网上银行安全与隐私保护管理办法及策略
网上银行安全与隐私保护管理办法及策略
一、网上银行业务风险管理体系及主要内容
依据中国银监会《内部控制评价办法》、《电子银行业务管理办法》、《电子银行安全评估指引》的要求,本行网上银行业务风险管理的主要内涵包括以下方面内容:
(一)网上银行业务风险管理的主要内容
根据网上银行业务的自身特点,结合本行实际情况,本行的网上银行业务风险体系的构成包括:
1制定明确的网上银行业务风险管理政策
·本行网上银行业务风险涉及的范围和领域;
·本行网上银行业务风险控制的目标和能够承担的风险水平;
·网上银行业务风险管理的组织结构、权限结构和责任机制;
·网上银行业务风险的识别、计量、监测和控制程序;
·网上银行业务风险的报告体系;
·网上银行业务风险管理信息系统
·内部控制和外部审计;
·网上银行业务风险资本的分配;
·对重大网上银行业务风险情况的应急处理方案。
2网上银行业务风险的识别、计量、监测和控制程序
传统银行所面临的各类风险如信用风险、流动性风险、利率风险
和市场风险等,这些在网上银行业务中仍然存在,但是其表现形式上则有所变化,对网上银行业务风险进行全面的识别目前还存在一定的困难,还需要不断摸索规律、积累经验,因此本行将努力引入有效的方法来识别网上银行业务的风险,同时逐步根据新资本协议的要求来计量和监测网上银行业务风险:
·加强对防范网上银行业务风险的规章制度建设;
·加强对业务合规性的控制;
·加强对员工管理,防范道德风险;
·完善信息系统,提高通过技术手段防范网上银行业务风险的能力;·研究和引入有效的定性或定量的计量和评估网上银行业务风险的模式或方法;
·制定应急准备;
3实行对网上银行业务风险管理的独立的内、外部审计
内、外部审计应包括:本行组织结构、所有业务和管理管理流程、人员的工作状况、各部门的运行情况、人事变动、客户投拆、系统运行状况等各个环节。
(二)网上银行业务风险管理职能的分布
1董事会
·承担对网上银行业务风险管理实施监控的最终责任,确保本行有效地识别、计量、监测和控制业务所承担的各类风险,包括:
·负责审批网上银行业务风险管理的战略、政策和程序,确定本行网上银行业务风险管理的目标;
·督促高级管理层采取必要的措施识别、计量、监测和控制网上银行业务风险;
·定期获得关于网上银行业务风险性质和水平的报告,以监控和评价网上银行业务风险管理的全面性、有效性以及高级管理层在网上银行业务风险管理方面的履职情况。
2监事会
·负责监督董事会、高级管理层完善网上银行业务管理体系。
·监督董事会和高级管理层在网上银行业务风险管理方面的履职情况。
3高级管理层
·负责制定、定期审查和监督执行网上银行业务风险管理的政策、程序以及管理目标;
·确定本行所面对的网上银行业务的各种风险;
·在本行建立有效的网上银行业务风险管理组织框架,确保组织结构能有效的体现管理与经营相分离的原则;
·确保本行能准确的计量、监测和控制网上银行业务风险;
4网上银行业务风险管理部门
·拟定网上银行业务风险管理政策和程序,提出风险管理的目标,提交高级管理层和董事会审查批准;
·负责网上银行业务风险管理制度体系的建设,确保有相应的规章和
程序来控制或缓冲重大的网上银行业务风险。
·对于网上银行的新产品、新业务中所包含的风险进行识别和评估,审核相应的风险管理程序;
·识别、计量和监测网上银行业务风险;
·设计、实施事后检验和压力测试;
·及时向董事会和高级管理层提供独立的网上银行业务风险报告。5本行管理与经营部门
(1)人员管理:完善人力资源政策和程序,确保与有关从业人员具备相应的能力和意识,防范可能的人员失误和内部人员欺诈导致的风险。包括:
·提高员工工作的责任心;
·防止员工超时工作;
·提高员工对产品和流程的认识和掌握;
·防止人员欺诈。
(2)系统管理:完善本行网上银行业务各类信息系统,防止因系统失灵或系统自身存在漏洞而导致的风险。包括:
·维护系统硬件安全;
·防止信息系统受到侵袭;
·不同软件间的衔接;
·制定系统的应急预案;
·建立系统数据备份机制。
·保证相关应用系统的有效性;
·防止使用者使用过程中的风险。
(3)程序管理:加强对流程执行情况的检查,包括:
·保证内部管理和操作程序在执行过程中的正确性。
(4)外部事件管理:建立并保持预案和程序,以防止可能发生的意外事件或紧急情况的损失,包括:
·防止外包服务的风险;
·防范外部犯罪活动;
·防范自然灾害事件。
6资本管理部门
根据对本行网上银行业务风险的状况提出资本安排计划,并监测与风险相对应的资本水平;
7内部审计
审查和评价各部门对网上银行业务风险政策和程序的遵守情况,风险管理目标的实现情况;
·网上银行业务风险管理的组织结构的有效性;
·网上银行业务风险管理所涵盖的范围和环节的完整性;
·风险计量方法的恰当性和计量结果的准确性;
·网上银行业务风险资本的计算和内部配置情况
二、网上银行系统的风险管理策略
由于网上银行业务极大地依赖于承载它的IT系统,为了保证网上银行系统的正常运行和不断发展,需要建立一个完整的风险管理过程。建立网上银行系统的风险管理策略,是保证风险管理过程顺利执
行的重要保证,将有助于网上银行系统安全建设的持续改善。
网上银行系统的风险等级分为三级:即高风险(H):有可能发生并会对网上银行造成重大的损失;中风险(M):有可能发生并会对网上银行会造成一定的损失;低风险(L):有可能发生但对网上银行仅造成的轻微的损失。
(一)风险管理过程
风险管理是一个不断进行的过程,该过程可以主要分为三个大步骤:·风险评估:风险分析和风险评价的全过程。通过了解信息资产价值、威胁、脆弱性和现有安全控制信息来识别、分析风险,找出与安全目标间的差距,从而明确安全需求;
·风险处置:根据安全需求选择安全控制措施,制定完善的安全计划并加以实施,从而达到减少、规避或转嫁风险的目标;
·风险接受:接受风险的决策。分析残留风险、监控识别出的风险,如果风险很清晰地满足组织策略和风险接受标准的要求,就客观有意地接受它们;并对安全政策执行进行审计。
1风险评估
风险评估是对网上银行系统信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。风险评估是风险管理过程的基础。
(1)风险评估的主要目的包括:
·识别网上银行系统面临的各种风险;
·评估风险发生概率和可能给网上银行系统带来的负面影响;
·确定本行承受风险的能力;
·确定风险消减的优先等级;
·明确网上银行系统的安全需求。
(2)风险评估方法
风险评估的风险包括两个部分,一个部分是识别风险构成要素,即信息资产以及信息相关资产、威胁方和威胁方可能利用的弱点。另一个部分是评估威胁方利用弱点可能造成的业务损失。在进行风险评估时需要定义风险要素的属性和风险函数来完成风险评估。
对符合条件的成熟风险评估方法,应该建立实施过程,以保证风险评估的有效性。
(3)风险评估类别
风险评估包括以下类别:
·基线风险评估:组织根据自身实际情况,对信息系统进行安全基线检查(把现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。
·详细风险评估:组织对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。通过这种评估途径集中体现风险管理的思想,识别资产的风险并将风险降低到可接受的水平,以此证明所采用的安全控制措施是恰当的。
(4)风险评估执行
本行按照《电子银行安全评估指引》的要求,按年度进行信息安全风险评估,此外根据网上银行系统的变化(如业务变化、业务环境变化等)决定启动信息安全风险变化的评估。
2风险处置
(1)风险处置
风险处置的目标是基于网上银行业务的需求和处置成本。处置目标包括风险处置的范围、策略和业务期待的结果。处置策略包括风险的降低、规避、转嫁和接受等。
·降低风险:实施有效控制,将风险降低到可接受的程度,实际上就是力图减小威胁发生的可能性和带来的影响。
·规避风险:有时候,组织可以选择放弃某些可能引来风险的业务或资产,以此规避风险。
·转嫁风险:将风险全部或者部分地转移到其他责任方。
·接受风险:在实施了其他风险应对措施之后,对于残留的风险,组织可以选择接受。
(2)安全政策
对风险处置目标确定处置的信息安全风险要制定明确的信息安全政策。信息安全政策是风险控制的基线,即只有完全落实信息安全政策,才能实现风险控制目标。
(3)安全控制
安全控制是安全政策落实的手段。安全控制包括物理安全控制、技术安全控制和行政管理安全控制。
3风险接受
(1)残留风险
对处置的风险进行残留风险分析,确认残留风险是在业务可接受的范围内。残留风险将纳入到信息风险综合评估过程中。
(2)风险监控
对识别出的风险,要进行监控。一旦发现风险出现,应按预定的程序进行处置。风险的监控包括对安全政策和安全控制执行的监控。(3)安全审计
定期对信息安全政策的实施进行审计。审计人员应独立于安全政策制订和安全控制开发的人员。信息安全政策审计的结果应作为综合风险评估的输入之一。
信息安全审计内容包括文档审计、日志审计和行为审计。
文档审计:安全策略的内容每年进行一次审核,安全管理制度每三个月进行一次审核,业务系统操作规范和流程每六个月进行一次审核,应急方案每六个月进行一次审核,并根据实际情况进行修改。
日志审计:网络设备、操作系统、数据库系统、业务应用系统等系统
日志审计功能全部开启,系统日志每周一次安全审核,及时发现问题。
行为审计:采取人员监督、绩效考核、技术监控等手段,对安全管理员、网络管理员、系统管理员、应用管理员等的日常工作行为进行审核,保证行为的正确性和合法性。
(二)网上银行系统安全策略体系
1人事策略
人员安全策略的目标为覆盖工作相关的安全责任。
人员安全策略与过程:雇佣前,人力资源部必须实施详细的背景调查,确保雇用人员的简历是真实的。雇用期间,所有员工必须接收安全指导培训。员工离开自身职位必须完成所有的手续和移交他们的信息安全责任。
2访问控制策略
访问控制策略的目标是阻止从公众网未被授权访问银行的内部网络。这一策略同时也保证只有受控的访问和建立银行内部网络中的验证机制,以验证访问公众网必须经过允许。
·为用户创建访问权限:一个具体的访问控制模块,针对用户及其对网络和应用程序的访问控制,应当被定期维护及更新;访问控制的授权应基于业务需求而非某个人的要求;在使用程序及服务时,用户应严格遵守密码管理方针。
·管理特权:最少特权原则确保最低限度的访问权限批准。
·废除访问权限:当用户不再需要访问,应及时废除访问权限。·访问记录与监控:所有通过防火墙的网络连接都应受到监控并且应为全部设备保存通信记录。同样的,通过记录及监控程序记下的全部应用程序及操作系统的访问尝试。
3通信和运行管理策略
(1)建立计算机系统和网络各个部分的管理和操作所有计算机和网
络的职责和流程来指导正确和安全的操作。这些流程包括:
·业务或第三方的职能所需的有计划的服务活动;
·数据文件处理,包括验证网络传输的数据;
·对所有计划的系统开发、维护和测试工作的变更管理流程;
·为意外事件准备的错误处理和意外事件处理过程;
·问题管理流程,包括登录所有网络问题和解决办法;
·事件管理流程;
·为所有新的或变更的硬件或软件包括性能、可用性、可靠性、可控性、可恢复性和错误处理能力的方面的测试/评估流程;
·日常管理活动,例如启动和关闭流程,数据备份,设备维护,计算机和网络管理,安全方法或需求。
(2)软件和信息保护
采取措施预防和检测对软件和信息非授权的更改。
(3)介质的处理和安全性
控制计算机介质并进行必要的物理保护。包括控制可移动的计算机介质,制定并遵守处理包含机密或关键数据的介质的流程,介质应在不再需要时被妥善废弃,系统文档分秘级保护并防非授权访问或删除。
(4)维护完整性和可用性
采取措施维护服务的完整性和可用性,建立控制备份计算机和网络资产的流程,定期检查广域网络的网络管理中心和节点的通讯软件和数据的完整性,保护所有网络设备以避免物理攻击,采取物理保护
措施以防止线缆中断、被侦听和非授权访问等。
(5)数据交换
控制银行内部或与外界组织的数据和软件交换。
4物理及环境安全策略
物理安全边界控制管理:制定适当的进入控制保护措施,严格控制安全区域的访问权限,保护机密性或关键信息不受非授权访问、灾难事件带来的损伤或破坏。
支持网上银行系统的关键或敏感业务过程的设备在物理上受到保护,以避免安全威胁和环境危险。
5安全事件应急响应
遵循并贯彻“积极预防、及时发现、快速反应、确保恢复”的方针,建立安全事件响应机制,规定在安全事件的发现、报告、分析、处理、总结各阶段的相关责任和程序,最大限度地减少安全事件造成的损害。
6保护个人信息策略
制定相关管理办法,保护个人信息,防止泄露、删除、篡改和非法使用。保护用户的通信自由和通信秘密。
网上银行与支付习题
一、单项选择题 1、电子支付就是指电子交易的当事人,使用安全电子支付手段,通过( )进行的货币支付或资金流转。 A.网络 B.开户银行 C.发卡银行 D.中介银行 2、在支付全过程的两个层次中,既参与支付服务系统的活动,也参与支付资金清算系统的活动的就是( )。 A.商业银行 B.客户 C.中央银行 D.人民银行 3、网上交易的安全性就是由谁来保证的( )。 A.厂家 B.认证中心 C.银行 D.信用卡中心 4、个人拍买的网络交易就是电子商务的哪一种基本形式( )。 A.G2B B.C2C C.B2C D.B2B 5、目前我国智能卡的推广应用中还存在一些障碍,主要就是安全问题与( )。A、资金问题B、政策问题C、成本问题D、观念问题 6、目前应用最为广泛的电子支付方式就是( )。A、银行卡B、电子货币 C、电子支票 D、电子本票 7、网上购物中,银行卡电子传输系统采用的就是( )。 A.城域网 B.因特网 C.专用网 D.局域网 8、CFCA根CA证书申请与发放的传递方式就是( )。 A.在线方式 B.电话 C.E-mail D.软盘/光盘 9、客户在淘宝网进行的电子商务活动属于( )。 A.B2C电子商务活动 B.B2G电子商务活动 C.B2B电子商务活动 D.C2C电子商务活动 10、世界上第一家全交易型网络银行就是( )。 A.英格兰银行 B.花旗银行 C.美国安全第一网络银行 D.招商银行 11、使用公钥密码体系,每个用户只需妥善保存( )个密钥。 A.1 B.2 C.3 D.4 12、安全电子商务交易的核心机构就是( )。 A.网上银行 B.CA 机构 C.政府部门 D.网络中心 13、电子货币就是( )。 A.商品货币 B.信用货币 C.纸币 D.贵金属货币 14、在SET交易中,发卡银行与收单银行之间传递支付信息使用( )。 A.因特网 B.增值网 C.局域网 D.金融专用网 15、收、付款银行交换支付信息,把支付指令按接收行进行分类,并计算其借、贷方差额的过程称为( ) A.支付 B.清算 C.清分轧差 D.授权 16、在因特网上,利用银行卡进行支付的核心问题就是( )。A. 如何保证信息真实性与准确性 B. 如何保证网络的安全性与银行卡的合法性 C. 如何保证银行卡的合法性与有效性 D.如何保证支付信息的安全传输与身份认证 17、SET协议涉及的对象不包括( )。 A.消费者 B.离线商店 C.收单银行 D.认证中心 二、多项选择题 1、SET就是一个在互联网上实现安全电子交易的协议标准,它就是( )。 A.会话层的网络标准协议 B.规定了交易各方进行交易结算时的具体流程与安全控制策略 C.SET通过使用公共密钥与对称密钥方式加密保证了数据的保密性 D.SET通过使用数字签名来确定数据就是否被篡改.保证数据的一致性与完整性,并可以完
人行《非银行支付机构网络支付业务管理办法》
非银行支付机构网络支付业务管理办法 第一章总则 第一条为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)等规定,制定本办法。 第二条支付机构从事网络支付业务,适用本办法。 本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。 本办法所称网络支付业务,是指收款人或付款人通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款人电子设备不与收款人特定专属设备交互,由支付机构为收付款人提供货币资金转移服务的活动。 本办法所称收款人特定专属设备,是指专门用于交易收款,在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。
第三条支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。 本办法所称支付账户,是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。 支付账户不得透支,不得出借、出租、出售,不得利用支付账户从事或者协助他人从事非法活动。 第四条支付机构基于银行卡为客户提供网络支付服务的,应当执行银行卡业务相关监管规定和银行卡行业规范。 支付机构对特约商户的拓展与管理、业务与风险管理应当执行《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)等相关规定。 支付机构网络支付服务涉及跨境人民币结算和外汇支付的,应当执行中国人民银行、国家外汇管理局相关规定。 支付机构应当依法维护当事人合法权益,遵守反洗钱和反恐怖融资相关规定,履行反洗钱和反恐怖融资义务。 第五条支付机构依照中国人民银行有关规定接受分类评价,并执行相应的分类监管措施。
网上银行支付合作合同通用范本
内部编号:AN-QP-HT344 版本/ 修改状态:01 / 00 The Contract / Document That Can Be Held By All Parties Of Natural Person, Legal Person And Organization Of Equal Subject Acts On Their Establishment, Change And Termination Of Civil Rights And Obligations, And Defines The Corresponding Rights And Obligations Of All Parties Participating In The Contract. 甲方:__________________ 乙方:__________________ 时间:__________________ 网上银行支付合作合同通用范本
网上银行支付合作合同通用范本 使用指引:本协议文件可用于平等主体的自然人、法人、组织之间设立的各方可以执以为凭的契约/文书,作用于他们设立、变更、终止民事权利义务关系,同时明确参与合同的各方对应的权利和义务。资料下载后可以进行自定义修改,可按照所需进行删减和使用。 本合同由以下双方于____年____月____日____签订于____。 甲方:_____网络科技有限公司 地址:_____ 电话:_____ 传真:_____ 乙方:_____ 地址:_____ 电话:_____ 传真:_____ 鉴于: 甲乙双方决定建立电子商务、网上银行支
网银在线支付接口和应用
网银在线支付接口和应用(转载) 关键字: 网银在线支付接口和应用 最近关注项目中在线支付,所以看一下文档,在线支付应用开发: 基本所有的在线支付均采用以下方式: 客户点击结帐时将关于訂單的信息和货币信息,相应的信息URL,经过md5或其他方式发送(可能Socket和Http或Https)支付平台(块钱,paypal或支付宝等),支付平臺处理完毕时根据相应URL,返回相关的信息(付款信息,訂單信息,验证信息). 在实际操作Money的问题人们一向关注他的安全性等问题,同时本人习惯在通过http方式访问非外网时采用Commons-httpclient的post发送实现,简单方便,所以采用此种实现:具体看以下API和原代码: 网银在线支付API接口: 商户>>>>>>网银在线支付: