网上银行安全与隐私保护管理办法及策略
网上银行安全与隐私保护管理办法及策略一、网上银行业务风险管理体系及主要内容
依据中国银监会《内部控制评价办法》、《电子银行业务管理办法》、《电子银行安全评估指引》得要求,本行网上银行业务风险管理得主要内涵包括以下方面内容:
(一)网上银行业务风险管理得主要内容
根据网上银行业务得自身特点,结合本行实际情况,本行得网上银行业务风险体系得构成包括:
1制定明确得网上银行业务风险管理政策
·本行网上银行业务风险涉及得范围与领域;
·本行网上银行业务风险控制得目标与能够承担得风险水平;
·网上银行业务风险管理得组织结构、权限结构与责任机制;
·网上银行业务风险得识别、计量、监测与控制程序;
·网上银行业务风险得报告体系;
·网上银行业务风险管理信息系统
·内部控制与外部审计;
·网上银行业务风险资本得分配;
·对重大网上银行业务风险情况得应急处理方案。
2网上银行业务风险得识别、计量、监测与控制程序
传统银行所面临得各类风险如信用风险、流动性风险、利率风险与市场风险等,这些在网上银行业务中仍然存在,但就是其表现形式上则有所变化,对网上银行业务风险进行全面得识别目前还存在一定
得困难,还需要不断摸索规律、积累经验,因此本行将努力引入有效得方法来识别网上银行业务得风险,同时逐步根据新资本协议得要求来计量与监测网上银行业务风险:
·加强对防范网上银行业务风险得规章制度建设;
·加强对业务合规性得控制;
·加强对员工管理,防范道德风险;
·完善信息系统,提高通过技术手段防范网上银行业务风险得能力; ·研究与引入有效得定性或定量得计量与评估网上银行业务风险得模式或方法;
·制定应急准备;
3实行对网上银行业务风险管理得独立得内、外部审计
内、外部审计应包括:本行组织结构、所有业务与管理管理流程、人员得工作状况、各部门得运行情况、人事变动、客户投拆、系统运行状况等各个环节。
(二)网上银行业务风险管理职能得分布
1董事会
·承担对网上银行业务风险管理实施监控得最终责任,确保本行有效地识别、计量、监测与控制业务所承担得各类风险,包括:
·负责审批网上银行业务风险管理得战略、政策与程序,确定本行网上银行业务风险管理得目标;
·督促高级管理层采取必要得措施识别、计量、监测与控制网上银行业务风险;
·定期获得关于网上银行业务风险性质与水平得报告,以监控与评价网上银行业务风险管理得全面性、有效性以及高级管理层在网上银行业务风险管理方面得履职情况。
2监事会
·负责监督董事会、高级管理层完善网上银行业务管理体系。
·监督董事会与高级管理层在网上银行业务风险管理方面得履职情况。
3高级管理层
·负责制定、定期审查与监督执行网上银行业务风险管理得政策、程序以及管理目标;
·确定本行所面对得网上银行业务得各种风险;
·在本行建立有效得网上银行业务风险管理组织框架,确保组织结构能有效得体现管理与经营相分离得原则;
·确保本行能准确得计量、监测与控制网上银行业务风险;
4网上银行业务风险管理部门
·拟定网上银行业务风险管理政策与程序,提出风险管理得目标,提交高级管理层与董事会审查批准;
·负责网上银行业务风险管理制度体系得建设,确保有相应得规章与
程序来控制或缓冲重大得网上银行业务风险。
·对于网上银行得新产品、新业务中所包含得风险进行识别与评估,审核相应得风险管理程序;
·识别、计量与监测网上银行业务风险;
·设计、实施事后检验与压力测试;
·及时向董事会与高级管理层提供独立得网上银行业务风险报告。5本行管理与经营部门
(1)人员管理:完善人力资源政策与程序,确保与有关从业人员具备相应得能力与意识,防范可能得人员失误与内部人员欺诈导致得风险。包括:
·提高员工工作得责任心;
·防止员工超时工作;
·提高员工对产品与流程得认识与掌握;
·防止人员欺诈。
(2)系统管理:完善本行网上银行业务各类信息系统,防止因系统失灵或系统自身存在漏洞而导致得风险。包括:
·维护系统硬件安全;
·防止信息系统受到侵袭;
·不同软件间得衔接;
·制定系统得应急预案;
·建立系统数据备份机制。
·保证相关应用系统得有效性;
·防止使用者使用过程中得风险。
(3)程序管理:加强对流程执行情况得检查,包括:
·保证内部管理与操作程序在执行过程中得正确性。
(4)外部事件管理:建立并保持预案与程序,以防止可能发生得意外事件或紧急情况得损失,包括:
·防止外包服务得风险;
·防范外部犯罪活动;
·防范自然灾害事件。
6资本管理部门
根据对本行网上银行业务风险得状况提出资本安排计划,并监测与风险相对应得资本水平;
7内部审计
审查与评价各部门对网上银行业务风险政策与程序得遵守情况,风险管理目标得实现情况;
·网上银行业务风险管理得组织结构得有效性;
·网上银行业务风险管理所涵盖得范围与环节得完整性;
·风险计量方法得恰当性与计量结果得准确性;
·网上银行业务风险资本得计算与内部配置情况
二、网上银行系统得风险管理策略
由于网上银行业务极大地依赖于承载它得IT系统,为了保证网上银行系统得正常运行与不断发展,需要建立一个完整得风险管理过程。建立网上银行系统得风险管理策略,就是保证风险管理过程顺利
执行得重要保证,将有助于网上银行系统安全建设得持续改善。
网上银行系统得风险等级分为三级:即高风险(H):有可能发生并会对网上银行造成重大得损失;中风险(M):有可能发生并会对网上银行会造成一定得损失;低风险(L):有可能发生但对网上银行仅造成得轻微得损失。
(一)风险管理过程
风险管理就是一个不断进行得过程,该过程可以主要分为三个大步骤:
·风险评估:风险分析与风险评价得全过程。通过了解信息资产价值、威胁、脆弱性与现有安全控制信息来识别、分析风险,找出与安全目标间得差距,从而明确安全需求;
·风险处置:根据安全需求选择安全控制措施,制定完善得安全计划并加以实施,从而达到减少、规避或转嫁风险得目标;
·风险接受:接受风险得决策。分析残留风险、监控识别出得风险,如果风险很清晰地满足组织策略与风险接受标准得要求,就客观有意地接受它们;并对安全政策执行进行审计。
1风险评估
风险评估就是对网上银行系统信息资产所面临得威胁、存在得弱点、造成得影响,以及三者综合作用而带来风险得可能性得评估。风险评估就是风险管理过程得基础。
(1)风险评估得主要目得包括:
·识别网上银行系统面临得各种风险;
·评估风险发生概率与可能给网上银行系统带来得负面影响;
·确定本行承受风险得能力;
·确定风险消减得优先等级;
·明确网上银行系统得安全需求。
(2)风险评估方法
风险评估得风险包括两个部分,一个部分就是识别风险构成要素,即信息资产以及信息相关资产、威胁方与威胁方可能利用得弱点。另一个部分就是评估威胁方利用弱点可能造成得业务损失。在进行风险评估时需要定义风险要素得属性与风险函数来完成风险评估。
对符合条件得成熟风险评估方法,应该建立实施过程,以保证风险评估得有效性。
(3)风险评估类别
风险评估包括以下类别:
·基线风险评估:组织根据自身实际情况,对信息系统进行安全基线检查(把现有得安全措施与安全基线规定得措施进行比较,找出其中得差距),得出基本得安全需求,通过选择并实施标准得安全措施来消减与控制风险。
·详细风险评估:组织对资产进行详细识别与评价,对可能引起风险得威胁与弱点水平进行评估,根据风险评估得结果来识别与选择安全措施。通过这种评估途径集中体现风险管理得思想,识别资产得风险并将风险降低到可接受得水平,以此证明所采用得安全控制措施就是恰当得。
(4)风险评估执行
本行按照《电子银行安全评估指引》得要求,按年度进行信息安全风险评估,此外根据网上银行系统得变化(如业务变化、业务环境变化等)决定启动信息安全风险变化得评估。
2风险处置
(1)风险处置
风险处置得目标就是基于网上银行业务得需求与处置成本。处置目标包括风险处置得范围、策略与业务期待得结果。处置策略包括风险得降低、规避、转嫁与接受等。
·降低风险:实施有效控制,将风险降低到可接受得程度,实际上就就是力图减小威胁发生得可能性与带来得影响。
·规避风险:有时候,组织可以选择放弃某些可能引来风险得业务或资产,以此规避风险。
·转嫁风险:将风险全部或者部分地转移到其她责任方。
·接受风险:在实施了其她风险应对措施之后,对于残留得风险,组织可以选择接受。
(2)安全政策
对风险处置目标确定处置得信息安全风险要制定明确得信息安全政策。信息安全政策就是风险控制得基线,即只有完全落实信息安全政策,才能实现风险控制目标。
(3)安全控制
安全控制就是安全政策落实得手段。安全控制包括物理安全控
制、技术安全控制与行政管理安全控制。
3风险接受
(1)残留风险
对处置得风险进行残留风险分析,确认残留风险就是在业务可接受得范围内。残留风险将纳入到信息风险综合评估过程中。
(2)风险监控
对识别出得风险,要进行监控。一旦发现风险出现,应按预定得程序进行处置。风险得监控包括对安全政策与安全控制执行得监控。
(3)安全审计
定期对信息安全政策得实施进行审计。审计人员应独立于安全政策制订与安全控制开发得人员。信息安全政策审计得结果应作为综合风险评估得输入之一。
信息安全审计内容包括文档审计、日志审计与行为审计。
文档审计:安全策略得内容每年进行一次审核,安全管理制度每三个月进行一次审核,业务系统操作规范与流程每六个月进行一次审核,应急方案每六个月进行一次审核,并根据实际情况进行修改。
日志审计:网络设备、操作系统、数据库系统、业务应用系统等系统
日志审计功能全部开启,系统日志每周一次安全审核,及时发现问题。
行为审计:采取人员监督、绩效考核、技术监控等手段,对安全管理员、网络管理员、系统管理员、应用管理员等得日常工作行为进行
审核,保证行为得正确性与合法性。
(二)网上银行系统安全策略体系
1人事策略
人员安全策略得目标为覆盖工作相关得安全责任。
人员安全策略与过程:雇佣前,人力资源部必须实施详细得背景调查,确保雇用人员得简历就是真实得。雇用期间,所有员工必须接收安全指导培训。员工离开自身职位必须完成所有得手续与移交她们得信息安全责任。
2访问控制策略
访问控制策略得目标就是阻止从公众网未被授权访问银行得内部网络。这一策略同时也保证只有受控得访问与建立银行内部网络中得验证机制,以验证访问公众网必须经过允许。
·为用户创建访问权限:一个具体得访问控制模块,针对用户及其对网络与应用程序得访问控制,应当被定期维护及更新;访问控制得授权应基于业务需求而非某个人得要求;在使用程序及服务时,用户应严格遵守密码管理方针。
·管理特权:最少特权原则确保最低限度得访问权限批准。
·废除访问权限:当用户不再需要访问,应及时废除访问权限。
·访问记录与监控:所有通过防火墙得网络连接都应受到监控并且应为全部设备保存通信记录。同样得,通过记录及监控程序记下得全部应用程序及操作系统得访问尝试。
3通信与运行管理策略
(1)建立计算机系统与网络各个部分得管理与操作所有计算机与网络得职责与流程来指导正确与安全得操作。这些流程包括:
·业务或第三方得职能所需得有计划得服务活动;
·数据文件处理,包括验证网络传输得数据;
·对所有计划得系统开发、维护与测试工作得变更管理流程;
·为意外事件准备得错误处理与意外事件处理过程;
·问题管理流程,包括登录所有网络问题与解决办法;
·事件管理流程;
·为所有新得或变更得硬件或软件包括性能、可用性、可靠性、可控性、可恢复性与错误处理能力得方面得测试/评估流程;
·日常管理活动,例如启动与关闭流程,数据备份,设备维护,计算机与网络管理,安全方法或需求。
(2)软件与信息保护
采取措施预防与检测对软件与信息非授权得更改。
(3)介质得处理与安全性
控制计算机介质并进行必要得物理保护。包括控制可移动得计算机介质,制定并遵守处理包含机密或关键数据得介质得流程,介质应在不再需要时被妥善废弃,系统文档分秘级保护并防非授权访问或删除。
(4)维护完整性与可用性
采取措施维护服务得完整性与可用性,建立控制备份计算机与网络资产得流程,定期检查广域网络得网络管理中心与节点得通讯软件
与数据得完整性,保护所有网络设备以避免物理攻击,采取物理保护措施以防止线缆中断、被侦听与非授权访问等。
(5)数据交换
控制银行内部或与外界组织得数据与软件交换。
4物理及环境安全策略
物理安全边界控制管理:制定适当得进入控制保护措施,严格控制安全区域得访问权限,保护机密性或关键信息不受非授权访问、灾难事件带来得损伤或破坏。
支持网上银行系统得关键或敏感业务过程得设备在物理上受到保护,以避免安全威胁与环境危险。
5安全事件应急响应
遵循并贯彻“积极预防、及时发现、快速反应、确保恢复”得方针,建立安全事件响应机制,规定在安全事件得发现、报告、分析、处理、总结各阶段得相关责任与程序,最大限度地减少安全事件造成得损害。
6保护个人信息策略
制定相关管理办法,保护个人信息,防止泄露、删除、篡改与非法使用。保护用户得通信自由与通信秘密。
网上银行与支付习题
一、单项选择题 1、电子支付就是指电子交易的当事人,使用安全电子支付手段,通过( )进行的货币支付或资金流转。 A.网络 B.开户银行 C.发卡银行 D.中介银行 2、在支付全过程的两个层次中,既参与支付服务系统的活动,也参与支付资金清算系统的活动的就是( )。 A.商业银行 B.客户 C.中央银行 D.人民银行 3、网上交易的安全性就是由谁来保证的( )。 A.厂家 B.认证中心 C.银行 D.信用卡中心 4、个人拍买的网络交易就是电子商务的哪一种基本形式( )。 A.G2B B.C2C C.B2C D.B2B 5、目前我国智能卡的推广应用中还存在一些障碍,主要就是安全问题与( )。A、资金问题B、政策问题C、成本问题D、观念问题 6、目前应用最为广泛的电子支付方式就是( )。A、银行卡B、电子货币 C、电子支票 D、电子本票 7、网上购物中,银行卡电子传输系统采用的就是( )。 A.城域网 B.因特网 C.专用网 D.局域网 8、CFCA根CA证书申请与发放的传递方式就是( )。 A.在线方式 B.电话 C.E-mail D.软盘/光盘 9、客户在淘宝网进行的电子商务活动属于( )。 A.B2C电子商务活动 B.B2G电子商务活动 C.B2B电子商务活动 D.C2C电子商务活动 10、世界上第一家全交易型网络银行就是( )。 A.英格兰银行 B.花旗银行 C.美国安全第一网络银行 D.招商银行 11、使用公钥密码体系,每个用户只需妥善保存( )个密钥。 A.1 B.2 C.3 D.4 12、安全电子商务交易的核心机构就是( )。 A.网上银行 B.CA 机构 C.政府部门 D.网络中心 13、电子货币就是( )。 A.商品货币 B.信用货币 C.纸币 D.贵金属货币 14、在SET交易中,发卡银行与收单银行之间传递支付信息使用( )。 A.因特网 B.增值网 C.局域网 D.金融专用网 15、收、付款银行交换支付信息,把支付指令按接收行进行分类,并计算其借、贷方差额的过程称为( ) A.支付 B.清算 C.清分轧差 D.授权 16、在因特网上,利用银行卡进行支付的核心问题就是( )。A. 如何保证信息真实性与准确性 B. 如何保证网络的安全性与银行卡的合法性 C. 如何保证银行卡的合法性与有效性 D.如何保证支付信息的安全传输与身份认证 17、SET协议涉及的对象不包括( )。 A.消费者 B.离线商店 C.收单银行 D.认证中心 二、多项选择题 1、SET就是一个在互联网上实现安全电子交易的协议标准,它就是( )。 A.会话层的网络标准协议 B.规定了交易各方进行交易结算时的具体流程与安全控制策略 C.SET通过使用公共密钥与对称密钥方式加密保证了数据的保密性 D.SET通过使用数字签名来确定数据就是否被篡改.保证数据的一致性与完整性,并可以完
人行《非银行支付机构网络支付业务管理办法》
非银行支付机构网络支付业务管理办法 第一章总则 第一条为规范非银行支付机构(以下简称支付机构)网络支付业务,防范支付风险,保护当事人合法权益,根据《中华人民共和国中国人民银行法》、《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号发布)等规定,制定本办法。 第二条支付机构从事网络支付业务,适用本办法。 本办法所称支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。 本办法所称网络支付业务,是指收款人或付款人通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款人电子设备不与收款人特定专属设备交互,由支付机构为收付款人提供货币资金转移服务的活动。 本办法所称收款人特定专属设备,是指专门用于交易收款,在交易过程中与支付机构业务系统交互并参与生成、传输、处理支付指令的电子设备。
第三条支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,基于客户的银行账户或者按照本办法规定为客户开立支付账户提供网络支付服务。 本办法所称支付账户,是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。 支付账户不得透支,不得出借、出租、出售,不得利用支付账户从事或者协助他人从事非法活动。 第四条支付机构基于银行卡为客户提供网络支付服务的,应当执行银行卡业务相关监管规定和银行卡行业规范。 支付机构对特约商户的拓展与管理、业务与风险管理应当执行《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)等相关规定。 支付机构网络支付服务涉及跨境人民币结算和外汇支付的,应当执行中国人民银行、国家外汇管理局相关规定。 支付机构应当依法维护当事人合法权益,遵守反洗钱和反恐怖融资相关规定,履行反洗钱和反恐怖融资义务。 第五条支付机构依照中国人民银行有关规定接受分类评价,并执行相应的分类监管措施。
网上银行支付合作合同通用范本
内部编号:AN-QP-HT344 版本/ 修改状态:01 / 00 The Contract / Document That Can Be Held By All Parties Of Natural Person, Legal Person And Organization Of Equal Subject Acts On Their Establishment, Change And Termination Of Civil Rights And Obligations, And Defines The Corresponding Rights And Obligations Of All Parties Participating In The Contract. 甲方:__________________ 乙方:__________________ 时间:__________________ 网上银行支付合作合同通用范本
网上银行支付合作合同通用范本 使用指引:本协议文件可用于平等主体的自然人、法人、组织之间设立的各方可以执以为凭的契约/文书,作用于他们设立、变更、终止民事权利义务关系,同时明确参与合同的各方对应的权利和义务。资料下载后可以进行自定义修改,可按照所需进行删减和使用。 本合同由以下双方于____年____月____日____签订于____。 甲方:_____网络科技有限公司 地址:_____ 电话:_____ 传真:_____ 乙方:_____ 地址:_____ 电话:_____ 传真:_____ 鉴于: 甲乙双方决定建立电子商务、网上银行支
网银在线支付接口和应用
网银在线支付接口和应用(转载) 关键字: 网银在线支付接口和应用 最近关注项目中在线支付,所以看一下文档,在线支付应用开发: 基本所有的在线支付均采用以下方式: 客户点击结帐时将关于訂單的信息和货币信息,相应的信息URL,经过md5或其他方式发送(可能Socket和Http或Https)支付平台(块钱,paypal或支付宝等),支付平臺处理完毕时根据相应URL,返回相关的信息(付款信息,訂單信息,验证信息). 在实际操作Money的问题人们一向关注他的安全性等问题,同时本人习惯在通过http方式访问非外网时采用Commons-httpclient的post发送实现,简单方便,所以采用此种实现:具体看以下API和原代码: 网银在线支付API接口: 商户>>>>>>网银在线支付: