、評估標(biāo)準(zhǔn)等；（三）擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才，了解國際和中國相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)；（四）其他從事電子銀行安全評估應(yīng)當(dāng)具備的條件。第九條 金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評估，除應(yīng)具備第八條規(guī)定的有關(guān)條件外，還應(yīng)具備以下條件：（一）從事電子銀行安全評估的部門必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門和運(yùn)營部門；（二）從事電子銀行安全評估的部門未直接參與過有關(guān)電子銀行設(shè)備的選購工作。第十條 中國銀監(jiān)會負(fù)責(zé)電子銀行安全評估機(jī)構(gòu)資格認(rèn)定工作。電子銀行安全評估機(jī)構(gòu)資格認(rèn)定工作，

4、每年組織一次。電子銀行安全評估機(jī)構(gòu)在從事金融機(jī)構(gòu)電子銀行安全評估業(yè)務(wù)之前，應(yīng)向中國銀監(jiān)會申請對其資格進(jìn)行認(rèn)定。第十一條 申請資格認(rèn)定的電子銀行評估機(jī)構(gòu)，應(yīng)在中國銀監(jiān)會公告的時(shí)限內(nèi)提交以下材料（一式七份）：（一）電子銀行安全評估資格認(rèn)定申請報(bào)告；（二）機(jī)構(gòu)介紹；（三）安全評估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等；（四）評估手冊或評估指導(dǎo)文件；（五）主要評估人員簡歷；（六）中國銀監(jiān)會要求提供的其他文件和資料。第十二條 中國銀監(jiān)會收到安全評估機(jī)構(gòu)資格認(rèn)定的完整材料后三個(gè)月內(nèi)，組織有關(guān)專家和監(jiān)管人員對申請材料進(jìn)行評議，采用投票的辦法決定電子銀行安全評估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求。第十三條 中國銀監(jiān)會對評

5、估機(jī)構(gòu)資質(zhì)評議后，出具電子銀行安全評估機(jī)構(gòu)資格認(rèn)定意見書，載明評議意見，對評估機(jī)構(gòu)的資格作出認(rèn)定。第十四條 中國銀監(jiān)會出具的電子銀行安全評估機(jī)構(gòu)資格認(rèn)定意見書，僅供評估機(jī)構(gòu)與開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)商恰有關(guān)電子銀行評估業(yè)務(wù)時(shí)使用，不影響評估機(jī)構(gòu)開展其他經(jīng)營活動。評估機(jī)構(gòu)不得將電子銀行安全評估機(jī)構(gòu)資格認(rèn)定意見書用于宣傳或其他活動。第十五條 經(jīng)中國銀監(jiān)會評議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評估機(jī)構(gòu)，每次資格認(rèn)定的有效期為兩年。 經(jīng)評議未達(dá)到認(rèn)定資格的，評估機(jī)構(gòu)可在下一年度重新申請資格認(rèn)定。第十六條 在有效期內(nèi)，電子銀行安全評估機(jī)構(gòu)如果出現(xiàn)下列情況，中國銀監(jiān)會將撤銷已做出的評議和認(rèn)定意見：（一）評估機(jī)構(gòu)

6、管理不善，其工作人員泄露被評估機(jī)構(gòu)秘密的；（二）評估工作質(zhì)量低下，評估活動出現(xiàn)重要遺漏的；（三）未按要求提交評估報(bào)告，或評估報(bào)告中存在不實(shí)表述的；（四）將電子銀行安全評估機(jī)構(gòu)資格認(rèn)定意見書用于宣傳和其他經(jīng)營活動的；（五）存在其他嚴(yán)重不盡職行為的。第十七條 評估機(jī)構(gòu)有下列行為之一的，中國銀監(jiān)會將在一定期限或無限期不承接評估機(jī)構(gòu)的資格認(rèn)定請求，銀行業(yè)金融機(jī)構(gòu)不應(yīng)再委托該評估機(jī)構(gòu)進(jìn)行安全評估：（一）與委托機(jī)構(gòu)合謀，共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報(bào)告；（二）在評估過程中弄虛作假，編造安全評估報(bào)告；（三）泄漏銀行機(jī)密信息，或不當(dāng)使用銀行機(jī)密資料；銀行業(yè)金融機(jī)構(gòu)內(nèi)部評估機(jī)構(gòu)出現(xiàn)以

7、上情況之一的，中國銀監(jiān)會將按照有關(guān)法律法規(guī)和行政規(guī)章的規(guī)定，對相關(guān)責(zé)任人進(jìn)行處罰。第十八條 中國銀監(jiān)會認(rèn)可的電子銀行安全評估機(jī)構(gòu)，以及有關(guān)資格認(rèn)定撤銷決定等信息，僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)，不向社會公布。 第十九條 金融機(jī)構(gòu)不得向第三方泄露中國銀監(jiān)會的有關(guān)通報(bào)信息，影響外部機(jī)構(gòu)的其他業(yè)務(wù)活動，也不得將有關(guān)信息用于與電子銀行安全評估活動無關(guān)的其他業(yè)務(wù)活動。第二十條 開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)可以在中國銀監(jiān)會認(rèn)可的評估機(jī)構(gòu)范圍內(nèi)，自主選擇安全評估機(jī)構(gòu)，簽訂書面服務(wù)協(xié)議。 金融機(jī)構(gòu)選擇內(nèi)部部門作為評估機(jī)構(gòu)時(shí)，應(yīng)由電子銀行運(yùn)營部門與評估部門簽訂評估責(zé)任確定書。第二十一條 金融機(jī)構(gòu)與評估機(jī)構(gòu)簽

8、訂的服務(wù)協(xié)議中，必須含有明確的保密條款和保密責(zé)任。第二十二條 安全評估機(jī)構(gòu)應(yīng)根據(jù)評估協(xié)議的規(guī)定，認(rèn)真履行評估職責(zé)，真實(shí)評估被評估機(jī)構(gòu)電子銀行運(yùn)營的安全狀況。第三章 安全評估的實(shí)施第二十三條 評估機(jī)構(gòu)在開始電子銀行安全評估之前，應(yīng)就評估的范圍、重點(diǎn)、時(shí)間與要求等問題，與被評估機(jī)構(gòu)進(jìn)行充分的溝通，制定評估計(jì)劃，由雙方簽字認(rèn)可。第二十四條 依據(jù)評估計(jì)劃，評估機(jī)構(gòu)進(jìn)場對委托機(jī)構(gòu)的電子銀行安全進(jìn)行評估。電子銀行安全評估應(yīng)真實(shí)、全面地評價(jià)電子銀行系統(tǒng)的安全性。第二十五條 電子銀行安全評估至少應(yīng)包括以下內(nèi)容：（一）安全策略；（二）內(nèi)控制度建設(shè)；（三）風(fēng)險(xiǎn)管理狀況；（四）系統(tǒng)安全性；（五）電子銀行業(yè)務(wù)運(yùn)行連續(xù)

9、性計(jì)劃；（六）電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃；（七）電子銀行風(fēng)險(xiǎn)預(yù)警體系；（八）其他重要安全環(huán)節(jié)和機(jī)制。第二十六條 電子銀行安全策略的評估，至少應(yīng)包括以下內(nèi)容：（一）安全策略制定的流程與合理性；（二）系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略；（三）系統(tǒng)測試與驗(yàn)收的安全策略；（四）系統(tǒng)運(yùn)行與維護(hù)的安全策略；（五）系統(tǒng)備份與應(yīng)急相關(guān)策略。 評估機(jī)構(gòu)對金融機(jī)構(gòu)安全策略的評估，不僅要評估安全戰(zhàn)略、規(guī)章制度和程序是否存在，還要評估這些制度是否能得到貫徹執(zhí)行，是否能做到及時(shí)更新，是否能全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。第二十七條 電子銀行內(nèi)控制度的評估，應(yīng)至少包括以下內(nèi)容：（一）高級管理層對電子銀行安全的認(rèn)知能力與水平；（二）安全監(jiān)控

10、機(jī)制的建設(shè)與運(yùn)行；（三）內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行。第二十八條 電子銀行風(fēng)險(xiǎn)管理狀況的評估，應(yīng)至少包括以下內(nèi)容：（一）電子銀行管理機(jī)構(gòu)設(shè)置的合理性與其他部門的協(xié)調(diào)性；（二）電子銀行管理部門主要負(fù)責(zé)人對電子銀行的熟知程度；（三）管理人員配備與培訓(xùn)情況；（四）電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定、程序等；（五）電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理狀況；（六）業(yè)務(wù)外包管理制度建設(shè)與管理狀況。第二十九條 電子銀行系統(tǒng)安全性的評估，應(yīng)至少包括以下內(nèi)容：（一）物理安全；（二）數(shù)據(jù)通訊安全；（三）應(yīng)用系統(tǒng)安全；（四）密鑰管理；（五）客戶信息認(rèn)證與保密；（六）入侵監(jiān)測機(jī)制和報(bào)告反應(yīng)機(jī)制。評估機(jī)構(gòu)應(yīng)突出對數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安

11、全的評估，客觀評價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻，銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫是否安全等，以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時(shí)測試和審核。第三十條 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃，應(yīng)至少包括以下內(nèi)容：（一）電子銀行保障業(yè)務(wù)連續(xù)運(yùn)營的設(shè)備和系統(tǒng)能力；（二）保證業(yè)務(wù)連續(xù)運(yùn)營的制度安排和執(zhí)行情況；第三十一條 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃，應(yīng)至少包括以下內(nèi)容：（一）電子銀行應(yīng)急制度建設(shè)和執(zhí)行情況；（二）電子銀行應(yīng)急系統(tǒng)建設(shè)；（三）定期、持續(xù)性的檢測和演練情況；（四）應(yīng)對意外事故或非法攻擊的能力。第三十二條 評估機(jī)構(gòu)進(jìn)行安全評估

12、的方式，包括審核有關(guān)資料、與相關(guān)人員談話等，但在電子銀行安全性評估時(shí)，必須采取至少一種方法對系統(tǒng)進(jìn)行測試。第三十三條 評估機(jī)構(gòu)在進(jìn)行安全評估時(shí)，應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況，確定不同評估內(nèi)容對電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重，對每項(xiàng)評估內(nèi)容進(jìn)行評分，綜合計(jì)算出所評估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級。第三十四條 評估完成后，評估機(jī)構(gòu)應(yīng)及時(shí)撰寫評估報(bào)告，并于評估完成后一個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人簽字認(rèn)可的評估報(bào)告。第三十五條 評估報(bào)告應(yīng)至少包括以下內(nèi)容：（一）評估的時(shí)間、范圍及其他協(xié)議中重要的約定；（二）評估的總體框架、程序、主要方法及主要評估人員介紹；（三）不同評估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn)，風(fēng)險(xiǎn)等級的計(jì)算

13、方法，以及風(fēng)險(xiǎn)等級的定義；（四）評估內(nèi)容與評估活動描述；（五）評估結(jié)論；（六）其他需要說明的問題；（七）主要術(shù)語定義和所采用的國際或國內(nèi)標(biāo)準(zhǔn)介紹（可作為附件）；（八）評估工作流程記錄表（可作為附件）；（九）參加評估人員名單（可作為附件）。在評估結(jié)論中，評估機(jī)構(gòu)應(yīng)采用量化的辦法，表明被評估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級，并說明被評估機(jī)構(gòu)電子銀行安全管理中存在的主要問題與隱患，并說明整改建議。第三十六條 評估報(bào)告完成并提交委托機(jī)構(gòu)后，如需修改，應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報(bào)告之后，不得直接修改原報(bào)告。第四章 安全評估活動的管理第三十七條 金融機(jī)構(gòu)在申請開辦電子銀行業(yè)務(wù)時(shí)，應(yīng)當(dāng)按照有關(guān)規(guī)定對

14、完成測試的電子銀行進(jìn)行安全評估。第三十八條 金融機(jī)構(gòu)獲準(zhǔn)開辦電子銀行業(yè)務(wù)后，應(yīng)當(dāng)至少每年對電子銀行進(jìn)行一次安全評估。有下列情形之一的，應(yīng)立即組織安全評估：（一）由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)完善的；（二）電子銀行系統(tǒng)進(jìn)行重大的更新和升級的；（三）電子銀行的基礎(chǔ)設(shè)施出現(xiàn)重大改變的；（四）基于電子銀行安全管理需要應(yīng)即時(shí)評估的。第三十九條 評估機(jī)構(gòu)的選擇應(yīng)由金融機(jī)構(gòu)的高級管理層最終確定。 評估機(jī)構(gòu)確定后，金融機(jī)構(gòu)必須與評估機(jī)構(gòu)簽定評估協(xié)議，明確界定評估的任務(wù)、雙方的權(quán)利和義務(wù)。評估協(xié)議應(yīng)由金融機(jī)構(gòu)的高級管理層簽署。第四十條 金融機(jī)構(gòu)原則上只能確定一個(gè)評估機(jī)構(gòu)進(jìn)行評估，若有多個(gè)評估機(jī)構(gòu)參與評估，

15、金融機(jī)構(gòu)必須確定一個(gè)主要的評估機(jī)構(gòu)協(xié)調(diào)總體評估工作，負(fù)責(zé)總體評估報(bào)告的制作。金融機(jī)構(gòu)將電子銀行的不同系統(tǒng)委托給不同的評估機(jī)構(gòu)進(jìn)行安全評估，應(yīng)當(dāng)明確每個(gè)評估機(jī)構(gòu)的安全評估范圍，保證不同的評估范圍之間沒有遺漏。第四十一條 金融機(jī)構(gòu)應(yīng)在簽署評估協(xié)議后2周內(nèi)，將評估機(jī)構(gòu)簡介、擬采用的評估方案和評估步驟等，報(bào)送中國銀監(jiān)會。第四十二條 中國銀監(jiān)會根據(jù)監(jiān)管工作的需要，可派員參加金融機(jī)構(gòu)電子銀行安全評估工作，但不作為正式評估人員，不提供評估意見。第四十三條 評估機(jī)構(gòu)應(yīng)本著客觀、公正、真實(shí)和自主的原則，開展評估活動，并嚴(yán)格保守在評估過程中獲悉的商業(yè)機(jī)密。第四十四條 在評估過程中，委托機(jī)構(gòu)和評估機(jī)構(gòu)之間應(yīng)建立信息

16、保密工作機(jī)制。（一）評估過程中，調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等，都應(yīng)建立登記、簽字制度；（二）調(diào)閱的文件資料應(yīng)在指定的場所閱讀，不能復(fù)印，不得帶出指定場所；（三）復(fù)制的文件或數(shù)據(jù)不應(yīng)帶出工作場地，如確需帶出的，必須詳細(xì)登記帶出數(shù)據(jù)的原因、時(shí)間、責(zé)任人等；（四）評估過程中廢棄的文件、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷毀或刪除；（五）評估工作結(jié)束后，雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)、資料等的交接情況簽署說明。第四十五條 金融機(jī)構(gòu)在收到評估機(jī)構(gòu)的評估報(bào)告一個(gè)月內(nèi)，應(yīng)將評估報(bào)告抄報(bào)中國銀監(jiān)會。 金融機(jī)構(gòu)報(bào)送評估報(bào)告時(shí)，可對評估報(bào)告中的有關(guān)問題作必要的說明。第四十六條 未經(jīng)監(jiān)管部門批準(zhǔn)，電子銀行安全評估報(bào)告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)。第四十七條 對未按有關(guān)