电子银行安全评估指引

    第三十五条  评估完成后，评估机构应及时撰写评估报告，并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估报告。
    第三十六条  评估报告应至少包括以下内容：
    （一） 评估的时间、范围及其他协议中重要的约定；
    （二） 评估的总体框架、程序、主要方法及主要评估人员介绍；
    （三） 不同评估内容风险权重的确定标准，风险等级的计算方法，以及风险等级的定义；
    （四） 评估内容与评估活动描述；
    （五） 评估结论；
    （六） 对被评估机构电子银行安全管理的建议；
    （七） 其他需要说明的问题；
    （八） 主要术语定义和所采用的国际或国内标准介绍（可作为附件）；
    （九） 评估工作流程记录表（可作为附件）；
    （十） 评估机构参加评估人员名单（可作为附件）。
    在评估结论中，评估机构应采用量化的办法表明被评估机构电子银行的风险等级，说明被评估机构电子银行安全管理中存在的主要问题与隐患，并提出整改建议。
    第三十七条  评估报告完成并提交委托机构后，如需修改，应将修改的原因、依据和修改意见作为附件附在原报告之后，不得直接修改原报告。
 

第四章  安全评估活动的管理
 

    第三十八条  金融机构在申请开办电子银行业务时，应当按照有关规定对完成测试的电子银行系统进行安全评估。
    第三十九条  金融机构开办电子银行业务后，有下列情形之一的，应立即组织安全评估：
    （一） 由于安全漏洞导致系统被攻击瘫痪，修复运行的；
    （二） 电子银行系统进行重大更新或升级后，出现系统意外停机12小时以上的；
    （三） 电子银行关键设备与设施更换后，出现重大事故修复后仍不能保持连续不间断运行的；
    （四） 基于电子银行安全管理需要立即评估的。
    第四十条  金融机构对电子银行外部安全评估机构的选聘，应由金融机构的董事会或高级管理层负责。
    第四十一条  已实现数据集中管理的银行业金融机构，其分支机构开展电子银行业务不需单独进行安全评估，在总行（公司）的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。
    第四十二条  未实现数据集中管理的银行业金融机构，其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的，分支机构的电子银行系统应在总行（公司）的统一管理和指导下，按照有关规定进行安全评估。

    第四十三条  电子银行主要业务处理系统设置在境外的外资金融机构，其境外总行（公司）已经进行了安全评估且符合本指引有关规定的，其境内分支机构开展电子银行业务不需单独进行安全评估，但应按照本指引的有关要求，向监管部门报送安全评估报告。
    第四十四条  电子银行主要业务处理系统设置在境内的外资金融机构，或者虽设置在境外但其境外总行（公司）未进行安全评估或安全评估不符合本指引有关规定的，应按规定开展电子银行安全评估工作。
    第四十五条  电子银行安全评估工作，确需由多个评估机构共同承担或实施时，金融机构应确定一个主要的评估机构协调总体评估工作，负责总体评估报告的编制。
    金融机构将电子银行系统委托给不同的评估机构进行安全评估，应当明确每个评估机构安全评估的范围，并保证全面覆盖了应评估的事项，没有遗漏。
    第四十六条  金融机构应在签署评估协议后两周内，将评估机构简介、拟采用的评估方案和评估步骤等，报送中国银监会。
    第四十七条  中国银监会根据监管工作的需要，可派员参加金融机构电子银行安全评估工作，但不作为正式评估人员，不提供评估意见。

    第四十八条  评估机构应本着客观、公正、真实和自主的原则，开展评估活动，并严格保守在评估过程中获悉的商业机密。
    第四十九条  在评估过程中，委托机构和评估机构之间应建立信息保密工作机制：
    （一） 评估过程中，调阅相关资料、复制相关文件或数据等，都应建立登记、签字制度；
    （二） 调阅的文件资料应在指定的场所阅读，不得带出指定场所；
    （三） 复制的文件或数据一般也不应带出工作场所，如确需带出的，必须详细登记带出文件或数据名称、数量、带出原因、文件与数据的最终处理方式、责任人等，并由相关负责人签字确认；
    （四） 评估过程中废弃的文件、材料和不再使用的数据，应立即予以销毁或删除；
    （五） 评估工作结束后，双方应就有关机密数据、资料等的交接情况签署说明。
     第五十条  金融机构在收到评估机构评估报告的1个月内，应将评估报告报送中国银监会。
    金融机构报送评估报告时，可对评估报告中的有关问题作必要的说明。
    第五十一条  未经监管部门批准，电子银行安全评估报告不得作为广告宣传资料使用，也不得提供给除监管部门以外的第三方机构。

    第五十二条  对未按有关要求进行的安全评估，或者评估程序、方法和评估报告存在重要缺陷的安全评估，中国银监会可以要求金融机构进行重新评估。
    第五十三条  中国银监会根据监管工作的需要，可以自己组织或委托评估机构对金融机构的电子银行系统进行安全评估，金融机构应予以配合。
    第五十四条  中国银监会根据监管工作的需要，可直接向评估机构了解其评估的方法、范围和程序等。
    第五十五条  对于评估报告中所反映出的问题，金融机构应采取有效的措施加以纠正。转贴于 酷文网-论文下载中心 http://www.coolwen.net


共4页: 上一页 [1] [2] 3 [4] 下一页

网摘收藏:

上一篇：银监会认真答复人大代表建议和政协委员提案
下一篇：光大、建行、招行等纷纷推出固定利率房贷

 -> 在百度中搜索：电子银行安全评估指引
 -> 在Google中搜索：电子银行安全评估指引