1、目錄一、引言與調研背景二、調研成果摘要1、監管2、監管概要3、監管差異三、調研成果分析1. 組織與策略2. 系統管理3. 系統安全4. 客戶保護35567121216192732353839414454595.評估6.報批報備三、應對之道1、方法論2、管理流程3、4、業務術安全附件 監管條例匯總本討論資料中所包含之內容屬內容，雙方正式允諾，交予不得部分或全部，不得使用于目的，不得以任何第或與任何第討論其中之內容。一、 引言與調研背景為進一步拓展海外業務，提升全球金融服務水平，中國（以下簡調研背景稱“中行”或“貴行”）正研究推進海外系統整合系統集中管理。的與實施工作，實現全球業務然而，面對全球不

2、同和地區紛繁復雜的金融IT監管形勢，貴行須及早開展海外IT監管 要求的深入梳理和適應性分析工作，及時調整系統架構和運維管理模式，以提升全球一體化信息科技服務能力。（中國）企業咨詢（以下簡稱“”或“我們”）受貴行委托，對已經開和地區的業IT監管要求進行整理、匯總和設或即將開設海外分行的全球三十多個分析，并結合貴行系統開發工作進展情況和現有運維管理模式，提出適應監管要求的應對之道，以幫助貴行完成IT監管合規的可行性論證。為了順應貴行的推廣計劃，同時前瞻性地考慮監管要求對系統建設和運維所帶來的影響，采取業監管調研報告系列的模式，以根據IT監管的重點區域出具專題報告的形式，為貴行展示我們對IT監管合規

3、的調研和分析成果，以及為貴行提供應對監管要求所取的措施。我們的調研方法包括：調研方法與全球我們與的業服務團隊合作：在全球的金融業領域擁有深厚的專業，的業務IT監管現狀，并獲全球的業服務團隊合作，了解對應取相應IT監管要求；與全球的金融監管機構接觸和：通過監管機構的、通知或有關金融業的IT監管要求；中國金融業服務團隊在中國擁有眾多的直接與其的方式，獲取全球主要與客戶中國金融業服務團隊合作：業以及合規類項目經驗，通過與其合作，獲取部分的IT監管要求的成果。監管機構 監管機構名稱 監管條例 監管環境初步分析調研團隊中國金融業服務團隊全球3業監管調研報告系列：電子安全保護專題報告本專題所指的電子是指商

4、業等業金融機構利用面向公眾開放的通訊通道網絡，向客戶提供的調研范圍或開放型公眾網絡，以及為特定自助服務設施或客戶建立的服務。調研的監管范圍是與電子安全保護最相關的監管要求。電子業務包括利用計算機和互聯網開展的業務（以下簡稱網上業務），利用等聲訊設備和電信網絡開展的業務（以下簡稱業務），利用移動和無線網絡開展的業務（以下簡稱業務），以及其他利用電子服務設備和網絡，業務。由客戶通過自助服務方式完成金融的本期專題調研報告關注全部范圍內的主要和地區的業與電子安全保護最相關的IT監管要求進行了調研，覆蓋了貴行已開設分支機構的34個及地區，如下圖所示：俄羅斯英國荷蘭德國愛爾蘭比利時 盧森堡斯坦匈牙利法國意

5、大利美國韓國巴林阿聯酋老撾越南柬埔寨開曼群島菲律賓巴拿馬新加坡尼西亞巴西贊比亞秘魯南非澳大利亞美洲地區非洲地區和亞太地區 中國（） 中國（英國） 中國 中國（） 分行 紐約分行 開曼分行 巴拿馬分行 中銀愛爾蘭 法蘭克福分行 巴黎分行 中銀國際（新加坡） 東京分行 中國（巴西） 中國（）中國 秘魯分行分行 首爾分行 匈牙利中國 中國（澳大利亞） 中國 中國 中國（盧森堡）（盧森堡）（盧森堡） 曼谷分行 胡志明市分行 馬尼拉分行 金邊分行分行布魯塞爾分行 俄羅斯中國 迪拜代表處 巴林代表處 贊比亞中國 約翰內斯堡分行中國 雅加達分行4業監管調研報告系列：電子安全保護專題報告二、 調研成果概要在本

6、次調研過程中，我們基于全部范圍各個主要或地區的金融監度，就與電子銀監管行安全保護最直接相關的監管要求進行調研。我們發現，近年來海外金融監管機構對電子的監管呈現出以下趨勢：緊跟風險變化趨勢，積極拓寬監管領域：層出不窮的新技術，方便了電子業務的開展，也帶來了新的威脅與風險。同時，電子業務的法律糾紛日益增多，在一定程度上影響著的聲譽。海外監管機構要求更具前瞻性的對電子的新型威脅進行主動防御，并注重對法律與聲譽風險的管理。不斷細化監度，加強對高風險領域的監管力度：海外監管機構在原有監度的基礎上，對重點領域的監管要求進行進一步的細化，使得能夠更加明確地開展合規工作。例如：各國對更加嚴格。認證、數據加密與

7、客戶保護等方面的要求越來越詳細，也豐富監管，深入持續地監管電子風險：越來越多的海外監管機構發布了電子業務準入規定，并要求電子業務的多個領域進行的安全評估，的目的。同時還要求就電子的事項進行報告，以達到深入持續拓寬新興監管領域加強對高風險領域的監管豐富監管5業監管調研報告系列：電子安全保護專題報告 建立電子 業務準入門檻，保證電子銀行的基本安全要求 要求 電子銀行業務進行定期的安全評估，及時識別業務風險 通過現場檢查、非現場檢查、監管報告等方式對電子 業務進行持續性監管 加強電子 客戶端的安全保護，對使用的 認證技術和加密技術進行更加嚴格詳細的要求 將業務信息向客戶進行必要的披露，并強化對客戶的

8、安全教育 加強對異常 的監控，建立完善的信息保存機制，為交易糾紛提供法律依據 對通過移動終端（手機、平板電腦等）進行的電子 業務實施有效保護 采用主動防御技術 （如防范鍵盤技 術、計算MAC、網絡檢測等）防 范行為 注重法律與聲譽風險 管理，建立、糾紛處理及機制通過對全部范圍或地區內電子相關監度的調研，我們發現共有21個或地電保監管概要區發布了專門的電子監度，或在已發布的一般信息科技監度中納入了子的監管要求。我們按照以下幾個領域歸納總結出了海外金融監管機構對電子護的要求：組織與策略：相比傳統業務，海外監管機構對電子的管理架構與管理策略提出了更具性的要求。包括組織架構的設置與職責的明確，業務策略

9、與風險管理策略的建立與完善，以及電子IT外包管理等要求。系統管理：電子業務的開展極其依的安全運行。為保障電子業務的持續有效運營，海外監管機構從管理流程的角度對電子理、應急管理及業務連續性管理進行規范。的性能與容量管理、日志管系統安全：電子業務更加依賴于公共網絡，并且提供了多樣化的自助服務，這增加了電子系統的未及的風險。因此，海外監管機構從系統的主機與終端、應用程序、發布了大量電子術的要求，對電子數據、網絡進行保護。客戶保護：電子業務通常都是客戶自助完成，對電子風險的力往往不及傳統業務。為此海外監管機構發布了大量關于客戶保護的監管要求，包括：客戶隱私保護、客戶披露事項、客戶安全教育、以及信息保存

10、。評估：電子監管機構發布了業務相對較高的風險引起了海外監管機構的格外重視，眾多海外電子業務和電子系統的評估或審計要求。旨在使銀行更加有效的識別、評估及應對電子業務風險。報批報備：海外監管機構對電子報批報備的要求比傳統業務更加嚴格，電子的報批報備頻率更高、內容也更加詳細。需要說明的是，由于電子業務是眾多業務中一種特殊的業務，因此既需要遵守本專題中所述的電子系有的IT監管要求，還需要遵守所有IT系統共有的一般性監管要求。關于共性的監管要求，可參見出具的業監管調研報告系列中的專題和其他重點領域專題報告。組織與策略系統管理系統安全電子安全保護客戶保護評估報批報備6業監管調研報告系列：電子安全保護專題報

11、告我們根據海外監管機構的監管要求，從監管廣度（即監管要求所覆蓋領域的數量）與監管監管差異深度（即對某個或某幾個領域的監管力度）兩方面對各個級。和地區的監管水平進行了分我們發現，各個或地區的監管廣度與監管強度之間存在著一定的正相關性，即監管較全面的對各領域的監管往往較為具體詳細。海外或地區電子監管強度分布高監管深度低低監管廣度高7業監管調研報告系列：電子安全保護專題報告德國澳大利亞新加坡美國巴拿馬越南韓國比利時匈牙利阿聯酋 開曼群島尼西波蘭瑞典菲律賓亞各個或地區的監管機構對電子的監管有著不同的側重點，其中既包括美國、監管差異等對電子領域對電子的各個方面進行全面監管的和地區，也包括澳大利亞、德國在

12、某一特定進行深入監管的。我們對各個或地區的監管覆蓋范圍和重點監管領域進行了歸納總結，并制作了差異表格，對各國的監管差異進行對比。及亞太地區監管差異分析表注：表中“”表示該的監管重點。或地區對電子的監管已覆蓋到對應的領域，“重點監管”表示對應領域屬于該或地區8業監管調研報告系列：電子安全保護專題報告監管領域新加坡馬來西亞越南菲律賓澳大利亞韓國阿聯酋組織與策略組織架構業務策略風險管理策略重點監管重點監管重點監管外包管理重點監管重點監管系統管理性能與容量管理日志管理應急管理重點監管業務連續性管理系統安全主機與終端安全應用安全重點監管重點監管重點監管認證與權限管理重點監管重點監管重點監管重點監管數據安

13、全重點監管重點監管重點監管重點監管重點監管亞太地區的多個和地區都發布了專門的電子監度，對電子的監管強度普監管差異遍較高。亞太地區在運維方面的監管重點為主機與終端安全、應用安全、認證與權限管理、數據安全和求，確保電子等風險較高的領域，各國在這些領域制定了非常具體的技術要系統的運維安全。同時，亞太十分注重對客戶隱私保護、客戶披露事項、客戶教育等客戶保護領域的監管。目前，東南亞地區（包括中國客戶保護的監管已處于世界領先地位。、中國）對電子及亞太地區監管差異分析表9業監管調研報告系列：電子安全保護專題報告監管領域新加坡馬來西亞越南菲律賓澳大利亞韓國阿聯酋客戶保護客戶隱私保護重點監管客戶披露事項重點監管

14、重點監管客戶教育重點監管重點監管重點監管重點監管信息保存重點監管重點監管重點監管評估評估重點監管重點監管報批報備報告報批重點監管重點監管美洲地區的美國和巴拿馬已發布了專門的電子監度，對電子開展較為全面的監管差異監管。而歐非地區的多數則傾向于將電子納入到傳統業的監管體系中，未發發布的電子商務相關監布專門的電子監管要求，但德國、波蘭、匈牙利、瑞典等度已覆蓋了電子監管的部分內容。美洲及歐非地區監管差異分析表10業監管調研報告系列：電子安全保護專題報告監管領域美國巴拿馬開曼群島德國匈牙利比利時瑞典波蘭組織與策略組織架構業務策略重點監管風險管理策略外包管理重點監管重點監管系統管理性能與容量管理日志管理應

15、急管理業務連續性管理系統安全主機與終端安全應用安全重點監管重點監管認證與權限管理重點監管重點監管數據安全重點監管監管差異美洲及歐非地區監管差異分析表11業監管調研報告系列：電子安全保護專題報告監管領域美國巴拿馬開曼群島德國匈牙利比利時瑞典波蘭客戶保護客戶隱私保護客戶披露事項客戶教育信息保存重點監管重點監管評估與報告評估重點監管報批報備報告報批三、 調研成果分析良好的組織管理架構與業務策略可以使電子業務更加穩定、高效地開展，也能夠有效組織與策略降低業務風險。眾多海外監管機構對電子的組織架構、安全策略以及風險管理策略制定了明確具體的要求。同時，海外監管機構格外重視電子業務中的外包管理，電子的外包管

16、理進行了嚴格的規范。通過調研全部范圍內的和地區的金融監度，我們歸納總結出對于組織與策略的一般性原則，以及不同和地區對組織與策略的特殊性要求。一般性原則組織架構在設計IT組織架構時應考慮組織架構和電子系統的運營架構，IT組織應明確電子系統中的使用責任，以及員工的能力和職責。系統運營架構包括開發、部署、變更和系統應用行組織管理。的組織。可考慮使用流程和功能描述或者組織手冊等形式進保電子處理，電子操作系統、數據庫和應用程序管理，以及電子系統開發和維護過程中的職責分離。設立事故應變小組，以按照事故相關程序作出回應。該小組應被賦予適當的權利并應受過充足的訓練，能使用定去采取的適當行動。檢測系統，審計的相

17、關數據的重要性及決業務策略 制定電子理機制。的業務戰略，作為整體業務戰略的一部分。建立有效的電子服務管合規應該確保對電子系統采取了適當的措施，來落實相關合規問題。的安全理念應與IT戰略及IT組織相一致，并包括電子商務風險的評估。應建立電子運營管理流程。風險管理策略在提供新的電子業務或時，董事會及高級管理層信已對風險概況、經營策略、成本、效益進行分析，并能勝任管理此新開業務所帶來的風險。在決定是否將電子業務進行外包時，應對外包活動做風險評估。需要建立和維護詳細的部威脅等及時調整和更新該體系，并根據技術變更、體系，該體系應包括：敏感性、內外Ø 識別和評估網上的與服務的風險；Ø

18、定義降低風險的措施，包括適當的認證強度；Ø 檢查評估客戶意識的有效性。12業監管調研報告系列：電子安全保護專題報告一般性原則組織與策略風險管理策略 明確電子風險偏好并確保電子風險管理流程與整體風險管理實踐的一致性；定期審閱現有政策及流程；確保上述政策與流程能夠覆蓋電子業務的新型風或服務的保供應商采險；識別電子服務的風險因素，并采取風險措施確保電子安全性、完整性和可用性，若將關鍵系統或應用外包給第，取了與類似的保護措施。應建立適當的安全程序，包括：建立認證和機制，對內部和外部用戶行為、和數據真實性等進行安全，保留所有電子的審計軌跡，敏感數據應實施適當的措施，應時刻警惕并電子系統受到的，

19、對員工進行科技和相關安全的培訓，并對所有用戶進行安全意識培訓。應向所有電子相關廣泛傳達電子安全保護的相關信息，使相關電子的潛在風險，利用適當的安全教育材料，在內培養。高級管理層保建立了電子安全政策及流程。監事會和董事必須對電子活動的風險實施有效監督。應當跨境電子服務實施適當的風險管理措施。外包與第管理應當確保雇傭的外部供應商的勝任能力，保證其能夠滿足的安全需求。供應商的安全控應電子外包制定適當的策略，至少包括職責分離和制。特殊性要求組織架構：要求董事會（或常務董事會）及高管層成立專職或指定專人，建立有效風險管理制度，包括風險管理政策及風險控管程序，以有效管理電子業務風險。業務策略：尼西亞要求：

20、必須在商業計劃中包含新增電子的計劃。的安全性，包括：服務不能用于大額或高ü對于電子服務，必須確保ü所有語音交互式會話，使用可靠安全的認證，使用PIN和風險、必須。13業監管調研報告系列：電子安全保護專題報告特殊性要求組織與策略業務策略要求制定妥善的管控措施，以管理法律及信譽風險，包括妥善的電子章條款，在電子或其他有關文件上列載資料披露及免責，以符合法律規定，如個人資料條例及海外地區的保障消費者條例，并考慮是否需要就剩余法律風險適當的保險。美國要求：建立電子的戰略計劃：1.應根據客戶的需求和風險評估提供不同等級的電子銀ü行服務；2.電子計劃董事會審批，考慮到用戶需求

21、、競爭、專業化、實施費用、維護費用及資金支持；3.金融機構應定期審閱一致。，確保其與業務戰略保持在制定電子業務的提供或擴張業務的計劃時，應考慮技術風險。及服務的監管策略時應考慮：1.管理層審閱、審批和科技ü制定對電子相關的電子應商；3.電子ü項目；2.關鍵電子和服務的安全、恢復性和第供的技術和與業務戰略目標和市場需求相一致；4.高級管理層對計劃的執行情況定期審閱；5.對高風險的活動建立流程；6.具有足夠能力評估、選擇和實施電子的技術。巴拿馬要求ü 在提供電子：服務時，必須確保每條的真實性、完整性和性，必須避免拒絕任何已經同意的有效，及必須確份驗證及的職責分離。必須

22、確保至少滿號碼；b.種類1客戶在接入設備時為了達到此目的，足以下安全措施：a.用移動支付。于移動支付，必須自動且清晰獲取識別客戶的移動必須至少具有4位字符；c.提供必要的措施，以防止所提供的識別和認證信息；d.客戶敏感時實施補償性。客戶通過電子保對電子服務執行時應提供確認。ü使用了適當的內部，特別是網上相關的操作，如：ü1.，修改或關閉；2.金融結果；3.批準客戶超出預先已設定的權限；4.批。準，修改或撤銷系統權限或風險管理策略： 越南要求根據業和性的自身制定的信息系統安全性和性的制定性網上系統安全性和，且必須每年對其網上系統安全性和進行檢查和修訂。 新加坡要求參照網上銀系

23、統的安全措使用無線網絡的電子系統（如）使用類似的保護方法，并對移動網絡服務進行風險評估，識別可能出現的詐騙場景并采取相應的防控措施防止詐騙的發生。14業監管調研報告系列：電子安全保護專題報告特殊性要求組織與策略外包與第管理要求，機制及數據電子機制應符合業務外包或委托第本身的標準。服務事項制定的風險管理、德國要求：ü 當電子系統的備份和外部流程委托于第時，必須通過額外的內部，以及與外包商簽訂明確的正式合同和服務水平協議等，確保對于外包供應商的備份和外部流程是適當的并被有效執行。ü 董事會及高級管理層應建立全面持續嚴謹的監督程序，以管理由外包商所負責的電子業務。尼西亞要求如果電

24、子系統的部分運維任務委托給第，必須制定和實施流程和盡職，并持續管理與第的關系。要求，分行的服務供應商定期提交或的報告，以使跟蹤其服務易活動情況、表現、安全隱患及財務狀況。具體應包括但不限于：服務的可用服務效率（如應答時間）、安全事故、供應商財務穩定性保證材料、質量及安全保證材料。越南要求人信息的服務供應商必須在服務合同中明確對使用網上服務的客戶個，收集、使用的方式，且出售或披露。要求越南要求要求對于電子業務外包或第服務事項建立一套適當的緊急應變計劃。的外包供應商制定并提交對被外包業務中斷時的處理步驟。應從有信譽的，業內公認的技術水平較為先進的供應商處采購及路由器設備，確保與路由器設備可應對新型

25、網絡威脅。且在挑選檢測系統時，應考慮有關能否提供所需的數據以偵測可能的情況，以及供貨商能否適時提供最新的特征。15業監管調研報告系列：電子安全保護專題報告電子業務的開展極其依賴IT系統，IT運營是電子日常管理活動中工作量最大、安系統管理全需求最高的環節。因此I建立有效的T系統安全管理管理是電子基礎。業務順利開展的重要在對全部范圍內歐盟以及美國、和地區金融監、巴拿馬等度調研時，我們發現亞太的絕大部分和地區、或地區，對電子的系統管理流程做了較為具體的規定，涉及范圍包括：性能與容量管理、日志管理、應急管理、業務連續性管理等領域。一般性原則性能與容量管理應根據電子商務市場動態及客戶接受程度，來分析電子

26、系統所需容量及將來規模，并為電子及容量。基礎架構設備和電子系統建立冗余配備，保證傳輸性能日志管理應當應當和維護所有電子的日志。電子活動保留清楚的審計軌跡，下列電子尤為適用：1. 客戶賬戶的開立、修改和取消2. 任何有財務結果的3. 任何容許客戶超出限額的4.任何系統或的授予、修改和取消應急管理 建立正式的管理流計劃，及告和處理已發生的或潛在的安全。業務連續性管理重要的電子試。業務處理程序及傳輸系統建立災備及業務恢復計劃并定期對其進16業監管調研報告系列：電子安全保護專題報告特殊性要求系統管理日志管理規定，應將客戶在日志中，并網上系統中的金融。網驗證上系統的、賦予或取消亦應在日志中，包括系統更新

27、過程、系統配置操作、系統和使用設備的權限、事務處理和異常。越南要求，必須對網上系統的所有日志進行歸檔，保存期限為至少3年。至少每月對日志進行檢查，以監測和防范異常和的；。巴拿馬規定，日志應包括系統后的一年內獲得監管機構的及客戶及操作的說明。日期對日志進行維護。日志應至少包括以：Ø 電子，包括客戶，日期及時間Ø 詳細的貨幣操作，包括日期，時間，技術和類型（借方/信貸），數量，賬戶及目標賬戶，對電子及/或，日志的數據，以方便找到或試圖的根源Ø于網上需要通過網絡服務器進行收集，應至少包括方法ØGET/POST/HEAD)，統一標示符（URI）及參數的日期和時間

28、（timestamp）。系統的所有日志進行歸檔，保存期限為至少3年。至少越南要求，必須對網上每月對日志進行檢查，以監測和防范異常和的。性能與容量管理 德國要求通過測試及定期檢查等，估計電子系統的性能容量。業務連續性管理要求：電子業務連續性計劃遇有業務受干擾的情況，如何恢復或取代電子銀的程序。ü行處理能力及在有需要時重建電子的服務。業務連續性計劃應能處理依賴于外部服務供應商（如互聯網服務供應商）ü若關鍵電子服務的應變安排會利用其他服務傳送，要考慮到客戶的ü需求與期望，確保該服務傳送可向其客戶提供適當水平的持續服務。電子的互聯網基礎架構的關鍵部分應預留災備設備，以防止

29、單點故障造成整ü個網絡及基礎設施無法運行。17業監管調研報告系列：電子安全保護專題報告特殊性要求系統管理業務連續性管理 美國要求：ü 建立業務連續性計劃時應考慮：1.電子服務的業務影響分析，定義最低恢復目標和恢復時間目標；2.對關鍵的網絡組件建立冗余，避免單點失敗；3.維護電子銀行業務連續性計劃；4.業務中斷時的客戶性計劃；6.定期測試業務恢復能力。計劃；5.審閱的業務連續ü 業務連續性計劃應包括：1.定期審閱和更新電子連續性計劃；2.指定負責起草和管理電子恢復性計劃；3.充分分析并減輕關鍵網絡的任何單點失敗；4.恢復硬件、軟件、鏈和數據文件的策略；5.定期對外部

30、供應商或關鍵供應商的備份協議進試。應急管理規定，在發現或接獲有關電子應用程序的問題后，應按情況檢查有關程序的源代碼，確保有關問題得到適當處理。要求：建立電子件，例如業務風險管理及通報機制（影響經營及聲譽之緊急突發事風險管理現狀向董事會ü、外泄），定期或于必要及高級管理階層報告。緊急的發生應有明確的評估及認定機制，包括發生所帶來的、ü的重要性及服務中斷的信譽風險。聯機支持操作和定期分析客戶抱怨事項，以幫助確認現有機制之漏洞。系統失敗的事ü對于市場及大眾件，要建立適當的介質所關心的及聯絡策略。漏洞、及網絡ü重要的應設置緊急或服務中斷應建立緊急通報程序，通報主

31、管機關。ü處理小組，小組應經過充分專業訓練，以分析、解釋、處理ü相關結果的意義及重要性。應有明確的指揮體系，處理內部或外包業務的緊急，并適時通報董事會。ü對于重要電子業務中斷及業務恢復，應實時對外公告。ü應搜集及保留法律證據訟的佐證。，以協助電子緊急的追蹤檢查及提供法律訴ü18業監管調研報告系列：電子安全保護專題報告電子業務的開展極其依賴IT系統，IT運營是電子日常管理活動中工作量最大、安系統安全全需求最高的環節。務順利開展的重要保障。主機、終端、網絡、應用和數據所部署的術是電子業在對全部范圍內歐盟以及美國、和地區金融監、巴拿馬等度調研時，我們

32、發現亞太的絕大部分和地區、或地區，對電子的系統運營與系統安全管理做了全面的規定，涉及范圍包括：主機與終端安全、應用安全、認證與權限管理、數據安全、等領域。一般性原則應用安全應制定適當的安全保護措施，如進行代碼審閱，部署防軟件、網絡和檢測系統，以避免系統中出現代碼并防止電子系統受到或惡意（包括拒絕服務、中間人。、緩沖區溢出）的影響。此外，還取相應措施，防止電子應及時對電子相關設備及系統進行升級，包括應用系統、網絡系統、數據庫及、檢查設備，確保電子相關系統和設備更新至安全的版本。認證與權限管理取適當的措電子的服務器、網絡、數據庫和應用程序進行控制，防止對上述設備或系統的未問。，并確保系統對不相容職

33、責進行了適當的訪取適當的認證技術來保證用戶的是電子的或通過電子。同時采取適當的措電子客戶進行認證。客戶進行，必須要求客戶使用帶有客戶數字簽名的數字，以確保活動的不可抵賴性。此。多因素認證包括以外，還應對客戶進行多因素認證，以最大限度的防止未下要素：Ø 用戶所知（如、）Ø 用戶所有（如令牌、智能卡、ATM卡）Ø 用戶特征（如生物特征）Ø 用戶位置（如地理位置）當客戶完成高風險后，過第二（如）通知客戶本次交）。易。通知內容應包括類型、發款人的部分賬戶號碼、金額（19業監管調研報告系列：電子安全保護專題報告一般性原則系統安全數據安全對于在通過電子系統、傳輸、處

34、理、使用的敏感數據，應使用國際認可或經過合理測試的加密算法，保護數據的性。對于在網絡傳輸的敏感數據，用端到端加密，如行加密。此外，接層的使用。還應對客戶、加密其他加密代碼進性。還應定期審閱加密算法是否能夠保證數據的取適當的措施，保證與電子系統和傳輸中的、及其他信息的完整性、性、準確性、真實性和不可抵賴性。應建立密鑰管理流程，不應任何個人掌握密鑰生命周期的全部信息。過期、失效或已泄露的密鑰。鑰的生成應經過合理的。及時應建立管理流程，在內部網絡、外部網絡和互聯網之間實施足夠的安全措施， 如對內部網絡進行分段、應用多個在關鍵位置部署非軍事區、安裝IDS/IPS系統等。定期檢查上述設備或系統的安全策略

35、是否適應當前安全環境，及時修補相關漏洞。應根據的要求，對網絡進行適當的物理與邏輯，并建立網絡拓撲圖，網絡中各方的連接情況。取適當的措電子的網絡會話進行保護，設置會話中斷時間，對失效的會話必須進行重新連接。確保已知客戶的連接無法被未知的第不能夠通過修改認證數據庫的方法被回避。代替，以及認證20業監管調研報告系列：電子安全保護專題報告特殊性要求系統安全主機與終端安全新加坡規定，移動設備易丟失或，應對用于移動網絡服務和支付的敏感數據進行加密保護，保證數據在、傳輸和處理過程中的性和完整性。要求對電子客戶認證數據庫和敏感系統進行保護，防止系統干擾或中斷的影響。系統干擾應能被檢測并審計痕跡。規定，并應用加

36、密、應盡量避免在臺式機和筆記本計算機上敏感或高風險數據，和數據恢復計劃對敏感數據進行保護。要求應安排程序。負責適當檢查、測試及應用服務器、及路由器的修補規定，應使用互聯網基礎設施或非軍事區內與處理電子系統相關的前端處理程序，如核實數據或響應客戶的程序，易受來自互聯網用戶的，因此裝有這些程序的服務器不得任何數據。規定，載有的管理網頁或敏感數據的隱藏目錄應從生產服務器中移除，或以有效的認證及接達管控機制保護。同時，備用及共享也應從生產網站服務器或目錄的結構中移除，以免被用戶接入。越南在主機與終端方面做出了以下規定：應制定獲準安裝在網上更新和檢查；服務器中的軟件，并且每季度對該進行Ø應保證

37、網上系統的數據庫管理系統滿足穩定運行的要求，并能夠根據運Ø行要求處理和儲存大量數據，以及具備安全機制和對數據庫的。德國要求金融機構應運用適當的掃描工具定期檢查電子運行環境及IT內控系統，以識別潛在的安全問題。并對應用進行合理配置和維護，以修補發現的漏洞。美國規定應對系統進行加固，移除不需要或不安全的服務及文件，更改配置和密碼的默認設置。應用安全要求機構應考慮在開發電子應用程序時，評估不同的工具或語言可以提供的安全功能，以確保能夠實施有效的應用程序安全措施。 新加坡要求，應保證客戶可從第移動網絡服務及支付應用,客戶應能夠確也應檢查客戶所使用的移動網絡服務應用的認上述應用的可靠性及真實性

38、，同時有效性及完整性。21業監管調研報告系列：電子安全保護專題報告特殊性要求系統安全應用安全規定，查問卷。給客戶的電子郵件不能包含以及需要客戶個人數據的調要求越南要求應考慮電子指定專人管理網上錯時不應透露系統的敏感細節。系統的源程序。并確保對源程序的應當得到適當的審批和跟蹤，且在日志中。或收到供應商建議之后對電子越南要求金融機構至少每6一次補丁更新和錯誤糾正。數據庫管理系統進行新加坡要求，在客戶使用從第（如App store、Play等）的服務或應用時，應檢查客戶端的應用是否真實有效。規定，對于類電子服務（能夠進行），應實施別的保護，包括強健的認證方法以及對傳輸中的敏感信息加密。巴拿馬要求建立

39、管理電子服務相關行為的系統和全面的客戶行 跟進。建立為的解決方案，包括識別方法、早期另外，為防止電子服務的不當使用，、防范措施及必須確保各種情況的認證及可疑及有效的安全措施。因此，必須制定了解客戶的相關政策，對程序及其他有關電子使用不當的監管條例及法律條款進行盡職。認證與權限管理對認證做出了以下特殊性規定：Ø 機構應向客戶提供真實性的適當方法（如服務器及密鑰輪）；Ø 若機構在評估認證機制后，決定只利用用戶名及方式驗證客戶，應實施足夠的客戶安全措施保護客戶，并采取有效的監察機制，以偵測任何異常活動；Ø 如果機構使用數字作為雙因素認證方式，機構保數字及其私鑰是不可的，

40、且保存在安全介質中。客戶在使用完畢后，應提示客戶斷開數字介質和電腦終端的連接；在使用的方式向客戶前，應向客戶信息：Ø類型，發款人的部分賬號信息，金額。客戶應對信息的準確性作出 有效期應小于100秒；確認后再輸入高風險客戶每進行一次高風險的的。的操作，需要使用不同的Ø 機構應考慮采用可靠的安全機制管理電子會話，例如設置超時中斷措施；被冒用的可能，例如：使用不同的登應實施必要的管控措施以降低客戶Ø錄和，只可以向已的賬戶進行轉賬，設置限額；22業監管調研報告系列：電子安全保護專題報告特殊性要求系統安全認證與權限管理對認證進行了以下規定：低風險非約定轉入賬戶的轉賬應增設；

41、Ø凡是新增、刪除或變更個人、可修改認證系統數據庫；者、系統的認證數據，均需經過認證及，才Ø經認證的電子系統聯機應全程保持安全性，當發生安全時，此類會話應重Ø新認證客戶及權限；機構簽發的并遵循金融XML跨行應用應使用經認可的共享性Ø技術規范且法人用戶必須使用硬件裝置儲存密鑰。跨網使用時必須使用管機構審核通過的中間件所支持的；實依操作標準/流程辦理相關業務。如使用網絡認證金融機構有Ø限公司（TWCA）NBCA應以臨柜或郵遞方式向(Network Banking CA，網絡使用之)的客戶，中心申請新；使用金融XML(eXtensible Markup

42、Language，可擴展標記語言)的客戶，應以使用中的有效私鑰簽名后傳遞中心申請新。菲律賓要求應用，采取適當的認證技術來保證用戶取與運營商單獨區分的認證協議。的是的；對于無線韓國規定，用戶同意或帶有可驗證的電子簽名的電子文檔所示的認證憑證在其預計使用日期的六內尚未使用，則應對該途徑進行更新或更替。美國要求應根據客戶類型、類型、信息敏感程度、通訊設備使用情況和量等方面評估網上認證的風險。美國規定，對于敏感操作，一人以上進行審批后才可以操作，如大額電子資金轉移或密鑰。數據安全 德國在數據保護方面做了如下特殊性規定：Ø 為確保數據接收方能接收到完整的數據，數據在被前，完整性校驗；數據方只能

43、通過完整性校驗的數據；Ø 對于已發生但未被的，必須采取適當的行動，以確保信息完整性；Ø 用戶名和必須不得于互聯網瀏覽器或者電子商務和IT系統中，除非采取適當的安全措施防止其的。規定，對于的泄露。與客戶間的數據傳輸，需使用接層（SSL）來防止 澳大利亞審慎監管署要求對數據的加密強度要與其敏感程度和重要程度相符，并且要 定期檢查以保證加密技術及其強度始終適合風險環境；還規定金融機構要通過加密技術保證重要敏感數據跨境傳輸的安全性。23業監管調研報告系列：電子安全保護專題報告特殊性要求系統安全數據安全規定，如果無法部署端到端加密，且電子系統通信在客戶設備與統之間傳輸時需要，則取適當

44、的措施保護，如步驟特殊安全設備上進行（防篡改設備）。澳大利亞要求在生成網絡服務的PIN碼時加密。規定當應用PKI認證，機構保滿足以下安全需求（包括但不限于）：在安全生效前檢查數字和密鑰的合理性；Ø為在設置合理的有效期，在過期后應評估密鑰長度和加密算法的有效性，Ø再次生效前根據需要對密鑰長度和加密算法進行變更；在進行前檢查撤銷列表，確保數字的有效性；Ø定義撤銷的情景，如客戶密鑰用或用戶賬號已注銷；Ø在數據庫中對已被撤銷的進行定時狀態更新，最好可以實時更新；Ø確保對根密鑰實施了嚴格的安全保護措施；Ø定期進行審計，確保已實施了合理的安全、公

45、鑰與私鑰長度合理、Ø模塊的設計符合業界標準，并已對認證中心的系統進行了保護；保存認證中心系統所有安全的審計日志，包括對根密鑰的使用；Ø定期審閱認證中心的異常報告及其雇員的系統活動，防止的發生；破壞和未Ø確保機構的數字及認證系統符合被廣泛接受的PKI技術標準，確保機構的安全Ø與其他認證中心的兼容性。24業監管調研報告系列：電子安全保護專題報告特殊性要求系統安全數據安全對數據加密做出了如下規定：為了信息的性，可采取對稱加系統或非對稱加系統：ØI.應至少采用DES(密鑰有效長度固定為56位)或其他安全強度相同之算法；II.如采用RSA，密鑰長度不得小于1024位，采用其他算法則其安全強度至少須與前述規范之RSA強度相同；III. 信息須全文加密。通過互聯網執行電子轉賬及指示類的低風險指示信息，除限定性繳費Ø稅外，其運用安全機制若不具備無法否認傳遞信息、無法否認接收信息等基本防護措施者，則其運用