網(wǎng)上銀行業(yè)務(wù)風(fēng)險防控指引

1、銀行網(wǎng)上銀行業(yè)務(wù)風(fēng)險防控指引 一、業(yè)務(wù)基本含義網(wǎng)上銀行業(yè)務(wù)是指通過因特網(wǎng)向企事業(yè)和個人客戶提供賬戶查詢、轉(zhuǎn)賬付款、網(wǎng)上支付、理財、代支付費用等服務(wù)的金融產(chǎn)品。二、風(fēng)險描述在開展網(wǎng)上銀行業(yè)務(wù)的過程中，銀行面臨的主要風(fēng)險有戰(zhàn)略風(fēng)險、操作風(fēng)險、運營風(fēng)險、聲譽風(fēng)險、法律風(fēng)險、信用風(fēng)險等。（一）戰(zhàn)略風(fēng)險網(wǎng)上銀行業(yè)務(wù)的戰(zhàn)略風(fēng)險主要是指網(wǎng)上銀行系統(tǒng)技術(shù)滯后或保護不足，競爭對手占據(jù)優(yōu)勢、市場份額下降、客戶結(jié)構(gòu)失衡等帶來的風(fēng)險。網(wǎng)上銀行業(yè)務(wù)發(fā)展戰(zhàn)略應(yīng)根據(jù)全行發(fā)展戰(zhàn)略統(tǒng)籌規(guī)劃，戰(zhàn)略制定、實施、調(diào)整過程中的不合理將致使銀行盈利、資本、信譽、市場地位受到影響，進而影響銀行整體戰(zhàn)略目標(biāo)的實現(xiàn)。（二）操作風(fēng)險網(wǎng)上銀行業(yè)務(wù)

2、的操作風(fēng)險主要是指由于銀行的業(yè)務(wù)應(yīng)用系統(tǒng)程序設(shè)計、通信網(wǎng)絡(luò)技術(shù)安全、系統(tǒng)維護管理存在缺陷，或銀行安全運營管理策略上的失誤，造成業(yè)務(wù)處理錯誤、數(shù)據(jù)及信息失密、銀行及客戶資金被竊取、系統(tǒng)受到外部非法侵害；或銀行內(nèi)控機制、流程監(jiān)控不嚴(yán)密，職工或員工缺乏責(zé)任心，在受理網(wǎng)上銀行業(yè)務(wù)時缺乏審慎，操作失誤，或發(fā)生職工或員工道德風(fēng)險而給銀行和客戶帶來資金損失的可能性。（三）運營風(fēng)險網(wǎng)上銀行業(yè)務(wù)是銀行電子化發(fā)展到一定階段的產(chǎn)物，與傳統(tǒng)銀行相比，網(wǎng)上銀行業(yè)務(wù)依賴于先進的通信網(wǎng)絡(luò)技術(shù)和電子設(shè)備，依賴于外部服務(wù)供應(yīng)商，如電子設(shè)備及軟硬件供應(yīng)商、電信公司或其他第三方服務(wù)商的支持。如這些外部服務(wù)供應(yīng)商的服務(wù)突然中斷或提供

3、有瑕疵的通信網(wǎng)絡(luò)技術(shù)和電子設(shè)備，造成銀行的應(yīng)用系統(tǒng)故障或運營中斷，甚至系統(tǒng)癱瘓；此外，網(wǎng)上銀行開放性的支付系統(tǒng)在為客戶帶來便捷服務(wù)的同時，也使其容易受到外來的攻擊，如外來惡意入侵盜取客戶賬號及密碼等違法行為。這些問題的存在對網(wǎng)上銀行業(yè)務(wù)的安全運營構(gòu)成威脅。（四）聲譽風(fēng)險網(wǎng)上銀行業(yè)務(wù)的開發(fā)和推廣對于降低銀行費用、提升銀行形象具有傳統(tǒng)銀行業(yè)務(wù)不可替代的作用，但是一旦出現(xiàn)重大的系統(tǒng)缺陷或安全事故，如病毒的破壞或黑客的入侵造成系統(tǒng)故障、資料文件資料丟失、資金被竊等，其影響力之大、影響面之廣，對銀行聲譽的損害也是非常嚴(yán)重的，會致使客戶對網(wǎng)上銀行支付方式造成或產(chǎn)生懷疑，甚至對銀行電子運營系統(tǒng)造成或產(chǎn)生不信

4、任感，進而影響銀行其他業(yè)務(wù)的發(fā)展。（五）法律風(fēng)險網(wǎng)上銀行方便快捷、個性化的金融服務(wù)特點，為銀行多渠道銷售產(chǎn)品、改進客戶關(guān)系管理，構(gòu)建了平臺。但是與傳統(tǒng)銀行業(yè)務(wù)相比，網(wǎng)上銀行業(yè)務(wù)潛在的法律風(fēng)險隱患更為嚴(yán)重。其原因，一是網(wǎng)上銀行業(yè)務(wù)相關(guān)法律規(guī)定滯后造成或產(chǎn)生的不確定性，使得銀行拓展網(wǎng)上銀行業(yè)務(wù)發(fā)生法律風(fēng)險的概率增加；二是網(wǎng)上銀行業(yè)務(wù)作為一項新型的金融服務(wù)模式，銀行在識別、判斷、監(jiān)測、監(jiān)控和防范風(fēng)險方面尚缺乏有效手段，可能會出現(xiàn)在不知情的情況下違反了相關(guān)法律法規(guī)，而面臨監(jiān)管處罰或法律訴訟。（六）信用風(fēng)險網(wǎng)上銀行系統(tǒng)的安全運營取決于通信網(wǎng)絡(luò)和電子設(shè)備的正常運行、取決于網(wǎng)上銀行客戶的誠信?；诖耍y行與

5、電子設(shè)備及軟硬件供應(yīng)商、電信公司或其他第三方服務(wù)供應(yīng)商等外部服務(wù)供應(yīng)商簽訂協(xié)議或協(xié)議，與客戶簽訂服務(wù)協(xié)議或協(xié)議，明確各方的權(quán)利與義務(wù)。但如外部供應(yīng)商違約或毀約，造成系統(tǒng)運營未能延續(xù)，將嚴(yán)重損害銀行的聲譽和客戶的權(quán)益。網(wǎng)上銀行客戶的違約或毀約，也將給網(wǎng)上銀行系統(tǒng)的安全運營留下安全隱患。三、風(fēng)險防控目標(biāo)（一）遵循全面風(fēng)險管理原則，根據(jù)網(wǎng)上銀行運營特點，延續(xù)完善網(wǎng)上銀行業(yè)務(wù)風(fēng)險監(jiān)控和風(fēng)險管理體系，保障客戶的合法權(quán)益，建立網(wǎng)上銀行業(yè)務(wù)風(fēng)險識別、評估、監(jiān)測、預(yù)警、處置機制，確保網(wǎng)上銀行業(yè)務(wù)風(fēng)險可控。（二）依照我行內(nèi)控體系要求，建立并不斷完善網(wǎng)上銀行業(yè)務(wù)內(nèi)部監(jiān)控制度和操作流程，實施嚴(yán)格的前中后臺相互牽制和

6、關(guān)鍵崗位相互制約措施，確保網(wǎng)上銀行業(yè)務(wù)運營安全。四、風(fēng)險防控標(biāo)準(zhǔn)（一）監(jiān)控原則及關(guān)鍵監(jiān)控點1.審慎性原則（1）董事會和高級管理層根據(jù)本行總體發(fā)展戰(zhàn)略和實際經(jīng)營情況，審慎研究決定網(wǎng)上銀行發(fā)展戰(zhàn)略和可行的經(jīng)營投資戰(zhàn)略，對網(wǎng)上銀行的經(jīng)營進行延續(xù)性的綜合效益分析，科學(xué)評估網(wǎng)上銀行義務(wù)對本行總體風(fēng)險的影響。（2）網(wǎng)上銀行業(yè)務(wù)風(fēng)險納入全行整體風(fēng)險管理體系，根據(jù)網(wǎng)上銀行業(yè)務(wù)的運營特點，建立健全網(wǎng)上銀行風(fēng)險管理體系和內(nèi)部監(jiān)控體系。總行電子銀行運行部負責(zé)管理全行網(wǎng)上銀行業(yè)務(wù)，負責(zé)制定全行網(wǎng)上銀行業(yè)務(wù)及相關(guān)內(nèi)控的規(guī)章制度，并組織實施、監(jiān)督、檢查所有制度的落實情況。（3）開辦網(wǎng)上銀行業(yè)務(wù)或增加網(wǎng)上銀行業(yè)務(wù)經(jīng)營品種，

7、由總行向監(jiān)管部門提出申請。對無需監(jiān)管部門審批或備案的業(yè)務(wù)品種，由總行事前向監(jiān)管部門報告。 分行開辦網(wǎng)上銀行業(yè)務(wù)或增加網(wǎng)上銀行業(yè)務(wù)經(jīng)營品種，應(yīng)事先向總行提出申請，經(jīng)總行審批后實施。（4）總行電子銀行運行部根據(jù)本行網(wǎng)銀業(yè)務(wù)發(fā)展與管理的實際情況，制訂多層次的培訓(xùn)計劃，組織開展對各級機構(gòu)網(wǎng)銀管理人員和業(yè)務(wù)人員進行延續(xù)培訓(xùn)。（5）建立網(wǎng)上銀行安全評估的規(guī)章制度體系和工作規(guī)程，保證網(wǎng)上銀行安全評估的客觀性、及時性、全面性和有效性，網(wǎng)銀安全評估由總行統(tǒng)一組織實施。2.風(fēng)險可控原則（1）總行根據(jù)網(wǎng)上銀行業(yè)務(wù)發(fā)展戰(zhàn)略和安全策略，評估并確定網(wǎng)上銀行業(yè)務(wù)所能承受的總體風(fēng)險程度，對網(wǎng)上銀行客戶的作業(yè)權(quán)限、資金轉(zhuǎn)移、交

8、易限額設(shè)定限制。（2）建立嚴(yán)格的網(wǎng)上銀行內(nèi)部授權(quán)監(jiān)控機制，總行電子銀行運行部依據(jù)網(wǎng)上銀行管理運營等環(huán)節(jié)的監(jiān)控要求，制定網(wǎng)上銀行業(yè)務(wù)內(nèi)部授權(quán)相關(guān)規(guī)定，各相關(guān)業(yè)務(wù)經(jīng)辦機構(gòu)、崗位人員嚴(yán)格依照授權(quán)執(zhí)行，不得越權(quán)操作。（3）為確保網(wǎng)上銀行業(yè)務(wù)的連續(xù)正常運營，總行制定網(wǎng)上銀行業(yè)務(wù)連續(xù)性計劃、應(yīng)急計劃和事故處理預(yù)案，并定時組織對這些計劃和預(yù)案進行測試，盡最大可能降低和減少意外事件帶來的損失及危害。3.合法合規(guī)原則（1）開展網(wǎng)上銀行業(yè)務(wù)必須嚴(yán)格遵循國家法律法規(guī)、監(jiān)管規(guī)定和總行關(guān)于網(wǎng)上銀行業(yè)務(wù)的規(guī)章制度和操作規(guī)程。 （2）與外部服務(wù)供應(yīng)商合作的業(yè)務(wù)，應(yīng)與其簽訂書面協(xié)議或協(xié)議，明確各方的權(quán)利義務(wù)，協(xié)議或協(xié)議文本要

9、經(jīng)過總行風(fēng)險管理部法律合規(guī)審查。（3）各業(yè)務(wù)開辦機構(gòu)與客戶簽訂的網(wǎng)銀服務(wù)協(xié)議文本由總行統(tǒng)一制定并經(jīng)總行風(fēng)險管理部法律合規(guī)審查。4.相互牽制及隔離原則（1）通過設(shè)置網(wǎng)上銀行管理、運營等各個環(huán)節(jié)的主要權(quán)限、職責(zé)和相互監(jiān)督制約措施，有效隔離網(wǎng)上銀行應(yīng)用系統(tǒng)、驗證系統(tǒng)、業(yè)務(wù)處理系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)之間的風(fēng)險。（2）對網(wǎng)上銀行進行安全評估的外部評估機構(gòu)應(yīng)具備專業(yè)化的評估資質(zhì)；內(nèi)部評估部門除應(yīng)具備專業(yè)化的評估資質(zhì)外，還應(yīng)獨立于網(wǎng)銀業(yè)務(wù)運營管理部門。（3）對網(wǎng)銀管理的關(guān)鍵崗位和關(guān)鍵人員，應(yīng)實行輪崗和強制休假制度，建立嚴(yán)格的內(nèi)部監(jiān)督管理制度。5.監(jiān)督與報告原則 （1）建立網(wǎng)上銀行業(yè)務(wù)日常監(jiān)控機制，監(jiān)督網(wǎng)上銀行

10、業(yè)務(wù)處理及時準(zhǔn)確、系統(tǒng)運營安全；實行定時及不定時的業(yè)務(wù)檢查制度和重大事故上報制度，檢查報告和重大事故或案件及時上報總行電子銀行運行部。（2）內(nèi)審部門定時評價網(wǎng)銀業(yè)務(wù)內(nèi)部監(jiān)控及風(fēng)險管理的有效性和恰當(dāng)性，審計報告報送董事會下設(shè)的審計委員會。（3）根據(jù)監(jiān)管規(guī)定，向監(jiān)管部門及時報送網(wǎng)銀業(yè)務(wù)相關(guān)的報表資料文件資料、數(shù)據(jù)和評估報告。（二）業(yè)務(wù)流程監(jiān)控1.網(wǎng)銀業(yè)務(wù)受理 個人網(wǎng)銀業(yè)務(wù)受理流程：客戶到銀行柜面申請柜員嚴(yán)格審核客戶身份無誤客戶簽署相關(guān)服務(wù)協(xié)議柜員驗證核對客戶申請信息無誤客戶簽收網(wǎng)銀認證工具、設(shè)定或接收初始密碼銀行將客戶資料文件資料歸檔保存。企業(yè)網(wǎng)銀業(yè)務(wù)受理流程：企業(yè)客戶到銀行柜面申請客戶經(jīng)過總行公

11、司金融業(yè)務(wù)部審核客戶簽署相關(guān)服務(wù)協(xié)議柜員驗證核對客戶申請信息無誤總行電子銀行運行部開戶客戶簽收網(wǎng)銀認證工具、設(shè)定或接收初始密碼銀行將客戶資料文件資料歸檔保存。業(yè)務(wù)受理過程中的風(fēng)險點及監(jiān)控措施見下表：風(fēng)險點具體防控措施識別客戶身份，避免不法分子偽造合法身份申請網(wǎng)銀服務(wù)網(wǎng)銀所有柜臺業(yè)務(wù)均需客戶本人或企業(yè)客戶授權(quán)專人辦理，他人不得代辦。柜員務(wù)必嚴(yán)格按要求審核客戶身份證件的真實性，核實客戶的申請意愿。個人客戶要求本人持有效身份證件辦理，如是居民身份證，柜員必須進行聯(lián)網(wǎng)核查身份證件信息的真實準(zhǔn)確。企業(yè)客戶需持營業(yè)執(zhí)照、稅務(wù)登記證的原件及復(fù)印件、授權(quán)書、身份證等資料文件，復(fù)印件需加蓋企業(yè)公章，柜員應(yīng)審查復(fù)

12、印件與原件內(nèi)容的一致性；并驗證本次印鑒與之前銀行預(yù)留印鑒是否一致。網(wǎng)銀檔案資料文件資料的真實性、合法性、有效性、完整性所有網(wǎng)銀申請資料文件資料，個人客戶必須面簽；企業(yè)客戶需要簽章，其加蓋在申請資料文件資料上的印鑒須經(jīng)驗印系統(tǒng)驗證其準(zhǔn)確性。柜員必須逐一審查客戶填寫的各類申請資料文件資料中的信息與有效證件記載信息的一致性?？蛻艟W(wǎng)銀需要在柜臺履行的業(yè)務(wù)，柜員必須當(dāng)面為客戶履行，并以客戶填寫的申請表格的原件正本為依據(jù)，不得憑傳真號碼件或復(fù)印件辦理。網(wǎng)銀檔案資料文件資料進行統(tǒng)一管理，支行按季度上交到總行電子銀行運行部，裝訂后統(tǒng)一保管，依照我行憑證管理規(guī)定辦理。密碼信封傳遞交接登記企業(yè)客戶開戶密碼信封的傳

13、遞過程應(yīng)進行交接登記，企業(yè)應(yīng)有至少兩名經(jīng)辦人員持企業(yè)授權(quán)書和有效身份證件領(lǐng)取相關(guān)開戶資料文件資料，經(jīng)辦部門應(yīng)提醒客戶經(jīng)辦人員檢查密碼信封是否完整、無損毀，并在密碼信封發(fā)放登記本上簽字確認?？蛻糍Y料文件資料及信息的保密對客戶信息和隱私的保護應(yīng)當(dāng)符合相關(guān)法律法規(guī)要求，依照銀行為客戶保密原則，妥善保存客戶信息和檔案，不得向任何機構(gòu)或人員泄露客戶信息資料文件資料，法律規(guī)定除外。對客戶的網(wǎng)銀安全教育和風(fēng)險提示我行制定的網(wǎng)上銀行章程和網(wǎng)銀服務(wù)協(xié)議中均有網(wǎng)銀風(fēng)險提示，要求申請網(wǎng)銀的客戶必須簽署相關(guān)協(xié)議并確認其已閱讀所有條款。在我行外部網(wǎng)站網(wǎng)銀功能區(qū)顯著位置有風(fēng)險提示按鈕，客戶可以自行點擊查看；網(wǎng)銀登陸頁面有

14、登陸操作安全提示。對于柜臺開戶的客戶，相關(guān)工作人員必須提醒客戶將初始登陸密碼在第一次登陸后依照密碼規(guī)則進行修改，并妥善保管自己的密碼。我行內(nèi)部操作人員的道德風(fēng)險網(wǎng)上銀行業(yè)務(wù)的所有操作均應(yīng)嚴(yán)格執(zhí)行我行相關(guān)規(guī)章制度中對內(nèi)部操作人員的權(quán)限管理規(guī)定，總行電子銀行運行部應(yīng)建立相應(yīng)的檢查監(jiān)督機制。 2.業(yè)務(wù)核對各開通網(wǎng)銀業(yè)務(wù)的營業(yè)網(wǎng)點柜員每天業(yè)務(wù)終了須將當(dāng)天各業(yè)務(wù)客戶申請表與當(dāng)天打印的業(yè)務(wù)憑條進行核對檢查，根據(jù)系統(tǒng)的相應(yīng)報表逐一核對當(dāng)天簽約客戶明細，保證當(dāng)天業(yè)務(wù)準(zhǔn)確無誤。3.交易監(jiān)控（1）開通網(wǎng)銀業(yè)務(wù)的各級機構(gòu)必須依照國家監(jiān)管部門和我行反洗錢的所有規(guī)定開展反洗錢工作，認真執(zhí)行反洗錢關(guān)于規(guī)定，依照規(guī)定程序和

15、要求及時、準(zhǔn)確上報大額資金交易和可疑資金交易，切實履行反洗錢工作義務(wù)。（2）網(wǎng)上銀行相關(guān)操作人員應(yīng)嚴(yán)格執(zhí)行我行網(wǎng)銀交易監(jiān)控和落地交易處理的相關(guān)規(guī)定，及時準(zhǔn)確處理網(wǎng)銀交易，確保網(wǎng)銀交易的及時性和準(zhǔn)確性。（3）網(wǎng)銀業(yè)務(wù)納入日常業(yè)務(wù)檢查范疇，總行電子銀行運行部負責(zé)該業(yè)務(wù)條線的垂直管理和檢查監(jiān)督，建立日常業(yè)務(wù)監(jiān)控機制，保障網(wǎng)銀業(yè)務(wù)處理及時準(zhǔn)確，監(jiān)督各類故障業(yè)務(wù)及時處理。4.認證工具和憑證管理（1）網(wǎng)銀USB_key作為網(wǎng)銀用戶數(shù)字證書的儲存介質(zhì)，必須依照重要空白憑證登記、保管、領(lǐng)用、交接和管理，確保安全和相關(guān)信息保密。（2）網(wǎng)銀服務(wù)申請表、服務(wù)協(xié)議等資料文件資料作為網(wǎng)銀業(yè)務(wù)憑證，由總行運營管理部統(tǒng)一制

16、定、統(tǒng)一印刷，開通網(wǎng)銀業(yè)務(wù)的分支機構(gòu)依據(jù)自身業(yè)務(wù)發(fā)展情況領(lǐng)用、保管，分支機構(gòu)不得擅自印制相關(guān)資料文件資料。（三）運營安全監(jiān)控1.崗位設(shè)置及柜員管理（1）崗位設(shè)置依照關(guān)鍵崗位相互制約原則，網(wǎng)銀業(yè)務(wù)的參數(shù)管理崗位、人事管理崗位、操作崗位相互間不得兼職。（2）柜員管理柜員應(yīng)嚴(yán)格執(zhí)行為客戶保密和柜員密碼保密制度，柜員密碼須定時（至少每月一次）更改，嚴(yán)格保密，不得隨意透露供他人使用或與他人交接使用，履行業(yè)務(wù)處理后應(yīng)及時簽退系統(tǒng)。2.設(shè)備設(shè)備安全監(jiān)控（1）網(wǎng)銀電子設(shè)備設(shè)備存放場所的物理安全監(jiān)控必須遵循國家法律法規(guī)和安全標(biāo)準(zhǔn)的要求，對于尚沒有統(tǒng)一安全標(biāo)準(zhǔn)的，應(yīng)制定安全制度有效覆蓋可能面臨的主要風(fēng)險。（2）對

17、重要設(shè)備設(shè)備的接觸、檢查、修理修繕和應(yīng)急處理，應(yīng)有明確的權(quán)限界定、責(zé)任劃分和操作流程，并建立日志資料文件管理制度，如實記錄并妥善保管相關(guān)記錄。（3）對重要技術(shù)參數(shù)，應(yīng)嚴(yán)格監(jiān)控接觸權(quán)限，并建立相應(yīng)的技術(shù)參數(shù)調(diào)整與變更機制，保證在更換關(guān)鍵人員后，能夠有效防止關(guān)于技術(shù)參數(shù)的泄露。（4）網(wǎng)上銀行所有系統(tǒng)運行數(shù)據(jù)都必須留有備份，每個網(wǎng)上銀行工作日的系統(tǒng)運行數(shù)據(jù)在每天日終時由系統(tǒng)進行備份。數(shù)據(jù)備份的管理依照我行計算機系統(tǒng)數(shù)據(jù)備份關(guān)于管理辦法執(zhí)行。（5）定時對網(wǎng)銀關(guān)鍵電子設(shè)備和系統(tǒng)進行檢測，并詳細記錄檢測情況。3.認證安全監(jiān)控對于客戶信息和交易信息的認證，應(yīng)嚴(yán)格遵守國家關(guān)于法律法規(guī)的規(guī)定執(zhí)行，使用第三方認證

18、系統(tǒng)，總行應(yīng)對第三方認證機構(gòu)進行定時評估，保證關(guān)于認證安全可靠和具有公信力。4.數(shù)據(jù)加密監(jiān)控數(shù)據(jù)加密技術(shù)應(yīng)符合國家關(guān)于規(guī)定，總行應(yīng)根據(jù)網(wǎng)上銀行業(yè)務(wù)的安全性需要和科技信息技術(shù)的發(fā)展，定時檢查和評估所使用的加密技術(shù)和算法的強度，對加密方式進行適時調(diào)整。5.應(yīng)急策略監(jiān)控總行電子銀行運行部應(yīng)會同科技部門制定網(wǎng)銀業(yè)務(wù)連續(xù)性計劃、網(wǎng)銀應(yīng)急計劃和事故處理預(yù)案，定時組織對這些計劃和預(yù)案進行測試，并記錄和保存測試結(jié)果。6.業(yè)務(wù)外包監(jiān)控（1）對網(wǎng)上銀行業(yè)務(wù)處理系統(tǒng)、授權(quán)管理系統(tǒng)、數(shù)據(jù)備份系統(tǒng)的總體設(shè)計開發(fā)，以及其他涉及秘密數(shù)據(jù)管理與傳遞環(huán)節(jié)的系統(tǒng)進行外包時，應(yīng)經(jīng)過董事會或董事長批準(zhǔn)，并應(yīng)在業(yè)務(wù)外包實施前向中國銀監(jiān)

19、會報告。（2）選擇網(wǎng)上銀行業(yè)務(wù)外包服務(wù)供應(yīng)商時，應(yīng)充分審查、評估外包服務(wù)商的經(jīng)營狀況、財務(wù)狀況和實際風(fēng)險監(jiān)控與責(zé)任承擔(dān)能力，進行必要的盡職調(diào)查；與外包服務(wù)供應(yīng)商簽訂的書面協(xié)議，應(yīng)明確規(guī)定外包服務(wù)供應(yīng)商的保密責(zé)任。（3）建立完整的業(yè)務(wù)外包風(fēng)險評估與監(jiān)測程序，審慎管理業(yè)務(wù)外包造成或產(chǎn)生的風(fēng)險，制定針對業(yè)務(wù)外包風(fēng)險的應(yīng)急計劃和意外情況下能夠?qū)崿F(xiàn)外包服務(wù)供應(yīng)商順利變更，保證外包服務(wù)不間斷的應(yīng)急預(yù)案。7.數(shù)據(jù)交換與轉(zhuǎn)移監(jiān)控（1）向與我行有業(yè)務(wù)往來的非銀行業(yè)銀行等金融機構(gòu)交換或轉(zhuǎn)移部分網(wǎng)上銀行業(yè)務(wù)數(shù)據(jù)時，應(yīng)簽訂數(shù)據(jù)交換（轉(zhuǎn)移）用途與范圍明確、管理職責(zé)清晰的書面協(xié)議，并明確各方的數(shù)據(jù)保密責(zé)任。（2）因業(yè)務(wù)外

20、包、系統(tǒng)測試、數(shù)據(jù)恢復(fù)與救援等，為維護網(wǎng)銀正常安全運營需要而向非銀行等金融機構(gòu)轉(zhuǎn)移網(wǎng)上銀行業(yè)務(wù)數(shù)據(jù)的，應(yīng)事先簽訂書面保密協(xié)議，并指派專人負責(zé)監(jiān)督關(guān)于數(shù)據(jù)的使用、保管、傳遞和銷毀。（3）由于業(yè)務(wù)拓展等需要向非銀行等金融機構(gòu)轉(zhuǎn)移網(wǎng)上銀行業(yè)務(wù)數(shù)據(jù)的，除應(yīng)簽訂書面保密協(xié)議和制定專人監(jiān)督外，還應(yīng)建立對數(shù)據(jù)接收方的定時檢查制度。（4）不得向無業(yè)務(wù)往來的非銀行等金融機構(gòu)轉(zhuǎn)移網(wǎng)上銀行業(yè)務(wù)數(shù)據(jù)，不得出售業(yè)務(wù)數(shù)據(jù)，不得損害客戶權(quán)益利用業(yè)務(wù)數(shù)據(jù)謀取權(quán)益。（5）為電子商務(wù)提供網(wǎng)上支付平臺時，應(yīng)嚴(yán)格審查合作對象，簽訂書面合作協(xié)議，建立有效監(jiān)督機制，防范不法機構(gòu)或個人利用網(wǎng)上支付平臺從事違法資金轉(zhuǎn)移或其他非法活動。8.定

21、時安全評估（1）依據(jù)xx年xx月銀監(jiān)會頒布的電子銀行業(yè)務(wù)管理辦法和電子銀行安全評估指引的相關(guān)規(guī)定，開展電子銀行業(yè)務(wù)的銀行等金融機構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對電子銀行進行一次全面的安全評估。網(wǎng)上銀行的安全評估應(yīng)包括網(wǎng)銀的安全策略、內(nèi)監(jiān)控度、風(fēng)險管理、系統(tǒng)安全、客戶保護等方面。有下列情形之一的，應(yīng)立即組織安全評估：由于安全漏洞致使系統(tǒng)被攻擊癱瘓，修復(fù)運行的；網(wǎng)上銀行系統(tǒng)進行重大更新或升級后，出現(xiàn)系統(tǒng)意外停機12小時以上的；網(wǎng)上銀行關(guān)鍵設(shè)備與設(shè)備更換后，出現(xiàn)重大事故修復(fù)后仍未能保持連續(xù)不間斷運行的； 基于網(wǎng)上銀行安全管理需要立即評估的。（2）對網(wǎng)銀進行安全評估的外部安全評估機構(gòu)

22、應(yīng)具備專業(yè)化的評估資質(zhì)，評估機構(gòu)的選聘，應(yīng)由我行的董事會或高級管理層負責(zé)；內(nèi)部評估部門除應(yīng)具備專業(yè)化的評估資質(zhì)外，應(yīng)獨立于網(wǎng)上銀行業(yè)務(wù)運營和管理部門。（四）客戶服務(wù)及投訴處理機制1.客戶服務(wù)（1）在與客戶簽訂的協(xié)議中，向客戶充分揭示利用網(wǎng)銀進行交易可能面臨的風(fēng)險，我行已經(jīng)采取的風(fēng)險監(jiān)控措施和客戶應(yīng)采取的風(fēng)險監(jiān)控措施，以及相關(guān)風(fēng)險的責(zé)任承擔(dān)。（2）在與客戶簽訂的協(xié)議中，明確告知客戶啟動網(wǎng)銀業(yè)務(wù)的合法途徑、意外事件的處理辦法，以及聯(lián)系方式等。（3）通過網(wǎng)站宣傳、電話答疑、宣傳折頁、媒體傳播、舉辦講座等靈活多樣的方式對客戶進行網(wǎng)銀風(fēng)險意識宣傳和安全教育培訓(xùn)。2.投訴處理機制建立規(guī)范的網(wǎng)上銀行業(yè)務(wù)投訴

23、處理機制，提高投訴反饋效率，及時解答客戶咨詢事項，妥善處理客戶投訴，提前化解客戶矛盾，避免與客戶造成或產(chǎn)生糾紛，減少投訴事件的發(fā)生。（五）監(jiān)督與報告1.實時監(jiān)控（1）建立網(wǎng)上銀行入侵偵測與入侵保護系統(tǒng)，實時監(jiān)控網(wǎng)上銀行的運行情況，定時對網(wǎng)銀系統(tǒng)進行漏洞掃描，并建立對非法入侵的甄別、處理和報告機制。（2）發(fā)現(xiàn)假冒網(wǎng)銀非法活動后，應(yīng)向公安部門報案，并向中國銀監(jiān)會報告，同時，及時在我行網(wǎng)站、電話語音提示系統(tǒng)或短息平臺、提醒客戶注意。（3）依照重大事故上報制度，分行對于網(wǎng)上銀行重大事故或案件，如與客戶造成或產(chǎn)生糾紛、資金匯劃錯誤、重復(fù)支付、重要系統(tǒng)出現(xiàn)故障20分鐘內(nèi)未恢復(fù)、發(fā)現(xiàn)案件等，須在事件發(fā)現(xiàn)后及時上報總行電子銀行運行部，并視情況按規(guī)定分別同步上報保衛(wèi)部。2.