電子銀行業(yè)務(wù)風險管理辦法（暫行）和安全操作指南（暫行）

1、附件1：中國*銀行電子銀行業(yè)務(wù)風險管理辦法（暫行）第一章 總則第一條 為規(guī)范中國*銀行（以下簡稱*銀行）電子銀行業(yè)務(wù)風險管理工作，確保電子銀行業(yè)務(wù)安全穩(wěn)定運行，維護*銀行及其客戶的合法權(quán)益，根據(jù)中華人民共和國商業(yè)銀行法、中華人民共和國電子簽名法、中國銀行業(yè)監(jiān)督管理委員會電子銀行業(yè)務(wù)管理辦法、電子銀行安全評估指引、中國人民銀行電子支付指引（第一號）等有關(guān)法律法規(guī)和*銀行相關(guān)制度規(guī)定，特制定本辦法。第二條 *銀行電子銀行業(yè)務(wù)是指*銀行利用面向社會公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。電子銀行具有信息查詢、轉(zhuǎn)賬匯款、支付結(jié)算、投資理財?shù)?/p>

2、金融服務(wù)功能。第三條 電子銀行業(yè)務(wù)風險管理是指在開辦電子銀行業(yè)務(wù)過程中對電子銀行風險進行識別、分析并采取有效措施進行防范、控制和處理的行為。第四條 電子銀行業(yè)務(wù)風險管理涉及的對象包括：*銀行、客戶和第三方。其中客戶主要指企業(yè)客戶、個人客戶和網(wǎng)上特約商戶，第三方主要指服務(wù)提供商和業(yè)務(wù)合作伙伴等。第五條 根據(jù)電子銀行業(yè)務(wù)運作特點，應(yīng)重點加強管理的風險種類包括：戰(zhàn)略風險、技術(shù)風險、操作風險、聲譽風險、信用風險、法律風險等。（一）戰(zhàn)略風險是指因銀行經(jīng)營決策失誤、決策執(zhí)行不當或?qū)π袠I(yè)變化應(yīng)對不當?shù)纫蛩兀瑢?dǎo)致業(yè)務(wù)收益或資本形成現(xiàn)實或長遠的不確定性或損失。（二）技術(shù)風險是指銀行在使用與計算機、網(wǎng)絡(luò)等信息技術(shù)

3、相關(guān)的產(chǎn)品、服務(wù)、傳遞渠道、系統(tǒng)時,所產(chǎn)生或引發(fā)的不確定性或?qū)︺y行管理的不利因素。（三）操作風險是指由于客戶、銀行員工操作不當或失誤而導(dǎo)致的業(yè)務(wù)損失或不確定性；由于不完善或有問題的內(nèi)部程序、人員及系統(tǒng)或外部事件造成損失的可能性。（四）聲譽風險是指因負面公眾輿論而導(dǎo)致銀行資金或客戶嚴重流失的可能性。（五）信用風險是指因客戶惡意違約而使銀行蒙受損失的現(xiàn)實結(jié)果或可能性。（六）法律風險是指由于違反或不遵守法律、法規(guī)或約定的慣例，或者沒有很完善地界定有關(guān)交易各方在法律上的權(quán)利和義務(wù)，從而產(chǎn)生或引發(fā)的對銀行管理的不利因素。第六條 電子銀行業(yè)務(wù)風險管理應(yīng)遵循的基本原則（一）一致性原則。風險管理的目標在于為業(yè)

4、務(wù)發(fā)展提供安全健康的運行環(huán)境，各分行要確保電子銀行風險管理與業(yè)務(wù)發(fā)展目標的一致性，實現(xiàn)經(jīng)營效益最大化。（二）全面性原則。風險管理的內(nèi)容應(yīng)涉及電子銀行業(yè)務(wù)的各個部門、崗位、業(yè)務(wù)運行環(huán)節(jié)和相關(guān)方。（三）系統(tǒng)性原則。風險管理的運行機制應(yīng)具有系統(tǒng)性，包括準確的風險識別機制、有效的風險控制機制、及時的風險補救機制和科學(xué)的風險評估機制。（四）集中與分散相統(tǒng)一原則。風險管理的模式采取“統(tǒng)一管理、分級負責”的做法?？傂袑θ须娮鱼y行業(yè)務(wù)安全風險進行統(tǒng)籌規(guī)劃與管理，各分行對轄內(nèi)電子銀行業(yè)務(wù)的風險管理工作具體負責。（五）成本原則。風險管理工作應(yīng)與電子銀行業(yè)務(wù)的經(jīng)營規(guī)模、業(yè)務(wù)范圍和風險特點相適應(yīng)，以合理的成本實現(xiàn)風

5、險管理的目標。第七條 總行和各分行須根據(jù)不同的風險管理對象、風險種類，按照風險管理的基本原則采取相應(yīng)的管理措施，貫徹“預(yù)防為主”的思想，做到事前嚴密防范、事中有效控制、事后及時處理。第八條 總行和各分行必須建立健全電子銀行業(yè)務(wù)風險管理體系和內(nèi)部控制體系，強化業(yè)務(wù)管理并運用有效技術(shù)手段，保證電子銀行業(yè)務(wù)風險管理工作有序開展。第九條 電子銀行業(yè)務(wù)風險管理納入全行風險管理體系?？傂幸茖W(xué)制定電子銀行發(fā)展戰(zhàn)略和經(jīng)營投資策略,切實防范戰(zhàn)略風險;電子銀行業(yè)務(wù)部門和其他相關(guān)部門在全行風險管理部門的指導(dǎo)下，根據(jù)相應(yīng)職責范圍開展電子銀行風險管理工作。在預(yù)防、控制和處理電子銀行業(yè)務(wù)風險過程中，各部門之間應(yīng)相互配合

6、，協(xié)同工作。（一）電子銀行業(yè)務(wù)部門負責制訂與完善風險管理制度及實施細則，組織開展電子銀行業(yè)務(wù)自律監(jiān)管、內(nèi)控檢查以及安全評估，有效識別、監(jiān)測、控制和評估電子銀行業(yè)務(wù)風險，及時向上級部門或銀行監(jiān)管部門報告風險信息和處理情況。（二）科技部門負責產(chǎn)品研發(fā)過程中的技術(shù)風險分析、電子銀行運營設(shè)備和安全控制設(shè)備的正常運轉(zhuǎn)、電子銀行數(shù)據(jù)的安全存放和傳遞、風險管理技術(shù)手段的安全保障。（三）審計部門負責對電子銀行業(yè)務(wù)進行審計。（四）保衛(wèi)部門負責電子銀行安全措施的檢查，協(xié)助公安司法部門對違法行為的調(diào)查、偵破。（五）法律事務(wù)部門負責電子銀行業(yè)務(wù)風險管理所涉及的法律事務(wù)工作，并負責電子銀行業(yè)務(wù)知識產(chǎn)權(quán)的保護工作。第二章

7、 風險預(yù)防 第十條 產(chǎn)品研發(fā)的風險預(yù)防（一）調(diào)研論證。產(chǎn)品開發(fā)的市場調(diào)研和可行性論證須包括：新產(chǎn)品在業(yè)務(wù)流程中的操作風險評估、技術(shù)風險分析、法律風險分析、市場風險預(yù)測以及擬采取的風險防范措施等。（二）立項審批?？傂许毧茖W(xué)評估電子銀行產(chǎn)品的綜合風險，以符合業(yè)務(wù)總體發(fā)展戰(zhàn)略要求，切實防范戰(zhàn)略風險；嚴格審查設(shè)計方案，充分考慮法律風險因素。 （三）需求編寫。電子銀行業(yè)務(wù)部門要根據(jù)客戶需求和業(yè)務(wù)發(fā)展實際編寫業(yè)務(wù)需求書，明確提示風險點，避免出現(xiàn)操作、技術(shù)和法律風險。（四）設(shè)計開發(fā)。產(chǎn)品開發(fā)部門根據(jù)產(chǎn)品需求制定實施方案，必須充分考慮技術(shù)、操作、信用和管理等方面的風險因素，深入研究技術(shù)架構(gòu)、軟件模型方面的風險

8、問題。（五）產(chǎn)品驗收。在產(chǎn)品驗收前，要進行相應(yīng)風險測試，同時嚴格執(zhí)行驗收制度，把風險評價結(jié)果作為是否推廣該產(chǎn)品的重要依據(jù)。（六）制度制定。在新產(chǎn)品驗收合格上線前，要制定配套的業(yè)務(wù)制度（包括各類業(yè)務(wù)操作規(guī)程、服務(wù)協(xié)議及合同文本等）。第十一條 *銀行全國性跨商業(yè)銀行電子銀行業(yè)務(wù)的數(shù)據(jù)交換接口、支付網(wǎng)關(guān)等，統(tǒng)一由總行設(shè)置和管理。第十二條 為降低聲譽風險，各分行因電子銀行系統(tǒng)升級、測試等原因，需要按計劃暫時停止電子銀行服務(wù)的，要將有關(guān)情況報告總行和當?shù)劂y行監(jiān)管部門并提前3天在網(wǎng)站上予以公告，盡可能減少對客戶的影響。 第十三條 各分行決定停辦部分電子銀行業(yè)務(wù)類型時，必須在該業(yè)務(wù)停辦前45天向總行報告，經(jīng)

9、總行批準同意后提前1個月向客戶予以公告。第十四條 外包服務(wù)的風險預(yù)防（一）根據(jù)業(yè)務(wù)需要，可以將電子銀行部分系統(tǒng)和服務(wù)的開發(fā)與技術(shù)支持等，外包給第三方機構(gòu)。在選擇外包服務(wù)供應(yīng)商時，必須充分審查、評估外包服務(wù)供應(yīng)商的實際風險控制和責任承擔能力，進行風險分析和調(diào)查。（二）在購買外包服務(wù)時，必須與其簽訂書面合同，明確雙方的權(quán)利和義務(wù)。合同內(nèi)容必須載明外包服務(wù)供應(yīng)商保密條款和保密責任?？蛻魝€人信息、交易記錄和其他涉及客戶隱私問題的信息數(shù)據(jù)，不得外包給第三方機構(gòu)管理。第十五條 跨境電子銀行業(yè)務(wù)的風險預(yù)防（一）跨境電子銀行業(yè)務(wù),是指*銀行利用全行境內(nèi)的電子銀行系統(tǒng),向境外居民或企業(yè)提供的電子銀行服務(wù)。*銀行

10、境內(nèi)客戶在境外接受電子銀行服務(wù)，不屬于跨境電子銀行業(yè)務(wù)。（二）*銀行向客戶提供跨境電子銀行業(yè)務(wù)，須遵守以下規(guī)定：與客戶所簽訂的服務(wù)協(xié)議文本，要使用中文和客戶所在國家或地區(qū)（或客戶同意的其他國語言）兩種文字，兩種文字的文本須具有同等法律效力；要按客戶所在國的隱私保密要求提供隱私保密措施；要制定專門計劃并裝備相應(yīng)設(shè)施以應(yīng)對跨境電子銀行業(yè)務(wù)的突發(fā)事件，保證服務(wù)和交易的持續(xù)性；避免服務(wù)中斷或數(shù)據(jù)丟失。第三章 風險控制第十六條 市場營銷的風險控制（一）開展電子銀行業(yè)務(wù)時，必須與客戶簽訂電子銀行服務(wù)協(xié)議或合同，明確雙方的權(quán)利和義務(wù)，通過各種方式充分提示交易過程中客戶可能面臨的風險，說明客戶自身應(yīng)采取的風險

11、防范措施，*銀行和客戶各方應(yīng)承擔的責任。（二）在與第三方合作時，必須對其綜合情況進行風險調(diào)查分析，嚴防因第三方出現(xiàn)風險問題影響*銀行聲譽。確定合作關(guān)系時，要與其簽訂書面合同，明確雙方的權(quán)利和義務(wù)，嚴格遵守國家有關(guān)計算機信息系統(tǒng)安全、商用密碼管理和消費者權(quán)益保護等方面的法律法規(guī)，書面合同中必須載明有關(guān)保密條款和保密責任。第十七條 業(yè)務(wù)管理的風險控制（一）電子銀行業(yè)務(wù)管理和操作人員必須牢固樹立合法合規(guī)意識，嚴格執(zhí)行電子銀行業(yè)務(wù)的制度規(guī)定。要杜絕任何僥幸心理和做法，做到防微杜漸；對違反電子銀行安全規(guī)定的行為須立即予以糾正。（二）電子銀行業(yè)務(wù)的開通申請、業(yè)務(wù)功能修改和撤銷、電子證書的制作與發(fā)放，必須堅

12、持錄入、復(fù)核職責相分離的基本原則，保證操作安全。（三）開展對相關(guān)客戶信息和交易信息等進行認證的電子銀行業(yè)務(wù)，采用電子簽名時，必須使用安全可靠、具有公信力和相應(yīng)法律效力的認證系統(tǒng)。認證系統(tǒng)由總行根據(jù)銀行監(jiān)管部門的要求統(tǒng)一確定。（四）總行要建立電子銀行業(yè)務(wù)在線監(jiān)控系統(tǒng)，對非正常交易進行在線監(jiān)測，實時預(yù)警，當時處理，及時核銷；對系統(tǒng)定期進行漏洞掃描，對非法侵害者（黑客、計算機病毒、假冒網(wǎng)站等）的破壞采取積極措施進行抵御。（五）總行要建立和完善電子銀行業(yè)務(wù)統(tǒng)計分析管理系統(tǒng)，加強對操作風險數(shù)據(jù)的跟蹤和收集，匯總分析風險管理的數(shù)據(jù)、資料和業(yè)務(wù)運營情況，搭建操作風險計量考核平臺，為電子銀行安全評估工作提供量

13、化數(shù)據(jù)。第十八條 運行維護的風險控制（一）嚴格遵守系統(tǒng)運行維護人員與系統(tǒng)設(shè)計開發(fā)人員相分離的原則。產(chǎn)品需求編寫人員和系統(tǒng)軟件編程人員不得直接進入和修改生產(chǎn)應(yīng)用系統(tǒng)，不得直接自行修改關(guān)鍵業(yè)務(wù)指標和重要技術(shù)參數(shù)。建立合理的上級管理人員授權(quán)機制，嚴格控制接觸權(quán)限，防止人員變更后相關(guān)內(nèi)容泄露。（二）采取有效措施，確保電子銀行業(yè)務(wù)生產(chǎn)應(yīng)用系統(tǒng)與投入生產(chǎn)前的測試應(yīng)用系統(tǒng)的充分隔離；按照管理權(quán)限對后臺數(shù)據(jù)庫進行安全維護。從業(yè)務(wù)制度規(guī)定和技術(shù)手段兩方面，切斷各方之間風險傳遞的路徑。（三）要保證電子銀行的網(wǎng)絡(luò)安全。合理設(shè)置和使用防火墻、防病毒軟件等安全產(chǎn)品和技術(shù)，確保電子銀行有足夠的防攻擊能力和防病毒能力，及時

14、對系統(tǒng)容量進行安全檢查，采取必要措施保證接入線路的安全通暢。（四）使用電子銀行重要技術(shù)設(shè)施設(shè)備，必須符合國家安全規(guī)定要求；要對重要設(shè)施設(shè)備定期進行檢查和維修；對重要技術(shù)設(shè)施設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)具備明確的權(quán)限界定、責任劃分和操作流程，并建立日志文件管理制度，如實記錄并妥善保管相關(guān)記錄。（五）必須保障電子銀行業(yè)務(wù)數(shù)據(jù)的安全存放和傳遞。所有交易都要有清晰的跟蹤記錄；遵守相關(guān)法律法規(guī)，對客戶個人信息和隱私權(quán)充分加以保護；總行開發(fā)的全國性產(chǎn)品和各分行自行開發(fā)的區(qū)域性產(chǎn)品在投入生產(chǎn)運營時，必須采用國家規(guī)定的加密技術(shù)和措施，保證電子交易數(shù)據(jù)傳輸?shù)谋Ｃ苄?、真實性、完整性和不可否認性。（六）加強

15、有形場所的物理安全控制。風險防范必須符合國家有關(guān)法律法規(guī)和安全標準的要求，確保安全制度的完整性。第十九條 自律監(jiān)管和內(nèi)控檢查（一）現(xiàn)場檢查。各分行要針對電子銀行業(yè)務(wù)的安全要求和特性，通過現(xiàn)場檢查的方法對業(yè)務(wù)操作環(huán)節(jié)和制度辦法的落實情況進行監(jiān)管，要規(guī)范現(xiàn)場檢查的程序、方式和內(nèi)容，定期開展現(xiàn)場檢查工作。（二）非現(xiàn)場監(jiān)測。非現(xiàn)場監(jiān)測主要采用人工調(diào)查咨詢、利用非正常交易監(jiān)測系統(tǒng)遠程監(jiān)測查詢等非現(xiàn)場方式進行監(jiān)管。非現(xiàn)場監(jiān)測的主要內(nèi)容為電子銀行業(yè)務(wù)發(fā)展規(guī)模和應(yīng)用系統(tǒng)的安全程度。其中發(fā)展規(guī)模主要包括交易金額、客戶數(shù)目、業(yè)務(wù)覆蓋區(qū)域、盈利能力等；安全程度主要包括系統(tǒng)受黑客攻擊和入侵的次數(shù)、受病毒感染次數(shù)以及資

16、金損失情況等。非現(xiàn)場監(jiān)測可根據(jù)業(yè)務(wù)實際適時開展。（三）總行和一級分行每年至少開展一次業(yè)務(wù)檢查（包括現(xiàn)場檢查和非現(xiàn)場監(jiān)測），檢查面不低于30；二級分行每半年至少開展一次業(yè)務(wù)檢查，檢查面不低于50；縣級支行每季度至少開展一次業(yè)務(wù)檢查，檢查面不低于100。第二十條 審計部門要加強電子銀行的內(nèi)控檢查?？傂泻透鞣中袑徲嫴块T要將電子銀行業(yè)務(wù)納入審計范圍，確定審計的內(nèi)容和重點，定期或不定期組織對電子銀行業(yè)務(wù)進行審計檢查，有效控制和防范電子銀行業(yè)務(wù)風險。第四章風險處理第二十一條 總行和各分行要建立健全電子銀行突發(fā)事件應(yīng)急處理機制,制定有效的應(yīng)急預(yù)案，并定期對應(yīng)急預(yù)案的操作性進行檢驗，定期或不定期測試銀行網(wǎng)絡(luò)、

17、業(yè)務(wù)應(yīng)用系統(tǒng)的動態(tài)情況，以控制和減少重大突發(fā)事件引發(fā)的問題，保證電子銀行業(yè)務(wù)正常開展和電子銀行業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)性運營。第二十二條 各分行要建立電子銀行業(yè)務(wù)重大突發(fā)事件的報告制度。發(fā)生重大突發(fā)事件后，要在12小時內(nèi)向總行報告，不得隱瞞和拖延。同時，事發(fā)分行要立即根據(jù)應(yīng)急預(yù)案及時采取有效措施，盡快恢復(fù)電子銀行業(yè)務(wù)的正常開展，最大限度減少損失和影響，防止事態(tài)擴展和蔓延。第二十三條 各分行因受重大突發(fā)事件影響，非計劃暫停電子銀行業(yè)務(wù)，在正常工作時間內(nèi)超過4個小時或者在正常工作時間外超過8個小時的，須在暫停服務(wù)后12小時內(nèi)上報總行并采取有效措施做出相應(yīng)處理。第二十四條 全行性電子銀行業(yè)務(wù)品種出現(xiàn)跨商業(yè)

18、銀行風險問題，各分行須上報總行，由總行統(tǒng)一對外協(xié)調(diào)解決。第二十五條 由于*銀行業(yè)務(wù)、技術(shù)等原因引發(fā)的電子銀行業(yè)務(wù)風險問題，必須采取有效措施進行改正：（一）應(yīng)依照相關(guān)法律法規(guī)，承擔客戶的資金損失；（二）應(yīng)認真分析和總結(jié)風險原因，積極采取補救措施，堵塞管理漏洞，規(guī)避業(yè)務(wù)風險；（三）按照中國*銀行員工違反規(guī)章制度處理暫行辦法及相關(guān)規(guī)定追究有關(guān)人員責任。構(gòu)成犯罪的，依法追究其法律責任。第二十六條 由于客戶自身原因發(fā)生的泄漏交易密碼、操作失誤及未按照服務(wù)協(xié)議盡到應(yīng)盡的安全防范和保密義務(wù)所造成的損失，依據(jù)有關(guān)法律法規(guī)、章程或協(xié)議規(guī)定，向客戶說明原因，由客戶承擔相應(yīng)責任。 由于客戶惡意違約或其他不正當行為造

19、成*銀行資金損失的，要對客戶的錯誤做法采取有效措施予以制止，并依照有關(guān)法律法規(guī)維護*銀行的正當權(quán)益。第二十七條 由于第三方（服務(wù)提供商、業(yè)務(wù)合作伙伴）原因引發(fā)的風險問題，根據(jù)相關(guān)法律法規(guī)、合同協(xié)議，依法追究第三方責任。第二十八條 由于非法侵害者（黑客、計算機病毒或假冒網(wǎng)站等）造成的風險問題，必須報經(jīng)公安、司法機關(guān)進行處理。第五章安全評估第二十九條 電子銀行安全評估，是指*銀行在開展電子銀行業(yè)務(wù)過程中，對電子銀行的安全策略、內(nèi)控制度、風險管理、系統(tǒng)安全、客戶保護等方面進行的安全測試和管控能力的考察與評價。第三十條 電子銀行安全評估工作須遵循銀行監(jiān)管部門的規(guī)定，并自覺接受銀行監(jiān)管部門的監(jiān)督指導(dǎo)。第

20、三十一條 電子銀行安全評估工作由總行統(tǒng)一組織，根據(jù)業(yè)務(wù)發(fā)展和風險管理需要，至少每2年對電子銀行進行一次全面的安全評估。第三十二條 電子銀行安全評估必須包括以下主要內(nèi)容：（一）安全策略；（二）內(nèi)控制度建設(shè)；（三）風險管理狀況；（四）系統(tǒng)安全性；（五）電子銀行業(yè)務(wù)運行連續(xù)性計劃；（六）電子銀行業(yè)務(wù)運行應(yīng)急計劃；（七）電子銀行風險預(yù)警體系；（八）其他重要安全環(huán)節(jié)和機制的管理。第三十三條 電子銀行業(yè)務(wù)開辦過程中，有下列情形之一的，要立即組織安全評估：（一）由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)運行的；（二）電子銀行系統(tǒng)進行重大更新或升級后，出現(xiàn)系統(tǒng)意外停機12小時以上的；（三）電子銀行關(guān)鍵設(shè)備與設(shè)施更換

21、后，出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運行的；（四）基于電子銀行安全管理需要立即評估的。第三十四條 承擔*銀行電子銀行安全評估工作的機構(gòu)包括*銀行外部的專業(yè)化評估機構(gòu)和*銀行內(nèi)部獨立于電子銀行業(yè)務(wù)運營和管理部門的評估部門。第三十五條 在評估機構(gòu)的選擇上，必須采用設(shè)計者、開發(fā)者為一方，使用者為另一方，評估者為第三方的方式，保證評估者從第三方的角度客觀進行評估。第三十六條 *銀行選擇外部評估機構(gòu)或內(nèi)部評估機構(gòu)，須按照銀行監(jiān)管部門的規(guī)定，由總行電子銀行業(yè)務(wù)部門商有關(guān)部門提出意見報總行主管行長審批。第三十七條 如選擇外部評估機構(gòu)，在開始電子銀行安全評估之前，*銀行要與評估機構(gòu)針對評估的范圍、重點、

22、時間和要求等問題進行充分溝通，制定評估計劃和評估協(xié)議，由雙方簽字認可。如選擇內(nèi)部評估機構(gòu)，在開始電子銀行安全評估之前，電子銀行業(yè)務(wù)部門要與評估部門針對評估的范圍、重點、時間和要求等問題進行充分溝通，制定評估計劃和評估協(xié)議，由雙方簽字認可。第三十八條 *銀行要在簽署評估協(xié)議后2周內(nèi)，將評估機構(gòu)（或評估部門）簡介、擬采用的評估方案和評估步驟等，報送銀行監(jiān)管部門。第三十九條 *銀行選擇的外部評估機構(gòu)，必須取得中國銀監(jiān)會的資質(zhì)認定，并應(yīng)具備以下條件：（一）具有較為完善的開展電子銀行安全評估的管理制度和操作規(guī)程；（二）制定了系統(tǒng)、全面的內(nèi)部評估手冊或評估指導(dǎo)文件，內(nèi)容應(yīng)至少包括評估程序、評估方法、評估依據(jù)和評估標準等；（三）擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才，了解國際和中國相關(guān)行業(yè)的行業(yè)標準；（四）其他從事電子銀行安全評估應(yīng)當具備的條件。第四十條 *銀行選擇的內(nèi)部評估機構(gòu)，除應(yīng)具備上述規(guī)定的有關(guān)