电子银行安全评估指引

第一章 总 则

第一条 为增强电子银行业务的安全与风险管理，保证电子银行安全评估的客观性、及时性、全面性和有效性，根据《电子银行业务管理办法》的相关规定，策划本指示。

第二条 电子银行的安全评估，是指金融机构在开展电子银行业务过程中，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面执行的安全试探和管控能力的考察与评价。

第三条 开展电子银行业务的金融机构，应依据其电子银行发展和管理的需要，起码每2年对电子银行执行一次全面的安全评估。

第四条 金融机构可以利用外部专业化的评估机构对电子银行执行安全评估，也可以利用内部独立于电子银行业务经营和管理部门的评估部门对电子银行执行安全评估。

第五条 金融机构应建立电子银行安全评估的规章制度体系和工作规程，保证电子银行安全评估能够及时、客观地得以实行。

第六条 金融机构的电子银行安全评估，应接受中国银行业监督管理委员会（下方简称中国银监会）的监督指导。

第二章 安全评估机构

第七条 承受金融机构电子银行安全评估工作的机构，可以是金融机构外部的社会专业化机构，也可以是金融机构内部具备相应条件的相对独立部门。

第八条 外部机构从事电子银行安全评估，应具备下方条件：

（一） 具有较为完善的开展电子银行安全评估业务的管理制度和操作规程；

（二） 策划了系统、全面的评估手册或评估指导文件，评估手册或评估指导文件的内容应起码包含评估程序、评估方法和根据、评估标准等；

（三） 拥有与电子银行安全评估有关的各种专业人才，了解国际和中国有关行业的行业标准；

（四） 中国银监会规定的其余从事电子银行安全评估应该具备的条件。

第九条 金融机构内部部门从事电子银行安全评估，除应具备第八条 规定的相关条件外，还应具备下方条件：

（一） 务必独立于电子银行业务系统开发部门、经营部门和管理部门；

（二） 未直接参与过相关电子银行设备的选购工作。

第十条 中国银监会负责电子银行安全评估机构资质认定工作。

电子银行安全评估机构在开展金融机构电子银行安全评估业务前，可以向中国银监会申请对其资质执行认定。

第十一条 金融机构在执行电子银行安全评估时，可以选择经中国银监会资质认定的安全评估机构，也可以选择未经中国银监会资质认定的安全评估机构。

金融机构选择经中国银监会资质认定的安全评估机构时，相关安全评估机构的管理适用本指示相关规定。金融机构选择未经中国银监会资质认定的安全评估机构时，安全评估机构的选择标准应不差于第八条、第九条规定的条件要求，并应依照《电子银行业务管理办法》的相关规定，报送有关材料。

电子银行安全评估机构无论能否经历中国银监会资质认定，在开展电子银行安全评估活动时，都应遵守相关电子银行安全评估实行和管理的规定。

第十二条 中国银监会每年将组织一次电子银行安全评估机构资质认定工作，评定时间应提早1个月公告。

第十三条 申请资质认定的电子银行安全评估机构，应在中国银监会公告规定的时限内提交下方材料（一式七份）：

（一） 电子银行安全评估资质认定申请数据；

（二） 机构介绍；

（三） 安全评估业务管理框架、管理制度、操作规程等；

（四） 评估手册或评估指导文件；

（五） 首要评估人士简历；

（六） 中国银监会要求供应的其余文件、资料。

第十四条 中国银监会收到安全评估机构资质认定申请完整材料后，组织相关专家和监管人士对申请材料执行评议，采取投票的办法评定电子银行安全评估机构能否高达了相关资质要求。

第十五条 中国银监将对评估机构资质评议后，出具《电子银行安全评估机构资质认定意见书》，载明评议意见，对评估机构的资质作出认定。

第十六条 中国银监会出具的《电子银行安全评估机构资质认定意见书》，仅供评估机构与金融机构商恰相关电子银行安全评估业务时运用，不影响评估机构开展其余运营活动。

评估机构不得将《电子银行安全评估机构资质认定意见书》用于宣传或其余活动。

第十七条 经中国银监会评议并被觉得高达相关资质要求的评估机构，每次资质认定的有效期限为2年。

经评议不符合认定资质的，评估机构可在下一年度从新申请资质认定。

第十八条 在资质认定的有效期限内，电子银行安全评估机构假使显现下列情形，中国银监会将撤消已作出的评议和认定意见：

（一） 评估机构管理不善，其工作人士泄露被评估机构秘密的；

（二） 评估工作质量低下，评估活动显现重要遗漏的；

（三） 未按要求提交评估数据，或评估数据中存在不实表述的；

（四） 将《电子银行安全评估机构资质认定意见书》用于宣传和其余运营活动的；

（五） 存在其余严重不尽职举动的。

第十九条 评估机构有下列举动之一的，中国银监会将于一定期限或无限期不再受理评估机构的资质认定申请，金融机构不应再委托该评估机构执行安全评估：

（一） 与委托机构合谋，共同隐瞒在安全评估过程中发现的安全漏洞，未按要求写入评估数据的；

（二） 在评估过程中弄虚作假，编造安全评估数据的；

（三） 泄漏被评估机构机密信息，或不当运用被评估机构机密资料的。

金融机构内部评估机构显现以上情形之一的，中国银监会将依法对有关机构和责任人执行处罚。

第二十条 中国银监会认可的电子银行安全评估机构，以及相关资质认定、撤消等信息，仅向开展电子银行业务的各金融机构通报，不向社会公布。

金融机构不得向第三方泄露中国银监会的相关通报信息，影响相关机构的其余业务活动，也不得将相关信息用于与电子银行安全评估活动无关的其余业务活动。

第二十一条 金融机构可以在中国银监会认定的评估机构规模内，自主选择电子银行安全评估机构。

第二十二条 电子银行首要系统设置于国外并在国外实行电子银行安全评估的外资金融机构，以及需要依照所在地监管部门的要求在国外实行电子银行安全评估的中资金融机构国外分支机构，电子银行安全评估机构的选择应遵循所在国家或地区的法律要求。

所在国家或地区没有有关法律要求的，金融机构应参照本指示的相关规定开展安全评估活动。

第二十三条 金融机构应与雇佣的电子银行安全评估机构签订书面服务协议，在服务协议中，务必含有清晰的保密条 款和保密责任。

金融机构选择内部部门作为评估机构时，应由电子银行管理部门与评估部门签订评估责任确定书。

第二十四条 安全评估机构应依据评估协议的规定，认真履行评估职责，真实评估被评估机构电子银行安全情况。

第三章 安全评估的实行

第二十五条 评估机构在开始电子银行安全评估以前，应就评估的规模、着重、时间与要求等困难，与被评估机构执行充分的沟通，策划评预期划，由双方签字认可。

第二十六条 根据评预期划，评估机构进场对委托机构的电子银行安全执行评估。

电子银行安全评估应真实、全面地评价电子银行系统的安全性。

第二十七条 电子银行安全评估起码应包含下方内容：

（一） 安全策略；

（二） 内控制度建设；

（三） 风险管理情况；

（四） 系统安全性；

（五） 电子银行业务运行接连性计划；

（六） 电子银行业务运行应急计划；

（七） 电子银行风险预警体系；

（八） 其余重要安全环节和机制的管理。

第二十八条 电子银行安全策略的评估，起码应包含下方内容：

（一） 安全策略策划的流程与合理性；

（二） 系统设计与开发的安全策略；

（三） 系统试探与验收的安全策略；

（四） 系统运行与维护的安全策略；

（五） 系统备份与应急的安全策略；

（六） 客户信息安全策略。

评估机构对金融机构安全策略的评估，不仅要评估安全策略、规章制度和程序能否存在，还要评估这些制度能否得到贯彻实施，能否及时更新，能否全面覆盖电子银行业务系统。

第二十九条 电子银行内控制度的评估，应起码包含下方内容：

（一） 内部控制体系总的建设的科学性与适宜性；

（二） 董事会和高级管理层在电子银行安全和风险管理体系中的职责，以及有关部门职责和责任的合理性；

（三） 安全监控机制的建设与运行情形；

（四） 内部审计制度的建设与运行情形。

第三十条 电子银行风险管理情况的评估，应起码包含下方内容：

（一） 电子银行风险管理架构的适应性和合理性；

（二） 董事会和高级管理层对电子银行安全与风险管理的认知能力与有关政策、策略的策划实施情形；

（三） 电子银行管理机构职责设置的合理性及对有关风险的管控能力；

（四） 管理人士配备与培训情形；

（五） 电子银行风险管理的规章制度与操作规定、程序等的实施情形；

（六） 电子银行业务的首要风险及管理情况；

（七） 业务外包管理制度建设与管理情况。

第三十一条 电子银行系统安全性的评估，应起码包含下方内容：

（一） 物理安全；

（二） 报告通讯安全；

（三） 应用系统安全；

（四） 密钥管理；

（五） 客户信息认证与保密；

（六） 入侵监测机制和数据反映机制。

评估机构应突出对报告通讯安全和应用系统安全的评估，客观评价金融机构能否采取了合适的加密技术、合理设计和配置了服务器和防火墙，银行内部运转系统和报告库能否安全等，以及金融机构能否策划了控制和管理修改电子银行系统的制度和控制程序，并能保证各种修改得到及时试探和审核。

第三十二条 电子银行业务运行接连性计划的评估，应起码包含下方内容：

（一） 保障业务接连经营的设备和系统能力；

（二） 保证业务接连经营的制度安排和实施情形。

第三十三条 电子银行业务运行应急计划的评估，应起码包含下方内容：

（一） 电子银行应急制度建设与实施情形；

（二） 电子银行应急设施设备配备情形；

（三） 定期、连续性检测与演练情形；

（四） 应对无意中事故或外部攻击的能力。

第三十四条 评估机构应策划本机构电子银行安全评定标准，在执行安全评估时，应依据委托机构的事实情形，确定不同评估内容对电子银行总的风险影响程度的权重，对每项评估内容执行评分，综合计算出被评估机构电子银行的风险等级。

第三十五条 评估完成后，评估机构应及时撰写评估数据，并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估数据。

第三十六条 评估数据应起码包含下方内容：

（一） 评估的时间、规模及其余协议中重要的约定；

（二） 评估的总的框架、程序、首要方法及首要评估人士介绍；

（三） 不同评估内容风险权重的确定标准，风险等级的计算方法，以及风险等级的定义；

（四） 评估内容与评估活动描述；

（五） 评估结论；

（六） 对被评估机构电子银行安全管理的建议；

（七） 其余需要表明的困难；

（八） 首要术语定义和所采取的国际或国内标准介绍（可作为附件）；

（九） 评估工作流程记录表（可作为附件）；

（十） 评估机构参与评估人士名单（可作为附件）。

在评估结论中，评估机构应采取量化的办法显示被评估机构电子银行的风险等级，表明被评估机构电子银行安全管理中存在的首要困难与隐患，并提出整改建议。

第三十七条 评估数据完成并提交委托机构后，如需修改，应将修改的原因、根据和修改意见作为附件附在原数据之后，不得直接修改原数据。

第四章 安全评估活动的管理

第三十八条 金融机构在申请开办电子银行业务时，应该依照相关规定对完成试探的电子银行系统执行安全评估。

第三十九条 金融机构开办电子银行业务后，有下列情形之一的，应立刻组织安全评估：

（一） 受于安全漏洞致使系统被攻击瘫痪，修复运行的；

（二） 电子银行系统执行巨大更新或升级后，显现系统无意中停机12小时以上的；

（三） 电子银行核心设备与设施更换后，显现巨大事故修复后仍不能维持接连不间断运行的；

（四） 基于电子银行安全管理需要立刻评估的。

第四十条 金融机构对电子银行外部安全评估机构的选聘，应由金融机构的董事会或高级管理层负责。

第四十一条 已达到报告集中管理的银行业金融机构，其分支机构开展电子银行业务不需单独执行安全评估，在总行（公司）的电子银行安全评估中应包含对其分支机构电子银行安全管理情况的评估。

第四十二条 未达到报告集中管理的银行业金融机构，其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的，分支机构的电子银行系统应在总行（公司）的统一管理和指导下，依照相关规定执行安全评估。

第四十三条 电子银行首要业务处理系统设置在国外的外资金融机构，其国外总行（公司）已经执行了安全评估且符合本指示相关规定的，其国内分支机构开展电子银行业务不需单独执行安全评估，但应依照本指示的相关要求，向监管部门报送安全评估数据。

第四十四条 电子银行首要业务处理系统设置在国内的外资金融机构，或者虽设置在国外但其国外总行（公司）未执行安全评估或安全评估不符合本指示相关规定的，应按规定开展电子银行安全评估工作。

第四十五条 电子银行安全评估工作，确需由多个评估机构共同承受或实行时，金融机构应确定一个首要的评估机构协调总的评估工作，负责总的评估数据的编制。

金融机构将电子银行系统委托给不同的评估机构执行安全评估，应该清晰每个评估机构安全评估的规模，并保证全面覆盖了应评估的事项，没有遗漏。

第四十六条 金融机构应在签署评估协议后两周内，将评估机构简介、拟采取的评估方案和评估步骤等，报送中国银监会。

第四十七条 中国银监会依据监管工作的需要，可派员参与金融机构电子银行安全评估工作，但不作为正式评估人士，不供应评估意见。

第四十八条 评估机构应本着客观、公正、真实和自主的原则，开展评估活动，并严格保坚守评估过程中获悉的商业机密。

第四十九条 在评估过程中，委托机构和评估机构之间应建立信息保密工作机制：

（一） 评估过程中，调阅有关资料、复制有关文件或报告等，都应建立登记、签字制度；

（二） 调阅的文件资料应在指定的场所阅读，不得带出指定场所；

（三） 复制的文件或报告一般也不应带出工作场所，如确需带出的，务必详细登记带出文件或报告名称、数量、带出原因、文件与报告的最终处理方式、责任人等，并由有关主管签字证实；

（四） 评估过程中废弃的文件、材料和不再运用的报告，应立刻给予销毁或删除；

（五） 评估工作终结后，双方应就相关机密报告、资料等的交接情形签署表明。

第五十条 金融机构在收到评估机构评估数据的1个月内，应将评估数据报送中国银监会。

金融机构报送评估数据时，可对评估数据中的相关困难作必要的表明。

第五十一条 未经监管部门准许，电子银行安全评估数据不得作为广告宣传资料运用，也不得供应给除监管部门以外的第三方机构。

第五十二条 对未按相关要求执行的安全评估，或者评估程序、方法和评估数据存在重要缺陷的安全评估，中国银监会可以要求金融机构执行从新评估。

第五十三条 中国银监会依据监管工作的需要，可以自己组织或委托评估机构对金融机构的电子银行系统执行安全评估，金融机构应给予配合。

第五十四条 中国银监会依据监管工作的需要，可直接向评估机构了解其评估的方法、规模和程序等。

第五十五条 对于评估数据中所反应出的困难，金融机构应采取有效的措施加以纠正。

第五章 附则

第五十六条 本指示由中国银监会负责解释。

第五十七条 本指示从2006年3月1号起施行。