第一篇:電子銀行安全評估指引
【發布單位】中國銀行業監督管理委員會 【發布文號】
【發布日期】2006-02-07 【生效日期】2006-03-01 【失效日期】 【所屬類別】政策參考
【文件來源】中國銀行業監督管理委員會
電子銀行安全評估指引
第一章 總 則
第一條第一條 為加強電子銀行業務的安全與風險管理,保證電子銀行安全評估的客觀性、及時性、全面性和有效性,依據《 電子銀行業務管理辦法》的有關規定,制定本指引。
第二條第二條 電子銀行的安全評估,是指金融機構在開展電子銀行業務過程中,對電子銀行的安全策略、內控制度、風險管理、系統安全、客戶保護等方面進行的安全測試和管控能力的考察與評價。
第三條第三條 開展電子銀行業務的金融機構,應根據其電子銀行發展和管理的需要,至少每2年對電子銀行進行一次全面的安全評估。
第四條第四條 金融機構可以利用外部專業化的評估機構對電子銀行進行安全評估,也可以利用內部獨立于電子銀行業務運營和管理部門的評估部門對電子銀行進行安全評估。
第五條第五條 金融機構應建立電子銀行安全評估的規章制度體系和工作規程,保證電子銀行安全評估能夠及時、客觀地得以實施。
第六條第六條 金融機構的電子銀行安全評估,應接受中國銀行業監督管理委員會(以下簡稱中國銀監會)的監督指導。
第二章 安全評估機構
第七條第七條 承擔金融機構電子銀行安全評估工作的機構,可以是金融機構外部的社會專業化機構,也可以是金融機構內部具備相應條件的相對獨立部門。
第八條第八條 外部機構從事電子銀行安全評估,應具備以下條件:
(一)具有較為完善的開展電子銀行安全評估業務的管理制度和操作規程;
(二)制定了系統、全面的評估手冊或評估指導文件,評估手冊或評估指導文件的內容應至少包括評估程序、評估方法和依據、評估標準等;
(三)擁有與電子銀行安全評估相關的各類專業人才,了解國際和中國相關行業的行業標準;
(四)中國銀監會規定的其他從事電子銀行安全評估應當具備的條件。
第九條第九條 金融機構內部部門從事電子銀行安全評估,除應具備第八條規定的有關條件外,還應具備以下條件:
(一)必須獨立于電子銀行業務系統開發部門、運營部門和管理部門;
(二)未直接參與過有關電子銀行設備的選購工作。
第十條第十條 中國銀監會負責電子銀行安全評估機構資質認定工作。
電子銀行安全評估機構在開展金融機構電子銀行安全評估業務前,可以向中國銀監會申請對其資質進行認定。
第十一條第十一條 金融機構在進行電子銀行安全評估時,可以選擇經中國銀監會資質認定的安全評估機構,也可以選擇未經中國銀監會資質認定的安全評估機構。
金融機構選擇經中國銀監會資質認定的安全評估機構時,有關安全評估機構的管理適用本指引有關規定。金融機構選擇未經中國銀監會資質認定的安全評估機構時,安全評估機構的選擇標準應不低于第八條、第九條規定的條件要求,并應按照《電子銀行業務管理辦法》的有關規定,報送相關材料。
電子銀行安全評估機構無論是否經過中國銀監會資質認定,在開展電子銀行安全評估活動時,都應遵守有關電子銀行安全評估實施和管理的規定。
第十二條第十二條 中國銀監會每年將組織一次電子銀行安全評估機構資質認定工作,評定時間應提前1個月公告。
第十三條第十三條 申請資質認定的電子銀行安全評估機構,應在中國銀監會公告規定的時限內提交以下材料(一式七份):
(一)電子銀行安全評估資質認定申請報告;
(二)機構介紹;
(三)安全評估業務管理框架、管理制度、操作規程等;
(四)評估手冊或評估指導文件;
(五)主要評估人員簡歷;
(六)中國銀監會要求提供的其他文件、資料。
第十四條第十四條 中國銀監會收到安全評估機構資質認定申請完整材料后,組織有關專家和監管人員對申請材料進行評議,采用投票的辦法評定電子銀行安全評估機構是否達到了有關資質要求。
第十五條第十五條 中國銀監會對評估機構資質評議后,出具《電子銀行安全評估機構資質認定意見書》,載明評議意見,對評估機構的資質做出認定。
第十六條第十六條 中國銀監會出具的《電子銀行安全評估機構資質認定意見書》,僅供評估機構與金融機構商恰有關電子銀行安全評估業務時使用,不影響評估機構開展其他經營活動。
評估機構不得將《電子銀行安全評估機構資質認定意見書》用于宣傳或其他活動。
第十七條第十七條 經中國銀監會評議并被認為達到有關資質要求的評估機構,每次資質認定的有效期限為2年。
經評議不符合認定資質的,評估機構可在下一年度重新申請資質認定。
第十八條第十八條 在資質認定的有效期限內,電子銀行安全評估機構如果出現下列情況,中國銀監會將撤銷已做出的評議和認定意見:
(一)評估機構管理不善,其工作人員泄露被評估機構秘密的;
(二)評估工作質量低下,評估活動出現重要遺漏的;
(三)未按要求提交評估報告,或評估報告中存在不實表述的;
(四)將《電子銀行安全評估機構資質認定意見書》用于宣傳和其他經營活動的;
(五)存在其他嚴重不盡職行為的。
第十九條第十九條 評估機構有下列行為之一的,中國銀監會將在一定期限或無限期不再受理評估機構的資質認定申請,金融機構不應再委托該評估機構進行安全評估:
(一)與委托機構合謀,共同隱瞞在安全評估過程中發現的安全漏洞,未按要求寫入評估報告的;
(二)在評估過程中弄虛作假,編造安全評估報告的;
(三)泄漏被評估機構機密信息,或不當使用被評估機構機密資料的。
金融機構內部評估機構出現以上情況之一的,中國銀監會將依法對相關機構和責任人進行處罰。
第二十條第二十條 中國銀監會認可的電子銀行安全評估機構,以及有關資質認定、撤銷等信息,僅向開展電子銀行業務的各金融機構通報,不向社會發布。
金融機構不得向第三方泄露中國銀監會的有關通報信息,影響有關機構的其他業務活動,也不得將有關信息用于與電子銀行安全評估活動無關的其他業務活動。
第二十一條第二十一條 金融機構可以在中國銀監會認定的評估機構范圍內,自主選擇電子銀行安全評估機構。
第二十二條第二十二條 電子銀行主要系統設置于境外并在境外實施電子銀行安全評估的外資金融機構,以及需要按照所在地監管部門的要求在境外實施電子銀行安全評估的中資金融機構境外分支機構,電子銀行安全評估機構的選擇應遵循所在國家或地區的法律要求。
所在國家或地區沒有相關法律要求的,金融機構應參照本指引的有關規定開展安全評估活動。
第二十三條第二十三條 金融機構應與聘用的電子銀行安全評估機構簽訂書面服務協議,在服務協議中,必須含有明確的保密條 款和保密責任。
金融機構選擇內部部門作為評估機構時,應由電子銀行管理部門與評估部門簽訂評估責任確定書。
第二十四條第二十四條 安全評估機構應根據評估協議的規定,認真履行評估職責,真實評估被評估機構電子銀行安全狀況。
第三章 安全評估的實施
第二十五條第二十五條 評估機構在開始電子銀行安全評估之前,應就評估的范圍、重點、時間與要求等問題,與被評估機構進行充分的溝通,制定評估計劃,由雙方簽字認可。
第二十六條第二十六條 依據評估計劃,評估機構進場對委托機構的電子銀行安全進行評估。
電子銀行安全評估應真實、全面地評價電子銀行系統的安全性。
第二十七條第二十七條 電子銀行安全評估至少應包括以下內容:
(一)安全策略;
(二)內控制度建設;
(三)風險管理狀況;
(四)系統安全性;
(五)電子銀行業務運行連續性計劃;
(六)電子銀行業務運行應急計劃;
(七)電子銀行風險預警體系;
(八)其他重要安全環節和機制的管理。
第二十八條第二十八條 電子銀行安全策略的評估,至少應包括以下內容:
(一)安全策略制定的流程與合理性;
(二)系統設計與開發的安全策略;
(三)系統測試與驗收的安全策略;
(四)系統運行與維護的安全策略;
(五)系統備份與應急的安全策略;
(六)客戶信息安全策略。
評估機構對金融機構安全策略的評估,不僅要評估安全策略、規章制度和程序是否存在,還要評估這些制度是否得到貫徹執行,是否及時更新,是否全面覆蓋電子銀行業務系統。
第二十九條第二十九條 電子銀行內控制度的評估,應至少包括以下內容:
(一)內部控制體系總體建設的科學性與適宜性;
(二)董事會和高級管理層在電子銀行安全和風險管理體系中的職責,以及相關部門職責和責任的合理性;
(三)安全監控機制的建設與運行情況;
(四)內部審計制度的建設與運行情況。
第三十條第三十條 電子銀行風險管理狀況的評估,應至少包括以下內容:
(一)電子銀行風險管理架構的適應性和合理性;
(二)董事會和高級管理層對電子銀行安全與風險管理的認知能力與相關政策、策略的制定執行情況;
(三)電子銀行管理機構職責設置的合理性及對相關風險的管控能力;
(四)管理人員配備與培訓情況;
(五)電子銀行風險管理的規章制度與操作規定、程序等的執行情況;
(六)電子銀行業務的主要風險及管理狀況;
(七)業務外包管理制度建設與管理狀況。
第三十一條第三十一條 電子銀行系統安全性的評估,應至少包括以下內容:
(一)物理安全;
(二)數據通訊安全;
(三)應用系統安全;
(四)密鑰管理;
(五)客戶信息認證與保密;
(六)入侵監測機制和報告反應機制。
評估機構應突出對數據通訊安全和應用系統安全的評估,客觀評價金融機構是否采用了合適的加密技術、合理設計和配置了服務器和防火墻,銀行內部運作系統和數據庫是否安全等,以及金融機構是否制定了控制和管理修改電子銀行系統的制度和控制程序,并能保證各種修改得到及時測試和審核。
第三十二條第三十二條 電子銀行業務運行連續性計劃的評估,應至少包括以下內容:
(一)保障業務連續運營的設備和系統能力;
(二)保證業務連續運營的制度安排和執行情況。
第三十三條第三十三條 電子銀行業務運行應急計劃的評估,應至少包括以下內容:
(一)電子銀行應急制度建設與執行情況;
(二)電子銀行應急設施設備配備情況;
(三)定期、持續性檢測與演練情況;
(四)應對意外事故或外部攻擊的能力。
第三十四條第三十四條 評估機構應制定本機構電子銀行安全評定標準,在進行安全評估時,應根據委托機構的實際情況,確定不同評估內容對電子銀行總體風險影響程度的權重,對每項評估內容進行評分,綜合計算出被評估機構電子銀行的風險等級。
第三十五條第三十五條 評估完成后,評估機構應及時撰寫評估報告,并于評估完成后1個月內向委托機構提交由其法定代表人或其授權委托人簽字認可的評估報告。
第三十六條第三十六條 評估報告應至少包括以下內容:
(一)評估的時間、范圍及其他協議中重要的約定;
(二)評估的總體框架、程序、主要方法及主要評估人員介紹;
(三)不同評估內容風險權重的確定標準,風險等級的計算方法,以及風險等級的定義;
(四)評估內容與評估活動描述;
(五)評估結論;
(六)對被評估機構電子銀行安全管理的建議;
(七)其他需要說明的問題;
(八)主要術語定義和所采用的國際或國內標準介紹(可作為附件);
(九)評估工作流程記錄表(可作為附件);
(十)評估機構參加評估人員名單(可作為附件)。
在評估結論中,評估機構應采用量化的辦法表明被評估機構電子銀行的風險等級,說明被評估機構電子銀行安全管理中存在的主要問題與隱患,并提出整改建議。
第三十七條第三十七條 評估報告完成并提交委托機構后,如需修改,應將修改的原因、依據和修改意見作為附件附在原報告之后,不得直接修改原報告。
第四章 安全評估活動的管理
第三十八條第三十八條 金融機構在申請開辦電子銀行業務時,應當按照有關規定對完成測試的電子銀行系統進行安全評估。
第三十九條第三十九條 金融機構開辦電子銀行業務后,有下列情形之一的,應立即組織安全評估:
(一)由于安全漏洞導致系統被攻擊癱瘓,修復運行的;
(二)電子銀行系統進行重大更新或升級后,出現系統意外停機12小時以上的;
(三)電子銀行關鍵設備與設施更換后,出現重大事故修復后仍不能保持連續不間斷運行的;
(四)基于電子銀行安全管理需要立即評估的。
第四十條第四十條 金融機構對電子銀行外部安全評估機構的選聘,應由金融機構的董事會或高級管理層負責。
第四十一條第四十一條 已實現數據集中管理的銀行業金融機構,其分支機構開展電子銀行業務不需單獨進行安全評估,在總行(公司)的電子銀行安全評估中應包含對其分支機構電子銀行安全管理狀況的評估。
第四十二條第四十二條 未實現數據集中管理的銀行業金融機構,其分支機構開展電子銀行業務且擁有獨立的業務處理設備與系統的,分支機構的電子銀行系統應在總行(公司)的統一管理和指導下,按照有關規定進行安全評估。
第四十三條第四十三條 電子銀行主要業務處理系統設置在境外的外資金融機構,其境外總行(公司)已經進行了安全評估且符合本指引有關規定的,其境內分支機構開展電子銀行業務不需單獨進行安全評估,但應按照本指引的有關要求,向監管部門報送安全評估報告。
第四十四條第四十四條 電子銀行主要業務處理系統設置在境內的外資金融機構,或者雖設置在境外但其境外總行(公司)未進行安全評估或安全評估不符合本指引有關規定的,應按規定開展電子銀行安全評估工作。
第四十五條第四十五條 電子銀行安全評估工作,確需由多個評估機構共同承擔或實施時,金融機構應確定一個主要的評估機構協調總體評估工作,負責總體評估報告的編制。
金融機構將電子銀行系統委托給不同的評估機構進行安全評估,應當明確每個評估機構安全評估的范圍,并保證全面覆蓋了應評估的事項,沒有遺漏。
第四十六條第四十六條 金融機構應在簽署評估協議后兩周內,將評估機構簡介、擬采用的評估方案和評估步驟等,報送中國銀監會。
第四十七條第四十七條 中國銀監會根據監管工作的需要,可派員參加金融機構電子銀行安全評估工作,但不作為正式評估人員,不提供評估意見。
第四十八條第四十八條 評估機構應本著客觀、公正、真實和自主的原則,開展評估活動,并嚴格保守在評估過程中獲悉的商業機密。
第四十九條第四十九條 在評估過程中,委托機構和評估機構之間應建立信息保密工作機制:
(一)評估過程中,調閱相關資料、復制相關文件或數據等,都應建立登記、簽字制度;
(二)調閱的文件資料應在指定的場所閱讀,不得帶出指定場所;
(三)復制的文件或數據一般也不應帶出工作場所,如確需帶出的,必須詳細登記帶出文件或數據名稱、數量、帶出原因、文件與數據的最終處理方式、責任人等,并由相關負責人簽字確認;
(四)評估過程中廢棄的文件、材料和不再使用的數據,應立即予以銷毀或刪除;
(五)評估工作結束后,雙方應就有關機密數據、資料等的交接情況簽署說明。
第五十條第五十條 金融機構在收到評估機構評估報告的1個月內,應將評估報告報送中國銀監會。
金融機構報送評估報告時,可對評估報告中的有關問題作必要的說明。
第五十一條第五十一條 未經監管部門批準,電子銀行安全評估報告不得作為廣告宣傳資料使用,也不得提供給除監管部門以外的第三方機構。
第五十二條第五十二條 對未按有關要求進行的安全評估,或者評估程序、方法和評估報告存在重要缺陷的安全評估,中國銀監會可以要求金融機構進行重新評估。
第五十三條第五十三條 中國銀監會根據監管工作的需要,可以自己組織或委托評估機構對金融機構的電子銀行系統進行安全評估,金融機構應予以配合。
第五十四條第五十四條 中國銀監會根據監管工作的需要,可直接向評估機構了解其評估的方法、范圍和程序等。
第五十五條第五十五條 對于評估報告中所反映出的問題,金融機構應采取有效的措施加以糾正。
第五章 附則
第五十六條第五十六條 本指引由中國銀監會負責解釋。
第五十七條第五十七條 本指引自2006年3月1日起施行。
本內容來源于政府官方網站,如需引用,請以正式文件為準。
第二篇:電子銀行安全評估指引(征求意見稿)
電子銀行安全評估指引
(征求意見稿)
第一章 總則
第一條 為促進電子銀行業務的健康發展,保證電子銀行業務安全性評估的客觀性、及時性、全面性和有效性,依據《中華人民共和國銀行業監督管理法》、《中華人民共和國金融機構法》等法律法規和《電子銀行業務管理辦法》等監管規章,制定本指引。
第二條 電子銀行的安全評估,是指對開展電子銀行業務的金融機構在電子銀行管理過程中的電子銀行安全策略、內控制度、系統安全、客戶保護等方面,進行的安全測試和風險管理能力等的綜合安全考察與評價。
第三條 在中華人民共和國境內開展電子銀行業務的金融機構以及利用境內的電子銀行系統向境外提供電子銀行服務的金融機構,都應定期對電子銀行安全進行評估。
第四條 開展電子銀行業務的金融機構可以利用外部專業化的評估機構對電子銀行安全進行評估,也可以利用內部獨立于電子銀行業務運營管理部門的評估部門進行電子銀行安全評估。
第五條 金融機構的電子銀行安全評估工作應納入金融機構風險管理的總體框架,由金融機構的風險管理委員會或相關機構直接負責。
第六條 金融機構的電子銀行安全評估應接受中國銀行業監督管理委員會(以下簡稱中國銀監會)的監督指導。
第二章 安全評估機構
第七條 承擔金融機構電子銀行安全評估工作的機構,可以是外部專業化服務機構,也可以是金融機構內部具備相應條件的相對獨立部門。
第八條 外部機構從事電子銀行安全評估,應具備以下條件:
(一)具有較為完善的開展電子銀行安全評估業務的管理制度和操作規程;
(二)制定了系統全面的內部評估手冊或評估指導文件,內容應至少包括評估程序、評估方法和依據、評估標準等;
(三)擁有與電子銀行安全評估相關的各類專業人才,了解國際和中國相關行業的行業標準;
(四)其他從事電子銀行安全評估應當具備的條件。
第九條 金融機構內部部門從事電子銀行安全評估,除應具備第八條規定的有關條件外,還應具備以下條件:
(一)從事電子銀行安全評估的部門必須獨立于電子銀行業務系統開發部門和運營部門;
(二)從事電子銀行安全評估的部門未直接參與過有關電子銀行設備的選購工作。
第十條 中國銀監會負責電子銀行安全評估機構資格認定工作。電子銀行安全評估機構資格認定工作,每年組織一次。
電子銀行安全評估機構在從事金融機構電子銀行安全評估業務之前,應向中國銀監會申請對其資格進行認定。
第十一條 申請資格認定的電子銀行評估機構,應在中國銀監會公告的時限內提交以下材料(一式七份):
(一)電子銀行安全評估資格認定申請報告;
(二)機構介紹;
(三)安全評估業務管理框架、管理制度、操作規程等;
(四)評估手冊或評估指導文件;
(五)主要評估人員簡歷;
(六)中國銀監會要求提供的其他文件和資料。
第十二條 中國銀監會收到安全評估機構資格認定的完整材料后三個月內,組織有關專家和監管人員對申請材料進行評議,采用投票的辦法決定電子銀行安全評估機構是否達到了有關資質要求。
第十三條 中國銀監會對評估機構資質評議后,出具《電子銀行安全評估機構資格認定意見書》,載明評議意見,對評估機構的資格作出認定。
第十四條 中國銀監會出具的《電子銀行安全評估機構資格認定意見書》,僅供評估機構與開展電子銀行業務的金融機構商恰有關電子銀行評估業務時使用,不影響評估機構開展其他經營活動。
評估機構不得將《電子銀行安全評估機構資格認定意見書》用于宣傳或其他活動。
第十五條 經中國銀監會評議并被認為達到有關資質要求的評估機構,每次資格認定的有效期為兩年。
經評議未達到認定資格的,評估機構可在下一重新申請資格認定。
第十六條 在有效期內,電子銀行安全評估機構如果出現下列情況,中國銀監會將撤銷已做出的評議和認定意見:
(一)評估機構管理不善,其工作人員泄露被評估機構秘密的;
(二)評估工作質量低下,評估活動出現重要遺漏的;
(三)未按要求提交評估報告,或評估報告中存在不實表述的;
(四)將《電子銀行安全評估機構資格認定意見書》用于宣傳和其他經營活動的;
(五)存在其他嚴重不盡職行為的。
第十七條 評估機構有下列行為之一的,中國銀監會將在一定期限或無限期不承接評估機構的資格認定請求,銀行業金融機構不應再委托該評估機構進行安全評估:
(一)與委托機構合謀,共同隱瞞在安全評估過程中發現的安全漏洞,未按要求寫入評估報告;
(二)在評估過程中弄虛作假,編造安全評估報告;
(三)泄漏銀行機密信息,或不當使用銀行機密資料;
銀行業金融機構內部評估機構出現以上情況之一的,中國銀監會將按照有關法律法規和行政規章的規定,對相關責任人進行處罰。
第十八條 中國銀監會認可的電子銀行安全評估機構,以及有關資格認定撤銷決定等信息,僅向開展電子銀行業務的各金融機構通報,不向社會公布。
第十九條 金融機構不得向第三方泄露中國銀監會的有關通報信息,影響外部機構的其他業務活動,也不得將有關信息用于與電子銀行安全評估活動無關的其他業務活動。
第二十條 開展電子銀行業務的金融機構可以在中國銀監會認可的評估機構
范圍內,自主選擇安全評估機構,簽訂書面服務協議。
金融機構選擇內部部門作為評估機構時,應由電子銀行運營部門與評估部門簽訂評估責任確定書。
第二十一條 金融機構與評估機構簽訂的服務協議中,必須含有明確的保密條款和保密責任。
第二十二條 安全評估機構應根據評估協議的規定,認真履行評估職責,真實評估被評估機構電子銀行運營的安全狀況。
第三章安全評估的實施
第二十三條 評估機構在開始電子銀行安全評估之前,應就評估的范圍、重點、時間與要求等問題,與被評估機構進行充分的溝通,制定評估計劃,由雙方簽字認可。
第二十四條 依據評估計劃,評估機構進場對委托機構的電子銀行安全進行評估。電子銀行安全評估應真實、全面地評價電子銀行系統的安全性。
第二十五條 電子銀行安全評估至少應包括以下內容:
(一)安全策略;
(二)內控制度建設;
(三)風險管理狀況;
(四)系統安全性;
(五)電子銀行業務運行連續性計劃;
(六)電子銀行業務運行應急計劃;
(七)電子銀行風險預警體系;
(八)其他重要安全環節和機制。
第二十六條 電子銀行安全策略的評估,至少應包括以下內容:
(一)安全策略制定的流程與合理性;
(二)系統設計與開發的安全策略;
(三)系統測試與驗收的安全策略;
(四)系統運行與維護的安全策略;
(五)系統備份與應急相關策略。
評估機構對金融機構安全策略的評估,不僅要評估安全戰略、規章制度和程序是否存在,還要評估這些制度是否能得到貫徹執行,是否能做到及時更新,是否能全面覆蓋電子銀行業務系統。
第二十七條 電子銀行內控制度的評估,應至少包括以下內容:
(一)高級管理層對電子銀行安全的認知能力與水平;
(二)安全監控機制的建設與運行;
(三)內部審計制度的建設與運行。
第二十八條 電子銀行風險管理狀況的評估,應至少包括以下內容:
(一)電子銀行管理機構設置的合理性與其他部門的協調性;
(二)電子銀行管理部門主要負責人對電子銀行的熟知程度;
(三)管理人員配備與培訓情況;
(四)電子銀行風險管理的規章制度與操作規定、程序等;
(五)電子銀行業務風險管理狀況;
(六)業務外包管理制度建設與管理狀況。
第二十九條 電子銀行系統安全性的評估,應至少包括以下內容:
(一)物理安全;
(二)數據通訊安全;
(三)應用系統安全;
(四)密鑰管理;
(五)客戶信息認證與保密;
(六)入侵監測機制和報告反應機制。
評估機構應突出對數據通訊安全和應用系統安全的評估,客觀評價金融機構是否采用了合適的加密技術、合理設計和配置了服務器和防火墻,銀行內部運作系統和數據庫是否安全等,以及金融機構是否制定了控制和管理修改電子銀行系統的制度和控制程序,并能保證各種修改得到及時測試和審核。
第三十條 電子銀行業務運行連續性計劃,應至少包括以下內容:
(一)電子銀行保障業務連續運營的設備和系統能力;
(二)保證業務連續運營的制度安排和執行情況;
第三十一條 電子銀行業務運行應急計劃,應至少包括以下內容:
(一)電子銀行應急制度建設和執行情況;
(二)電子銀行應急系統建設;
(三)定期、持續性的檢測和演練情況;
(四)應對意外事故或非法攻擊的能力。
第三十二條 評估機構進行安全評估的方式,包括審核有關資料、與相關人員談話等,但在電子銀行安全性評估時,必須采取至少一種方法對系統進行測試。
第三十三條 評估機構在進行安全評估時,應根據委托機構的實際情況,確定不同評估內容對電子銀行總體風險影響程度的權重,對每項評估內容進行評分,綜合計算出所評估機構電子銀行的風險等級。
第三十四條 評估完成后,評估機構應及時撰寫評估報告,并于評估完成后一個月內向委托機構提交由其法定代表人簽字認可的評估報告。
第三十五條 評估報告應至少包括以下內容:
(一)評估的時間、范圍及其他協議中重要的約定;
(二)評估的總體框架、程序、主要方法及主要評估人員介紹;
(三)不同評估內容風險權重的確定標準,風險等級的計算方法,以及風險等級的定義;
(四)評估內容與評估活動描述;
(五)評估結論;
(六)其他需要說明的問題;
(七)主要術語定義和所采用的國際或國內標準介紹(可作為附件);
(八)評估工作流程記錄表(可作為附件);
(九)參加評估人員名單(可作為附件)。
在評估結論中,評估機構應采用量化的辦法,表明被評估機構電子銀行的風險等級,并說明被評估機構電子銀行安全管理中存在的主要問題與隱患,并說明整改建議。
第三十六條 評估報告完成并提交委托機構后,如需修改,應將修改的原因、依據和修改意見作為附件附在原報告之后,不得直接修改原報告。
第四章 安全評估活動的管理
第三十七條 金融機構在申請開辦電子銀行業務時,應當按照有關規定對完成測試的電子銀行進行安全評估。
第三十八條 金融機構獲準開辦電子銀行業務后,應當至少每年對電子銀行進行一次安全評估。
有下列情形之一的,應立即組織安全評估:
(一)由于安全漏洞導致系統被攻擊癱瘓,修復完善的;
(二)電子銀行系統進行重大的更新和升級的;
(三)電子銀行的基礎設施出現重大改變的;
(四)基于電子銀行安全管理需要應即時評估的。
第三十九條 評估機構的選擇應由金融機構的高級管理層最終確定。評估機構確定后,金融機構必須與評估機構簽定評估協議,明確界定評估的任務、雙方的權利和義務。
評估協議應由金融機構的高級管理層簽署。
第四十條 金融機構原則上只能確定一個評估機構進行評估,若有多個評估機構參與評估,金融機構必須確定一個主要的評估機構協調總體評估工作,負責總體評估報告的制作。
金融機構將電子銀行的不同系統委托給不同的評估機構進行安全評估,應當明確每個評估機構的安全評估范圍,保證不同的評估范圍之間沒有遺漏。
第四十一條 金融機構應在簽署評估協議后2周內,將評估機構簡介、擬采用的評估方案和評估步驟等,報送中國銀監會。
第四十二條 中國銀監會根據監管工作的需要,可派員參加金融機構電子銀行安全評估工作,但不作為正式評估人員,不提供評估意見。
第四十三條 評估機構應本著客觀、公正、真實和自主的原則,開展評估活動,并嚴格保守在評估過程中獲悉的商業機密。
第四十四條 在評估過程中,委托機構和評估機構之間應建立信息保密工作機制。
(一)評估過程中,調閱相關資料、復制相關文件或數據等,都應建立登記、簽字制度;
(二)調閱的文件資料應在指定的場所閱讀,不能復印,不得帶出指定場所;
(三)復制的文件或數據不應帶出工作場地,如確需帶出的,必須詳細登記帶出數據的原因、時間、責任人等;
(四)評估過程中廢棄的文件、材料和不再使用的數據,應立即予以銷毀或刪除;
(五)評估工作結束后,雙方應就有關機密數據、資料等的交接情況簽署說明。
第四十五條 金融機構在收到評估機構的評估報告一個月內,應將評估報告抄報中國銀監會。
金融機構報送評估報告時,可對評估報告中的有關問題作必要的說明。
第四十六條 未經監管部門批準,電子銀行安全評估報告不得作為廣告宣傳資料使用,也不得提供給除監管部門以外的第三方機構。
第四十七條 對未按有關要求進行的安全評估,或者評估程序、方法和評估報告存在重要缺陷的安全評估,中國銀監會可以要求金融機構進行重新評估。
第四十八條 中國銀監會根據監管工作的需要,可以自己組織或委托評估機構對電子銀行系統進行安全評估,金融機構對于中國銀監會組織的安全評估應予以配合。
第四十九條 中國銀監會根據監管工作的需要,可直接向評估機構了解其評估的方法、范圍和程序等。
第五十條 對于評估報告中所反映出的問題,金融機構應采取有效的措施加以糾正。
第五章 附則
第五十一條 本指引由中國銀監會負責解釋。
第五十二條 本指引自發布之日起施行。
第三篇:電子銀行評估報告
一、2012年電子銀行業務發展概況
2012年我行加大電子銀行業務投入,加強電子銀行業務建設,業務管理,提高業務風險防范能力,加大市場推廣力度,網上銀行和自助銀行各項業務取得的長足的發展,在上級管理部門的領導下,我行ATM有所幅增加。電子銀行業務功能增加,系統穩定性提高,風險控制更為嚴密,各項業務均有較大幅度增長,取得了良好的經濟效益,也提高了客戶服務水準和電子銀行品牌知名度。
1、網上銀行業務發展概況
2012年我行網上銀行其他業務指標繼續保持快速增長,網銀交易筆數、交易金額和網銀手續費收入均有大幅增長,見下表:
業務指標 2012年 2011年 同比增長
個人開戶數(戶)138773.8%
企業開戶數(戶)29126.17%
2、自助銀行業務發展概況
2012年我行面向客戶服務的自助銀行機具在原有ATM柜員機、自動存取款一體機、存折補登等服務。2012年新增ATM設備(自動存取款一體機)5臺,截至2012年底自助銀行區1個,自助設備存量15臺。
2012年全行ATM機交易筆數萬筆,交易金額萬元,手續費收入22萬元。
二、2012年我行電子銀行業務發展評價
2012年是我行電子銀行業務快速發展的一年。網上銀行業務系統升級改造、自助銀行業務多臺新設備投放,為我行電子銀行業務今后的持續發展奠定了堅實的基礎。制定完善各項業務規章制度,調整風險防范措施,提高風控水平,梳理業務流程,為我行電子銀行業務健康發展提供了制度保障。
1、網上銀行
1)優化網上銀行功能,在新功能建設同時,充分考慮客戶體驗,對網上銀行頁面和流程進行了優化。
2)銀企對賬功能的推出為企業與我行間及時對賬提供了網絡渠道,大大節省了我行客戶辦理業務的時間。
2、自助銀行
2012年自助設備業務在新機器安裝投放、業務管理、業務數據統計和功能開發等方面都取得一定進展。
完成ATM數據平臺采集需求編寫、業務測試和上線工作。該系統上線后對提供我行自助銀行業務統計準確性和時效性,強化了業務監控能力;
3、POS業務
pos機作為現代化消費最重要的工具之一,已成為各家金融機構增加中間業務收入的主渠道。我行也緊跟各銀行的步伐,積極營銷特約商戶客戶,取得了較好的成績,2012年我行新增POS商戶96戶,累計POS商戶195戶;新增固話POS商戶109戶。
三、2012年電子銀行業務效益分析
目前我行發展電子銀行業務著眼于為客戶提供更多的服務渠道,提高客戶獲得銀行服務的便利性,借助電子銀行業務渠道減輕營業柜臺的壓力,提高我行整體服務水平,因此,單純從業務會計核算角度來看,電子銀行業務為我行帶來的直接利潤有限。當前,培育市場、提高市場份額、引導客戶使用電子銀行服務渠道,減輕我行營業網點柜面業務量的壓力,是我行電子銀行業務發展的重要目標。我們希望在業務發展到一定階段,根據市場形勢選擇合適的時機,通過調整電子銀行業務政策,從而實現業務利潤的增長。
1、網上銀行效益分析
網上銀行業務的支出主要包括系統建設投入、運營投入、職工工資、市場宣傳投入、網銀業務拓展費用等,因未對單項業務進行獨立核算,網銀業務支出具體數據無法統計,故網銀業務利潤也無法估算。
2、自助銀行業務效益分析
自助銀行業務收入是我行電子銀行業務收入的重要來源。自助銀行業務收入主要包括ATM本代他取款手續費收入和POS傭金收入。其中ATM本代他和轉賬手續費收費標準按照中國銀聯制定的標準收取。
2012年我行自助銀行收入統計見下表:
收入類別 金額(萬元)
跨行取款手續費收入 22
POS交易回傭收入 12
合計 3
4我行自助銀行支出主要包括自助設備采購、安裝、運營維護費用、系統建設以及相關業務人員和技術人員人力成本等。我行未對自助銀行業務進行單項核算成本支出,因此暫時無法統計該項業務利潤收入數據。
四、電子銀行業務風險狀況分析
我行十分重視電子銀行業務的風險控制,建立了完善的風險管理制度。2012年我行對全行電子銀行業務的規章制度進行了清理和修訂,分析各項業務風險點,梳理業務流程,規避業務操作風險,從而在制度上保障對電子銀行業務風險的有效控制。
我們認為我行電子銀行業務的風險控制較嚴密,有效的保障了系統有效運行和客戶資金安全。
回顧全年業務發展過程,我行嚴格按照《電子銀行業務管理辦法》的規定,在監管部門的指導下,對全行電子銀行業務進行有效管理,在控制業務風險前提下,加大電子銀行業務投入力度,實現了電子銀行業務的快速增長,取得了良好的經濟效益,同時也向客戶提供了安全、高效、優質的金融服務,進一步提升了我行電子銀行業務品牌形象。
第四篇:銀行安全評估自查報告
XXXX支行安全評估自查報告
為全面、客觀地反映金融機構安全防范情況,根據《關于銀行業金融機構安全評估工作實施方案的通知》的要求,我行及時組建安全檢查小組,按照通知要求的檢查方法,結合實際情況,對網點安全設施及環境等各方面進行了全面的自查,現將自查情況匯報如下:
安全檢查小組: 組長:XXX 副組長:XXX 成員:XXX XXX
XXX 安全檢查辦公室設在行長辦,定期對營業場所、業務庫、自助設備、運鈔、消防、計算機、槍支彈藥等進行安全檢查,保衛股長XXX負責各項安全檢查情況的工作匯報。
一、營業場所:
(一)物防設施
1.二層以下窗戶已安裝金屬防護欄或相應防護措施。
2.網點與外界相通的出入口均已安裝防護門或防盜安全門,且符合相關的安全標準。
3.網點現金業務出入口均已安裝金屬防護門,且能正常使用。
4.營業場所外有圍墻且有防止攀爬的障礙物。5.現金業務區出入口安裝了防尾隨緩沖式電控聯動門,能正常使用。
6.現金出納柜臺已采用磚石或鋼筋混凝土結構,柜臺高度>=800mm、寬度>=500mm。
7.現金出納柜臺上方安裝了透明防護板。
8.現金出納柜臺上方安裝的透明防護板有檢測合格報告,安裝形式符號標準,且長、寬、高、面積及其上部封頂符合標準。
9.現金業務柜臺的臺面設置和收銀槽長寬高符合要求。10.網點營業場所均已配備衛生設施。11.營業場所已配備應急照明設備且安好可用。12.網點已配備自衛器材。
(二)技防設施
1.監控設備
(1)營業場所與外界相通的出入口安裝了視頻監控裝置。(2)營業場所現金業務區、非現金業務區等均已安裝視頻監控裝置,且實時監控各區域人員活動情況及現金區域的現金支付交易全過程。
(3)營業場所出入口視頻監控系統的回放錄像能清晰分辨出入大門人員體貌特征。
(4)網點錄像資料保存期均在30天以上。2.報警及其他技防設施 網點具備與公安110報警服務臺報警聯網條件且安裝了與公安機關110聯網的緊急報警裝置。
二、業務庫安全
(一)實體防范
1.庫區照明系統總閘裝置有保護措施且置于有效監控范圍。
2.出入庫房門的通道為單一設置。
3.庫房結構墻體已達到相應級別建筑標準。
4.金庫門和庫門鎖具符合標準。
5.三類以上庫房通往金庫門的唯一通道已設置防控隔離門,且防護等級符合要求。
(二)技術防范
1.入侵報警系統能準確探測報警區域內門、窗、通道等重點部位入侵事件。
2.報警控制主機和線路未裸露,具有防破壞報警功能。
3.營業場所已采用2種以上向外報警傳輸方式。
4.報警裝置有備用電源,能保證在斷電后系統供電時間<8h。
5.報警系統布防、撤防、報警、故障等信息的存儲時間均在30天以上。
6.庫房內視頻安防監控系統回放錄像能清晰顯示人員在庫內活動的全過程及庫內所存放物品。
7.庫房外的回放錄像能清晰顯示出入庫人員活動情況及面部特征。
8.啟動緊急警報裝置時能同時啟動現場聲、光報警裝置。
9.守庫室的回放錄像能清晰顯示守庫人員活動情況。
10.清分整點場地在每個清分臺安裝了攝像機進行獨立監控和錄像,回放錄像能清晰顯示交接、清點、打捆等操作全過程。
11.裝卸區及出入庫交接場地的回放錄像能清晰顯示運鈔車停放、護衛及提款箱交接等進出庫區全過程。
12.視頻監控資料保存時間均在30天以上。
13.實行遠程監控的業務庫房隔離門出入口控制裝置具有接受遠程控制和實時授權功能。
14.聲音資料保存時間均在30天以上。
15.實行異地值守的業務庫具備全方位防護,且將入侵報警、視頻安防監控及出入口控制、廣播對講等各子系統接入業務庫報警監控聯網中心,能實施遠程管理、控制。
16.業務庫報警監控聯網中心功能較為齊備。
(三)本地守庫室防范
1.本地守庫室設置有衛生設施。
2.守庫室外安裝有照明燈,配備應急照明設備及自衛器材。3.守庫室配備有對外聯絡的通訊設備,已安裝緊急報警按鈕。
三、自助設備安全
(一)自助設備安全
1.已安裝報警裝置,且能對撬盜和破壞事件進行探測報警。2.視頻監控裝置能對交易時客戶的正面圖像、進/出鈔過程、現金裝填過程的圖像進行實時錄像。
3.回放錄像能清晰辨別客戶的面部特征、進/出鈔過程、現金裝填過程操作人員活動情況。
4.已加裝具有防窺視功能裝置,已設置相對獨立的用戶操作區域。
5.能通過顯示屏顯示必要地安全提示和24小時服務電話。
(二)自助銀行安全
1.獨立的裝填現金區安裝了入侵報警探測裝置,具備入侵報警聯動功能。
2.安裝了視頻監控裝置對進入自助銀行的人員進行監視、記錄,回放圖像能清晰顯示進出人員體貌特征。
四.運鈔安全
1.使用專用運鈔車運鈔及雙人以上武裝押運。
2.已制定押運途中突發事件處置預案。
3.押運員熟悉突發事件押運處置預案、責任分工明確。
4.押運員押運操作行為規范,警惕性較高。
5.運鈔登記手續齊全。
6.押運員押運過程中穿防彈衣、戴頭盔。
7.押運員站位能全方位警戒。
8.運鈔車交接款停靠位置合理。
9.運鈔停靠及交接款過程能夠全程錄像。10.運鈔車內有通訊、報警、消防設備。
11.押運過程中不曾有司機下車及車輛熄火現象。
五.消防安全
1.建立了領導負責的逐級防火責任制。
2.已明確逐級防火負責人職責、已明確崗位防火責任人。
3.已為本單位的消防安全提供必要的經費和組織保障。
4.職工知道崗位責任區和崗位消防安全職責。
5.設立兼職的防火安全人員。
6.建立健全了各項消防安全制度。
7.按照國家有關消防法律法規及消防技術標準設置消防設施。
8.能保證消防設施、滅火器材完好有效。
9.能保證消防疏散通道暢通。
10.有消防安全檢查、巡查,和消防安全就礙于培訓記錄。
11.對火災能及時發現且發現后及時消除。
12.一年內組織開展消防安全宣傳教育和培訓在2次以上。
13.制定了滅火和應急疏散預案并定期組織演練。
14.建立健全了消防檔案。
15.對建筑消防設施進行定期的消防檢測。
六、計算機安全
(一)營業場所計算機安全
1.營業場所計算機室安裝了防盜安全門并且與110報警服務臺相連的緊急報警裝置及入侵報警裝置,能準確探測報警區域內門、窗、通道等重點部位的入侵事件。
(二)數據交換中心和數據處理中心安全
1.數據交換和處理中心計算機機房在建筑物內設置為獨立區域。
2.獨立設置的計算機中心進行封閉式管理且設置周界報警探測裝置。
3.有專人值守、記錄出入人員情況。
4.防水、防盜、監控、報警設施健全。
5.有備用電源且處于良好安好可用狀態。
6.設立兼職計算機信息系統安全管理人員。
7.機房工作人員熟悉滅火、防水等相關操作。
8.有專門的設備檔案備查資料。
9.能及時更換計算機的口令或密鑰。
10.有防雷接地等必要防護。
11.機房有專用滅火設施。
12.成立了計算機信息系統安全保護領導小組切制定了計算機信息系統突發事件處置預案。
七、槍支彈藥安全
1.已明確槍支管理責任,指定專人負責。
2.槍彈庫出入口安裝了防盜安全門、與110報警服務臺相連的緊急報警裝置和入侵報警裝置。
3.有專用槍庫和槍柜存放保管槍支彈藥。
4.槍支、彈藥分開存放,實行雙人雙鎖。
5.建立了完善的持槍人員管理責任制度、槍支彈藥保管領用制度和槍支安全責任制度,且能嚴格執行。
6.執行守押任務完畢后,及時交還槍支彈藥。
7.持槍人員配發持槍證件。
8.持槍人員定期進行培訓。
9.攜帶槍支時隨身攜帶持槍證件。
10.非執行守押任務時,未攜帶槍支彈藥。
八、案件防范
1.一年內對員工進行法律法規教育以及業務規范學習在2次以上。
2.兩年內我行無內部人員違法犯罪。
3.兩年內發生的我行無盜搶案件。
4.兩年內我行無重特大盜搶案件。
5.兩年內我行無因瀆職或違規操作等引發詐騙案件。
6.我行嚴格執行身份證聯網核查制度。
7.我行有防范案件預案。
8.我行嚴格執行相關案件報告制度規定。
9.我行及時向員工開展案例警示教育。10.我行嚴格執行有關業務操作安全的各項規章制度,嚴格執行各項業務操作程序。
九、安全保衛基礎工作
1.單位負責人定期召開會議研究安全保衛工作,查找安全防范工作隱患并研究解決問題;保衛工作有領導班子成員分管。
2.我行設立了專職保衛機構。
3.營業場所配置了專職保衛人員。
4.我行安全防范設施建設資金不存在重大缺口。
5.我行建立了保衛工作考核、評比和獎懲機制。
6.我行開展了安全檢查、考核、評比工作,且獎懲分明。
7.對公安機關、銀監部門和上級單位安全檢查中發現的問題,我行作出及時整改。
8.我行不斷完善和健全安全防范規章制度,及處置突發事件預案。
9.我行按時簽訂各級治安保衛責任書。
10.營業場所有日常安全檢查記錄。
11.業務庫門鑰匙和密碼執行單線交換、分別保管。
12.我行員工能夠熟練操作本崗位所需掌握的自衛器材和消防器材,了解安全防范制度,熟悉本崗位應急預案處置方法。通過此次安全評估自查,使我行員工進一步提高了相關的安全防范意識,從而將安保工作責任到人、落實到位。今后我行將加大對安全教育的學習力度,做到警鐘長鳴、防患于未然,為我行的健康發展提供有力的安全保障,確保我行各項生產經營持續、安全的運行。
農行察雅縣支行
2011-11-15
第五篇:銀行安全評估工作總結
銀行安全評估工作總結
根據省銀監局、省公安部門及上級行關于銀行業金融機構安全評估工作的部署要求,我行從XX年11月份開始到XX年10月底進行了大量的工作,到目前為止,該項工作已圓滿完成,在銀監部門和公安部門的聯合檢查驗收中,我行的各項安全設施全部達到了公安部門的要求,評估得分為99分,在當地金融機構總評分中名列第一,達到了市分行要求的預期目標。
一、領導重視是安全評估工作順利完成的前提。
根據上級行關于銀行業金融機構安全評估工作要求,我行領導高度重視此項工作,積極傳達文件精神,組織員工認真學習評估工作有關文件,領會其精神實質,教育全體員工提高對此項工作的認識。并召開多次專題會議,討論部署本行的安全評估工作,成立了以行長為組長、分管領導為副組長的安全評估工作領導組,積極開展安全評估工作。
二、健全工作機構,理順工作關系是安全評估工作順利完成的保障。
為確保安全評估各項準備工作的順利進行,支行成立了以行長為組長、分管領導為副組長、專職保衛干部和部門負責人為成員的安全評估領導組指導全行的安全評估工作,明確各自的工作職責。同時成立了以分管領導為組長、會計主管和專職保衛干部為副組長的安全評估工作小組,具體負責落實安全評估的各項工作事項。健全的工作機構,為安全評估準備工作提供了組織上的保障。
三、上下聯動,積極工作,是安全評估工作圓滿完成的關鍵。
在這次長達十個月的安全評估工作中,我行領導和員工傾注了大量的心血,積極開展工作。分管領導在繁忙的工作事務中擠出大量時間準備相關的文字資料,重新修訂了支行的安全工作制度,新修訂的安全工作制度共計四十多項。營業部在會計主管的組織下,多次利用班前班后的時間學習安全工作制度,組織各項應急預案演練。在新網點裝修過程中,紀檢監察特派員跑前跑后,跟蹤檢查,協調各方關系,主管行長跑監理、找專家對施工質量進行把關,確保裝修標準符合公安部門的要求。上級行的個金、安保、計財等部門多次到現場指導工作。整體聯動的工作模式確保了安全評估工作的順利達標。
機構安全評估工作雖然結束了,但銀行的安全防范工作卻始終是任重道遠。面對日益嚴竣的金融安全形勢,我們一定不能有任何的松懈思想,安全防范設施的到位,并不能保證我行的經營形勢就可以高枕無憂了,相反,我們要克服先進的硬件設施給我們帶來的麻痹思想,要教育全體員工始終保持高度的警惕,時刻不忘安全防范,才能做到硬件已硬,軟件不軟,確保銀行經營安全的目標。
點擊咨詢 