《電子銀行安全評(píng)估指引》

《電子銀行安全評(píng)估指引》中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)【發(fā)布文號(hào)】【發(fā)布日期】202x-02-07【生效日期】202x-03-01【失效日期】【所屬類別】政策參考【文件來(lái)源】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)第一章總則第一條第一條為加強(qiáng)電子銀行業(yè)務(wù)的安全與風(fēng)險(xiǎn)管理，保證電子銀行安全評(píng)估的客觀性、及時(shí)性、全面性和有效性，依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定，制定本指引。第二條第二條電子銀行的安全評(píng)估，是指金融機(jī)構(gòu)在開展電子銀行業(yè)務(wù)過(guò)程中，對(duì)電子銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全、客戶保護(hù)等方面進(jìn)行的安全測(cè)試和管控能力的考察與評(píng)價(jià)。第三條第三條開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對(duì)電子銀行進(jìn)行一次全面的安全評(píng)估。第四條第四條金融機(jī)構(gòu)可以利用外部專業(yè)化的評(píng)估機(jī)構(gòu)對(duì)電子銀行進(jìn)行安全評(píng)估，也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營(yíng)和管理部門的評(píng)估部門對(duì)電子銀行進(jìn)行安全評(píng)估。第五條第五條金融機(jī)構(gòu)應(yīng)建立電子銀行安全評(píng)估的規(guī)章制度體系和工作規(guī)程，保證電子銀行安全評(píng)估能夠及時(shí)、客觀地得以實(shí)施。第六條第六條金融機(jī)構(gòu)的電子銀行安全評(píng)估，應(yīng)接受中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì)）的監(jiān)督指導(dǎo)。第二章安全評(píng)估機(jī)構(gòu)第七條第七條承擔(dān)金融機(jī)構(gòu)電子銀行安全評(píng)估工作的機(jī)構(gòu)，可以是金融機(jī)構(gòu)外部的社會(huì)專業(yè)化機(jī)構(gòu)，也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對(duì)獨(dú)立部門。第八條第八條外部機(jī)構(gòu)從事電子銀行安全評(píng)估，應(yīng)具備以下條件：（一）具有較為完善的開展電子銀行安全評(píng)估業(yè)務(wù)的管理制度和操作規(guī)程；（二）制定了系統(tǒng)、全面的評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件，評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評(píng)估程序、評(píng)估方法和依據(jù)、評(píng)估標(biāo)準(zhǔn)等；（三）擁有與電子銀行安全評(píng)估相關(guān)的各類專業(yè)人才，了解國(guó)際和中國(guó)相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)；（四）中國(guó)銀監(jiān)會(huì)規(guī)定的其他從事電子銀行安全評(píng)估應(yīng)當(dāng)具備的條件。第九條第九條金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評(píng)估，除應(yīng)具備第八條規(guī)定的有關(guān)條件外，還應(yīng)具備以下條件：（一）必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門、運(yùn)營(yíng)部門和管理部門;（二）未直接參與過(guò)有關(guān)電子銀行設(shè)備的選購(gòu)工作。第十條第十條中國(guó)銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作。電子銀行安全評(píng)估機(jī)構(gòu)在開展金融機(jī)構(gòu)電子銀行安全評(píng)估業(yè)務(wù)前，可以向中國(guó)銀監(jiān)會(huì)申請(qǐng)對(duì)其資質(zhì)進(jìn)行認(rèn)定。第十一條第十一條金融機(jī)構(gòu)在進(jìn)行電子銀行安全評(píng)估時(shí)，可以選擇經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)，也可以選擇未經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)。金融機(jī)構(gòu)選擇經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí)，有關(guān)安全評(píng)估機(jī)構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機(jī)構(gòu)選擇未經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí)，安全評(píng)估機(jī)構(gòu)的選擇標(biāo)準(zhǔn)應(yīng)不低于第八條、第九條規(guī)定的條件要求，并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定，報(bào)送相關(guān)材料。電子銀行安全評(píng)估機(jī)構(gòu)無(wú)論是否經(jīng)過(guò)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定，在開展電子銀行安全評(píng)估活動(dòng)時(shí)，都應(yīng)遵守有關(guān)電子銀行安全評(píng)估實(shí)施和管理的規(guī)定。第十二條第十二條中國(guó)銀監(jiān)會(huì)每年將組織一次電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作，評(píng)定時(shí)間應(yīng)提前1個(gè)月公告。第十三條第十三條申請(qǐng)資質(zhì)認(rèn)定的電子銀行安全評(píng)估機(jī)構(gòu)，應(yīng)在中國(guó)銀監(jiān)會(huì)公告規(guī)定的時(shí)限內(nèi)提交以下材料（一式七份）：（一）電子銀行安全評(píng)估資質(zhì)認(rèn)定申請(qǐng)報(bào)告；（二）機(jī)構(gòu)介紹；（三）安全評(píng)估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等；（四）評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件；（五）主要評(píng)估人員簡(jiǎn)歷；（六）中國(guó)銀監(jiān)會(huì)要求提供的其他文件、資料。第十四條第十四條中國(guó)銀監(jiān)會(huì)收到安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定申請(qǐng)完整材料后，組織有關(guān)專家和監(jiān)管人員對(duì)申請(qǐng)材料進(jìn)行評(píng)議，采用投票的辦法評(píng)定電子銀行安全評(píng)估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求。第十五條第十五條中國(guó)銀監(jiān)會(huì)對(duì)評(píng)估機(jī)構(gòu)資質(zhì)評(píng)議后，出具《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》，載明評(píng)議意見，對(duì)評(píng)估機(jī)構(gòu)的資質(zhì)做出認(rèn)定。第十六條第十六條中國(guó)銀監(jiān)會(huì)出具的《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》，僅供評(píng)估機(jī)構(gòu)與金融機(jī)構(gòu)商恰有關(guān)電子銀行安全評(píng)估業(yè)務(wù)時(shí)使用，不影響評(píng)估機(jī)構(gòu)開展其他經(jīng)營(yíng)活動(dòng)。評(píng)估機(jī)構(gòu)不得將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳或其他活動(dòng)。第十七條第十七條經(jīng)中國(guó)銀監(jiān)會(huì)評(píng)議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評(píng)估機(jī)構(gòu)，每次資質(zhì)認(rèn)定的有效期限為2年。經(jīng)評(píng)議不符合認(rèn)定資質(zhì)的，評(píng)估機(jī)構(gòu)可在下一年度重新申請(qǐng)資質(zhì)認(rèn)定。第十八條第十八條在資質(zhì)認(rèn)定的有效期限內(nèi)，電子銀行安全評(píng)估機(jī)構(gòu)如果出現(xiàn)下列情況，中國(guó)銀監(jiān)會(huì)將撤銷已做出的評(píng)議和認(rèn)定意見:（一）評(píng)估機(jī)構(gòu)管理不善，其工作人員泄露被評(píng)估機(jī)構(gòu)秘密的；（二）評(píng)估工作質(zhì)量低下，評(píng)估活動(dòng)出現(xiàn)重要遺漏的；（三）未按要求提交評(píng)估報(bào)告，或評(píng)估報(bào)告中存在不實(shí)表述的；（四）將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳和其他經(jīng)營(yíng)活動(dòng)的；（五）存在其他嚴(yán)重不盡職行為的。第十九條第十九條評(píng)估機(jī)構(gòu)有下列行為之一的，中國(guó)銀監(jiān)會(huì)將在一定期限或無(wú)限期不再受理評(píng)估機(jī)構(gòu)的資質(zhì)認(rèn)定申請(qǐng)，金融機(jī)構(gòu)不應(yīng)再委托該評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估：（一）與委托機(jī)構(gòu)合謀，共同隱瞞在安全評(píng)估過(guò)程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評(píng)估報(bào)告的；（二）在評(píng)估過(guò)程中弄虛作假，編造安全評(píng)估報(bào)告的；（三）泄漏被評(píng)估機(jī)構(gòu)機(jī)密信息，或不當(dāng)使用被評(píng)估機(jī)構(gòu)機(jī)密資料的。金融機(jī)構(gòu)內(nèi)部評(píng)估機(jī)構(gòu)出現(xiàn)以上情況之一的，中國(guó)銀監(jiān)會(huì)將依法對(duì)相關(guān)機(jī)構(gòu)和責(zé)任人進(jìn)行處罰。第二十條第二十條中國(guó)銀監(jiān)會(huì)認(rèn)可的電子銀行安全評(píng)估機(jī)構(gòu)，以及有關(guān)資質(zhì)認(rèn)定、撤銷等信息，僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)，不向社會(huì)發(fā)布。金融機(jī)構(gòu)不得向第三方泄露中國(guó)銀監(jiān)會(huì)的有關(guān)通報(bào)信息，影響有關(guān)機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng)，也不得將有關(guān)信息用于與電子銀行安全評(píng)估活動(dòng)無(wú)關(guān)的其他業(yè)務(wù)活動(dòng)。第二^一條第二^一條金融機(jī)構(gòu)可以在中國(guó)銀監(jiān)會(huì)認(rèn)定的評(píng)估機(jī)構(gòu)范圍內(nèi)，自主選擇電子銀行安全評(píng)估機(jī)構(gòu)。第二十二條第二十二條電子銀行主要系統(tǒng)設(shè)置于境外并在境外實(shí)施電子銀行安全評(píng)估的外資金融機(jī)構(gòu)，以及需要按照所在地監(jiān)管部門的要求在境外實(shí)施電子銀行安全評(píng)估的中資金融機(jī)構(gòu)境外分支機(jī)構(gòu)，電子銀行安全評(píng)估機(jī)構(gòu)的選擇應(yīng)遵循所在國(guó)家或地區(qū)的法律要求。所在國(guó)家或地區(qū)沒(méi)有相關(guān)法律要求的，金融機(jī)構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評(píng)估活動(dòng)。第二十三條第二十三條金融機(jī)構(gòu)應(yīng)與聘用的電子銀行安全評(píng)估機(jī)構(gòu)簽訂書面服務(wù)協(xié)議，在服務(wù)協(xié)議中，必須含有明確的保密條款和保密責(zé)任。金融機(jī)構(gòu)選擇內(nèi)部部門作為評(píng)估機(jī)構(gòu)時(shí)，應(yīng)由電子銀行管理部門與評(píng)估部門簽訂評(píng)估責(zé)任確定書。第二十四條第二十四條安全評(píng)估機(jī)構(gòu)應(yīng)根據(jù)評(píng)估協(xié)議的規(guī)定，認(rèn)真履行評(píng)估職責(zé)，真實(shí)評(píng)估被評(píng)估機(jī)構(gòu)電子銀行安全狀況。第三章安全評(píng)估的實(shí)施第二十五條第二十五條評(píng)估機(jī)構(gòu)在開始電子銀行安全評(píng)估之前，應(yīng)就評(píng)估的范圍、重點(diǎn)、時(shí)間與要求等問(wèn)題，與被評(píng)估機(jī)構(gòu)進(jìn)行充分的溝通，制定評(píng)估計(jì)劃，由雙方簽字認(rèn)可。第二十六條第二十六條依據(jù)評(píng)估計(jì)劃，評(píng)估機(jī)構(gòu)進(jìn)場(chǎng)對(duì)委托機(jī)構(gòu)的電子銀行安全進(jìn)行評(píng)估。電子銀行安全評(píng)估應(yīng)真實(shí)、全面地評(píng)價(jià)電子銀行系統(tǒng)的安全性。第二十七條第二十七條電子銀行安全評(píng)估至少應(yīng)包括以下內(nèi)容:（一）安全策略；（二）內(nèi)控制度建設(shè)；（三）風(fēng)險(xiǎn)管理狀況；（四）系統(tǒng)安全性；（五）電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃；（六）電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃；（七）電子銀行風(fēng)險(xiǎn)預(yù)警體系；（八）其他重要安全環(huán)節(jié)和機(jī)制的管理。第二十八條第二十八條電子銀行安全策略的評(píng)估，至少應(yīng)包括以下內(nèi)容:（一）安全策略制定的流程與合理性；（二）系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略；（三）系統(tǒng)測(cè)試與驗(yàn)收的安全策略；（四）系統(tǒng)運(yùn)行與維護(hù)的安全策略；（五）系統(tǒng)備份與應(yīng)急的安全策略；（六）客戶信息安全策略。評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)安全策略的評(píng)估，不僅要評(píng)估安全策略、規(guī)章制度和程序是否存在，還要評(píng)估這些制度是否得到貫徹執(zhí)行，是否及時(shí)更新，是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。第二十九條第二十九條電子銀行內(nèi)控制度的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性；（二）董事會(huì)和高級(jí)管理層在電子銀行安全和風(fēng)險(xiǎn)管理體系中的職責(zé)，以及相關(guān)部門職責(zé)和責(zé)任的合理性；（三）安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況；（四）內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行情況。第三十條第三十條電子銀行風(fēng)險(xiǎn)管理狀況的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）電子銀行風(fēng)險(xiǎn)管理架構(gòu)的適應(yīng)性和合理性；（二）董事會(huì)和高級(jí)管理層對(duì)電子銀行安全與風(fēng)險(xiǎn)管理的認(rèn)知能力與相關(guān)政策、策略的制定執(zhí)行情況；（三）電子銀行管理機(jī)構(gòu)職責(zé)設(shè)置的合理性及對(duì)相關(guān)風(fēng)險(xiǎn)的管控能力；（四）管理人員配備與培訓(xùn)情況；（五）電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定、程序等的執(zhí)行情況；（六）電子銀行業(yè)務(wù)的主要風(fēng)險(xiǎn)及管理狀況；（七）業(yè)務(wù)外包管理制度建設(shè)與管理狀況。第三十一條第三十一條電子銀行系統(tǒng)安全性的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）物理安全;（二）數(shù)據(jù)通訊安全；（三）應(yīng)用系統(tǒng)安全；（四）密鑰管理；（五）客戶信息認(rèn)證與保密；（六）入侵監(jiān)測(cè)機(jī)制和報(bào)告反應(yīng)機(jī)制。評(píng)估機(jī)構(gòu)應(yīng)突出對(duì)數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評(píng)估，客觀評(píng)價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻，銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫(kù)是否安全等，以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時(shí)測(cè)試和審核。第三十二條第三十二條電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）保障業(yè)務(wù)連續(xù)運(yùn)營(yíng)的設(shè)備和系統(tǒng)能力；（二）保證業(yè)務(wù)連續(xù)運(yùn)營(yíng)的制度安排和執(zhí)行情況。第三十三條第三十三條電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況；（二）電子銀行應(yīng)急設(shè)施設(shè)備配備情況；（三）定期、持續(xù)性檢測(cè)與演練情況；（四）應(yīng)對(duì)意外事故或外部攻擊的能力。第三十四條第三十四條評(píng)估機(jī)構(gòu)應(yīng)制定本機(jī)構(gòu)電子銀行安全評(píng)定標(biāo)準(zhǔn)，在進(jìn)行安全評(píng)估時(shí)，應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況，確定不同評(píng)估內(nèi)容對(duì)電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重，對(duì)每項(xiàng)評(píng)估內(nèi)容進(jìn)行評(píng)分，綜合計(jì)算出被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)。第三十五條第三十五條評(píng)估完成后，評(píng)估機(jī)構(gòu)應(yīng)及時(shí)撰寫評(píng)估報(bào)告，并于評(píng)估完成后1個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評(píng)估報(bào)告。第三十六條第三十六條評(píng)估報(bào)告應(yīng)至少包括以下內(nèi)容：（一）評(píng)估的時(shí)間、范圍及其他協(xié)議中重要的約定；（二）評(píng)估的總體框架、程序、主要方法及主要評(píng)估人員介紹；（三）不同評(píng)估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn)，風(fēng)險(xiǎn)等級(jí)的計(jì)算方法，以及風(fēng)險(xiǎn)等級(jí)的定義；（四）評(píng)估內(nèi)容與評(píng)估活動(dòng)描述；（五）評(píng)估結(jié)論；（六）對(duì)被評(píng)估機(jī)構(gòu)電子銀行安全管理的建議；（七）其他需要說(shuō)明的問(wèn)題；（八）主要術(shù)語(yǔ)定義和所采用的國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)介紹（可作為附件）；（九）評(píng)估工作流程記錄表（可作為附件）；（十）評(píng)估機(jī)構(gòu)參加評(píng)估人員名單（可作為附件）。在評(píng)估結(jié)論中，評(píng)估機(jī)構(gòu)應(yīng)采用量化的辦法表明被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)，說(shuō)明被評(píng)估機(jī)構(gòu)電子銀行安全管理中存在的主要問(wèn)題與隱患，并提出整改建議。第三十七條第三十七條評(píng)估報(bào)告完成并提交委托機(jī)構(gòu)后，如需修改，應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報(bào)告之后，不得直接修改原報(bào)告。第四章安全評(píng)估活動(dòng)的管理第三十八條第三十八條金融機(jī)構(gòu)在申請(qǐng)開辦電子銀行業(yè)務(wù)時(shí)，應(yīng)當(dāng)按照有關(guān)規(guī)定對(duì)完成測(cè)試的電子銀行系統(tǒng)進(jìn)行安全評(píng)估。第三十九條第三十九條金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后，有下列情形之一的，應(yīng)立即組織安全評(píng)估：（一）由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)運(yùn)行的；（二）電子銀行系統(tǒng)進(jìn)行重大更新或升級(jí)后，出現(xiàn)系統(tǒng)意外停機(jī)12小時(shí)以上的；（三）電子銀行關(guān)鍵設(shè)備與設(shè)施更換后，出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運(yùn)行的；（四）基于電子銀行安全管理需要立即評(píng)估的。第四十條第四十條金融機(jī)構(gòu)對(duì)電子銀行外部安全評(píng)估機(jī)構(gòu)的選聘，應(yīng)由金融機(jī)構(gòu)的董事會(huì)或高級(jí)管理層負(fù)責(zé)。第四十一條第四十一條已實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)，其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估，在總行（公司）的電子銀行安全評(píng)估中應(yīng)包含對(duì)其分支機(jī)構(gòu)電子銀行安全管理狀況的評(píng)估。第四十二條第四十二條未實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)，其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)且擁有獨(dú)立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的，分支機(jī)構(gòu)的電子銀行系統(tǒng)應(yīng)在總行（公司）的統(tǒng)一管理和指導(dǎo)下，按照有關(guān)規(guī)定進(jìn)行安全評(píng)估。第四十三條第四十三條電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機(jī)構(gòu)，其境外總行（公司）已經(jīng)進(jìn)行了安全評(píng)估且符合本指引有關(guān)規(guī)定的，其境內(nèi)分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估，但應(yīng)按照本指引的有關(guān)要求，向監(jiān)管部門報(bào)送安全評(píng)估報(bào)告。第四十四條第四十四條電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機(jī)構(gòu)，或者雖設(shè)置在境外但其境外總行（公司）未進(jìn)行安全評(píng)估或安全評(píng)估不符合本指引有關(guān)規(guī)定的，應(yīng)按規(guī)定開展電子銀行安全評(píng)估工作。第四十五條第四十五條電子銀行安全評(píng)估工作，確需由多個(gè)評(píng)估機(jī)構(gòu)共同承擔(dān)或?qū)嵤r(shí)，金融機(jī)構(gòu)應(yīng)確定一個(gè)主要的評(píng)估機(jī)構(gòu)協(xié)調(diào)總體評(píng)估工作，負(fù)責(zé)總體評(píng)估報(bào)告的編制。金融機(jī)構(gòu)將電子銀行系統(tǒng)委托給不同的評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)當(dāng)明確每個(gè)評(píng)估機(jī)構(gòu)安全評(píng)估的范圍，并保證全面覆蓋了應(yīng)評(píng)估的事項(xiàng)，沒(méi)有遺漏。第四十六條第四十六條金融機(jī)構(gòu)應(yīng)在簽署評(píng)估協(xié)議后兩周內(nèi)，將評(píng)估機(jī)構(gòu)簡(jiǎn)介、擬采用的評(píng)估方案和評(píng)估步驟等，報(bào)送中國(guó)銀監(jiān)會(huì)。第四十七條第四十七條中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可派員參加金融機(jī)構(gòu)電子銀行安全評(píng)估工作，但不作為正式評(píng)估人員，不提供評(píng)估意見。第四十八條第四十八條評(píng)估機(jī)構(gòu)應(yīng)本著客觀、公正、真實(shí)和自主的原則，開展評(píng)估活動(dòng)，并嚴(yán)格保守在評(píng)估過(guò)程中獲悉的商業(yè)機(jī)密。第四十九條第四十九條在評(píng)估過(guò)程中，委托機(jī)構(gòu)和評(píng)估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制：（一）評(píng)估過(guò)程中，調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等，都應(yīng)建立登記、簽字制度；（二）調(diào)閱的文件資料應(yīng)在指定的場(chǎng)所閱讀，不得帶出指定場(chǎng)所；（三）復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場(chǎng)所，如確需帶出的，必須詳細(xì)登記帶出文件或數(shù)據(jù)名稱、數(shù)量、帶出原因、文件與數(shù)據(jù)的最終處理方式、責(zé)任人等，并由相關(guān)負(fù)責(zé)人簽字確認(rèn)；（四）評(píng)估過(guò)程中廢棄的文件、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷毀或刪除；（五）評(píng)估工作結(jié)束后，雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)、資料等的交接情況簽署說(shuō)明。第五十條第五十條金融機(jī)構(gòu)在收到評(píng)估機(jī)構(gòu)評(píng)估報(bào)告的1個(gè)月內(nèi)，應(yīng)將評(píng)估報(bào)告報(bào)送中國(guó)銀監(jiān)會(huì)。金融機(jī)構(gòu)報(bào)送評(píng)估報(bào)告時(shí)，可對(duì)評(píng)估報(bào)告中的有關(guān)問(wèn)題作必要的說(shuō)明。第五十一條第五十一條未經(jīng)監(jiān)管部門批準(zhǔn)，電子銀行安全評(píng)估報(bào)告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)。第五十二條第五十二條對(duì)未按有關(guān)要求進(jìn)行的安全評(píng)估，或者評(píng)估程序、方法和評(píng)估報(bào)告存在重要缺陷的安全評(píng)估，中國(guó)銀監(jiān)會(huì)可以要求金融機(jī)構(gòu)進(jìn)行重新評(píng)估。第五十三條第五十三條中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可以自己組織或委托評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的電子銀行系統(tǒng)進(jìn)行安全評(píng)估，金融機(jī)構(gòu)應(yīng)予以配合。第五十四條第五十四條中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可直接向評(píng)估機(jī)構(gòu)了解其評(píng)估的方法、范圍和程序等。第五十五條第五十五條對(duì)于評(píng)估報(bào)告中所反映出的問(wèn)題，金融機(jī)構(gòu)應(yīng)采取有效的措施加以糾正。第五章附則第五十六條第五十六條本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋。第五十七條第五十七條本指引自202x年3月1日起施行。本內(nèi)容來(lái)源于政府官方網(wǎng)站，如需引用，請(qǐng)以正式文件為準(zhǔn)。第二篇：電子銀行安全評(píng)估指引（征求意見稿）（征求意見稿）第一章總則第一條為促進(jìn)電子銀行業(yè)務(wù)的健康發(fā)展，保證電子銀行業(yè)務(wù)安全性評(píng)估的客觀性、及時(shí)性、全面性和有效性，依據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)金融機(jī)構(gòu)法》等法律法規(guī)和《電子銀行業(yè)務(wù)管理辦法》等監(jiān)管規(guī)章，制定本指引。第二條電子銀行的安全評(píng)估，是指對(duì)開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)在電子銀行管理過(guò)程中的電子銀行安全策略、內(nèi)控制度、系統(tǒng)安全、客戶保護(hù)等方面，進(jìn)行的安全測(cè)試和風(fēng)險(xiǎn)管理能力等的綜合安全考察與評(píng)價(jià)。第三條在中華人民共和國(guó)境內(nèi)開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)以及利用境內(nèi)的電子銀行系統(tǒng)向境外提供電子銀行服務(wù)的金融機(jī)構(gòu)，都應(yīng)定期對(duì)電子銀行安全進(jìn)行評(píng)估。第四條開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)可以利用外部專業(yè)化的評(píng)估機(jī)構(gòu)對(duì)電子銀行安全進(jìn)行評(píng)估，也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營(yíng)管理部門的評(píng)估部門進(jìn)行電子銀行安全評(píng)估。第五條金融機(jī)構(gòu)的電子銀行安全評(píng)估工作應(yīng)納入金融機(jī)構(gòu)風(fēng)險(xiǎn)管理的總體框架，由金融機(jī)構(gòu)的風(fēng)險(xiǎn)管理委員會(huì)或相關(guān)機(jī)構(gòu)直接負(fù)責(zé)。第六條金融機(jī)構(gòu)的電子銀行安全評(píng)估應(yīng)接受中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì)）的監(jiān)督指導(dǎo)。第二章安全評(píng)估機(jī)構(gòu)第七條承擔(dān)金融機(jī)構(gòu)電子銀行安全評(píng)估工作的機(jī)構(gòu)，可以是外部專業(yè)化服務(wù)機(jī)構(gòu)，也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對(duì)獨(dú)立部門。第八條外部機(jī)構(gòu)從事電子銀行安全評(píng)估，應(yīng)具備以下條件：（一）具有較為完善的開展電子銀行安全評(píng)估業(yè)務(wù)的管理制度和操作規(guī)程；（二）制定了系統(tǒng)全面的內(nèi)部評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件，內(nèi)容應(yīng)至少包括評(píng)估程序、評(píng)估方法和依據(jù)、評(píng)估標(biāo)準(zhǔn)等；（三）擁有與電子銀行安全評(píng)估相關(guān)的各類專業(yè)人才，了解國(guó)際和中國(guó)相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)；（四）其他從事電子銀行安全評(píng)估應(yīng)當(dāng)具備的條件。第九條金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評(píng)估，除應(yīng)具備第八條規(guī)定的有關(guān)條件外，還應(yīng)具備以下條件：（一）從事電子銀行安全評(píng)估的部門必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門和運(yùn)營(yíng)部門；（二）從事電子銀行安全評(píng)估的部門未直接參與過(guò)有關(guān)電子銀行設(shè)備的選購(gòu)工作。第十條中國(guó)銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定工作。電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定工作，每年組織一次。電子銀行安全評(píng)估機(jī)構(gòu)在從事金融機(jī)構(gòu)電子銀行安全評(píng)估業(yè)務(wù)之前，應(yīng)向中國(guó)銀監(jiān)會(huì)申請(qǐng)對(duì)其資格進(jìn)行認(rèn)定。第十一條申請(qǐng)資格認(rèn)定的電子銀行評(píng)估機(jī)構(gòu)，應(yīng)在中國(guó)銀監(jiān)會(huì)公告的時(shí)限內(nèi)提交以下材料（一式七份）：（一）電子銀行安全評(píng)估資格認(rèn)定申請(qǐng)報(bào)告；（二）機(jī)構(gòu)介紹；（三）安全評(píng)估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等；（四）評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件；（五）主要評(píng)估人員簡(jiǎn)歷；（六）中國(guó)銀監(jiān)會(huì)要求提供的其他文件和資料。第十二條中國(guó)銀監(jiān)會(huì)收到安全評(píng)估機(jī)構(gòu)資格認(rèn)定的完整材料后三個(gè)月內(nèi)，組織有關(guān)專家和監(jiān)管人員對(duì)申請(qǐng)材料進(jìn)行評(píng)議，采用投票的辦法決定電子銀行安全評(píng)估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求。第十三條中國(guó)銀監(jiān)會(huì)對(duì)評(píng)估機(jī)構(gòu)資質(zhì)評(píng)議后，出具《電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書》，載明評(píng)議意見，對(duì)評(píng)估機(jī)構(gòu)的資格作出認(rèn)定。第十四條中國(guó)銀監(jiān)會(huì)出具的《電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書》，僅供評(píng)估機(jī)構(gòu)與開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)商恰有關(guān)電子銀行評(píng)估業(yè)務(wù)時(shí)使用，不影響評(píng)估機(jī)構(gòu)開展其他經(jīng)營(yíng)活動(dòng)。評(píng)估機(jī)構(gòu)不得將《電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書》用于宣傳或其他活動(dòng)。第十五條經(jīng)中國(guó)銀監(jiān)會(huì)評(píng)議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評(píng)估機(jī)構(gòu)，每次資格認(rèn)定的有效期為兩年。經(jīng)評(píng)議未達(dá)到認(rèn)定資格的，評(píng)估機(jī)構(gòu)可在下一年度重新申請(qǐng)資格認(rèn)定。第十六條在有效期內(nèi)，電子銀行安全評(píng)估機(jī)構(gòu)如果出現(xiàn)下列情況，中國(guó)銀監(jiān)會(huì)將撤銷已做出的評(píng)議和認(rèn)定意見：（一）評(píng)估機(jī)構(gòu)管理不善，其工作人員泄露被評(píng)估機(jī)構(gòu)秘密的；（二）評(píng)估工作質(zhì)量低下，評(píng)估活動(dòng)出現(xiàn)重要遺漏的；（三）未按要求提交評(píng)估報(bào)告，或評(píng)估報(bào)告中存在不實(shí)表述的；（四）將《電子銀行安全評(píng)估機(jī)構(gòu)資格認(rèn)定意見書》用于宣傳和其他經(jīng)營(yíng)活動(dòng)的；（五）存在其他嚴(yán)重不盡職行為的。第十七條評(píng)估機(jī)構(gòu)有下列行為之一的，中國(guó)銀監(jiān)會(huì)將在一定期限或無(wú)限期不承接評(píng)估機(jī)構(gòu)的資格認(rèn)定請(qǐng)求，銀行業(yè)金融機(jī)構(gòu)不應(yīng)再委托該評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估：（一）與委托機(jī)構(gòu)合謀，共同隱瞞在安全評(píng)估過(guò)程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評(píng)估報(bào)告；（二）在評(píng)估過(guò)程中弄虛作假，編造安全評(píng)估報(bào)告；（三）泄漏銀行機(jī)密信息，或不當(dāng)使用銀行機(jī)密資料；銀行業(yè)金融機(jī)構(gòu)內(nèi)部評(píng)估機(jī)構(gòu)出現(xiàn)以上情況之一的，中國(guó)銀監(jiān)會(huì)將按照有關(guān)法律法規(guī)和行政規(guī)章的規(guī)定，對(duì)相關(guān)責(zé)任人進(jìn)行處罰。第十八條中國(guó)銀監(jiān)會(huì)認(rèn)可的電子銀行安全評(píng)估機(jī)構(gòu)，以及有關(guān)資格認(rèn)定撤銷決定等信息，僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)，不向社會(huì)公布。第十九條金融機(jī)構(gòu)不得向第三方泄露中國(guó)銀監(jiān)會(huì)的有關(guān)通報(bào)信息，影響外部機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng)，也不得將有關(guān)信息用于與電子銀行安全評(píng)估活動(dòng)無(wú)關(guān)的其他業(yè)務(wù)活動(dòng)。第二十條開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)可以在中國(guó)銀監(jiān)會(huì)認(rèn)可的評(píng)估機(jī)構(gòu)范圍內(nèi)，自主選擇安全評(píng)估機(jī)構(gòu)，簽訂書面服務(wù)協(xié)議。金融機(jī)構(gòu)選擇內(nèi)部部門作為評(píng)估機(jī)構(gòu)時(shí)，應(yīng)由電子銀行運(yùn)營(yíng)部門與評(píng)估部門簽訂評(píng)估責(zé)任確定書。第二十一條金融機(jī)構(gòu)與評(píng)估機(jī)構(gòu)簽訂的服務(wù)協(xié)議中，必須含有明確的保密條款和保密責(zé)任。第二十二條安全評(píng)估機(jī)構(gòu)應(yīng)根據(jù)評(píng)估協(xié)議的規(guī)定，認(rèn)真履行評(píng)估職責(zé)，真實(shí)評(píng)估被評(píng)估機(jī)構(gòu)電子銀行運(yùn)營(yíng)的安全狀況。第三章安全評(píng)估的實(shí)施第二十三條評(píng)估機(jī)構(gòu)在開始電子銀行安全評(píng)估之前，應(yīng)就評(píng)估的范圍、重點(diǎn)、時(shí)間與要求等問(wèn)題，與被評(píng)估機(jī)構(gòu)進(jìn)行充分的溝通，制定評(píng)估計(jì)劃，由雙方簽字認(rèn)可。第二十四條依據(jù)評(píng)估計(jì)劃，評(píng)估機(jī)構(gòu)進(jìn)場(chǎng)對(duì)委托機(jī)構(gòu)的電子銀行安全進(jìn)行評(píng)估。電子銀行安全評(píng)估應(yīng)真實(shí)、全面地評(píng)價(jià)電子銀行系統(tǒng)的安全性。第二十五條電子銀行安全評(píng)估至少應(yīng)包括以下內(nèi)容：（一）安全策略；（二）內(nèi)控制度建設(shè)；（三）風(fēng)險(xiǎn)管理狀況；（四）系統(tǒng)安全性；（五）電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃；（六）電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃；（七）電子銀行風(fēng)險(xiǎn)預(yù)警體系；（八）其他重要安全環(huán)節(jié)和機(jī)制。第二十六條電子銀行安全策略的評(píng)估，至少應(yīng)包括以下內(nèi)容：（一）安全策略制定的流程與合理性；（二）系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略；（三）系統(tǒng)測(cè)試與驗(yàn)收的安全策略；（四）系統(tǒng)運(yùn)行與維護(hù)的安全策略；（五）系統(tǒng)備份與應(yīng)急相關(guān)策略。評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)安全策略的評(píng)估，不僅要評(píng)估安全戰(zhàn)略、規(guī)章制度和程序是否存在，還要評(píng)估這些制度是否能得到貫徹執(zhí)行，是否能做到及時(shí)更新，是否能全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。第二十七條電子銀行內(nèi)控制度的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）高級(jí)管理層對(duì)電子銀行安全的認(rèn)知能力與水平；（二）安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行；（三）內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行。第二十八條電子銀行風(fēng)險(xiǎn)管理狀況的評(píng)估，應(yīng)至少包括以下內(nèi)容：（一）電子銀行管理機(jī)構(gòu)設(shè)置的合理性與其他部門的協(xié)調(diào)性；（二）電子銀行管理部門主要負(fù)責(zé)人對(duì)電子銀行的熟知程度；（三）管理人員配備與培訓(xùn)情況；（四）電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定、程序等；（五）電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理狀況；（六）業(yè)務(wù)外包管理制度建設(shè)與管理狀況。第二十九條電子銀行系統(tǒng)安全性的評(píng)估，應(yīng)至少包括以下內(nèi)容:（一）物理安全；（二）數(shù)據(jù)通訊安全；（三）應(yīng)用系統(tǒng)安全；（四）密鑰管理；（五）客戶信息認(rèn)證與保密；（六）入侵監(jiān)測(cè)機(jī)制和報(bào)告反應(yīng)機(jī)制。評(píng)估機(jī)構(gòu)應(yīng)突出對(duì)數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評(píng)估，客觀評(píng)價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻，銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫(kù)是否安全等，以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時(shí)測(cè)試和審核。第三十條電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃，應(yīng)至少包括以下內(nèi)容：（一）電子銀行保障業(yè)務(wù)連續(xù)運(yùn)營(yíng)的設(shè)備和系統(tǒng)能力；（二）保證業(yè)務(wù)連續(xù)運(yùn)營(yíng)的制度安排和執(zhí)行情況；第三十一條電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃，應(yīng)至少包括以下內(nèi)容：（一）電子銀行應(yīng)急制度建設(shè)和執(zhí)行情況；（二）電子銀行應(yīng)急系統(tǒng)建設(shè)；（三）定期、持續(xù)性的檢測(cè)和演練情況；（四）應(yīng)對(duì)意外事故或非法攻擊的能力。第三十二條評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估的方式，包括審核有關(guān)資料、與相關(guān)人員談話等，但在電子銀行安全性評(píng)估時(shí)，必須采取至少一種方法對(duì)系統(tǒng)進(jìn)行測(cè)試。第三十三條評(píng)估機(jī)構(gòu)在進(jìn)行安全評(píng)估時(shí)，應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況，確定不同評(píng)估內(nèi)容對(duì)電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重，對(duì)每項(xiàng)評(píng)估內(nèi)容進(jìn)行評(píng)分，綜合計(jì)算出所評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)。第三十四條評(píng)估完成后，評(píng)估機(jī)構(gòu)應(yīng)及時(shí)撰寫評(píng)估報(bào)告，并于評(píng)估完成后一個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人簽字認(rèn)可的評(píng)估報(bào)告。第三十五條評(píng)估報(bào)告應(yīng)至少包括以下內(nèi)容：（一）評(píng)估的時(shí)間、范圍及其他協(xié)議中重要的約定；（二）評(píng)估的總體框架、程序、主要方法及主要評(píng)估人員介紹；（三）不同評(píng)估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn)，風(fēng)險(xiǎn)等級(jí)的計(jì)算方法，以及風(fēng)險(xiǎn)等級(jí)的定義；（四）評(píng)估內(nèi)容與評(píng)估活動(dòng)描述；（五）評(píng)估結(jié)論；（六）其他需要說(shuō)明的問(wèn)題；（七）主要術(shù)語(yǔ)定義和所采用的國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)介紹（可作為附件）；（八）評(píng)估工作流程記錄表（可作為附件）；（九）參加評(píng)估人員名單（可作為附件）。在評(píng)估結(jié)論中，評(píng)估機(jī)構(gòu)應(yīng)采用量化的辦法，表明被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)，并說(shuō)明被評(píng)估機(jī)構(gòu)電子銀行安全管理中存在的主要問(wèn)題與隱患，并說(shuō)明整改建議。第三十六條評(píng)估報(bào)告完成并提交委托機(jī)構(gòu)后，如需修改，應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報(bào)告之后，不得直接修改原報(bào)告。第四章安全評(píng)估活動(dòng)的管理第三十七條金融機(jī)構(gòu)在申請(qǐng)開辦電子銀行業(yè)務(wù)時(shí)，應(yīng)當(dāng)按照有關(guān)規(guī)定對(duì)完成測(cè)試的電子銀行進(jìn)行安全評(píng)估。第三十八條金融機(jī)構(gòu)獲準(zhǔn)開辦電子銀行業(yè)務(wù)后，應(yīng)當(dāng)至少每年對(duì)電子銀行進(jìn)行一次安全評(píng)估。有下列情形之一的，應(yīng)立即組織安全評(píng)估：（一）由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)完善的；（二）電子銀行系統(tǒng)進(jìn)行重大的更新和升級(jí)的；（三）電子銀行的基礎(chǔ)設(shè)施出現(xiàn)重大改變的；（四）基于電子銀行安全管理需要應(yīng)即時(shí)評(píng)估的。第三十九條評(píng)估機(jī)構(gòu)的選擇應(yīng)由金融機(jī)構(gòu)的高級(jí)管理層最終確定。評(píng)估機(jī)構(gòu)確定后，金融機(jī)構(gòu)必須與評(píng)估機(jī)構(gòu)簽定評(píng)估協(xié)議，明確界定評(píng)估的任務(wù)、雙方的權(quán)利和義務(wù)。評(píng)估協(xié)議應(yīng)由金融機(jī)構(gòu)的高級(jí)管理層簽署。第四十條金融機(jī)構(gòu)原則上只能確定一個(gè)評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估，若有多個(gè)評(píng)估機(jī)構(gòu)參與評(píng)估，金融機(jī)構(gòu)必須確定一個(gè)主要的評(píng)估機(jī)構(gòu)協(xié)調(diào)總體評(píng)估工作，負(fù)責(zé)總體評(píng)估報(bào)告的制作。金融機(jī)構(gòu)將電子銀行的不同系統(tǒng)委托給不同的評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估，應(yīng)當(dāng)明確每個(gè)評(píng)估機(jī)構(gòu)的安全評(píng)估范圍，保證不同的評(píng)估范圍之間沒(méi)有遺漏。第四十一條金融機(jī)構(gòu)應(yīng)在簽署評(píng)估協(xié)議后2周內(nèi)，將評(píng)估機(jī)構(gòu)簡(jiǎn)介、擬采用的評(píng)估方案和評(píng)估步驟等，報(bào)送中國(guó)銀監(jiān)會(huì)。第四十二條中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可派員參加金融機(jī)構(gòu)電子銀行安全評(píng)估工作，但不作為正式評(píng)估人員，不提供評(píng)估意見。第四十三條評(píng)估機(jī)構(gòu)應(yīng)本著客觀、公正、真實(shí)和自主的原則，開展評(píng)估活動(dòng)，并嚴(yán)格保守在評(píng)估過(guò)程中獲悉的商業(yè)機(jī)密。第四十四條在評(píng)估過(guò)程中，委托機(jī)構(gòu)和評(píng)估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制。（一）評(píng)估過(guò)程中，調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等，都應(yīng)建立登記、簽字制度；（二）調(diào)閱的文件資料應(yīng)在指定的場(chǎng)所閱讀，不能復(fù)印，不得帶出指定場(chǎng)所；（三）復(fù)制的文件或數(shù)據(jù)不應(yīng)帶出工作場(chǎng)地，如確需帶出的，必須詳細(xì)登記帶出數(shù)據(jù)的原因、時(shí)間、責(zé)任人等；（四）評(píng)估過(guò)程中廢棄的文件、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷毀或刪除；（五）評(píng)估工作結(jié)束后，雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)、資料等的交接情況簽署說(shuō)明。第四十五條金融機(jī)構(gòu)在收到評(píng)估機(jī)構(gòu)的評(píng)估報(bào)告一個(gè)月內(nèi)，應(yīng)將評(píng)估報(bào)告抄報(bào)中國(guó)銀監(jiān)會(huì)。金融機(jī)構(gòu)報(bào)送評(píng)估報(bào)告時(shí)，可對(duì)評(píng)估報(bào)告中的有關(guān)問(wèn)題作必要的說(shuō)明。第四十六條未經(jīng)監(jiān)管部門批準(zhǔn)，電子銀行安全評(píng)估報(bào)告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)。第四十七條對(duì)未按有關(guān)要求進(jìn)行的安全評(píng)估，或者評(píng)估程序、方法和評(píng)估報(bào)告存在重要缺陷的安全評(píng)估，中國(guó)銀監(jiān)會(huì)可以要求金融機(jī)構(gòu)進(jìn)行重新評(píng)估。第四十八條中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可以自己組織或委托評(píng)估機(jī)構(gòu)對(duì)電子銀行系統(tǒng)進(jìn)行安全評(píng)估，金融機(jī)構(gòu)對(duì)于中國(guó)銀監(jiān)會(huì)組織的安全評(píng)估應(yīng)予以配合。第四十九條中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可直接向評(píng)估機(jī)構(gòu)了解其評(píng)估的方法、范圍和程序等。第五十條對(duì)于評(píng)估報(bào)告中所反映出的問(wèn)題，金融機(jī)構(gòu)應(yīng)采取有效的措施加以糾正。第五章附則第五十一條本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋。第五十二條本指引自發(fā)布之日起施行。第三篇：電子銀行評(píng)估報(bào)告一、202x年電子銀行業(yè)務(wù)發(fā)展概況202x年我行加大電子銀行業(yè)務(wù)投入，加強(qiáng)電子銀行業(yè)務(wù)建設(shè)，業(yè)務(wù)管理，提高業(yè)務(wù)風(fēng)險(xiǎn)防范能力，加大市場(chǎng)推廣力度，網(wǎng)上銀行和自助銀行各項(xiàng)業(yè)務(wù)取得的長(zhǎng)足的發(fā)展，在上級(jí)管理部門的領(lǐng)導(dǎo)下，我行atm有所幅增加。電子銀行業(yè)務(wù)功能增加，系統(tǒng)穩(wěn)定性提高，風(fēng)險(xiǎn)控制更為嚴(yán)密，各項(xiàng)業(yè)務(wù)均有較大幅度增長(zhǎng)，取得了良好的經(jīng)濟(jì)效益，也提高了客戶服務(wù)水準(zhǔn)和電子銀行品牌知名度。1、網(wǎng)上銀行業(yè)務(wù)發(fā)展概況202x年我行網(wǎng)上銀行其他業(yè)務(wù)指標(biāo)繼續(xù)保持快速增長(zhǎng)，網(wǎng)銀交易筆數(shù)、交易金額和網(wǎng)銀手續(xù)費(fèi)收入均有大幅增長(zhǎng)，見下表：業(yè)務(wù)指標(biāo)202x年202x年同比增長(zhǎng)個(gè)人開戶數(shù)（戶）138773.8%企業(yè)開戶數(shù)（戶）29126.17%2、自助銀行業(yè)務(wù)發(fā)展概況202x年我行面向客戶服務(wù)的自助銀行機(jī)具在原有atm柜員機(jī)、自動(dòng)存取款一體機(jī)、存折補(bǔ)登等服務(wù)。202x年新增atm設(shè)備（自動(dòng)存取款一體機(jī)）5臺(tái)，截至202x年底自助銀行區(qū)1個(gè)，自助設(shè)備存量15臺(tái)。202x年全行atm機(jī)交易筆數(shù)萬(wàn)筆，交易金額萬(wàn)元，手續(xù)費(fèi)收入22萬(wàn)元。二、202x年我行電子銀行業(yè)務(wù)發(fā)展評(píng)價(jià)202x年是我行電子銀行業(yè)務(wù)快速發(fā)展的一年。網(wǎng)上銀行業(yè)務(wù)系統(tǒng)升級(jí)改造、自助銀行業(yè)務(wù)多臺(tái)新設(shè)備投放，為我行電子銀行業(yè)務(wù)今后的持續(xù)發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)。制定完善各項(xiàng)業(yè)務(wù)規(guī)章制度，調(diào)整風(fēng)險(xiǎn)防范措施，提高風(fēng)控水平，梳理業(yè)務(wù)流程，為我行電子銀行業(yè)務(wù)健康發(fā)展提供了制度保障。1、網(wǎng)上銀行1）優(yōu)化網(wǎng)上銀行功能，在新功能建設(shè)同時(shí)，充分考慮客戶體驗(yàn)，對(duì)網(wǎng)上銀行頁(yè)面和流程進(jìn)行了優(yōu)化。2）銀企對(duì)賬功能的推出為企業(yè)與我行間及時(shí)對(duì)賬提供了網(wǎng)絡(luò)渠道，大大節(jié)省了我行客戶辦理業(yè)務(wù)的時(shí)間。2、自助銀行202x年自助設(shè)備業(yè)務(wù)在新機(jī)器安裝投放、業(yè)務(wù)管理、業(yè)務(wù)數(shù)據(jù)統(tǒng)計(jì)和功能開發(fā)等方面都取得一定進(jìn)展。完成atm數(shù)據(jù)平臺(tái)采集需求編寫、業(yè)務(wù)測(cè)試和上線工作。該系統(tǒng)上線后對(duì)提供我行自助銀行業(yè)務(wù)統(tǒng)計(jì)準(zhǔn)確性和時(shí)效性，強(qiáng)化了業(yè)務(wù)監(jiān)控能力;3、pos業(yè)務(wù)pos機(jī)作為現(xiàn)代化消費(fèi)最重要的工具之一，已成為各家金融機(jī)構(gòu)增加中間業(yè)務(wù)收入的主渠道。我行也緊跟各銀行的步伐，積極營(yíng)銷特約商戶客戶，取得了較好的成績(jī)，202x年我行新增pos商戶96戶，累計(jì)pos商戶195戶；新增固話pos商戶109戶。三、202x年電子銀行業(yè)務(wù)效益分析目前我行發(fā)展電子銀行業(yè)務(wù)著眼于為客戶提供更多的服務(wù)渠道，提高客戶獲得銀行服務(wù)的便利性，借助電子銀行業(yè)務(wù)渠道減輕營(yíng)業(yè)柜臺(tái)的壓力，提高我行整體服務(wù)水平，因此，單純從業(yè)務(wù)會(huì)計(jì)核算角度來(lái)看，電子銀行業(yè)務(wù)為我行帶來(lái)的直接利潤(rùn)有限。當(dāng)前，培育市場(chǎng)、提高市場(chǎng)份額、引導(dǎo)客戶使用電子銀行服務(wù)渠道，減輕我行營(yíng)業(yè)網(wǎng)點(diǎn)柜面業(yè)務(wù)量的壓力，是我行電子銀行業(yè)務(wù)發(fā)展的重要目標(biāo)。我們希望在業(yè)務(wù)發(fā)展到一定階段，根據(jù)市場(chǎng)形勢(shì)選擇合適的時(shí)機(jī)，通過(guò)調(diào)整電子銀行業(yè)務(wù)政策，從而實(shí)現(xiàn)業(yè)務(wù)利潤(rùn)的增長(zhǎng)。1、網(wǎng)上銀行效益分析網(wǎng)上銀行業(yè)務(wù)的支出主要包括系統(tǒng)建設(shè)投入、運(yùn)營(yíng)投入、職工工資、市場(chǎng)宣傳投入、網(wǎng)銀業(yè)務(wù)拓展費(fèi)用等，因未對(duì)單項(xiàng)業(yè)務(wù)進(jìn)行獨(dú)立核算，網(wǎng)銀業(yè)務(wù)支出具體數(shù)據(jù)無(wú)法統(tǒng)計(jì)，故網(wǎng)銀業(yè)務(wù)利潤(rùn)也無(wú)法估算。2、自助銀行業(yè)務(wù)效益分析自助銀行業(yè)務(wù)收入是我行電子銀行業(yè)務(wù)收入的重要來(lái)源。自助銀行業(yè)務(wù)收入主要包括atm本代他取款手續(xù)費(fèi)收入和pos傭金收入。其中atm本代他和轉(zhuǎn)賬手續(xù)費(fèi)收費(fèi)標(biāo)準(zhǔn)按照中國(guó)銀聯(lián)制定的標(biāo)準(zhǔn)收取。202x年我行自助銀行收入統(tǒng)計(jì)見下表：收入類別金額（萬(wàn)元）跨行取款手續(xù)費(fèi)收入22pos交易回傭收入12合計(jì)34我行自助銀行支出主要包括自助設(shè)備采購(gòu)、安裝、運(yùn)營(yíng)維護(hù)費(fèi)用、系統(tǒng)建設(shè)以及相關(guān)業(yè)務(wù)人員和技術(shù)人員人力成本等。我行未對(duì)自助銀行業(yè)務(wù)進(jìn)行單項(xiàng)核算成本支出，因此暫時(shí)無(wú)法統(tǒng)計(jì)該項(xiàng)業(yè)務(wù)利潤(rùn)收入數(shù)據(jù)。四、電子銀行業(yè)務(wù)風(fēng)險(xiǎn)狀況分析我行十分重視電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)控制，建立了完善的風(fēng)險(xiǎn)管理制度。202x年我行對(duì)全行電子銀行業(yè)務(wù)的規(guī)章制度進(jìn)行了清理和修訂，分析各項(xiàng)業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)，梳理業(yè)務(wù)流程，規(guī)避業(yè)務(wù)操作風(fēng)險(xiǎn)，從而在制度上保障對(duì)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)的有效控制。我們認(rèn)為我行電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)控制較嚴(yán)密，有效的保障了系統(tǒng)有效運(yùn)行和客戶資金安全?；仡櫲陿I(yè)務(wù)發(fā)展過(guò)程，我行嚴(yán)格按照《電子銀行業(yè)務(wù)管理辦法》的規(guī)定，在監(jiān)管部門的指導(dǎo)下，對(duì)全行電子銀行業(yè)務(wù)進(jìn)行有效管理，在控制業(yè)務(wù)風(fēng)險(xiǎn)前提下，加大電子銀行業(yè)務(wù)投入力度，實(shí)現(xiàn)了電子銀行業(yè)務(wù)的快速增長(zhǎng)，取得了良好的經(jīng)濟(jì)效益，同時(shí)也向客戶提供了安全、高效、優(yōu)質(zhì)的金融服務(wù)，進(jìn)一步提升了我行電子銀行業(yè)務(wù)品牌形象。第四篇：小水電站安全評(píng)估標(biāo)準(zhǔn)及安全評(píng)估指引小水電站安全評(píng)估標(biāo)準(zhǔn)及安全評(píng)估指引1刖言大壩安全定期檢查是政府行使大壩安全監(jiān)察的一項(xiàng)重要制度，也是確保大壩安全運(yùn)行的重要舉措。大壩安全監(jiān)察中心（以下簡(jiǎn)稱“大壩中心”）從1987年開始，有計(jì)劃、有步驟地對(duì)我國(guó)電力系統(tǒng)的水電站大壩安全開展首輪定期檢查工作，到1998年為止共完成了96座水電站大壩的定期檢查工作；通過(guò)首輪定期檢查，基本上掌握780年代前投入運(yùn)行的水電站大壩的安全狀況，查明了影響水電站大壩安全的一些缺陷和隱患，解決了一些多年來(lái)懸而未決的重大問(wèn)題，查出了一些病壩、險(xiǎn)壩，推動(dòng)了大壩補(bǔ)強(qiáng)加固、監(jiān)測(cè)系統(tǒng)更新改造等工作；同時(shí)，通過(guò)定期檢查，增強(qiáng)了水電站運(yùn)行管理人員的大壩安全意識(shí)，提高了管理水平和業(yè)務(wù)素質(zhì)，為大壩安全管理打下了比較堅(jiān)實(shí)的基礎(chǔ)。第二輪大壩安全定期檢查工作從1997年開始，規(guī)劃安排了131座大壩，到目前為止共有121座大壩開展了二輪定期檢查工作，已經(jīng)完成的有105座，16座正在進(jìn)行，第二輪定期檢查工作計(jì)劃于2005年結(jié)束。目前，第二輪定期檢查已接近尾聲，第三輪定期檢查工作正在醞釀策劃中，并計(jì)劃于2005年啟動(dòng)；現(xiàn)正值《水電站大壩運(yùn)行安全管理規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）頒布之際，正確理解《規(guī)定》的要求，對(duì)做好大壩安全第三輪定期檢查工作以及大壩安全管理工作，是十分重要的。2大壩安全定期檢查規(guī)劃首輪、第二輪定期檢查規(guī)劃，主要依據(jù)當(dāng)時(shí)各大壩主管單位所轄水電站大壩的定期檢查計(jì)劃，經(jīng)大壩中心平衡后，制訂該輪定期檢查規(guī)劃。規(guī)劃定期檢查的大壩為已注冊(cè)或正在辦理注冊(cè)的大壩。第三輪大壩安全定期檢查規(guī)劃，是在上輪規(guī)劃基礎(chǔ)上制定，并以此制定年度計(jì)劃，明確各水電站開始啟動(dòng)大壩安全定期檢查的時(shí)間，并按此計(jì)劃督促水電站運(yùn)行單位及時(shí)開展大壩安全定期檢查工作。關(guān)于定期檢查頻次和時(shí)間要求，《規(guī)定》第十九條明確規(guī)定：定期檢查一般每五年進(jìn)行一次，檢查時(shí)間一般不超過(guò)一年。新建工程的第一次定期檢查，在工程竣工安全鑒定完成五年后進(jìn)行。3大壩安全定期檢查要點(diǎn)每輪大壩安全定期檢查都有其明確的檢查要點(diǎn)，首輪定期檢查強(qiáng)調(diào)全面性，二輪定期檢查突出金屬結(jié)構(gòu)檢測(cè)、水下檢查及監(jiān)測(cè)系統(tǒng)評(píng)價(jià)等。三輪定期檢查的要點(diǎn)已在國(guó)家電力監(jiān)管委員會(huì)的《關(guān)于組織開展第三輪水電站大壩安全定期檢查工作的通知》（電監(jiān)安全200439號(hào)文）中明確，既要全面檢查，也要突出重點(diǎn)。全面檢查不同于首輪定檢，首輪定檢是由于大多數(shù)大壩在70年代之前完建，面臨技術(shù)規(guī)范不完善、施工技術(shù)較落后、材料短缺、檔案資料不全等問(wèn)題，因此有必要采取全面的設(shè)計(jì)復(fù)核、施工復(fù)查和運(yùn)行檢查，而三輪定檢的全面檢查則是對(duì)結(jié)構(gòu)運(yùn)行性態(tài)的檢查、對(duì)比，同時(shí)確認(rèn)外部荷載、規(guī)程規(guī)范的變化和影響程度；突出重點(diǎn)則是強(qiáng)調(diào)特殊性，針對(duì)不同的大壩、不同的問(wèn)題做重點(diǎn)檢查，而不象二輪定檢強(qiáng)調(diào)金屬結(jié)構(gòu)檢測(cè)和水下檢查那樣具有普遍性，應(yīng)該說(shuō)二輪定檢強(qiáng)調(diào)的重點(diǎn)正是首輪定檢未能顧得上的；因此可以說(shuō)首輪和二輪定檢形成了大壩的基本安全檔案，為今后的檢查提供了參照物。而三輪及其以后的定檢就是一種標(biāo)準(zhǔn)化、程序化、制度化的工作，具有一定的共性。三輪定檢的要點(diǎn)關(guān)鍵在于分析評(píng)價(jià)大壩的運(yùn)行性態(tài)。通過(guò)定期檢查，真正達(dá)到提高大壩安全狀況和運(yùn)行維護(hù)管理水平，確保水電站大壩安全運(yùn)行。4大壩安全定期檢查組織形式首輪大壩安全定期檢查由水電站大壩主管單位組織；第二輪大壩安全定期檢查有水電站大壩主管單位組織的形式，也有大壩中心組織的形式。對(duì)于第三輪定檢，《規(guī)定》第十九條明確規(guī)定：“定期檢查由大壩中心負(fù)責(zé)。大壩中心可以委托水電站大壩主管單位組織實(shí)施定期檢查”。大型或重要大壩的定期檢查由大壩中心組織，中型水電站大壩的定期檢查，由水電站大壩主管單位向大壩中心提出申請(qǐng)，經(jīng)大壩中心同意批復(fù)后，按規(guī)劃和計(jì)劃實(shí)施。大壩中心組織定期檢查，應(yīng)當(dāng)組成專家組。專家組根據(jù)水電站大壩的具體情況，確定專項(xiàng)檢查項(xiàng)目和內(nèi)容。水電站運(yùn)行單位組織具有相應(yīng)資質(zhì)的單位進(jìn)行專項(xiàng)檢查，并向大壩中心提交有關(guān)專項(xiàng)檢查情況的專題報(bào)告。大壩中心對(duì)專題報(bào)告進(jìn)行審查，并根據(jù)水電站大壩實(shí)際運(yùn)行情況，對(duì)水電站大壩的結(jié)構(gòu)性態(tài)和安全狀況進(jìn)行綜合分析，評(píng)定水電站大壩安全等級(jí)，提出定期檢查報(bào)告，形成定期檢查審查意見報(bào)電監(jiān)會(huì)備案。委托大壩主管單位組織的定檢，改變不了大壩中心負(fù)責(zé)定檢的性質(zhì)，大壩中心同樣面臨監(jiān)督、指導(dǎo)的任務(wù)。大壩中心將在運(yùn)行單位配合工作要求、專家組組成、專項(xiàng)檢查內(nèi)容、專題承擔(dān)單位選擇、專家組報(bào)告大綱等方面進(jìn)行監(jiān)督和指導(dǎo)，大壩主管單位在上述幾個(gè)方面應(yīng)提前函報(bào)大壩中心，大壩中心如有不同意見會(huì)及時(shí)反饋。專家組向水電站大壩主管單位提出定期檢查報(bào)告，由主管單位轉(zhuǎn)報(bào)大壩中心?！兑?guī)定》第二十條規(guī)定。特種檢查由水電站運(yùn)行單位提出，大壩中心組織實(shí)施。當(dāng)發(fā)生特大洪水、強(qiáng)烈地震或者發(fā)現(xiàn)可能影響水電站大壩安全的異常情況，水電站運(yùn)行單位應(yīng)當(dāng)向大壩中心提出特種檢查申請(qǐng)。大壩中心接到申請(qǐng)后，應(yīng)當(dāng)及時(shí)組織專家組確定檢查項(xiàng)目和內(nèi)容。對(duì)需要進(jìn)行專項(xiàng)檢查的項(xiàng)目，由水電站運(yùn)行單位組織具有相應(yīng)資質(zhì)的單位進(jìn)行專項(xiàng)檢查，并向大壩中心提交有關(guān)專項(xiàng)檢查情況的專題報(bào)告。大壩中心綜合檢查情況，提出特種檢查報(bào)告。水電站運(yùn)行單位應(yīng)當(dāng)根據(jù)特種檢查報(bào)告進(jìn)行整改。5大壩安全定期檢查專家組大壩安全定期檢查工作，是一項(xiàng)政策性、技術(shù)性很強(qiáng)的工作，因此，充分依靠專家的智慧是保證大壩安全定期檢查質(zhì)量的基礎(chǔ)。通常根據(jù)工程規(guī)模，專家組一般由5?9人組成。與工程設(shè)計(jì)、施工、監(jiān)