電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理辦法（暫行）和安全操作指南（暫行）

1、附件1：中國*銀行電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理辦法（暫行）第一章 總則第一條 為規(guī)范中國*銀行（以下簡稱*銀行）電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理工作，確保電子銀行業(yè)務(wù)安全穩(wěn)定運(yùn)行，維護(hù)*銀行及其客戶的合法權(quán)益，根據(jù)中華人民共和國商業(yè)銀行法、中華人民共和國電子簽名法、中國銀行業(yè)監(jiān)督管理委員會(huì)電子銀行業(yè)務(wù)管理辦法、電子銀行安全評估指引、中國人民銀行電子支付指引（第一號）等有關(guān)法律法規(guī)和*銀行相關(guān)制度規(guī)定，特制定本辦法。第二條 *銀行電子銀行業(yè)務(wù)是指*銀行利用面向社會(huì)公眾開放的通訊通道或開放型公眾網(wǎng)絡(luò)，以及為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)，向客戶提供的銀行服務(wù)。電子銀行具有信息查詢、轉(zhuǎn)賬匯款、支付結(jié)算、投資理財(cái)?shù)?/p>

2、金融服務(wù)功能。第三條 電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理是指在開辦電子銀行業(yè)務(wù)過程中對電子銀行風(fēng)險(xiǎn)進(jìn)行識別、分析并采取有效措施進(jìn)行防范、控制和處理的行為。第四條 電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理涉及的對象包括：*銀行、客戶和第三方。其中客戶主要指企業(yè)客戶、個(gè)人客戶和網(wǎng)上特約商戶，第三方主要指服務(wù)提供商和業(yè)務(wù)合作伙伴等。第五條 根據(jù)電子銀行業(yè)務(wù)運(yùn)作特點(diǎn)，應(yīng)重點(diǎn)加強(qiáng)管理的風(fēng)險(xiǎn)種類包括：戰(zhàn)略風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)等。（一）戰(zhàn)略風(fēng)險(xiǎn)是指因銀行經(jīng)營決策失誤、決策執(zhí)行不當(dāng)或?qū)π袠I(yè)變化應(yīng)對不當(dāng)?shù)纫蛩?，?dǎo)致業(yè)務(wù)收益或資本形成現(xiàn)實(shí)或長遠(yuǎn)的不確定性或損失。（二）技術(shù)風(fēng)險(xiǎn)是指銀行在使用與計(jì)算機(jī)、網(wǎng)絡(luò)等信息技術(shù)

3、相關(guān)的產(chǎn)品、服務(wù)、傳遞渠道、系統(tǒng)時(shí),所產(chǎn)生或引發(fā)的不確定性或?qū)︺y行管理的不利因素。（三）操作風(fēng)險(xiǎn)是指由于客戶、銀行員工操作不當(dāng)或失誤而導(dǎo)致的業(yè)務(wù)損失或不確定性；由于不完善或有問題的內(nèi)部程序、人員及系統(tǒng)或外部事件造成損失的可能性。（四）聲譽(yù)風(fēng)險(xiǎn)是指因負(fù)面公眾輿論而導(dǎo)致銀行資金或客戶嚴(yán)重流失的可能性。（五）信用風(fēng)險(xiǎn)是指因客戶惡意違約而使銀行蒙受損失的現(xiàn)實(shí)結(jié)果或可能性。（六）法律風(fēng)險(xiǎn)是指由于違反或不遵守法律、法規(guī)或約定的慣例，或者沒有很完善地界定有關(guān)交易各方在法律上的權(quán)利和義務(wù)，從而產(chǎn)生或引發(fā)的對銀行管理的不利因素。第六條 電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理應(yīng)遵循的基本原則（一）一致性原則。風(fēng)險(xiǎn)管理的目標(biāo)在于為業(yè)

4、務(wù)發(fā)展提供安全健康的運(yùn)行環(huán)境，各分行要確保電子銀行風(fēng)險(xiǎn)管理與業(yè)務(wù)發(fā)展目標(biāo)的一致性，實(shí)現(xiàn)經(jīng)營效益最大化。（二）全面性原則。風(fēng)險(xiǎn)管理的內(nèi)容應(yīng)涉及電子銀行業(yè)務(wù)的各個(gè)部門、崗位、業(yè)務(wù)運(yùn)行環(huán)節(jié)和相關(guān)方。（三）系統(tǒng)性原則。風(fēng)險(xiǎn)管理的運(yùn)行機(jī)制應(yīng)具有系統(tǒng)性，包括準(zhǔn)確的風(fēng)險(xiǎn)識別機(jī)制、有效的風(fēng)險(xiǎn)控制機(jī)制、及時(shí)的風(fēng)險(xiǎn)補(bǔ)救機(jī)制和科學(xué)的風(fēng)險(xiǎn)評估機(jī)制。（四）集中與分散相統(tǒng)一原則。風(fēng)險(xiǎn)管理的模式采取“統(tǒng)一管理、分級負(fù)責(zé)”的做法?？傂袑θ须娮鱼y行業(yè)務(wù)安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)籌規(guī)劃與管理，各分行對轄內(nèi)電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)管理工作具體負(fù)責(zé)。（五）成本原則。風(fēng)險(xiǎn)管理工作應(yīng)與電子銀行業(yè)務(wù)的經(jīng)營規(guī)模、業(yè)務(wù)范圍和風(fēng)險(xiǎn)特點(diǎn)相適應(yīng)，以合理的成本實(shí)現(xiàn)風(fēng)

5、險(xiǎn)管理的目標(biāo)。第七條 總行和各分行須根據(jù)不同的風(fēng)險(xiǎn)管理對象、風(fēng)險(xiǎn)種類，按照風(fēng)險(xiǎn)管理的基本原則采取相應(yīng)的管理措施，貫徹“預(yù)防為主”的思想，做到事前嚴(yán)密防范、事中有效控制、事后及時(shí)處理。第八條 總行和各分行必須建立健全電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理體系和內(nèi)部控制體系，強(qiáng)化業(yè)務(wù)管理并運(yùn)用有效技術(shù)手段，保證電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理工作有序開展。第九條 電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理納入全行風(fēng)險(xiǎn)管理體系。總行要科學(xué)制定電子銀行發(fā)展戰(zhàn)略和經(jīng)營投資策略,切實(shí)防范戰(zhàn)略風(fēng)險(xiǎn);電子銀行業(yè)務(wù)部門和其他相關(guān)部門在全行風(fēng)險(xiǎn)管理部門的指導(dǎo)下，根據(jù)相應(yīng)職責(zé)范圍開展電子銀行風(fēng)險(xiǎn)管理工作。在預(yù)防、控制和處理電子銀行業(yè)務(wù)風(fēng)險(xiǎn)過程中，各部門之間應(yīng)相互配合

6、，協(xié)同工作。（一）電子銀行業(yè)務(wù)部門負(fù)責(zé)制訂與完善風(fēng)險(xiǎn)管理制度及實(shí)施細(xì)則，組織開展電子銀行業(yè)務(wù)自律監(jiān)管、內(nèi)控檢查以及安全評估，有效識別、監(jiān)測、控制和評估電子銀行業(yè)務(wù)風(fēng)險(xiǎn)，及時(shí)向上級部門或銀行監(jiān)管部門報(bào)告風(fēng)險(xiǎn)信息和處理情況。（二）科技部門負(fù)責(zé)產(chǎn)品研發(fā)過程中的技術(shù)風(fēng)險(xiǎn)分析、電子銀行運(yùn)營設(shè)備和安全控制設(shè)備的正常運(yùn)轉(zhuǎn)、電子銀行數(shù)據(jù)的安全存放和傳遞、風(fēng)險(xiǎn)管理技術(shù)手段的安全保障。（三）審計(jì)部門負(fù)責(zé)對電子銀行業(yè)務(wù)進(jìn)行審計(jì)。（四）保衛(wèi)部門負(fù)責(zé)電子銀行安全措施的檢查，協(xié)助公安司法部門對違法行為的調(diào)查、偵破。（五）法律事務(wù)部門負(fù)責(zé)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理所涉及的法律事務(wù)工作，并負(fù)責(zé)電子銀行業(yè)務(wù)知識產(chǎn)權(quán)的保護(hù)工作。第二章

7、 風(fēng)險(xiǎn)預(yù)防 第十條 產(chǎn)品研發(fā)的風(fēng)險(xiǎn)預(yù)防（一）調(diào)研論證。產(chǎn)品開發(fā)的市場調(diào)研和可行性論證須包括：新產(chǎn)品在業(yè)務(wù)流程中的操作風(fēng)險(xiǎn)評估、技術(shù)風(fēng)險(xiǎn)分析、法律風(fēng)險(xiǎn)分析、市場風(fēng)險(xiǎn)預(yù)測以及擬采取的風(fēng)險(xiǎn)防范措施等。（二）立項(xiàng)審批。總行須科學(xué)評估電子銀行產(chǎn)品的綜合風(fēng)險(xiǎn)，以符合業(yè)務(wù)總體發(fā)展戰(zhàn)略要求，切實(shí)防范戰(zhàn)略風(fēng)險(xiǎn)；嚴(yán)格審查設(shè)計(jì)方案，充分考慮法律風(fēng)險(xiǎn)因素。 （三）需求編寫。電子銀行業(yè)務(wù)部門要根據(jù)客戶需求和業(yè)務(wù)發(fā)展實(shí)際編寫業(yè)務(wù)需求書，明確提示風(fēng)險(xiǎn)點(diǎn)，避免出現(xiàn)操作、技術(shù)和法律風(fēng)險(xiǎn)。（四）設(shè)計(jì)開發(fā)。產(chǎn)品開發(fā)部門根據(jù)產(chǎn)品需求制定實(shí)施方案，必須充分考慮技術(shù)、操作、信用和管理等方面的風(fēng)險(xiǎn)因素，深入研究技術(shù)架構(gòu)、軟件模型方面的風(fēng)險(xiǎn)

8、問題。（五）產(chǎn)品驗(yàn)收。在產(chǎn)品驗(yàn)收前，要進(jìn)行相應(yīng)風(fēng)險(xiǎn)測試，同時(shí)嚴(yán)格執(zhí)行驗(yàn)收制度，把風(fēng)險(xiǎn)評價(jià)結(jié)果作為是否推廣該產(chǎn)品的重要依據(jù)。（六）制度制定。在新產(chǎn)品驗(yàn)收合格上線前，要制定配套的業(yè)務(wù)制度（包括各類業(yè)務(wù)操作規(guī)程、服務(wù)協(xié)議及合同文本等）。第十一條 *銀行全國性跨商業(yè)銀行電子銀行業(yè)務(wù)的數(shù)據(jù)交換接口、支付網(wǎng)關(guān)等，統(tǒng)一由總行設(shè)置和管理。第十二條 為降低聲譽(yù)風(fēng)險(xiǎn)，各分行因電子銀行系統(tǒng)升級、測試等原因，需要按計(jì)劃暫時(shí)停止電子銀行服務(wù)的，要將有關(guān)情況報(bào)告總行和當(dāng)?shù)劂y行監(jiān)管部門并提前3天在網(wǎng)站上予以公告，盡可能減少對客戶的影響。 第十三條 各分行決定停辦部分電子銀行業(yè)務(wù)類型時(shí)，必須在該業(yè)務(wù)停辦前45天向總行報(bào)告，經(jīng)

9、總行批準(zhǔn)同意后提前1個(gè)月向客戶予以公告。第十四條 外包服務(wù)的風(fēng)險(xiǎn)預(yù)防（一）根據(jù)業(yè)務(wù)需要，可以將電子銀行部分系統(tǒng)和服務(wù)的開發(fā)與技術(shù)支持等，外包給第三方機(jī)構(gòu)。在選擇外包服務(wù)供應(yīng)商時(shí)，必須充分審查、評估外包服務(wù)供應(yīng)商的實(shí)際風(fēng)險(xiǎn)控制和責(zé)任承擔(dān)能力，進(jìn)行風(fēng)險(xiǎn)分析和調(diào)查。（二）在購買外包服務(wù)時(shí)，必須與其簽訂書面合同，明確雙方的權(quán)利和義務(wù)。合同內(nèi)容必須載明外包服務(wù)供應(yīng)商保密條款和保密責(zé)任。客戶個(gè)人信息、交易記錄和其他涉及客戶隱私問題的信息數(shù)據(jù)，不得外包給第三方機(jī)構(gòu)管理。第十五條 跨境電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)預(yù)防（一）跨境電子銀行業(yè)務(wù),是指*銀行利用全行境內(nèi)的電子銀行系統(tǒng),向境外居民或企業(yè)提供的電子銀行服務(wù)。*銀行

10、境內(nèi)客戶在境外接受電子銀行服務(wù)，不屬于跨境電子銀行業(yè)務(wù)。（二）*銀行向客戶提供跨境電子銀行業(yè)務(wù)，須遵守以下規(guī)定：與客戶所簽訂的服務(wù)協(xié)議文本，要使用中文和客戶所在國家或地區(qū)（或客戶同意的其他國語言）兩種文字，兩種文字的文本須具有同等法律效力；要按客戶所在國的隱私保密要求提供隱私保密措施；要制定專門計(jì)劃并裝備相應(yīng)設(shè)施以應(yīng)對跨境電子銀行業(yè)務(wù)的突發(fā)事件，保證服務(wù)和交易的持續(xù)性；避免服務(wù)中斷或數(shù)據(jù)丟失。第三章 風(fēng)險(xiǎn)控制第十六條 市場營銷的風(fēng)險(xiǎn)控制（一）開展電子銀行業(yè)務(wù)時(shí)，必須與客戶簽訂電子銀行服務(wù)協(xié)議或合同，明確雙方的權(quán)利和義務(wù)，通過各種方式充分提示交易過程中客戶可能面臨的風(fēng)險(xiǎn)，說明客戶自身應(yīng)采取的風(fēng)險(xiǎn)

11、防范措施，*銀行和客戶各方應(yīng)承擔(dān)的責(zé)任。（二）在與第三方合作時(shí)，必須對其綜合情況進(jìn)行風(fēng)險(xiǎn)調(diào)查分析，嚴(yán)防因第三方出現(xiàn)風(fēng)險(xiǎn)問題影響*銀行聲譽(yù)。確定合作關(guān)系時(shí)，要與其簽訂書面合同，明確雙方的權(quán)利和義務(wù)，嚴(yán)格遵守國家有關(guān)計(jì)算機(jī)信息系統(tǒng)安全、商用密碼管理和消費(fèi)者權(quán)益保護(hù)等方面的法律法規(guī)，書面合同中必須載明有關(guān)保密條款和保密責(zé)任。第十七條 業(yè)務(wù)管理的風(fēng)險(xiǎn)控制（一）電子銀行業(yè)務(wù)管理和操作人員必須牢固樹立合法合規(guī)意識，嚴(yán)格執(zhí)行電子銀行業(yè)務(wù)的制度規(guī)定。要杜絕任何僥幸心理和做法，做到防微杜漸；對違反電子銀行安全規(guī)定的行為須立即予以糾正。（二）電子銀行業(yè)務(wù)的開通申請、業(yè)務(wù)功能修改和撤銷、電子證書的制作與發(fā)放，必須堅(jiān)

12、持錄入、復(fù)核職責(zé)相分離的基本原則，保證操作安全。（三）開展對相關(guān)客戶信息和交易信息等進(jìn)行認(rèn)證的電子銀行業(yè)務(wù)，采用電子簽名時(shí)，必須使用安全可靠、具有公信力和相應(yīng)法律效力的認(rèn)證系統(tǒng)。認(rèn)證系統(tǒng)由總行根據(jù)銀行監(jiān)管部門的要求統(tǒng)一確定。（四）總行要建立電子銀行業(yè)務(wù)在線監(jiān)控系統(tǒng)，對非正常交易進(jìn)行在線監(jiān)測，實(shí)時(shí)預(yù)警，當(dāng)時(shí)處理，及時(shí)核銷；對系統(tǒng)定期進(jìn)行漏洞掃描，對非法侵害者（黑客、計(jì)算機(jī)病毒、假冒網(wǎng)站等）的破壞采取積極措施進(jìn)行抵御。（五）總行要建立和完善電子銀行業(yè)務(wù)統(tǒng)計(jì)分析管理系統(tǒng)，加強(qiáng)對操作風(fēng)險(xiǎn)數(shù)據(jù)的跟蹤和收集，匯總分析風(fēng)險(xiǎn)管理的數(shù)據(jù)、資料和業(yè)務(wù)運(yùn)營情況，搭建操作風(fēng)險(xiǎn)計(jì)量考核平臺，為電子銀行安全評估工作提供量

13、化數(shù)據(jù)。第十八條 運(yùn)行維護(hù)的風(fēng)險(xiǎn)控制（一）嚴(yán)格遵守系統(tǒng)運(yùn)行維護(hù)人員與系統(tǒng)設(shè)計(jì)開發(fā)人員相分離的原則。產(chǎn)品需求編寫人員和系統(tǒng)軟件編程人員不得直接進(jìn)入和修改生產(chǎn)應(yīng)用系統(tǒng)，不得直接自行修改關(guān)鍵業(yè)務(wù)指標(biāo)和重要技術(shù)參數(shù)。建立合理的上級管理人員授權(quán)機(jī)制，嚴(yán)格控制接觸權(quán)限，防止人員變更后相關(guān)內(nèi)容泄露。（二）采取有效措施，確保電子銀行業(yè)務(wù)生產(chǎn)應(yīng)用系統(tǒng)與投入生產(chǎn)前的測試應(yīng)用系統(tǒng)的充分隔離；按照管理權(quán)限對后臺數(shù)據(jù)庫進(jìn)行安全維護(hù)。從業(yè)務(wù)制度規(guī)定和技術(shù)手段兩方面，切斷各方之間風(fēng)險(xiǎn)傳遞的路徑。（三）要保證電子銀行的網(wǎng)絡(luò)安全。合理設(shè)置和使用防火墻、防病毒軟件等安全產(chǎn)品和技術(shù)，確保電子銀行有足夠的防攻擊能力和防病毒能力，及時(shí)

14、對系統(tǒng)容量進(jìn)行安全檢查，采取必要措施保證接入線路的安全通暢。（四）使用電子銀行重要技術(shù)設(shè)施設(shè)備，必須符合國家安全規(guī)定要求；要對重要設(shè)施設(shè)備定期進(jìn)行檢查和維修；對重要技術(shù)設(shè)施設(shè)備的接觸、檢查、維修和應(yīng)急處理，應(yīng)具備明確的權(quán)限界定、責(zé)任劃分和操作流程，并建立日志文件管理制度，如實(shí)記錄并妥善保管相關(guān)記錄。（五）必須保障電子銀行業(yè)務(wù)數(shù)據(jù)的安全存放和傳遞。所有交易都要有清晰的跟蹤記錄；遵守相關(guān)法律法規(guī)，對客戶個(gè)人信息和隱私權(quán)充分加以保護(hù)；總行開發(fā)的全國性產(chǎn)品和各分行自行開發(fā)的區(qū)域性產(chǎn)品在投入生產(chǎn)運(yùn)營時(shí)，必須采用國家規(guī)定的加密技術(shù)和措施，保證電子交易數(shù)據(jù)傳輸?shù)谋Ｃ苄?、真?shí)性、完整性和不可否認(rèn)性。（六）加強(qiáng)

15、有形場所的物理安全控制。風(fēng)險(xiǎn)防范必須符合國家有關(guān)法律法規(guī)和安全標(biāo)準(zhǔn)的要求，確保安全制度的完整性。第十九條 自律監(jiān)管和內(nèi)控檢查（一）現(xiàn)場檢查。各分行要針對電子銀行業(yè)務(wù)的安全要求和特性，通過現(xiàn)場檢查的方法對業(yè)務(wù)操作環(huán)節(jié)和制度辦法的落實(shí)情況進(jìn)行監(jiān)管，要規(guī)范現(xiàn)場檢查的程序、方式和內(nèi)容，定期開展現(xiàn)場檢查工作。（二）非現(xiàn)場監(jiān)測。非現(xiàn)場監(jiān)測主要采用人工調(diào)查咨詢、利用非正常交易監(jiān)測系統(tǒng)遠(yuǎn)程監(jiān)測查詢等非現(xiàn)場方式進(jìn)行監(jiān)管。非現(xiàn)場監(jiān)測的主要內(nèi)容為電子銀行業(yè)務(wù)發(fā)展規(guī)模和應(yīng)用系統(tǒng)的安全程度。其中發(fā)展規(guī)模主要包括交易金額、客戶數(shù)目、業(yè)務(wù)覆蓋區(qū)域、盈利能力等；安全程度主要包括系統(tǒng)受黑客攻擊和入侵的次數(shù)、受病毒感染次數(shù)以及資

16、金損失情況等。非現(xiàn)場監(jiān)測可根據(jù)業(yè)務(wù)實(shí)際適時(shí)開展。（三）總行和一級分行每年至少開展一次業(yè)務(wù)檢查（包括現(xiàn)場檢查和非現(xiàn)場監(jiān)測），檢查面不低于30；二級分行每半年至少開展一次業(yè)務(wù)檢查，檢查面不低于50；縣級支行每季度至少開展一次業(yè)務(wù)檢查，檢查面不低于100。第二十條 審計(jì)部門要加強(qiáng)電子銀行的內(nèi)控檢查?？傂泻透鞣中袑徲?jì)部門要將電子銀行業(yè)務(wù)納入審計(jì)范圍，確定審計(jì)的內(nèi)容和重點(diǎn)，定期或不定期組織對電子銀行業(yè)務(wù)進(jìn)行審計(jì)檢查，有效控制和防范電子銀行業(yè)務(wù)風(fēng)險(xiǎn)。第四章風(fēng)險(xiǎn)處理第二十一條 總行和各分行要建立健全電子銀行突發(fā)事件應(yīng)急處理機(jī)制,制定有效的應(yīng)急預(yù)案，并定期對應(yīng)急預(yù)案的操作性進(jìn)行檢驗(yàn)，定期或不定期測試銀行網(wǎng)絡(luò)、

17、業(yè)務(wù)應(yīng)用系統(tǒng)的動(dòng)態(tài)情況，以控制和減少重大突發(fā)事件引發(fā)的問題，保證電子銀行業(yè)務(wù)正常開展和電子銀行業(yè)務(wù)應(yīng)用系統(tǒng)的連續(xù)性運(yùn)營。第二十二條 各分行要建立電子銀行業(yè)務(wù)重大突發(fā)事件的報(bào)告制度。發(fā)生重大突發(fā)事件后，要在12小時(shí)內(nèi)向總行報(bào)告，不得隱瞞和拖延。同時(shí)，事發(fā)分行要立即根據(jù)應(yīng)急預(yù)案及時(shí)采取有效措施，盡快恢復(fù)電子銀行業(yè)務(wù)的正常開展，最大限度減少損失和影響，防止事態(tài)擴(kuò)展和蔓延。第二十三條 各分行因受重大突發(fā)事件影響，非計(jì)劃暫停電子銀行業(yè)務(wù)，在正常工作時(shí)間內(nèi)超過4個(gè)小時(shí)或者在正常工作時(shí)間外超過8個(gè)小時(shí)的，須在暫停服務(wù)后12小時(shí)內(nèi)上報(bào)總行并采取有效措施做出相應(yīng)處理。第二十四條 全行性電子銀行業(yè)務(wù)品種出現(xiàn)跨商業(yè)

18、銀行風(fēng)險(xiǎn)問題，各分行須上報(bào)總行，由總行統(tǒng)一對外協(xié)調(diào)解決。第二十五條 由于*銀行業(yè)務(wù)、技術(shù)等原因引發(fā)的電子銀行業(yè)務(wù)風(fēng)險(xiǎn)問題，必須采取有效措施進(jìn)行改正：（一）應(yīng)依照相關(guān)法律法規(guī)，承擔(dān)客戶的資金損失；（二）應(yīng)認(rèn)真分析和總結(jié)風(fēng)險(xiǎn)原因，積極采取補(bǔ)救措施，堵塞管理漏洞，規(guī)避業(yè)務(wù)風(fēng)險(xiǎn)；（三）按照中國*銀行員工違反規(guī)章制度處理暫行辦法及相關(guān)規(guī)定追究有關(guān)人員責(zé)任。構(gòu)成犯罪的，依法追究其法律責(zé)任。第二十六條 由于客戶自身原因發(fā)生的泄漏交易密碼、操作失誤及未按照服務(wù)協(xié)議盡到應(yīng)盡的安全防范和保密義務(wù)所造成的損失，依據(jù)有關(guān)法律法規(guī)、章程或協(xié)議規(guī)定，向客戶說明原因，由客戶承擔(dān)相應(yīng)責(zé)任。 由于客戶惡意違約或其他不正當(dāng)行為造

19、成*銀行資金損失的，要對客戶的錯(cuò)誤做法采取有效措施予以制止，并依照有關(guān)法律法規(guī)維護(hù)*銀行的正當(dāng)權(quán)益。第二十七條 由于第三方（服務(wù)提供商、業(yè)務(wù)合作伙伴）原因引發(fā)的風(fēng)險(xiǎn)問題，根據(jù)相關(guān)法律法規(guī)、合同協(xié)議，依法追究第三方責(zé)任。第二十八條 由于非法侵害者（黑客、計(jì)算機(jī)病毒或假冒網(wǎng)站等）造成的風(fēng)險(xiǎn)問題，必須報(bào)經(jīng)公安、司法機(jī)關(guān)進(jìn)行處理。第五章安全評估第二十九條 電子銀行安全評估，是指*銀行在開展電子銀行業(yè)務(wù)過程中，對電子銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全、客戶保護(hù)等方面進(jìn)行的安全測試和管控能力的考察與評價(jià)。第三十條 電子銀行安全評估工作須遵循銀行監(jiān)管部門的規(guī)定，并自覺接受銀行監(jiān)管部門的監(jiān)督指導(dǎo)。第

20、三十一條 電子銀行安全評估工作由總行統(tǒng)一組織，根據(jù)業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)管理需要，至少每2年對電子銀行進(jìn)行一次全面的安全評估。第三十二條 電子銀行安全評估必須包括以下主要內(nèi)容：（一）安全策略；（二）內(nèi)控制度建設(shè)；（三）風(fēng)險(xiǎn)管理狀況；（四）系統(tǒng)安全性；（五）電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃；（六）電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃；（七）電子銀行風(fēng)險(xiǎn)預(yù)警體系；（八）其他重要安全環(huán)節(jié)和機(jī)制的管理。第三十三條 電子銀行業(yè)務(wù)開辦過程中，有下列情形之一的，要立即組織安全評估：（一）由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)運(yùn)行的；（二）電子銀行系統(tǒng)進(jìn)行重大更新或升級后，出現(xiàn)系統(tǒng)意外停機(jī)12小時(shí)以上的；（三）電子銀行關(guān)鍵設(shè)備與設(shè)施更換

21、后，出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運(yùn)行的；（四）基于電子銀行安全管理需要立即評估的。第三十四條 承擔(dān)*銀行電子銀行安全評估工作的機(jī)構(gòu)包括*銀行外部的專業(yè)化評估機(jī)構(gòu)和*銀行內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營和管理部門的評估部門。第三十五條 在評估機(jī)構(gòu)的選擇上，必須采用設(shè)計(jì)者、開發(fā)者為一方，使用者為另一方，評估者為第三方的方式，保證評估者從第三方的角度客觀進(jìn)行評估。第三十六條 *銀行選擇外部評估機(jī)構(gòu)或內(nèi)部評估機(jī)構(gòu)，須按照銀行監(jiān)管部門的規(guī)定，由總行電子銀行業(yè)務(wù)部門商有關(guān)部門提出意見報(bào)總行主管行長審批。第三十七條 如選擇外部評估機(jī)構(gòu)，在開始電子銀行安全評估之前，*銀行要與評估機(jī)構(gòu)針對評估的范圍、重點(diǎn)、

22、時(shí)間和要求等問題進(jìn)行充分溝通，制定評估計(jì)劃和評估協(xié)議，由雙方簽字認(rèn)可。如選擇內(nèi)部評估機(jī)構(gòu)，在開始電子銀行安全評估之前，電子銀行業(yè)務(wù)部門要與評估部門針對評估的范圍、重點(diǎn)、時(shí)間和要求等問題進(jìn)行充分溝通，制定評估計(jì)劃和評估協(xié)議，由雙方簽字認(rèn)可。第三十八條 *銀行要在簽署評估協(xié)議后2周內(nèi)，將評估機(jī)構(gòu)（或評估部門）簡介、擬采用的評估方案和評估步驟等，報(bào)送銀行監(jiān)管部門。第三十九條 *銀行選擇的外部評估機(jī)構(gòu)，必須取得中國銀監(jiān)會(huì)的資質(zhì)認(rèn)定，并應(yīng)具備以下條件：（一）具有較為完善的開展電子銀行安全評估的管理制度和操作規(guī)程；（二）制定了系統(tǒng)、全面的內(nèi)部評估手冊或評估指導(dǎo)文件，內(nèi)容應(yīng)至少包括評估程序、評估方法、評估依據(jù)和評估標(biāo)準(zhǔn)等；（三）擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才，了解國際和中國相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)；（四）其他從事電子銀行安全評估應(yīng)當(dāng)具備的條件。第四十條 *銀行選擇的內(nèi)部評估機(jī)構(gòu)，除應(yīng)具備上述規(guī)定的有關(guān)