第一章 總 則
第一條 為加強電子銀行業務的安全與風險管理,保證電子銀行安全評估的客觀性、及時性、全面性和有效性,依據《電子銀行業務管理辦法》的有關規定,制定本指引。
第二條 電子銀行的安全評估,是指金融機構在開展電子銀行業務過程中,對電子銀行的安全策略、內控制度、風險管理、系統安全、客戶保護等方面進行的安全測試和管控能力的考察與評價。
第三條 開展電子銀行業務的金融機構,應根據其電子銀行發展和管理的需要,至少每2年對電子銀行進行一次全面的安全評估。
第四條 金融機構可以利用外部專業化的評估機構對電子銀行進行安全評估,也可以利用內部獨立於電子銀行業務運營和管理部門的評估部門對電子銀行進行安全評估。
第五條 金融機構應建立電子銀行安全評估的規章制度體系和工作規程,保證電子銀行安全評估能夠及時、客觀地得以實施。
第六條 金融機構的電子銀行安全評估,應接受中國銀行業監督管理委員會(以下簡稱中國銀監會)的監督指導。
第二章 安全評估機構
第七條 承擔金融機構電子銀行安全評估工作的機構,可以是金融機構外部的社會專業化機構,也可以是金融機構內部具備相應條件的相對獨立部門。
第八條 外部機構從事電子銀行安全評估,應具備以下條件:
(一) 具有較為完善的開展電子銀行安全評估業務的管理制度和操作規程;
(二) 制定了系統、全面的評估手冊或評估指導檔案,評估手冊或評估指導檔案的內容應至少包括評估程式、評估方法和依據、評估標準等;
(三) 擁有與電子銀行安全評估相關的各類專業人才,了解國際和中國相關行業的行業標準;
(四) 中國銀監會規定的其他從事電子銀行安全評估應當具備的條件。
第九條 金融機構內部部門從事電子銀行安全評估,除應具備第八條 規定的有關條件外,還應具備以下條件:
(一) 必須獨立於電子銀行業務系統開發部門、運營部門和管理部門;
(二) 未直接參與過有關電子銀行設備的選購工作。
第十條 中國銀監會負責電子銀行安全評估機構資質認定工作。
電子銀行安全評估機構在開展金融機構電子銀行安全評估業務前,可以向中國銀監會申請對其資質進行認定。
第十一條 金融機構在進行電子銀行安全評估時,可以選擇經中國銀監會資質認定的安全評估機構,也可以選擇未經中國銀監會資質認定的安全評估機構。
金融機構選擇經中國銀監會資質認定的安全評估機構時,有關安全評估機構的管理適用本指引有關規定。金融機構選擇未經中國銀監會資質認定的安全評估機構時,安全評估機構的選擇標準應不低於第八條、第九條規定的條件要求,並應按照《電子銀行業務管理辦法》的有關規定,報送相關材料。
電子銀行安全評估機構無論是否經過中國銀監會資質認定,在開展電子銀行安全評估活動時,都應遵守有關電子銀行安全評估實施和管理的規定。
第十二條 中國銀監會每年將組織一次電子銀行安全評估機構資質認定工作,評定時間應提前1個月公告。
第十三條 申請資質認定的電子銀行安全評估機構,應在中國銀監會公告規定的時限內提交以下材料(一式七份):
(一) 電子銀行安全評估資質認定申請報告;
(二) 機構介紹;
(三) 安全評估業務管理框架、管理制度、操作規程等;
(四) 評估手冊或評估指導檔案;
(五) 主要評估人員簡歷;
(六) 中國銀監會要求提供的其他檔案、資料。
第十四條 中國銀監會收到安全評估機構資質認定申請完整材料後,組織有關專家和監管人員對申請材料進行評議,採用投票的辦法評定電子銀行安全評估機構是否達到了有關資質要求。
第十五條 中國銀監會對評估機構資質評議後,出具《電子銀行安全評估機構資質認定意見書》,載明評議意見,對評估機構的資質做出認定。
第十六條 中國銀監會出具的《電子銀行安全評估機構資質認定意見書》,僅供評估機構與金融機構商恰有關電子銀行安全評估業務時使用,不影響評估機構開展其他經營活動。
評估機構不得將《電子銀行安全評估機構資質認定意見書》用於宣傳或其他活動。
第十七條 經中國銀監會評議並被認為達到有關資質要求的評估機構,每次資質認定的有效期限為2年。
經評議不符合認定資質的,評估機構可在下一年度重新申請資質認定。
第十八條 在資質認定的有效期限內,電子銀行安全評估機構如果出現下列情況,中國銀監會將撤銷已做出的評議和認定意見:
(一) 評估機構管理不善,其工作人員泄露被評估機構秘密的;
(二) 評估工作質量低下,評估活動出現重要遺漏的;
(三) 未按要求提交評估報告,或評估報告中存在不實表述的;
(四) 將《電子銀行安全評估機構資質認定意見書》用於宣傳和其他經營活動的;
(五) 存在其他嚴重不盡職行為的。
第十九條 評估機構有下列行為之一的,中國銀監會將在一定期限或無限期不再受理評估機構的資質認定申請,金融機構不應再委託該評估機構進行安全評估:
(一) 與委託機構合謀,共同隱瞞在安全評估過程中發現的安全漏洞,未按要求寫入評估報告的;
(二) 在評估過程中弄虛作假,編造安全評估報告的;
(三) 泄漏被評估機構機密信息,或不當使用被評估機構機密資料的。
金融機構內部評估機構出現以上情況之一的,中國銀監會將依法對相關機構和責任人進行處罰。
第二十條 中國銀監會認可的電子銀行安全評估機構,以及有關資質認定、撤銷等信息,僅向開展電子銀行業務的各金融機構通報,不向社會發布。
金融機構不得向第三方泄露中國銀監會的有關通報信息,影響有關機構的其他業務活動,也不得將有關信息用於與電子銀行安全評估活動無關的其他業務活動。
第二十一條 金融機構可以在中國銀監會認定的評估機構範圍內,自主選擇電子銀行安全評估機構。
第二十二條 電子銀行主要系統設定於境外並在境外實施電子銀行安全評估的外資金融機構,以及需要按照所在地監管部門的要求在境外實施電子銀行安全評估的中資金融機構境外分支機構,電子銀行安全評估機構的選擇應遵循所在國家或地區的法律要求。
所在國家或地區沒有相關法律要求的,金融機構應參照本指引的有關規定開展安全評估活動。
第二十三條 金融機構應與聘用的電子銀行安全評估機構簽訂書面服務協定,在服務協定中,必須含有明確的保密條 款和保密責任。
金融機構選擇內部部門作為評估機構時,應由電子銀行管理部門與評估部門簽訂評估責任確定書。
第二十四條 安全評估機構應根據評估協定的規定,認真履行評估職責,真實評估被評估機構電子銀行安全狀況。
第三章 安全評估的實施
第二十五條 評估機構在開始電子銀行安全評估之前,應就評估的範圍、重點、時間與要求等問題,與被評估機構進行充分的溝通,制定評估計畫,由雙方簽字認可。
第二十六條 依據評估計畫,評估機構進場對委託機構的電子銀行安全進行評估。
電子銀行安全評估應真實、全面地評價電子銀行系統的安全性。
第二十七條 電子銀行安全評估至少應包括以下內容:
(一) 安全策略;
(二) 內控制度建設;
(三) 風險管理狀況;
(四) 系統安全性;
(五) 電子銀行業務運行連續性計畫;
(六) 電子銀行業務運行應急計畫;
(七) 電子銀行風險預警體系;
(八) 其他重要安全環節和機制的管理。
第二十八條 電子銀行安全策略的評估,至少應包括以下內容:
(一) 安全策略制定的流程與合理性;
(二) 系統設計與開發的安全策略;
(三) 系統測試與驗收的安全策略;
(四) 系統運行與維護的安全策略;
(五) 系統備份與應急的安全策略;
(六) 客戶信息安全策略。
評估機構對金融機構安全策略的評估,不僅要評估安全策略、規章制度和程式是否存在,還要評估這些制度是否得到貫徹執行,是否及時更新,是否全面覆蓋電子銀行業務系統。
第二十九條 電子銀行內控制度的評估,應至少包括以下內容:
(一) 內部控制體系總體建設的科學性與適宜性;
(二) 董事會和高級管理層在電子銀行安全和風險管理體系中的職責,以及相關部門職責和責任的合理性;
(三) 安全監控機制的建設與運行情況;
(四) 內部審計制度的建設與運行情況。
第三十條 電子銀行風險管理狀況的評估,應至少包括以下內容:
(一) 電子銀行風險管理架構的適應性和合理性;
(二) 董事會和高級管理層對電子銀行安全與風險管理的認知能力與相關政策、策略的制定執行情況;
(三) 電子銀行管理機構職責設定的合理性及對相關風險的管控能力;
(四) 管理人員配備與培訓情況;
(五) 電子銀行風險管理的規章制度與操作規定、程式等的執行情況;
(六) 電子銀行業務的主要風險及管理狀況;
(七) 業務外包管理制度建設與管理狀況。
第三十一條 電子銀行系統安全性的評估,應至少包括以下內容:
(一) 物理安全;
(二) 數據通訊安全;
(三) 套用系統安全;
(四) 密鑰管理;
(五) 客戶信息認證與保密;
(六) 入侵監測機制和報告反應機制。
評估機構應突出對數據通訊安全和套用系統安全的評估,客觀評價金融機構是否採用了合適的加密技術、合理設計和配置了伺服器和防火牆,銀行內部運作系統和資料庫是否安全等,以及金融機構是否制定了控制和管理修改電子銀行系統的制度和控制程式,並能保證各種修改得到及時測試和審核。
第三十二條 電子銀行業務運行連續性計畫的評估,應至少包括以下內容:
(一) 保障業務連續運營的設備和系統能力;
(二) 保證業務連續運營的制度安排和執行情況。
第三十三條 電子銀行業務運行應急計畫的評估,應至少包括以下內容:
(一) 電子銀行應急制度建設與執行情況;
(二) 電子銀行應急設施設備配備情況;
(三) 定期、持續性檢測與演練情況;
(四) 應對意外事故或外部攻擊的能力。
第三十四條 評估機構應制定本機構電子銀行安全評定標準,在進行安全評估時,應根據委託機構的實際情況,確定不同評估內容對電子銀行總體風險影響程度的權重,對每項評估內容進行評分,綜合計算出被評估機構電子銀行的風險等級。
第三十五條 評估完成後,評估機構應及時撰寫評估報告,並於評估完成後1個月內向委託機構提交由其法定代表人或其授權委託人簽字認可的評估報告。
第三十六條 評估報告應至少包括以下內容:
(一) 評估的時間、範圍及其他協定中重要的約定;
(二) 評估的總體框架、程式、主要方法及主要評估人員介紹;
(三) 不同評估內容風險權重的確定標準,風險等級的計算方法,以及風險等級的定義;
(四) 評估內容與評估活動描述;
(五) 評估結論;
(六) 對被評估機構電子銀行安全管理的建議;
(七) 其他需要說明的問題;
(八) 主要術語定義和所採用的國際或國內標準介紹(可作為附屬檔案);
(九) 評估工作流程記錄表(可作為附屬檔案);
(十) 評估機構參加評估人員名單(可作為附屬檔案)。
在評估結論中,評估機構應採用量化的辦法表明被評估機構電子銀行的風險等級,說明被評估機構電子銀行安全管理中存在的主要問題與隱患,並提出整改建議。
第三十七條 評估報告完成並提交委託機構後,如需修改,應將修改的原因、依據和修改意見作為附屬檔案附在原報告之後,不得直接修改原報告。
第四章 安全評估活動的管理
第三十八條 金融機構在申請開辦電子銀行業務時,應當按照有關規定對完成測試的電子銀行系統進行安全評估。
第三十九條 金融機構開辦電子銀行業務後,有下列情形之一的,應立即組織安全評估:
(一) 由於安全漏洞導致系統被攻擊癱瘓,修復運行的;
(二) 電子銀行系統進行重大更新或升級後,出現系統意外停機12小時以上的;
(三) 電子銀行關鍵設備與設施更換後,出現重大事故修復後仍不能保持連續不間斷運行的;
(四) 基於電子銀行安全管理需要立即評估的。
第四十條 金融機構對電子銀行外部安全評估機構的選聘,應由金融機構的董事會或高級管理層負責。
第四十一條 已實現數據集中管理的銀行業金融機構,其分支機構開展電子銀行業務不需單獨進行安全評估,在總行(公司)的電子銀行安全評估中應包含對其分支機構電子銀行安全管理狀況的評估。
第四十二條 未實現數據集中管理的銀行業金融機構,其分支機構開展電子銀行業務且擁有獨立的業務處理設備與系統的,分支機構的電子銀行系統應在總行(公司)的統一管理和指導下,按照有關規定進行安全評估。
第四十三條 電子銀行主要業務處理系統設定在境外的外資金融機構,其境外總行(公司)已經進行了安全評估且符合本指引有關規定的,其境內分支機構開展電子銀行業務不需單獨進行安全評估,但應按照本指引的有關要求,向監管部門報送安全評估報告。
第四十四條 電子銀行主要業務處理系統設定在境內的外資金融機構,或者雖設定在境外但其境外總行(公司)未進行安全評估或安全評估不符合本指引有關規定的,應按規定開展電子銀行安全評估工作。
第四十五條 電子銀行安全評估工作,確需由多個評估機構共同承擔或實施時,金融機構應確定一個主要的評估機構協調總體評估工作,負責總體評估報告的編制。
金融機構將電子銀行系統委託給不同的評估機構進行安全評估,應當明確每個評估機構安全評估的範圍,並保證全面覆蓋了應評估的事項,沒有遺漏。
第四十六條 金融機構應在簽署評估協定後兩周內,將評估機構簡介、擬採用的評估方案和評估步驟等,報送中國銀監會。
第四十七條 中國銀監會根據監管工作的需要,可派員參加金融機構電子銀行安全評估工作,但不作為正式評估人員,不提供評估意見。
第四十八條 評估機構應本著客觀、公正、真實和自主的原則,開展評估活動,並嚴格保守在評估過程中獲悉的商業機密。
第四十九條 在評估過程中,委託機構和評估機構之間應建立信息保密工作機制:
(一) 評估過程中,調閱相關資料、複製相關檔案或數據等,都應建立登記、簽字制度;
(二) 調閱的檔案資料應在指定的場所閱讀,不得帶出指定場所;
(三) 複製的檔案或數據一般也不應帶出工作場所,如確需帶出的,必須詳細登記帶出檔案或數據名稱、數量、帶出原因、檔案與數據的最終處理方式、責任人等,並由相關負責人簽字確認;
(四) 評估過程中廢棄的檔案、材料和不再使用的數據,應立即予以銷毀或刪除;
(五) 評估工作結束後,雙方應就有關機密數據、資料等的交接情況簽署說明。
第五十條 金融機構在收到評估機構評估報告的1個月內,應將評估報告報送中國銀監會。
金融機構報送評估報告時,可對評估報告中的有關問題作必要的說明。
第五十一條 未經監管部門批准,電子銀行安全評估報告不得作為廣告宣傳資料使用,也不得提供給除監管部門以外的第三方機構。
第五十二條 對未按有關要求進行的安全評估,或者評估程式、方法和評估報告存在重要缺陷的安全評估,中國銀監會可以要求金融機構進行重新評估。
第五十三條 中國銀監會根據監管工作的需要,可以自己組織或委託評估機構對金融機構的電子銀行系統進行安全評估,金融機構應予以配合。
第五十四條 中國銀監會根據監管工作的需要,可直接向評估機構了解其評估的方法、範圍和程式等。
第五十五條 對於評估報告中所反映出的問題,金融機構應採取有效的措施加以糾正。
第五章 附則
第五十六條 本指引由中國銀監會負責解釋。
第五十七條 本指引自2006年3月1日起施行。