第一章 總 則
第一條 為加強(qiáng)電子銀行業(yè)務(wù)的安全與風(fēng)險(xiǎn)管理��,保證電子銀行安全評(píng)估的客觀性���、及時(shí)性�、全面性和有效性����,依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定����,制定本指引。
第二條 電子銀行的安全評(píng)估��,是指金融機(jī)構(gòu)在開展電子銀行業(yè)務(wù)過程中�����,對(duì)電子銀行的安全策略���、內(nèi)控制度���、風(fēng)險(xiǎn)管理、系統(tǒng)安全�、客戶保護(hù)等方面進(jìn)行的安全測(cè)試和管控能力的考察與評(píng)價(jià)���。
第三條 開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu),應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要�,至少每2年對(duì)電子銀行進(jìn)行一次全面的安全評(píng)估。
第四條 金融機(jī)構(gòu)可以利用外部專業(yè)化的評(píng)估機(jī)構(gòu)對(duì)電子銀行進(jìn)行安全評(píng)估����,也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營和管理部門的評(píng)估部門對(duì)電子銀行進(jìn)行安全評(píng)估。
第五條 金融機(jī)構(gòu)應(yīng)建立電子銀行安全評(píng)估的規(guī)章制度體系和工作規(guī)程����,保證電子銀行安全評(píng)估能夠及時(shí)、客觀地得以實(shí)施����。
第六條 金融機(jī)構(gòu)的電子銀行安全評(píng)估,應(yīng)接受中國銀行業(yè)監(jiān)督管理委員會(huì)(以下簡稱中國銀監(jiān)會(huì))的監(jiān)督指導(dǎo)��。
第二章 安全評(píng)估機(jī)構(gòu)
第七條 承擔(dān)金融機(jī)構(gòu)電子銀行安全評(píng)估工作的機(jī)構(gòu)�,可以是金融機(jī)構(gòu)外部的社會(huì)專業(yè)化機(jī)構(gòu),也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對(duì)獨(dú)立部門����。
第八條 外部機(jī)構(gòu)從事電子銀行安全評(píng)估,應(yīng)具備以下條件:
?���。ㄒ唬?具有較為完善的開展電子銀行安全評(píng)估業(yè)務(wù)的管理制度和操作規(guī)程;
?���。ǘ?制定了系統(tǒng)、全面的評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件�,評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評(píng)估程序、評(píng)估方法和依據(jù)����、評(píng)估標(biāo)準(zhǔn)等;
?���。ㄈ?擁有與電子銀行安全評(píng)估相關(guān)的各類專業(yè)人才,了解國際和中國相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)���;
?�。ㄋ模?中國銀監(jiān)會(huì)規(guī)定的其他從事電子銀行安全評(píng)估應(yīng)當(dāng)具備的條件���。
第九條 金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評(píng)估,除應(yīng)具備第八條 規(guī)定的有關(guān)條件外����,還應(yīng)具備以下條件:
?����。ㄒ唬?必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門�����、運(yùn)營部門和管理部門�����;
?���。ǘ?未直接參與過有關(guān)電子銀行設(shè)備的選購工作����。
第十條 中國銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作。
電子銀行安全評(píng)估機(jī)構(gòu)在開展金融機(jī)構(gòu)電子銀行安全評(píng)估業(yè)務(wù)前���,可以向中國銀監(jiān)會(huì)申請(qǐng)對(duì)其資質(zhì)進(jìn)行認(rèn)定�����。
第十一條 金融機(jī)構(gòu)在進(jìn)行電子銀行安全評(píng)估時(shí)���,可以選擇經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu),也可以選擇未經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)��。
金融機(jī)構(gòu)選擇經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí)����,有關(guān)安全評(píng)估機(jī)構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機(jī)構(gòu)選擇未經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí)����,安全評(píng)估機(jī)構(gòu)的選擇標(biāo)準(zhǔn)應(yīng)不低于第八條、第九條規(guī)定的條件要求��,并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定���,報(bào)送相關(guān)材料��。
電子銀行安全評(píng)估機(jī)構(gòu)無論是否經(jīng)過中國銀監(jiān)會(huì)資質(zhì)認(rèn)定��,在開展電子銀行安全評(píng)估活動(dòng)時(shí)���,都應(yīng)遵守有關(guān)電子銀行安全評(píng)估實(shí)施和管理的規(guī)定���。
第十二條 中國銀監(jiān)會(huì)每年將組織一次電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作,評(píng)定時(shí)間應(yīng)提前1個(gè)月公告����。
第十三條 申請(qǐng)資質(zhì)認(rèn)定的電子銀行安全評(píng)估機(jī)構(gòu),應(yīng)在中國銀監(jiān)會(huì)公告規(guī)定的時(shí)限內(nèi)提交以下材料(一式七份):
?���。ㄒ唬?電子銀行安全評(píng)估資質(zhì)認(rèn)定申請(qǐng)報(bào)告;
?��。ǘ?機(jī)構(gòu)介紹����;
?�。ㄈ?安全評(píng)估業(yè)務(wù)管理框架���、管理制度�����、操作規(guī)程等�;
(四) 評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件����;
(五) 主要評(píng)估人員簡歷���;
(六) 中國銀監(jiān)會(huì)要求提供的其他文件�、資料。
第十四條 中國銀監(jiān)會(huì)收到安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定申請(qǐng)完整材料后���,組織有關(guān)專家和監(jiān)管人員對(duì)申請(qǐng)材料進(jìn)行評(píng)議���,采用投票的辦法評(píng)定電子銀行安全評(píng)估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求。
第十五條 中國銀監(jiān)會(huì)對(duì)評(píng)估機(jī)構(gòu)資質(zhì)評(píng)議后�����,出具《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》�����,載明評(píng)議意見�����,對(duì)評(píng)估機(jī)構(gòu)的資質(zhì)做出認(rèn)定。
第十六條 中國銀監(jiān)會(huì)出具的《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》����,僅供評(píng)估機(jī)構(gòu)與金融機(jī)構(gòu)商恰有關(guān)電子銀行安全評(píng)估業(yè)務(wù)時(shí)使用,不影響評(píng)估機(jī)構(gòu)開展其他經(jīng)營活動(dòng)�����。
評(píng)估機(jī)構(gòu)不得將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳或其他活動(dòng)����。
第十七條 經(jīng)中國銀監(jiān)會(huì)評(píng)議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評(píng)估機(jī)構(gòu),每次資質(zhì)認(rèn)定的有效期限為2年����。
經(jīng)評(píng)議不符合認(rèn)定資質(zhì)的,評(píng)估機(jī)構(gòu)可在下一年度重新申請(qǐng)資質(zhì)認(rèn)定���。
第十八條 在資質(zhì)認(rèn)定的有效期限內(nèi)�,電子銀行安全評(píng)估機(jī)構(gòu)如果出現(xiàn)下列情況����,中國銀監(jiān)會(huì)將撤銷已做出的評(píng)議和認(rèn)定意見:
?���。ㄒ唬?評(píng)估機(jī)構(gòu)管理不善����,其工作人員泄露被評(píng)估機(jī)構(gòu)秘密的;
?��。ǘ?評(píng)估工作質(zhì)量低下���,評(píng)估活動(dòng)出現(xiàn)重要遺漏的���;
?���。ㄈ?未按要求提交評(píng)估報(bào)告����,或評(píng)估報(bào)告中存在不實(shí)表述的;
?��。ㄋ模?將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳和其他經(jīng)營活動(dòng)的����;
(五) 存在其他嚴(yán)重不盡職行為的�����。
第十九條 評(píng)估機(jī)構(gòu)有下列行為之一的�����,中國銀監(jiān)會(huì)將在一定期限或無限期不再受理評(píng)估機(jī)構(gòu)的資質(zhì)認(rèn)定申請(qǐng)����,金融機(jī)構(gòu)不應(yīng)再委托該評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估:
(一) 與委托機(jī)構(gòu)合謀���,共同隱瞞在安全評(píng)估過程中發(fā)現(xiàn)的安全漏洞�,未按要求寫入評(píng)估報(bào)告的�;
(二) 在評(píng)估過程中弄虛作假���,編造安全評(píng)估報(bào)告的��;
?���。ㄈ?泄漏被評(píng)估機(jī)構(gòu)機(jī)密信息,或不當(dāng)使用被評(píng)估機(jī)構(gòu)機(jī)密資料的�。
金融機(jī)構(gòu)內(nèi)部評(píng)估機(jī)構(gòu)出現(xiàn)以上情況之一的,中國銀監(jiān)會(huì)將依法對(duì)相關(guān)機(jī)構(gòu)和責(zé)任人進(jìn)行處罰����。
第二十條 中國銀監(jiān)會(huì)認(rèn)可的電子銀行安全評(píng)估機(jī)構(gòu),以及有關(guān)資質(zhì)認(rèn)定����、撤銷等信息,僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)�����,不向社會(huì)發(fā)布���。
金融機(jī)構(gòu)不得向第三方泄露中國銀監(jiān)會(huì)的有關(guān)通報(bào)信息,影響有關(guān)機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng)�,也不得將有關(guān)信息用于與電子銀行安全評(píng)估活動(dòng)無關(guān)的其他業(yè)務(wù)活動(dòng)。
第二十一條 金融機(jī)構(gòu)可以在中國銀監(jiān)會(huì)認(rèn)定的評(píng)估機(jī)構(gòu)范圍內(nèi)���,自主選擇電子銀行安全評(píng)估機(jī)構(gòu)���。
第二十二條 電子銀行主要系統(tǒng)設(shè)置于境外并在境外實(shí)施電子銀行安全評(píng)估的外資金融機(jī)構(gòu)����,以及需要按照所在地監(jiān)管部門的要求在境外實(shí)施電子銀行安全評(píng)估的中資金融機(jī)構(gòu)境外分支機(jī)構(gòu)��,電子銀行安全評(píng)估機(jī)構(gòu)的選擇應(yīng)遵循所在國家或地區(qū)的法律要求�。
所在國家或地區(qū)沒有相關(guān)法律要求的,金融機(jī)構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評(píng)估活動(dòng)��。
第二十三條 金融機(jī)構(gòu)應(yīng)與聘用的電子銀行安全評(píng)估機(jī)構(gòu)簽訂書面服務(wù)協(xié)議���,在服務(wù)協(xié)議中���,必須含有明確的保密條 款和保密責(zé)任。
金融機(jī)構(gòu)選擇內(nèi)部部門作為評(píng)估機(jī)構(gòu)時(shí)����,應(yīng)由電子銀行管理部門與評(píng)估部門簽訂評(píng)估責(zé)任確定書。
第二十四條 安全評(píng)估機(jī)構(gòu)應(yīng)根據(jù)評(píng)估協(xié)議的規(guī)定��,認(rèn)真履行評(píng)估職責(zé)�����,真實(shí)評(píng)估被評(píng)估機(jī)構(gòu)電子銀行安全狀況。
第三章 安全評(píng)估的實(shí)施
第二十五條 評(píng)估機(jī)構(gòu)在開始電子銀行安全評(píng)估之前����,應(yīng)就評(píng)估的范圍、重點(diǎn)���、時(shí)間與要求等問題��,與被評(píng)估機(jī)構(gòu)進(jìn)行充分的溝通�����,制定評(píng)估計(jì)劃����,由雙方簽字認(rèn)可���。
第二十六條 依據(jù)評(píng)估計(jì)劃,評(píng)估機(jī)構(gòu)進(jìn)場(chǎng)對(duì)委托機(jī)構(gòu)的電子銀行安全進(jìn)行評(píng)估����。
電子銀行安全評(píng)估應(yīng)真實(shí)����、全面地評(píng)價(jià)電子銀行系統(tǒng)的安全性�����。
第二十七條 電子銀行安全評(píng)估至少應(yīng)包括以下內(nèi)容:
?���。ㄒ唬?安全策略;
?�。ǘ?內(nèi)控制度建設(shè)���;
?�。ㄈ?風(fēng)險(xiǎn)管理狀況�����;
?。ㄋ模?系統(tǒng)安全性����;
?。ㄎ澹?電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃����;
(六) 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃����;
(七) 電子銀行風(fēng)險(xiǎn)預(yù)警體系����;
(八) 其他重要安全環(huán)節(jié)和機(jī)制的管理��。
第二十八條 電子銀行安全策略的評(píng)估���,至少應(yīng)包括以下內(nèi)容:
?���。ㄒ唬?安全策略制定的流程與合理性����;
(二) 系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略;
?����。ㄈ?系統(tǒng)測(cè)試與驗(yàn)收的安全策略�����;
?����。ㄋ模?系統(tǒng)運(yùn)行與維護(hù)的安全策略����;
?��。ㄎ澹?系統(tǒng)備份與應(yīng)急的安全策略��;
?。?客戶信息安全策略�。
評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)安全策略的評(píng)估,不僅要評(píng)估安全策略�、規(guī)章制度和程序是否存在,還要評(píng)估這些制度是否得到貫徹執(zhí)行,是否及時(shí)更新���,是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)���。
第二十九條 電子銀行內(nèi)控制度的評(píng)估,應(yīng)至少包括以下內(nèi)容:
?���。ㄒ唬?內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性;
?����。ǘ?董事會(huì)和高級(jí)管理層在電子銀行安全和風(fēng)險(xiǎn)管理體系中的職責(zé)�,以及相關(guān)部門職責(zé)和責(zé)任的合理性;
?�。ㄈ?安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況�;
(四) 內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行情況���。
第三十條 電子銀行風(fēng)險(xiǎn)管理狀況的評(píng)估���,應(yīng)至少包括以下內(nèi)容:
(一) 電子銀行風(fēng)險(xiǎn)管理架構(gòu)的適應(yīng)性和合理性;
?����。ǘ?董事會(huì)和高級(jí)管理層對(duì)電子銀行安全與風(fēng)險(xiǎn)管理的認(rèn)知能力與相關(guān)政策����、策略的制定執(zhí)行情況���;
?�。ㄈ?電子銀行管理機(jī)構(gòu)職責(zé)設(shè)置的合理性及對(duì)相關(guān)風(fēng)險(xiǎn)的管控能力��;
?����。ㄋ模?管理人員配備與培訓(xùn)情況����;
?��。ㄎ澹?電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定�、程序等的執(zhí)行情況;
?��。?電子銀行業(yè)務(wù)的主要風(fēng)險(xiǎn)及管理狀況���;
(七) 業(yè)務(wù)外包管理制度建設(shè)與管理狀況�。
第三十一條 電子銀行系統(tǒng)安全性的評(píng)估,應(yīng)至少包括以下內(nèi)容:
?。ㄒ唬?物理安全;
?�。ǘ?數(shù)據(jù)通訊安全�;
(三) 應(yīng)用系統(tǒng)安全�����;
?�。ㄋ模?密鑰管理���;
?���。ㄎ澹?客戶信息認(rèn)證與保密;
?���。?入侵監(jiān)測(cè)機(jī)制和報(bào)告反應(yīng)機(jī)制。
評(píng)估機(jī)構(gòu)應(yīng)突出對(duì)數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評(píng)估����,客觀評(píng)價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻�,銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫是否安全等���,以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序���,并能保證各種修改得到及時(shí)測(cè)試和審核。
第三十二條 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃的評(píng)估����,應(yīng)至少包括以下內(nèi)容:
(一) 保障業(yè)務(wù)連續(xù)運(yùn)營的設(shè)備和系統(tǒng)能力���;
?�。ǘ?保證業(yè)務(wù)連續(xù)運(yùn)營的制度安排和執(zhí)行情況����。
第三十三條 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃的評(píng)估,應(yīng)至少包括以下內(nèi)容:
?�。ㄒ唬?電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況�;
(二) 電子銀行應(yīng)急設(shè)施設(shè)備配備情況��;
?。ㄈ?定期、持續(xù)性檢測(cè)與演練情況���;
?��。ㄋ模?應(yīng)對(duì)意外事故或外部攻擊的能力。
第三十四條 評(píng)估機(jī)構(gòu)應(yīng)制定本機(jī)構(gòu)電子銀行安全評(píng)定標(biāo)準(zhǔn)����,在進(jìn)行安全評(píng)估時(shí),應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況����,確定不同評(píng)估內(nèi)容對(duì)電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重,對(duì)每項(xiàng)評(píng)估內(nèi)容進(jìn)行評(píng)分���,綜合計(jì)算出被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)����。
第三十五條 評(píng)估完成后,評(píng)估機(jī)構(gòu)應(yīng)及時(shí)撰寫評(píng)估報(bào)告�,并于評(píng)估完成后1個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評(píng)估報(bào)告。
第三十六條 評(píng)估報(bào)告應(yīng)至少包括以下內(nèi)容:
?��。ㄒ唬?評(píng)估的時(shí)間����、范圍及其他協(xié)議中重要的約定�����;
?���。ǘ?評(píng)估的總體框架�、程序、主要方法及主要評(píng)估人員介紹��;
?�。ㄈ?不同評(píng)估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn),風(fēng)險(xiǎn)等級(jí)的計(jì)算方法���,以及風(fēng)險(xiǎn)等級(jí)的定義���;
(四) 評(píng)估內(nèi)容與評(píng)估活動(dòng)描述����;
(五) 評(píng)估結(jié)論�;
(六) 對(duì)被評(píng)估機(jī)構(gòu)電子銀行安全管理的建議����;
(七) 其他需要說明的問題�;
(八) 主要術(shù)語定義和所采用的國際或國內(nèi)標(biāo)準(zhǔn)介紹(可作為附件)����;
(九) 評(píng)估工作流程記錄表(可作為附件)�����;
(十) 評(píng)估機(jī)構(gòu)參加評(píng)估人員名單(可作為附件)����。
在評(píng)估結(jié)論中,評(píng)估機(jī)構(gòu)應(yīng)采用量化的辦法表明被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)���,說明被評(píng)估機(jī)構(gòu)電子銀行安全管理中存在的主要問題與隱患����,并提出整改建議����。
第三十七條 評(píng)估報(bào)告完成并提交委托機(jī)構(gòu)后,如需修改�,應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報(bào)告之后����,不得直接修改原報(bào)告�����。
第四章 安全評(píng)估活動(dòng)的管理
第三十八條 金融機(jī)構(gòu)在申請(qǐng)開辦電子銀行業(yè)務(wù)時(shí)���,應(yīng)當(dāng)按照有關(guān)規(guī)定對(duì)完成測(cè)試的電子銀行系統(tǒng)進(jìn)行安全評(píng)估���。
第三十九條 金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后�,有下列情形之一的��,應(yīng)立即組織安全評(píng)估:
?��。ㄒ唬?由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓���,修復(fù)運(yùn)行的;
?。ǘ?電子銀行系統(tǒng)進(jìn)行重大更新或升級(jí)后,出現(xiàn)系統(tǒng)意外停機(jī)12小時(shí)以上的��;
?��。ㄈ?電子銀行關(guān)鍵設(shè)備與設(shè)施更換后���,出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運(yùn)行的;
?���。ㄋ模?基于電子銀行安全管理需要立即評(píng)估的����。
第四十條 金融機(jī)構(gòu)對(duì)電子銀行外部安全評(píng)估機(jī)構(gòu)的選聘���,應(yīng)由金融機(jī)構(gòu)的董事會(huì)或高級(jí)管理層負(fù)責(zé)����。
第四十一條 已實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)���,其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估���,在總行(公司)的電子銀行安全評(píng)估中應(yīng)包含對(duì)其分支機(jī)構(gòu)電子銀行安全管理狀況的評(píng)估。
第四十二條 未實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)����,其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)且擁有獨(dú)立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的,分支機(jī)構(gòu)的電子銀行系統(tǒng)應(yīng)在總行(公司)的統(tǒng)一管理和指導(dǎo)下����,按照有關(guān)規(guī)定進(jìn)行安全評(píng)估�。
第四十三條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機(jī)構(gòu),其境外總行(公司)已經(jīng)進(jìn)行了安全評(píng)估且符合本指引有關(guān)規(guī)定的,其境內(nèi)分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估��,但應(yīng)按照本指引的有關(guān)要求����,向監(jiān)管部門報(bào)送安全評(píng)估報(bào)告。
第四十四條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機(jī)構(gòu)���,或者雖設(shè)置在境外但其境外總行(公司)未進(jìn)行安全評(píng)估或安全評(píng)估不符合本指引有關(guān)規(guī)定的�,應(yīng)按規(guī)定開展電子銀行安全評(píng)估工作����。
第四十五條 電子銀行安全評(píng)估工作,確需由多個(gè)評(píng)估機(jī)構(gòu)共同承擔(dān)或?qū)嵤r(shí)����,金融機(jī)構(gòu)應(yīng)確定一個(gè)主要的評(píng)估機(jī)構(gòu)協(xié)調(diào)總體評(píng)估工作,負(fù)責(zé)總體評(píng)估報(bào)告的編制�����。
金融機(jī)構(gòu)將電子銀行系統(tǒng)委托給不同的評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估���,應(yīng)當(dāng)明確每個(gè)評(píng)估機(jī)構(gòu)安全評(píng)估的范圍����,并保證全面覆蓋了應(yīng)評(píng)估的事項(xiàng),沒有遺漏���。
第四十六條 金融機(jī)構(gòu)應(yīng)在簽署評(píng)估協(xié)議后兩周內(nèi)���,將評(píng)估機(jī)構(gòu)簡介、擬采用的評(píng)估方案和評(píng)估步驟等���,報(bào)送中國銀監(jiān)會(huì)����。
第四十七條 中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要���,可派員參加金融機(jī)構(gòu)電子銀行安全評(píng)估工作���,但不作為正式評(píng)估人員,不提供評(píng)估意見���。
第四十八條 評(píng)估機(jī)構(gòu)應(yīng)本著客觀����、公正、真實(shí)和自主的原則�����,開展評(píng)估活動(dòng)�,并嚴(yán)格保守在評(píng)估過程中獲悉的商業(yè)機(jī)密�。
第四十九條 在評(píng)估過程中,委托機(jī)構(gòu)和評(píng)估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制:
?�。ㄒ唬?評(píng)估過程中���,調(diào)閱相關(guān)資料����、復(fù)制相關(guān)文件或數(shù)據(jù)等�,都應(yīng)建立登記、簽字制度�;
(二) 調(diào)閱的文件資料應(yīng)在指定的場(chǎng)所閱讀���,不得帶出指定場(chǎng)所�;
?��。ㄈ?復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場(chǎng)所���,如確需帶出的��,必須詳細(xì)登記帶出文件或數(shù)據(jù)名稱����、數(shù)量�����、帶出原因����、文件與數(shù)據(jù)的最終處理方式、責(zé)任人等��,并由相關(guān)負(fù)責(zé)人簽字確認(rèn)����;
(四) 評(píng)估過程中廢棄的文件����、材料和不再使用的數(shù)據(jù)���,應(yīng)立即予以銷毀或刪除;
?�。ㄎ澹?評(píng)估工作結(jié)束后���,雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)、資料等的交接情況簽署說明��。
第五十條 金融機(jī)構(gòu)在收到評(píng)估機(jī)構(gòu)評(píng)估報(bào)告的1個(gè)月內(nèi)���,應(yīng)將評(píng)估報(bào)告報(bào)送中國銀監(jiān)會(huì)�����。
金融機(jī)構(gòu)報(bào)送評(píng)估報(bào)告時(shí)���,可對(duì)評(píng)估報(bào)告中的有關(guān)問題作必要的說明。
第五十一條 未經(jīng)監(jiān)管部門批準(zhǔn)�,電子銀行安全評(píng)估報(bào)告不得作為廣告宣傳資料使用,也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)����。
第五十二條 對(duì)未按有關(guān)要求進(jìn)行的安全評(píng)估���,或者評(píng)估程序、方法和評(píng)估報(bào)告存在重要缺陷的安全評(píng)估���,中國銀監(jiān)會(huì)可以要求金融機(jī)構(gòu)進(jìn)行重新評(píng)估����。
第五十三條 中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要����,可以自己組織或委托評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的電子銀行系統(tǒng)進(jìn)行安全評(píng)估,金融機(jī)構(gòu)應(yīng)予以配合����。
第五十四條 中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要,可直接向評(píng)估機(jī)構(gòu)了解其評(píng)估的方法���、范圍和程序等�。
第五十五條 對(duì)于評(píng)估報(bào)告中所反映出的問題����,金融機(jī)構(gòu)應(yīng)采取有效的措施加以糾正。
第五章 附則
第五十六條 本指引由中國銀監(jiān)會(huì)負(fù)責(zé)解釋。
第五十七條 本指引自2006年3月1日起施行���。
京公網(wǎng)安備 11010802044457號(hào)
新用戶掃碼下載
