電子銀行安全評(píng)估指引
發(fā)布機(jī)關(guān):中國(guó)銀行業(yè)監(jiān)督管理委員會(huì) 來(lái)自:法律橋 發(fā)布時(shí)間:2006-1-26 22:18:44 點(diǎn)擊:
第一章 總 則
第一條 為加強(qiáng)電子銀行業(yè)務(wù)的安全與風(fēng)險(xiǎn)管理,保證電子銀行安全評(píng)估的客觀性、及時(shí)性、全面性和有效性,依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,制定本指引。
第二條 電子銀行的安全評(píng)估,是指金融機(jī)構(gòu)在開展電子銀行業(yè)務(wù)過(guò)程中,對(duì)電子銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全、客戶保護(hù)等方面進(jìn)行的安全測(cè)試和管控能力的考察與評(píng)價(jià)。
第三條 開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu),應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要,至少每2年對(duì)電子銀行進(jìn)行一次全面的安全評(píng)估。
第四條 金融機(jī)構(gòu)可以利用外部專業(yè)化的評(píng)估機(jī)構(gòu)對(duì)電子銀行進(jìn)行安全評(píng)估,也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營(yíng)和管理部門的評(píng)估部門對(duì)電子銀行進(jìn)行安全評(píng)估。
第五條 金融機(jī)構(gòu)應(yīng)建立電子銀行安全評(píng)估的規(guī)章制度體系和工作規(guī)程,保證電子銀行安全評(píng)估能夠及時(shí)、客觀地得以實(shí)施。
第六條 金融機(jī)構(gòu)的電子銀行安全評(píng)估,應(yīng)接受中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì))的監(jiān)督指導(dǎo)。
第二章 安全評(píng)估機(jī)構(gòu)
第七條 承擔(dān)金融機(jī)構(gòu)電子銀行安全評(píng)估工作的機(jī)構(gòu),可以是金融機(jī)構(gòu)外部的社會(huì)專業(yè)化機(jī)構(gòu),也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對(duì)獨(dú)立部門。
第八條 外部機(jī)構(gòu)從事電子銀行安全評(píng)估,應(yīng)具備以下條件:
(一) 具有較為完善的開展電子銀行安全評(píng)估業(yè)務(wù)的管理制度和操作規(guī)程;
(二) 制定了系統(tǒng)、全面的評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件,評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評(píng)估程序、評(píng)估方法和依據(jù)、評(píng)估標(biāo)準(zhǔn)等;
(三) 擁有與電子銀行安全評(píng)估相關(guān)的各類專業(yè)人才,了解國(guó)際和中國(guó)相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn);
(四) 中國(guó)銀監(jiān)會(huì)規(guī)定的其他從事電子銀行安全評(píng)估應(yīng)當(dāng)具備的條件。
第九條 金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評(píng)估,除應(yīng)具備第八條 規(guī)定的有關(guān)條件外,還應(yīng)具備以下條件:
(一) 必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門、運(yùn)營(yíng)部門和管理部門;
(二) 未直接參與過(guò)有關(guān)電子銀行設(shè)備的選購(gòu)工作。
第十條 中國(guó)銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作。
電子銀行安全評(píng)估機(jī)構(gòu)在開展金融機(jī)構(gòu)電子銀行安全評(píng)估業(yè)務(wù)前,可以向中國(guó)銀監(jiān)會(huì)申請(qǐng)對(duì)其資質(zhì)進(jìn)行認(rèn)定。
第十一條 金融機(jī)構(gòu)在進(jìn)行電子銀行安全評(píng)估時(shí),可以選擇經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu),也可以選擇未經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)。
金融機(jī)構(gòu)選擇經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí),有關(guān)安全評(píng)估機(jī)構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機(jī)構(gòu)選擇未經(jīng)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評(píng)估機(jī)構(gòu)時(shí),安全評(píng)估機(jī)構(gòu)的選擇標(biāo)準(zhǔn)應(yīng)不低于第八條、第九條規(guī)定的條件要求,并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,報(bào)送相關(guān)材料。
電子銀行安全評(píng)估機(jī)構(gòu)無(wú)論是否經(jīng)過(guò)中國(guó)銀監(jiān)會(huì)資質(zhì)認(rèn)定,在開展電子銀行安全評(píng)估活動(dòng)時(shí),都應(yīng)遵守有關(guān)電子銀行安全評(píng)估實(shí)施和管理的規(guī)定。
第十二條 中國(guó)銀監(jiān)會(huì)每年將組織一次電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定工作,評(píng)定時(shí)間應(yīng)提前1個(gè)月公告。
第十三條 申請(qǐng)資質(zhì)認(rèn)定的電子銀行安全評(píng)估機(jī)構(gòu),應(yīng)在中國(guó)銀監(jiān)會(huì)公告規(guī)定的時(shí)限內(nèi)提交以下材料(一式七份):
(一) 電子銀行安全評(píng)估資質(zhì)認(rèn)定申請(qǐng)報(bào)告;
(二) 機(jī)構(gòu)介紹;
(三) 安全評(píng)估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等;
(四) 評(píng)估手冊(cè)或評(píng)估指導(dǎo)文件;
(五) 主要評(píng)估人員簡(jiǎn)歷;
(六) 中國(guó)銀監(jiān)會(huì)要求提供的其他文件、資料。
第十四條 中國(guó)銀監(jiān)會(huì)收到安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定申請(qǐng)完整材料后,組織有關(guān)專家和監(jiān)管人員對(duì)申請(qǐng)材料進(jìn)行評(píng)議,采用投票的辦法評(píng)定電子銀行安全評(píng)估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求。
第十五條 中國(guó)銀監(jiān)會(huì)對(duì)評(píng)估機(jī)構(gòu)資質(zhì)評(píng)議后,出具《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》,載明評(píng)議意見,對(duì)評(píng)估機(jī)構(gòu)的資質(zhì)做出認(rèn)定。
第十六條 中國(guó)銀監(jiān)會(huì)出具的《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》,僅供評(píng)估機(jī)構(gòu)與金融機(jī)構(gòu)商恰有關(guān)電子銀行安全評(píng)估業(yè)務(wù)時(shí)使用,不影響評(píng)估機(jī)構(gòu)開展其他經(jīng)營(yíng)活動(dòng)。
評(píng)估機(jī)構(gòu)不得將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳或其他活動(dòng)。
第十七條 經(jīng)中國(guó)銀監(jiān)會(huì)評(píng)議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評(píng)估機(jī)構(gòu),每次資質(zhì)認(rèn)定的有效期限為2年。
經(jīng)評(píng)議不符合認(rèn)定資質(zhì)的,評(píng)估機(jī)構(gòu)可在下一年度重新申請(qǐng)資質(zhì)認(rèn)定。
第十八條 在資質(zhì)認(rèn)定的有效期限內(nèi),電子銀行安全評(píng)估機(jī)構(gòu)如果出現(xiàn)下列情況,中國(guó)銀監(jiān)會(huì)將撤銷已做出的評(píng)議和認(rèn)定意見:
(一) 評(píng)估機(jī)構(gòu)管理不善,其工作人員泄露被評(píng)估機(jī)構(gòu)秘密的;
(二) 評(píng)估工作質(zhì)量低下,評(píng)估活動(dòng)出現(xiàn)重要遺漏的;
(三) 未按要求提交評(píng)估報(bào)告,或評(píng)估報(bào)告中存在不實(shí)表述的;
(四) 將《電子銀行安全評(píng)估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳和其他經(jīng)營(yíng)活動(dòng)的;
(五) 存在其他嚴(yán)重不盡職行為的。
第十九條 評(píng)估機(jī)構(gòu)有下列行為之一的,中國(guó)銀監(jiān)會(huì)將在一定期限或無(wú)限期不再受理評(píng)估機(jī)構(gòu)的資質(zhì)認(rèn)定申請(qǐng),金融機(jī)構(gòu)不應(yīng)再委托該評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估:
(一) 與委托機(jī)構(gòu)合謀,共同隱瞞在安全評(píng)估過(guò)程中發(fā)現(xiàn)的安全漏洞,未按要求寫入評(píng)估報(bào)告的;
(二) 在評(píng)估過(guò)程中弄虛作假,編造安全評(píng)估報(bào)告的;
(三) 泄漏被評(píng)估機(jī)構(gòu)機(jī)密信息,或不當(dāng)使用被評(píng)估機(jī)構(gòu)機(jī)密資料的。
金融機(jī)構(gòu)內(nèi)部評(píng)估機(jī)構(gòu)出現(xiàn)以上情況之一的,中國(guó)銀監(jiān)會(huì)將依法對(duì)相關(guān)機(jī)構(gòu)和責(zé)任人進(jìn)行處罰。
第二十條 中國(guó)銀監(jiān)會(huì)認(rèn)可的電子銀行安全評(píng)估機(jī)構(gòu),以及有關(guān)資質(zhì)認(rèn)定、撤銷等信息,僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào),不向社會(huì)發(fā)布。
金融機(jī)構(gòu)不得向第三方泄露中國(guó)銀監(jiān)會(huì)的有關(guān)通報(bào)信息,影響有關(guān)機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng),也不得將有關(guān)信息用于與電子銀行安全評(píng)估活動(dòng)無(wú)關(guān)的其他業(yè)務(wù)活動(dòng)。
第二十一條 金融機(jī)構(gòu)可以在中國(guó)銀監(jiān)會(huì)認(rèn)定的評(píng)估機(jī)構(gòu)范圍內(nèi),自主選擇電子銀行安全評(píng)估機(jī)構(gòu)。
第二十二條 電子銀行主要系統(tǒng)設(shè)置于境外并在境外實(shí)施電子銀行安全評(píng)估的外資金融機(jī)構(gòu),以及需要按照所在地監(jiān)管部門的要求在境外實(shí)施電子銀行安全評(píng)估的中資金融機(jī)構(gòu)境外分支機(jī)構(gòu),電子銀行安全評(píng)估機(jī)構(gòu)的選擇應(yīng)遵循所在國(guó)家或地區(qū)的法律要求。
所在國(guó)家或地區(qū)沒(méi)有相關(guān)法律要求的,金融機(jī)構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評(píng)估活動(dòng)。
第二十三條 金融機(jī)構(gòu)應(yīng)與聘用的電子銀行安全評(píng)估機(jī)構(gòu)簽訂書面服務(wù)協(xié)議,在服務(wù)協(xié)議中,必須含有明確的保密條 款和保密責(zé)任。
金融機(jī)構(gòu)選擇內(nèi)部部門作為評(píng)估機(jī)構(gòu)時(shí),應(yīng)由電子銀行管理部門與評(píng)估部門簽訂評(píng)估責(zé)任確定書。
第二十四條 安全評(píng)估機(jī)構(gòu)應(yīng)根據(jù)評(píng)估協(xié)議的規(guī)定,認(rèn)真履行評(píng)估職責(zé),真實(shí)評(píng)估被評(píng)估機(jī)構(gòu)電子銀行安全狀況。
第三章 安全評(píng)估的實(shí)施
第二十五條 評(píng)估機(jī)構(gòu)在開始電子銀行安全評(píng)估之前,應(yīng)就評(píng)估的范圍、重點(diǎn)、時(shí)間與要求等問(wèn)題,與被評(píng)估機(jī)構(gòu)進(jìn)行充分的溝通,制定評(píng)估計(jì)劃,由雙方簽字認(rèn)可。
第二十六條 依據(jù)評(píng)估計(jì)劃,評(píng)估機(jī)構(gòu)進(jìn)場(chǎng)對(duì)委托機(jī)構(gòu)的電子銀行安全進(jìn)行評(píng)估。
電子銀行安全評(píng)估應(yīng)真實(shí)、全面地評(píng)價(jià)電子銀行系統(tǒng)的安全性。
第二十七條 電子銀行安全評(píng)估至少應(yīng)包括以下內(nèi)容:
(一) 安全策略;
(二) 內(nèi)控制度建設(shè);
(三) 風(fēng)險(xiǎn)管理狀況;
(四) 系統(tǒng)安全性;
(五) 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃;
(六) 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃;
(七) 電子銀行風(fēng)險(xiǎn)預(yù)警體系;
(八) 其他重要安全環(huán)節(jié)和機(jī)制的管理。
第二十八條 電子銀行安全策略的評(píng)估,至少應(yīng)包括以下內(nèi)容:
(一) 安全策略制定的流程與合理性;
(二) 系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略;
(三) 系統(tǒng)測(cè)試與驗(yàn)收的安全策略;
(四) 系統(tǒng)運(yùn)行與維護(hù)的安全策略;
(五) 系統(tǒng)備份與應(yīng)急的安全策略;
(六) 客戶信息安全策略。
評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)安全策略的評(píng)估,不僅要評(píng)估安全策略、規(guī)章制度和程序是否存在,還要評(píng)估這些制度是否得到貫徹執(zhí)行,是否及時(shí)更新,是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。
第二十九條 電子銀行內(nèi)控制度的評(píng)估,應(yīng)至少包括以下內(nèi)容:
(一) 內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性;
(二) 董事會(huì)和高級(jí)管理層在電子銀行安全和風(fēng)險(xiǎn)管理體系中的職責(zé),以及相關(guān)部門職責(zé)和責(zé)任的合理性;
(三) 安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況;
(四) 內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行情況。
第三十條 電子銀行風(fēng)險(xiǎn)管理狀況的評(píng)估,應(yīng)至少包括以下內(nèi)容:
(一) 電子銀行風(fēng)險(xiǎn)管理架構(gòu)的適應(yīng)性和合理性;
(二) 董事會(huì)和高級(jí)管理層對(duì)電子銀行安全與風(fēng)險(xiǎn)管理的認(rèn)知能力與相關(guān)政策、策略的制定執(zhí)行情況;
(三) 電子銀行管理機(jī)構(gòu)職責(zé)設(shè)置的合理性及對(duì)相關(guān)風(fēng)險(xiǎn)的管控能力;
(四) 管理人員配備與培訓(xùn)情況;
(五) 電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定、程序等的執(zhí)行情況;
(六) 電子銀行業(yè)務(wù)的主要風(fēng)險(xiǎn)及管理狀況;
(七) 業(yè)務(wù)外包管理制度建設(shè)與管理狀況。
第三十一條 電子銀行系統(tǒng)安全性的評(píng)估,應(yīng)至少包括以下內(nèi)容:
(一) 物理安全;
(二) 數(shù)據(jù)通訊安全;
(三) 應(yīng)用系統(tǒng)安全;
(四) 密鑰管理;
(五) 客戶信息認(rèn)證與保密;
(六) 入侵監(jiān)測(cè)機(jī)制和報(bào)告反應(yīng)機(jī)制。
評(píng)估機(jī)構(gòu)應(yīng)突出對(duì)數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評(píng)估,客觀評(píng)價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻,銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫(kù)是否安全等,以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序,并能保證各種修改得到及時(shí)測(cè)試和審核。
第三十二條 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃的評(píng)估,應(yīng)至少包括以下內(nèi)容:
(一) 保障業(yè)務(wù)連續(xù)運(yùn)營(yíng)的設(shè)備和系統(tǒng)能力;
(二) 保證業(yè)務(wù)連續(xù)運(yùn)營(yíng)的制度安排和執(zhí)行情況。
第三十三條 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃的評(píng)估,應(yīng)至少包括以下內(nèi)容:
(一) 電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況;
(二) 電子銀行應(yīng)急設(shè)施設(shè)備配備情況;
(三) 定期、持續(xù)性檢測(cè)與演練情況;
(四) 應(yīng)對(duì)意外事故或外部攻擊的能力。
第三十四條 評(píng)估機(jī)構(gòu)應(yīng)制定本機(jī)構(gòu)電子銀行安全評(píng)定標(biāo)準(zhǔn),在進(jìn)行安全評(píng)估時(shí),應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況,確定不同評(píng)估內(nèi)容對(duì)電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重,對(duì)每項(xiàng)評(píng)估內(nèi)容進(jìn)行評(píng)分,綜合計(jì)算出被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí)。
第三十五條 評(píng)估完成后,評(píng)估機(jī)構(gòu)應(yīng)及時(shí)撰寫評(píng)估報(bào)告,并于評(píng)估完成后1個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評(píng)估報(bào)告。
第三十六條 評(píng)估報(bào)告應(yīng)至少包括以下內(nèi)容:
(一) 評(píng)估的時(shí)間、范圍及其他協(xié)議中重要的約定;
(二) 評(píng)估的總體框架、程序、主要方法及主要評(píng)估人員介紹;
(三) 不同評(píng)估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn),風(fēng)險(xiǎn)等級(jí)的計(jì)算方法,以及風(fēng)險(xiǎn)等級(jí)的定義;
(四) 評(píng)估內(nèi)容與評(píng)估活動(dòng)描述;
(五) 評(píng)估結(jié)論;
(六) 對(duì)被評(píng)估機(jī)構(gòu)電子銀行安全管理的建議;
(七) 其他需要說(shuō)明的問(wèn)題;
(八) 主要術(shù)語(yǔ)定義和所采用的國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)介紹(可作為附件);
(九) 評(píng)估工作流程記錄表(可作為附件);
(十) 評(píng)估機(jī)構(gòu)參加評(píng)估人員名單(可作為附件)。
在評(píng)估結(jié)論中,評(píng)估機(jī)構(gòu)應(yīng)采用量化的辦法表明被評(píng)估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級(jí),說(shuō)明被評(píng)估機(jī)構(gòu)電子銀行安全管理中存在的主要問(wèn)題與隱患,并提出整改建議。
第三十七條 評(píng)估報(bào)告完成并提交委托機(jī)構(gòu)后,如需修改,應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報(bào)告之后,不得直接修改原報(bào)告。
第四章 安全評(píng)估活動(dòng)的管理
第三十八條 金融機(jī)構(gòu)在申請(qǐng)開辦電子銀行業(yè)務(wù)時(shí),應(yīng)當(dāng)按照有關(guān)規(guī)定對(duì)完成測(cè)試的電子銀行系統(tǒng)進(jìn)行安全評(píng)估。
第三十九條 金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后,有下列情形之一的,應(yīng)立即組織安全評(píng)估:
(一) 由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓,修復(fù)運(yùn)行的;
(二) 電子銀行系統(tǒng)進(jìn)行重大更新或升級(jí)后,出現(xiàn)系統(tǒng)意外停機(jī)12小時(shí)以上的;
(三) 電子銀行關(guān)鍵設(shè)備與設(shè)施更換后,出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運(yùn)行的;
(四) 基于電子銀行安全管理需要立即評(píng)估的。
第四十條 金融機(jī)構(gòu)對(duì)電子銀行外部安全評(píng)估機(jī)構(gòu)的選聘,應(yīng)由金融機(jī)構(gòu)的董事會(huì)或高級(jí)管理層負(fù)責(zé)。
第四十一條 已實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu),其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估,在總行(公司)的電子銀行安全評(píng)估中應(yīng)包含對(duì)其分支機(jī)構(gòu)電子銀行安全管理狀況的評(píng)估。
第四十二條 未實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu),其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)且擁有獨(dú)立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的,分支機(jī)構(gòu)的電子銀行系統(tǒng)應(yīng)在總行(公司)的統(tǒng)一管理和指導(dǎo)下,按照有關(guān)規(guī)定進(jìn)行安全評(píng)估。
第四十三條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機(jī)構(gòu),其境外總行(公司)已經(jīng)進(jìn)行了安全評(píng)估且符合本指引有關(guān)規(guī)定的,其境內(nèi)分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評(píng)估,但應(yīng)按照本指引的有關(guān)要求,向監(jiān)管部門報(bào)送安全評(píng)估報(bào)告。
第四十四條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機(jī)構(gòu),或者雖設(shè)置在境外但其境外總行(公司)未進(jìn)行安全評(píng)估或安全評(píng)估不符合本指引有關(guān)規(guī)定的,應(yīng)按規(guī)定開展電子銀行安全評(píng)估工作。
第四十五條 電子銀行安全評(píng)估工作,確需由多個(gè)評(píng)估機(jī)構(gòu)共同承擔(dān)或?qū)嵤⿻r(shí),金融機(jī)構(gòu)應(yīng)確定一個(gè)主要的評(píng)估機(jī)構(gòu)協(xié)調(diào)總體評(píng)估工作,負(fù)責(zé)總體評(píng)估報(bào)告的編制。
金融機(jī)構(gòu)將電子銀行系統(tǒng)委托給不同的評(píng)估機(jī)構(gòu)進(jìn)行安全評(píng)估,應(yīng)當(dāng)明確每個(gè)評(píng)估機(jī)構(gòu)安全評(píng)估的范圍,并保證全面覆蓋了應(yīng)評(píng)估的事項(xiàng),沒(méi)有遺漏。
第四十六條 金融機(jī)構(gòu)應(yīng)在簽署評(píng)估協(xié)議后兩周內(nèi),將評(píng)估機(jī)構(gòu)簡(jiǎn)介、擬采用的評(píng)估方案和評(píng)估步驟等,報(bào)送中國(guó)銀監(jiān)會(huì)。
第四十七條 中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要,可派員參加金融機(jī)構(gòu)電子銀行安全評(píng)估工作,但不作為正式評(píng)估人員,不提供評(píng)估意見。
第四十八條 評(píng)估機(jī)構(gòu)應(yīng)本著客觀、公正、真實(shí)和自主的原則,開展評(píng)估活動(dòng),并嚴(yán)格保守在評(píng)估過(guò)程中獲悉的商業(yè)機(jī)密。
第四十九條 在評(píng)估過(guò)程中,委托機(jī)構(gòu)和評(píng)估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制:
(一) 評(píng)估過(guò)程中,調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等,都應(yīng)建立登記、簽字制度;
(二) 調(diào)閱的文件資料應(yīng)在指定的場(chǎng)所閱讀,不得帶出指定場(chǎng)所;
(三) 復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場(chǎng)所,如確需帶出的,必須詳細(xì)登記帶出文件或數(shù)據(jù)名稱、數(shù)量、帶出原因、文件與數(shù)據(jù)的最終處理方式、責(zé)任人等,并由相關(guān)負(fù)責(zé)人簽字確認(rèn);
(四) 評(píng)估過(guò)程中廢棄的文件、材料和不再使用的數(shù)據(jù),應(yīng)立即予以銷毀或刪除;
(五) 評(píng)估工作結(jié)束后,雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)、資料等的交接情況簽署說(shuō)明。
第五十條 金融機(jī)構(gòu)在收到評(píng)估機(jī)構(gòu)評(píng)估報(bào)告的1個(gè)月內(nèi),應(yīng)將評(píng)估報(bào)告報(bào)送中國(guó)銀監(jiān)會(huì)。
金融機(jī)構(gòu)報(bào)送評(píng)估報(bào)告時(shí),可對(duì)評(píng)估報(bào)告中的有關(guān)問(wèn)題作必要的說(shuō)明。
第五十一條 未經(jīng)監(jiān)管部門批準(zhǔn),電子銀行安全評(píng)估報(bào)告不得作為廣告宣傳資料使用,也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)。
第五十二條 對(duì)未按有關(guān)要求進(jìn)行的安全評(píng)估,或者評(píng)估程序、方法和評(píng)估報(bào)告存在重要缺陷的安全評(píng)估,中國(guó)銀監(jiān)會(huì)可以要求金融機(jī)構(gòu)進(jìn)行重新評(píng)估。
第五十三條 中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要,可以自己組織或委托評(píng)估機(jī)構(gòu)對(duì)金融機(jī)構(gòu)的電子銀行系統(tǒng)進(jìn)行安全評(píng)估,金融機(jī)構(gòu)應(yīng)予以配合。
第五十四條 中國(guó)銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要,可直接向評(píng)估機(jī)構(gòu)了解其評(píng)估的方法、范圍和程序等。
第五十五條 對(duì)于評(píng)估報(bào)告中所反映出的問(wèn)題,金融機(jī)構(gòu)應(yīng)采取有效的措施加以糾正。
第五章 附則
第五十六條 本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋。
第五十七條 本指引自2006年3月1日起施行。
【轉(zhuǎn)載時(shí)請(qǐng)注明出處:法律橋。如需聘請(qǐng)律師,請(qǐng)立即致電TMT專業(yè)律師楊春寶:1390 182 6830】
| 關(guān)注法律橋微信公眾平臺(tái) | 楊春寶高級(jí)律師電子名片 |
 |  |
◆
請(qǐng)注意文明用語(yǔ),請(qǐng)勿人身攻擊。
◆
請(qǐng)尊重網(wǎng)上道德,遵守中華人民共和國(guó)各項(xiàng)相關(guān)法律法規(guī)。
◆
您應(yīng)當(dāng)對(duì)因您的行為而直接或間接導(dǎo)致的民事或刑事法律責(zé)任負(fù)責(zé)。
◆ 請(qǐng)勿在此提出法律咨詢,法律咨詢請(qǐng)去法律橋論壇。
◆
本站有權(quán)在網(wǎng)站內(nèi)轉(zhuǎn)載或引用您的評(píng)論。
◆ 網(wǎng)站管理員有權(quán)刪除違反上述提示的評(píng)論。
◆
參與本評(píng)論即表明您已經(jīng)閱讀并接受上述條款。
本站聲明:
本站所載法律法規(guī)類文件均來(lái)自互聯(lián)網(wǎng),僅供參考,本站不對(duì)其完整性、時(shí)效性負(fù)責(zé)。引用時(shí)請(qǐng)使用官方正式文本。
業(yè)務(wù)委托郵箱:LawBridge#163.com
