电子银行安全评估指引

    （三） 泄漏被评估机构机密信息，或不当使用被评估机构机密资料的。
金融机构内部评估机构出现以上情况之一的，中国银监会将依法对相关机构和责任人进行处罚。
     第二十条  中国银监会认可的电子银行安全评估机构，以及有关资质认定、撤销等信息，仅向开展电子银行业务的各金融机构通报，不向社会发布。
金融机构不得向第三方泄露中国银监会的有关通报信息，影响有关机构的其他业务活动，也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
    第二十一条  金融机构可以在中国银监会认定的评估机构范围内，自主选择电子银行安全评估机构。
    第二十二条  电子银行主要系统设置于境外并在境外实施电子银行安全评估的外资金融机构，以及需要按照所在地监管部门的要求在境外实施电子银行安全评估的中资金融机构境外分支机构，电子银行安全评估机构的选择应遵循所在国家或地区的法律要求。
    所在国家或地区没有相关法律要求的，金融机构应参照本指引的有关规定开展安全评估活动。
第二十三条  金融机构应与聘用的电子银行安全评估机构签订书面服务协议，在服务协议中，必须含有明确的保密条  款和保密责任。
金融机构选择内部部门作为评估机构时，应由电子银行管理部门与评估部门签订评估责任确定书。
第二十四条  安全评估机构应根据评估协议的规定，认真履行评估职责，真实评估被评估机构电子银行安全状况。
 

第三章  安全评估的实施
 

    第二十五条  评估机构在开始电子银行安全评估之前，应就评估的范围、重点、时间与要求等问题，与被评估机构进行充分的沟通，制定评估计划，由双方签字认可。
    第二十六条  依据评估计划，评估机构进场对委托机构的电子银行安全进行评估。
电子银行安全评估应真实、全面地评价电子银行系统的安全性。
    第二十七条  电子银行安全评估至少应包括以下内容：
    （一） 安全策略；
    （二） 内控制度建设；
    （三） 风险管理状况；
    （四） 系统安全性；
    （五） 电子银行业务运行连续性计划；
    （六） 电子银行业务运行应急计划；
    （七） 电子银行风险预警体系；
    （八） 其他重要安全环节和机制的管理。
    第二十八条  电子银行安全策略的评估，至少应包括以下内容：
    （一） 安全策略制定的流程与合理性；
    （二） 系统设计与开发的安全策略；
    （三） 系统测试与验收的安全策略；
    （四） 系统运行与维护的安全策略；
    （五） 系统备份与应急的安全策略；
    （六） 客户信息安全策略。
    评估机构对金融机构安全策略的评估，不仅要评估安全策略、规章制度和程序是否存在，还要评估这些制度是否得到贯彻执行，是否及时更新，是否全面覆盖电子银行业务系统。
    第二十九条  电子银行内控制度的评估，应至少包括以下内容：
    （一） 内部控制体系总体建设的科学性与适宜性；
    （二） 董事会和高级管理层在电子银行安全和风险管理体系中的职责，以及相关部门职责和责任的合理性；
    （三） 安全监控机制的建设与运行情况；
    （四） 内部审计制度的建设与运行情况。
    第三十条  电子银行风险管理状况的评估，应至少包括以下内容：
    （一） 电子银行风险管理架构的适应性和合理性；
   （二） 董事会和高级管理层对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况；
   （三） 电子银行管理机构职责设置的合理性及对相关风险的管控能力；

   （四） 管理人员配备与培训情况；
   （五） 电子银行风险管理的规章制度与操作规定、程序等的执行情况；
   （六） 电子银行业务的主要风险及管理状况；
   （七） 业务外包管理制度建设与管理状况。
    第三十一条  电子银行系统安全性的评估，应至少包括以下内容：
    （一） 物理安全；
    （二） 数据通讯安全；
    （三） 应用系统安全；
    （四） 密钥管理；
    （五） 客户信息认证与保密；
    （六） 入侵监测机制和报告反应机制。
    评估机构应突出对数据通讯安全和应用系统安全的评估，客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙，银行内部运作系统和数据库是否安全等，以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序，并能保证各种修改得到及时测试和审核。
    第三十二条  电子银行业务运行连续性计划的评估，应至少包括以下内容：
    （一） 保障业务连续运营的设备和系统能力；
    （二） 保证业务连续运营的制度安排和执行情况。
    第三十三条  电子银行业务运行应急计划的评估，应至少包括以下内容：
    （一） 电子银行应急制度建设与执行情况；
    （二） 电子银行应急设施设备配备情况；
    （三） 定期、持续性检测与演练情况；
    （四） 应对意外事故或外部攻击的能力。
    第三十四条  评估机构应制定本机构电子银行安全评定标准，在进行安全评估时，应根据委托机构的实际情况，确定不同评估内容对电子银行总体风险影响程度的权重，对每项评估内容进行评分，综合计算出被评估机构电子银行的风险等级。转贴于 酷文网-论文下载中心 http://www.coolwen.net


共4页: 上一页 [1] 2 [3] [4] 下一页

网摘收藏:

上一篇：中国银行业监督管理委员会
下一篇：人民币资本项目可兑换必须稳妥有序地推进

 -> 在百度中搜索：电子银行安全评估指引
 -> 在Google中搜索：电子银行安全评估指引