1、電子銀行安全評估指引電子銀行安全評估指引第一章總則第一條為促進電子銀行業務的健康發展，保證電子銀行業務安全性評估的客觀性、及時性、全面性和有效性，依據中華人民共和國銀行業監督管理法、中華人民共和國金融機構法等法律法規和電子銀行業務管理辦法等監管規章，制定本指引。笫二條電子銀行的安全評估，是指對開展電子銀行業務的金融機構在電子銀行管理過程中的電子銀行安全策略、內控制度、系統安全、客戶保護等方面，進行的安全測試和風險管理能力等的綜合安全考察與評價。笫三條在中華人民共和國境內開展電子銀行業務的金融機構以及利用境內的電子銀行系統向境外提供電子銀行服務的金融機構，都應定期對電子銀行安全進行評估。第四條開

2、展電子銀行業務的金融機構可以利用外部專業化的評估機構對電子銀行安全進行評估，也可以利用內部獨立于電子銀行業務運營管理部門的評估部門進行電子銀行安全評估。第五條金融機構的電子銀行安全評估工作應納入金融機構風險管理的總體1 / 22電子銀行安全評估指引框架，由金融機構的風險管理委員會或相關機構直接負責。第六條金融機構的電子銀行安全評估應接受中國銀行業監督管理委員會（以下簡稱中國銀監會）的監督指導。第二章安全評估機構# / 22電子銀行安全評估指引笫七條承擔金融機構電子銀行安全評估工作的機構，可以是外部專業化服務機構，也可以是金融機構內部具備相應條件的相對獨立部門。第八條外部機構從事電子銀行安全評估

3、，應具備以下條件：（-）具有較為完善的開展電子銀行安全評估業務的管理制度和操作規程；（二）制定了系統全面的內部評估手冊或評估指導文件，內容應至少包括評估程序、評估方法和依據、評估標準等；（三）擁有與電子銀行安全評估相關的各類專業人才，了解國際和中國相關行業的行業標準；（四）其他從事電子銀行安全評估應當具備的條件。第九條金融機構內部部門從事電子銀行安全評估，除應具備第八條規定的有關條件外，還應具備以下條件：（一）從事電子銀行安全評估的部門必須獨立于電子銀行業務系統開發部門和運營部門；（二）從事電子銀行安全評估的部門未直接參與過有關電子銀行設備的選購工作。笫十條中國銀監會負責電子銀行安全評估機構資

4、格認定工作。電子銀行安全評估機構資格認定工作，每年組織一次。電子銀行安全評估機構在從事金融機構電子銀行安全評估業務之前，應向中國銀監會申請對其資格進行認定。第十一條3 / 22電子銀行安全評估指引申請資格認定的電子銀行評估機構，應在中國銀監會公告的時限內提交以下材料（一式七份）：（-）電子銀行安全評估資格認定申請報告；（二）機構介紹；（三）安全評估業務管理框架、管理制度、操作規程等；（四）評估手冊或評估指導文件；（五）主要評估人員簡歷；（六）中國銀監會要求提供的其他文件和資料。第十二條中國銀監會收到安全評估機構資格認定的完整材料后三個月內，組織有關專家和監管人員對申請材料進行評議，采用投票的辦

5、法決定電子銀行安全評估機構是否達到了有關資質要求。第十三條中國銀監會對評估機構資質評議后，出具電子銀行安全評估機構資格認定意見書，載明評議意見，對評估機構的資格作出認定。第十四條中國銀監會出具的電子銀行安全評估機構資格認定意見書，僅供評估機構與開展電子銀行業務的金融機構商恰有關電子銀行評估業務時使用，不影響評估機構開展其他經營活動。評估機構不得將電子銀行安全評估機構資格認定意見書用于宣傳或其他活動。第十五條經中國銀監會評議并被認為達到有關資質要求的評估機構，每次資格認定的有效期為兩年。經評議未達到認定資格的，評估機構可在下一年度重新申請資格認定。4 / 22電子銀行安全評估指引第十六條在有效期

6、內，電子銀行安全評估機構如果出現下列情況，中國銀監會將撤銷已做出的評議和認定意見：（-）評估機構管理不善，其工作人員泄露被評估機構秘密的；（二）評估工作質量低下，評估活動出現重要遺漏的；（三）未按要求提交評估報告，或評估報告中存在不實表述的；（四）將電子銀行安全評估機構資格認定意見書用于宣傳和其他經營活動的；（五）存在其他嚴重不盡職行為的。第十七條評估機構有下列行為之一的，中國銀監會將在一定期限或無限期不承接評估機構的資格認定請求，銀行業金融機構不應再委托該評估機構進行安全評估：（一）與委托機構合謀，共同隱瞞在安全評估過程中發現的安全漏洞，未按要求寫入評估報告；（二）在評估過程中弄虛作假，編造

7、安全評估報告；（三）泄漏銀行機密信息，或不當使用銀行機密資料；銀行業金融機構內部評估機構出現以上情況之一的，中國銀監會將按照有關法律法規和行政規章的規定，對相關責任人進行處罰。第十八條中國銀監會認可的電子銀行安全評估機構，以及有關資格認定撤銷決定等信息，僅向開展電子銀行業務的各金融機構通報，不向社會公布。笫十九條5 / 22電子銀行安全評估指引笫二十五條電子銀行安全評估至少應包括以下內容:金融機構不得向第三方泄露中國銀監會的有關通報信息，影響外部機構的其他業務活動，也不得將有關信息用于與電子銀行安全評估活動無關的其他業務活動。第二十條開展電子銀行業務的金融機構可以在中國銀監會認可的評估機構范圍

8、內，自主選擇安全評估機構，簽訂書面服務協議。金融機構選擇內部部門作為評估機構時.，應由電子銀行運營部門與評估部門簽訂評估責任確定書。笫二十一條金融機構與評估機構簽訂的服務協議中，必須含有明確的保密條款和保密責任。第二十二條安全評估機構應根據評估協議的規定，認真履行評估職責，真實評估被評估機構電子銀行運營的安全狀況。第三章安全評估的實施第二十三條評估機構在開始電子銀行安全評估之前，應就評估的范圍、重點、時間與要求等問題，與被評估機構進行充分的溝通，制定評估計劃，由雙方簽字認可。第二十四條依據評估計劃，評估機構進場對委托機構的電子銀行安全進行評估。電子銀行安全評估應真實、全面地評價電子銀行系統的安

9、全性。（-）安全策略；（二）內控制度建設；（三）風險管理狀況；（四）系統安全性；6 / 22電子銀行安全評估指引（五）電子銀行業務運行連續性計劃；（六）電子銀行業務運行應急計劃；（七）電子銀行風險預警體系；（八）其他重要安全環節和機制。第二十六條電子銀行安全策略的評估，至少應包括以下內容：（-）安全策略制定的流程與合理性；（二）系統設計與開發的安全策略：（三）系統測試與驗收的安全策略：（四）系統運行與維護的安全策略：（五）系統備份與應急相關策略。評估機構對金融機構安全策略的評估，不僅要評估安全戰略、規章制度和程序是否存在，還要評估這些制度是否能得到貫徹執行，是否能做到及時更新，是否能全面覆蓋電

10、子銀行業務系統。第二十七條電子銀行內控制度的評估，應至少包括以下內容：6 / 22電子銀行安全評估指引（-）高級管理層對電子銀行安全的認知能力與水平；（二）安全監控機制的建設與運行；（三）內部審計制度的建設與運行。第二十八條電子銀行風險管理狀況的評估，應至少包括以下內容:（-）電子銀行管理機構設置的合理性與其他部門的協調性；（二）電子銀行管理部門主要負責人對電子銀行的熟知程度；（三）管理人員配備與培訓情況；7 / 22電子銀行安全評估指引（四）電子銀行風險管理的規章制度與操作規定、程序等；（五）電子銀行業務風險管理狀況；（六）業務外包管理制度建設與管理狀況。第二十九條電子銀行系統安全性的評估，

11、應至少包括以下內容：（-）物理安全；（二）數據通訊安全；（三）應用系統安全；（四）密鑰管理；（五）客戶信息認證與保密；（六）入侵監測機制和報告反應機制。評估機構應突出對數據通訊安全和應用系統安全的評估，客觀評價金融機構是否采用了合適的加密技術、合理設計和配置了服務器和防火墻，銀行內部運作系統和數據庫是否安全等，以及金融機構是否制定了控制和管理修改電子銀行系統的制度和控制程序，并能保證各種修改得到及時測試和審核。第三十條電子銀行業務運行連續性計劃，應至少包括以下內容:（-）電子銀行保障業務連續運營的設備和系統能力；（二）保證業務連續運營的制度安排和執行情況；第三十一條電子銀行業務運行應急計劃，應

12、至少包括以下內容:（-）電子銀行應急制度建設和執行情況；（二）電子銀行應急系統建設；（三）定期、持續性的檢測和演練情況；8 / 22電子銀行安全評估指引（四）應對意外事故或非法攻擊的能力。第三十二條評估機構進行安全評估的方式，包括審核有關資料、與相關人員談話等，但在電子銀行安全性評估時，必須采取至少一種方法對系統進行測試。第三十三條評估機構在進行安全評估時，應根據委托機構的實際情況，確定不同評估內容對電子銀行總體風險影響程度的權重，對每項評估內容進行評分，綜合計算出所評估機構電子銀行的風險等級。第三十四條評估完成后，評估機構應及時撰寫評估報告，并于評估完成后一個月內向委托機構提交由其法定代表人

13、簽字認可的評估報告。第三十五條評估報告應至少包括以下內容：（-）評估的時間、范圍及其他協議中重要的約定；（二）評估的總體框架、程序、主要方法及主要評估人員介紹；（三）不同評估內容風險權重的確定標準，風險等級的計算方法，以及風險等級的定義；（四）評估內容與評估活動描述；（五）評估結論；（六）其他需要說明的問題；（七）主要術語定義和所采用的國際或國內標準介紹（可作為附件）;（八）評估工作流程記錄表（可作為附件）；（九）參加評估人員名單（可作為附件）。9 / 22電子銀行安全評估指引在評估結論中，評估機構應采用量化的辦法，表明被評估機構電子銀行的風險等級，并說明被評估機構電子銀行安全管理中存在的主要

14、問題與隱患，并說明整改建議。第三十六條評估報告完成并提交委托機構后，如需修改，應將修改的原因、依據和修改意見作為附件附在原報告之后，不得直接修改原報告。笫四章安全評估活動的管理第三十七條金融機構在申請開辦電子銀行業務時.，應當按照有關規定對完成測試的電子銀行進行安全評估。第三十八條金融機構獲準開辦電子銀行業務后，應當至少每年對電子銀行進行一次安全評估。有下列情形之一的，應立即組織安全評估：（一）由于安全漏洞導致系統被攻擊癱瘓，修復完善的；（二）電子銀行系統進行重大的更新和升級的；（三）電子銀行的基礎設施出現重大改變的；（四）基于電子銀行安全管理需要應即時評估的。第三十九條評估機構的選擇應由金融

15、機構的高級管理層最終確定。評估機構確定后，金融機構必須與評估機構簽定評估協議，明確界定評估的任務、雙方的權利和義務。評估協議應由金融機構的高級管理層簽署。笫四十條10 / 22電子銀行安全評估指引金融機構原則上只能確定一個評估機構進行評估，若有多個評估機構參與評估，金融機構必須確定一個主要的評估機構協調總體評估工作，負責總體評估報告的制作。金融機構將電子銀行的不同系統委托給不同的評估機構進行安全評估，應當明確每個評估機構的安全評估范圍，保證不同的評估范圍之間沒有遺漏。第四十一條金融機構應在簽署評估協議后2周內，將評估機構簡介、擬采用的評估方案和評估步驟等，報送中國銀監會。笫四十二條中國銀監會根

16、據監管工作的需要，可派員參加金融機構電子銀行安全評估工作，但不作為正式評估人員，不提供評估意見。第四十三條評估機構應本著客觀、公正、真實和自主的原則，開展評估活動,并嚴格保守在評估過程中獲悉的商業機密。第四十四條在評估過程中，委托機構和評估機構之間應建立信息保密工作機制。（一）評估過程中，調閱相關資料、復制相關文件或數據等，都應建立登記、簽字制度；（二）調閱的文件資料應在指定的場所閱讀，不能復印，不得帶出指定場所;（三）復制的文件或數據不應帶出工作場地，如確需帶出的，必須詳細登記帶出數據的原因、時間、責任人等；（四）評估過程中廢棄的文件、材料和不再使用的數據，應立即予以銷毀或刪除；11/22電子銀行安全評估指引（五）評估工作結束后，雙方應就有關機密數據、資料等的交接情況簽署說明。第四十五條金融機構在收到評估機構的評估報告一個月內，應將評估報告抄報中國銀監會。金融機構報送評估報告時，可對評估報告中的有關問題作必要的說明。笫四十六條未經監管部門批準，電子銀行安全評估報告不得作為廣告宣傳資料使用，也不得提供給除監管部門以外的笫三方機構。第四