电子银行安全评估指引

电子银行安全评估指引

《电子银行安全评估指引》

第一章

总则

第一条为促进电子银行业务的健康发展，保证电子银行业务安全性评估的客观性、及时性、全面性和有效性，依据《中华人民共和国银行业监督管理法》、《中华人民共和国金融机构法》等法律法规和《电子银行业务管理办法》等监管规章，制定本指引。

第二条电子银行的安全评估，是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面，进行的安全测试和风险管理能力等的综合安全考察与评价。

第三条在中华人民共和国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构，都应定期对电子银行安全进行评估。

第四条开展电子银行业务的金融机构可以利用外部专业化的评估机构对电子银行安全进行评估，也可以利用内部独立于电子银行业务运营管理部门的评估部门进行电子银行安全评估。

第五条金融机构的电子银行安全评估工作应纳入金融机构风险管理的总体框架，由金融机构的风险管理委员会或相关机构直接负责。

第六条金融机构的电子银行安全评估应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。

第二章安全评估机构

第七条承担金融机构电子银行安全评估工作的机构，可以是外部专业化服务机构，也可以是金融机构内部具备相应条件的相对独立部门。

第八条外部机构从事电子银行安全评估，应具备以下条件:

(一)具有较为完善的开展电子银行安全评估业务的管理制度和操作规程;

(二)制定了系统全面的内部评估手册或评估指导文件，内容应至少包括评估程序、评估方法和依据、评估标准等;

(三)拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准;

(四)其他从事电子银行安全评估应当具备的条件。

第九条金融机构内部部门从事电子银行安全评估，除应具备第八条规定的有关条件外，还应具备以下条件:

(一)从事电子银行安全评估的部门必须独立于电子银行业务系统开发部门和运营部门;

(二)从事电子银行安全评估的部门未直接参与过有关电子银行设备的选购工作。

第十条中国银监会负责电子银行安全评估机构资格认定工作。电子银行安全评估机构资格认定工作，每年组织一次。

电子银行安全评估机构在从事金融机构电子银行安全评估业务之前，应向中国银监会申请对其资格进行认定。

第十一条申请资格认定的电子银行评估机构，应在中国银监会公告的时限内提交以下材料(一式七份):

(一)电子银行安全评估资格认定申请报告;

(二)机构介绍;

(三)安全评估业务管理框架、管理制度、操作规程等;

(四)评估手册或评估指导文件;

(五)主要评估人员简历;

(六)中国银监会要求提供的其他文件和资料。

第十二条中国银监会收到安全评估机构资格认定的完整材料后三个月内，组

织有关专家和监管人员对申请材料进行评议，采用投票的办法决定电子银行安全评

估机构是否达到了有关资质要求。

第十三条中国银监会对评估机构资质评议后，出具《电子银行安全评估机构

资格认定意见书》，载明评议意见，对评估机构的资格作出认定。

第十四条中国银监会出具的《电子银行安全评估机构资格认定意见书》，仅

供评估机构与开展电子银行业务的金融机构商恰有关电子银行评估业务时使用，不

影响评估机构开展其他经营活动。

评估机构不得将《电子银行安全评估机构资格认定意见书》用于宣传或其他活动。

第十五条经中国银监会评议并被认为达到有关资质要求的评估机构，每次资

格认定的有效期为两年。

经评议未达到认定资格的，评估机构可在下一年度重新申请

资格认定。

第十六条在有效期内，电子银行安全评估机构如果出现下列情况，中国银监

会将撤销已做出的评议和认定意见:

(一)评估机构管理不善，其工作人员泄露被评估机构秘密的;

(二)评估工作质量低下，评估活动出现重要遗漏的;

(三)未按要求提交评估报告，或评估报告中存在不实表述的;

(四)将《电子银行安全评估机构资格认定意见书》用于宣传和其他经营活动的;

(五)存在其他严重不尽职行为的。

第十七条评估机构有下列行为之一的，中国银监会将在一定期限或无限期不承接评估机构的资格认定请求，银行业金融机构不应再委托该评估机构进行安全评估:

(一)与委托机构合谋，共同隐瞒在安全评估过程中发现的安全漏洞，未按要求写入评估报告;

(二)在评估过程中弄虚作假，编造安全评估报告;

(三)泄漏银行机密信息，或不当使用银行机密资料;

银行业金融机构内部评估机构出现以上情况之一的，中国银监会将按照有关法律法规和行政规章的规定，对相关责任人进行处罚。

第十八条中国银监会认可的电子银行安全评估机构，以及有关资格认定撤销决定等信息，仅向开展电子银行业务的各金融机构通报，不向社会公布。

第十九条金融机构不得向第三方泄露中国银监会的有关通报信息，影响外部机构的其他业务活动，也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。

第二十条开展电子银行业务的金融机构可以在中国银监会认可的评估机构范围内，自主选择安全评估机构，签订书面服务协议。

金融机构选择内部部门作为评估机构时，应由电子银行运营部门与评估部门签订评估责任确定书。

第二十一条金融机构与评估机构签订的服务协议中，必须含有明确的保密条款和保密责任。

第二十二条安全评估机构应根据评估协议的规定，认真履行评估职责，真实评估被评估机构电子银行运营的安全状况。

第三章安全评估的实施

第二十三条评估机构在开始电子银行安全评估之前，应就评估的范围、重点、时间与要求等问题，与被评估机构进行充分的沟通，制定评估计划，由双方签字认可。

第二十四条依据评估计划，评估机构进场对委托机构的电子银行安全进行评估。电子银行安全评估应真实、全面地评价电子银行系统的安全性。

第二十五条电子银行安全评估至少应包括以下内容:

(一)安全策略;

(二)内控制度建设;

(三)风险管理状况;

(四)系统安全性;

(五)电子银行业务运行连续性计划;

(六)电子银行业务运行应急计划;

(七)电子银行风险预警体系;

(八)其他重要安全环节和机制。

第二十六条电子银行安全策略的评估，至少应包括以下内容: (一)安全策略制定的流程与合理性;

(二)系统设计与开发的安全策略;

(三)系统测试与验收的安全策略;

(四)系统运行与维护的安全策略;

(五)系统备份与应急相关策略。

评估机构对金融机构安全策略的评估，不仅要评估安全战

略、规章制度和程序是否存在，还要评估这些制度是否能得到贯彻执

行，是否能做到及时更新，是否能全面覆盖电子银行业务系统。第二十七条电子银行内控制度的评估，应至少包括以下内容: (一)高级管理层对电子银行安全的认知能力与水平; (二)安全监控机制的建设与运行;

(三)内部审计制度的建设与运行。

第二十八条电子银行风险管理状况的评估，应至少包括以下内

容:

(一)电子银行管理机构设置的合理性与其他部门的协调性; (二)电子银行管理部门主要负责人对电子银行的熟知程度;

(三)管理人员配备与培训情况;

(四)电子银行风险管理的规章制度与操作规定、程序等;

(五)电子银行业务风险管理状况;

(六)业务外包管理制度建设与管理状况。

第二十九条电子银行系统安全性的评估，应至少包括以下内容:

(一)物理安全;

(二)数据通讯安全;

(三)应用系统安全;

(四)密钥管理;

(五)客户信息认证与保密;

(六)入侵监测机制和报告反应机制。

评估机构应突出对数据通讯安全和应用系统安全的评估，客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙，银行内部运作系统和数据库是否安全等，以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序，并能保证各种修改得到及时测试和审核。

第三十条电子银行业务运行连续性计划，应至少包括以下内容:

(一)电子银行保障业务连续运营的设备和系统能力;

(二)保证业务连续运营的制度安排和执行情况;

第三十一条电子银行业务运行应急计划，应至少包括以下内容:

(一)电子银行应急制度建设和执行情况;

(二)电子银行应急系统建设;

(三)定期、持续性的检测和演练情况;

(四)应对意外事故或非法攻击的能力。

第三十二条评估机构进行安全评估的方式，包括审核有关资料、与相关人员谈话等，但在电子银行安全性评估时，必须采取至少一种方法对系统进行测试。

第三十三条评估机构在进行安全评估时，应根据委托机构的实际情况，确定不同评估内容对电子银行总体风险影响程度的权重，对每项评估内容进行评分，综合计算出所评估机构电子银行的风险等级。

第三十四条评估完成后，评估机构应及时撰写评估报告，并于评估完成后一个月内向委托机构提交由其法定代表人签字认可的评估报告。

第三十五条评估报告应至少包括以下内容:

(一)评估的时间、范围及其他协议中重要的约定;

(二)评估的总体框架、程序、主要方法及主要评估人员介绍;

(三)不同评估内容风险权重的确定标准，风险等级的计算方法，以及风险等级的定义;

(四)评估内容与评估活动描述;

(五)评估结论;

(六)其他需要说明的问题;

(七)主要术语定义和所采用的国际或国内标准介绍(可作为附件);

(八)评估工作流程记录表(可作为附件);

(九)参加评估人员名单(可作为附件)。

在评估结论中，评估机构应采用量化的办法，表明被评估机构电子银行的风险等级，并说明被评估机构电子银行安全管理中存在的主要问题与隐患，并说明整改建议。

第三十六条评估报告完成并提交委托机构后，如需修改，应将修改的原因、依据和修改意见作为附件附在原报告之后，不得直接修改原报告。

第四章安全评估活动的管理

第三十七条金融机构在申请开办电子银行业务时，应当按照有关规定对完成测试的电子银行进行安全评估。

第三十八条金融机构获准开办电子银行业务后，应当至少每年对电子银行进行一次安全评估。

有下列情形之一的，应立即组织安全评估:

(一)由于安全漏洞导致系统被攻击瘫痪，修复完善的;

(二)电子银行系统进行重大的更新和升级的;

(三)电子银行的基础设施出现重大改变的;

(四)基于电子银行安全管理需要应即时评估的。

第三十九条评估机构的选择应由金融机构的高级管理层最终确定。评估机构确定后，金融机构必须与评估机构签定评估协议，明确界定评估的任务、双方的权利和义务。

评估协议应由金融机构的高级管理层签署。

第四十条金融机构原则上只能确定一个评估机构进行评估，若有多个评估机构参与评估，金融机构必须确定一个主要的评估机构协调总体评估工作，负责总体评估报告的制作。

金融机构将电子银行的不同系统委托给不同的评估机构进行安全评估，应当明确每个评估机构的安全评估范围，保证不同的评估范围之间没有遗漏。

第四十一条金融机构应在签署评估协议后2周内，将评估机构简介、拟采用的评估方案和评估步骤等，报送中国银监会。

第四十二条中国银监会根据监管工作的需要，可派员参加金融机构电子银行安全评估工作，但不作为正式评估人员，不提供评估意见。

第四十三条评估机构应本着客观、公正、真实和自主的原则，开展评估活动，并严格保守在评估过程中获悉的商业机密。

第四十四条在评估过程中，委托机构和评估机构之间应建立信息保密工作机制。

(一)评估过程中，调阅相关资料、复制相关文件或数据等，都应建立登记、签字制度;

(二)调阅的文件资料应在指定的场所阅读，不能复印，不得带出指定场所;

(三)复制的文件或数据不应带出工作场地，如确需带出的，必须详细登记带出数据的原因、时间、责任人等;

(四)评估过程中废弃的文件、材料和不再使用的数据，应立即

予以销毁或删除;

(五)评估工作结束后，双方应就有关机密数据、资料等的交接情况签署说明。

第四十五条金融机构在收到评估机构的评估报告一个月内，应将评估报告抄报中国银监会。

金融机构报送评估报告时，可对评估报告中的有关问题作必要的说明。

第四十六条未经监管部门批准，电子银行安全评估报告不得作为广告宣传资料使用，也不得提供给除监管部门以外的第三方机构。

第四十七条对未按有关要求进行的安全评估，或者评估程序、方法和评估报告存在重要缺陷的安全评估，中国银监会可以要求金融机构进行重新评估。

第四十八条中国银监会根据监管工作的需要，可以自己组织或委托评估机构对电子银行系统进行安全评估，金融机构对于中国银监会组织的安全评估应予以配合。

第四十九条中国银监会根据监管工作的需要，可直接向评估机构了解其评估的方法、范围和程序等。

第五十条对于评估报告中所反映出的问题，金融机构应采取有效的措施加以纠正。

第五章附则

第五十一条本指引由中国银监会负责解释。

第五十二条本指引自发布之日起施行。

银行业金融机构安全评估办法

银行业金融机构安全评估办法 第一条为加强对银行业金融机构治安保卫工作的指导，规范日常监督、检查工作，及时发现和消除治安隐患，维护单位内部安全，依据《中华人民共和国治安管理处罚法》、《企业事业单位内部治安保卫条例》等法律规定，制定本办法。 第二条本办法所称的安全评估，是指政府监管部门依法对银行业金融机构内部的安全防范制度、措施、人员和设施等状况进行综合评估的活动。 第三条安全评估应当依照有关法律、法规、规章及《银行营业场所风险等级和防护级别的规定》、《银行金库》、《安防工程程序与要求》、《安全防范工程技术标准》等标准进行。安全评估每两年进行一次。 第四条安全评估按照管辖业务分工，由省、市、县三级公安机关会同同级银行业监督管理部门负责组织。省、市、县三级公安机关治安（内保）部门和同级银行业监督管理部门的保卫机构具体组织实施。 安全评估时，应当由组织评估的省级、市级或县级公安机关的治安（内保）、消防、网监、经侦部门和同级银行业监督管理部门的保卫、内控人员组成评估小组，成员为不少于5人的单数。

第五条安全评估的内容主要包括： （一）营业场所安全； （二）金库安全； （三）运钞安全； （四）自助机具、自助银行防范能力； （五）内部消防安全； （六）计算机安全； （七）案件防范能力； （八）枪支弹药管理安全； （九）其他。 第六条安全评估的方法主要有： （一）询问金融机构治安保卫工作负责人和其他工作人员，要求其对有关安全评估事项做出说明； （二）查阅、复制与治安保卫工作有关的文件、资料； （三）实地查看银行业金融机构治安保卫制度、措施的制定和落实情况； （四）实地了解银行业金融机构治安保卫机构和人员的落实情况； （五）实地查看物防、技防等治安防范设施的设置和运行情况； （六）根据需要依法采取的其他安全评估方法。 第七条安全评估实行量化管理，根据评估内容和标准

电子银行安全评估指引

《电子银行安全评估指引》第一章 总则 第一条为促进电子银行业务的健康发展，保证电子银行业务安全性评估的客观性、及时性、全面性和有效性，依据《中华人民共和国银行业监督管理法》、《中华人民共和国金融机构法》等法律法规和《电子银行业务管理办法》等监管规章，制定本指引。 第二条电子银行的安全评估，是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面，进行的安全测试和风险管理能力等的综合安全考察与评价。 第三条在中华人民共和国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构，都应定期对电子银行安全进行评估。 第四条开展电子银行业务的金融机构可以利用外部专业化的评估机构对电子银行安全进行评估，也可以利用内部独立于电子银行业务运营管理部门的评估部门进行电子银行安全评估。 第五条金融机构的电子银行安全评估工作应纳入金融机构风险管理的总体框架，由金融机构的风险管理委员会或相关机构直接负责。 第六条金融机构的电子银行安全评估应接受中国银行业监督管理委员会（以下简称中国银监会）的监督指导。

第二章安全评估机构 第七条承担金融机构电子银行安全评估工作的机构，可以是外部专业化服务机构，也可以是金融机构内部具备相应条件的相对独立部门。 第八条外部机构从事电子银行安全评估，应具备以下条件： （一）具有较为完善的开展电子银行安全评估业务的管理制度和操作规程； （二）制定了系统全面的内部评估手册或评估指导文件，内容应至少包括评估程序、评估方法和依据、评估标准等； （三）拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准； （四）其他从事电子银行安全评估应当具备的条件。 第九条金融机构内部部门从事电子银行安全评估，除应具备第八条规定的有关条件外，还应具备以下条件： （一）从事电子银行安全评估的部门必须独立于电子银行业务系统开发部门和运营部门； （二）从事电子银行安全评估的部门未直接参与过有关电子银行设备的选购工作。 第十条中国银监会负责电子银行安全评估机构资格认定工作。电子银行安全评估机构资格认定工作，每年组织一次。 电子银行安全评估机构在从事金融机构电子银行安全评估业务之前，应向中国银监会申请对其资格进行认定。

手机银行安全性技术研究

信息安全 ? Information Security 212 ?电子技术与软件工程 Electronic Technology & Software Engineering 【关键词】手机银行安全 威胁分析 安全评估 1 前言 随着移动终端的研发，手机早已经不仅是为通信而存在，智能手机也已经不再是奢侈品，更加成为娱乐和商务功能的主要应用对象，同时也成为人们工作和学习的有力助手。2013年1月15日，国内手机市场整体规模达2.6亿台，相比2012年同期增长20.6%。随着快速发展的无线网络技术，智能手机的功能越来越强大，更重要的是带有WiFi 和3G 或4G 功能，使得上网速度，安全性和稳定性都获得了很大的提升。 手机银行安全性技术研究 文/徐立杰 程晓荣 手机研发技术的发展给手机银行的使用 带来了巨大的契机，银行与每个人的生活息息相关，传统的银行柜台服务经常是长队如龙，排队浪费人们大量的时间。 通过各种智能终端和手机连接到手机银行的用户可以直接完成各种银行交易。伴随着智能手机技术的发展，通信速率和功能的拓展以及手机存储技术的进步，促使手机应用愈加广泛。同样，这也造成手机保留越来越多的重要数据信息， 使手机上的各种数据成为攻击者的新目标，手机的信息安全将从最初的用户隐私上升到数字内容安全，以及支付安全等各个方面。移动互联网与业务应用的重要组成部 分，手机的安全性，是关系到移动互联网业务的基础，如何保障手机银行相关系统的安全，安全评估必须作为系统建设的基础，也是系统安全的重要保障。 2 手机银行主要使用的技术探究 手机银行现阶段主要使用的技术有以下三种：2.1 SMS方式 SMS(short message service)即短信服务方式，该实现方式主要是由手机银行系统，短信中心以及手机终端组成。客户使用SIM 卡上的菜单用加密短信方式向银行系统发出短信指 令，然后通过GSM 网络发出短信；GSM 短信中心系统收到短信之后，转发给银行系统，银行系统接着对短信内容执行处理。银行主机处理客户请求后，系统将处理结果转换成短信格式再把需要的结果短息信发给客户。该方式的优点就是客户很容易接入手机银行系统，缺点则是较复杂的银行业务交互性差，完成一次业务也可能需要发送多条短信。2.2 STK(Sim Tool Kit) 方式 手机银行卡系统的客户端使用的贴片式SIM 扩展卡，是标准的CPU 智能卡。采用STK 技术实现相关功能，通过加密短信和柜面端进行交互，因此，只要支持STK 功能、能够收发短信的手机都可以使用。而STK 功能是GSM/CDMA 规范的标准功能，绝大部分手机都支持该功能，因此手机银行卡具有良好的开放性。2.3 WAP方式 WAP(Wirelessa Application Protoeol)即通过WAP 的方式使用手机浏览器访问银行网站办理银行业务。WAP 方式是一种无线应用协 议，是全球性的开放协议。手机银行客户端无需安装任何软件，绝大部分手机都内置WAP 浏览器。使用WAP 浏览器来处理银行业务的在线服务很早就已成为国内外手机银行的主流技术。 授权的用户进入系统。 对身份认证系统有以下要求: （1）信息的相互传递需要能够不具备可传递性。该要求主要是为了能够防止当用户发送完成相关的验证用户信息后，第三方截取该验证信息后进行伪装攻击所进行要求的。 （2）身份验证能够具有实时性，也就是指双方的身份验证必须能够在较短的时间内完成。 （3）加密密钥的存储安全要得到保证，防止第三方窃取密钥，造成信息泄露。 3 系统的设计 整个防盗系统的核心模块主要是由RFID 模块组成，由于篇幅有限，笔者主要对RFID 模块的具体设计进行一个较为详细的讲述。整个RFID 模块通信系统的结构框图的设计如图2所示。 在对RFID 模块进行选型时，从低功耗、 传输速率以及识别距离等多个方面来进行考虑，最后选取的是由NXP 公司所研发和生产的PCF 7900这款RFID 模块，该模块的工作频率为12.49MHz[1] ，具有较高的集成度，其识别距离也比较广，在所使用的系统之中没有增加有源电路的情况之下，该款芯片也能够依靠自身的内部发送器来完成相关数据的发送和接收，其工作距离可以达到1.5米。该款芯片内部还集成有高集成度的模拟电路，能够较好的实现卡内解调以及解码的相关操作，同时还带有一组并行接口，通过该接口可以直接和相应的八位控制器相连，大大降低的系统设计难度，在并行接口内部还拥有IRQ 线与地址锁存，能够较好的与相连的控制器灵活的完成相应的中断处理任务，并有一个低功耗的硬件复位模块，具体的RFID 发射天线原理图的设计如图3所示。 3 总结 笔者通过利用RFID 技术，将其运用于汽车的智能钥匙和车载模块中，结合AES-128算法，能够在一定程度上降低汽车被盗的风险，对汽车防盗技术的研究具有一定的帮助作用。 参考文献 [1]NXP. PCF7900ATT/PCF7900ETT: Active Tag IC and Processor[Z].2009. [2]单承赣,单玉峰,姚磊.射频识别（RFID） 原理与应用[M].北京：电子工业出版社,2010. [3]游战清,李苏剑.无线射频识别技术 （RFID）理论与应用[M].北京：电子工业出版社,2004. 作者单位 海军驻北京二三九厂军代表室 北京市 100013 <<上接211页

电子银行风险成因及对策

电子银行风险成因及对策 电子银行业务从无到有，从小到大，近年来进入发展快车道。以网上银行、电话银行、手机银行、自助银行、支付宝无卡支付、为代表的新型服务方式，为广大用户带来了方便和新的服务体验。首先是银行传统业务形成的客户群体，为电子银行业务的发展打下了坚实基础。近年来，商业银行利用多层次、全方位营销和主动上门推介等方式，拥有了一批实力雄厚的黄金客户。在全新的服务模式下，从以柜面服务为主的传统服务渠道向、全方位服务渠道方向全面转型。 一、电子银行风险成因 从风险发生的概率及危害程度看，网上银行的风险主要来自三个方面。一是客户自身风险，主要是由于企业内部财务制度不健全造成的。有的企业所有印章由一人保管，企业法人对财务事项长期不管不问，一旦财务人员出现道德风险，盗窃或侵占企业资金，很容易通过网上银行非法转移企业资金，并且作案分子可以先潜逃后作案，即使东窗事发，后续的案件侦破，追回资金的难度也会大大加大。二是银行内部欺诈风险。多数来自银行员工利用客户对自己的信任，在客户不知情的情况下，代替客户注册网上银行并掌握其网银证书，通过网上银行盗窃客户资金。三是网络风险。网络风险是犯罪分子基于互联网技术，通过木马病毒，网络钓鱼，虚假网站等手段利用客户属于防范和贪图小利等心理，盗窃客户卡号，密码等关键信息，或远程控制客户计算机，通过网上银行盗窃客户资金 二、防范电子银行风险的主要措施 1.大力提高风险管理能力 电子银行不能做到绝对的安全，但是一定可以做到更安全。当前，随着电子银行业务的发展，电子银行的风险管理刻不容缓，要实现电子银行业务超常规发展，形成一个产品多元化、渠道集成化、服务智能化的电子银行体系，对商业银行来讲，必须采取积极有效的策略措施来强化电子银行业务安全性的建设。因此，银行在开办电子银行业务时要将电子银行业务风险纳入风险管理的总体框架中并设立相应的管理机构，明确管理职能，完善授权机制建设，有效

银行安全评估工作总结最新总结

银行安全评估工作总结 银行安全评估自查报告-自查自纠 xx商业银行安全 评估工作自查报告 市行: 根据攀商银发[2xx]154号《关于转发《中国银行业监督管理委员会xx监管分局xx市公安局关于开展xx银行业金融机构安全评估工作的通知》的通知》的文件精神，积极成立了安全检查小组，我支行结合自身实际，认真开展了自查自纠工作，现将安全评估工作汇报如下： （一）、安全自查工作情况 （一）、营业场所安全 （1）、物防方面： (1)、柜台与外界相通的出入安装有尾随门，在其余出入口均安装有坚固的金属防护门金属防护门锁具符合标准，柜xx有防爆功能的透明防护屏障；此次对支行营业室手动卷帘门、进出营业室的防尾缓冲式电控联动门使用情况进行了检查，使用情况正常。对营业大厅具有防爆功能的透明防护屏障进行检查，有一道落地玻璃有严重裂痕，目

前已重新更换。大厅和金库配备有自动应急照明设备3台；(2)、现金出纳柜台已采用砖石或钢筋混凝土结构，柜台高度、宽度都符合检查机关的相关要求；现金业务柜台的台面设置和收银槽长宽高均符合要求； (3)、对营业大厅空调、饮水机等大功率设备进行检查发现，如果空调等设备正常运行，就会造成ATM机的电压不够，出现自动关机情况，针对该情况，支行专门请电工和攀钢的供电所人员一起，对引入支行的电路问题进行了改造； (4)、对营业大堂、ATM机网点消防用灭火器摆放位置合理和能否正常使用进行了检查，通过检查更换了2个过期灭火器； (5)、对营业室柜台配备的催泪瓦斯、狼牙棒、电警棍进行了检查，均能正常使用，并多配置了2个狼牙棒； (6)、对机房和金库、档案室进行了检查,存在机房和金库杂物比较多,文件柜顶上乱堆杂物，墙上电线紊乱，卫生状况差等问题，针对这些问题，对相关工作人员进行了批评，并购买了铁皮柜放置在机房和金库中,将祼露在外的纸质资料和杂物归置在柜中。档案室一直保持整洁，并配备有防火、防水、防潮、防鼠等设施，每日由档案管理员检查； (7)、我行设立了一台大功率柴油发电机，功率充足，特殊情况下，应急照明设备能自动启动。对发电机房，进行了安全检查，由于雨季到了，发电机房顶棚流入的水容易溅入发电机内造成危险，为保证其安全使用，重新加固了顶棚，安置了水槽。

银行业金融机构稳健性现场评估办法

ⅩⅩ区银行业金融机构稳健性现场评估办法（征求意 见稿） 第一章总则 第一条为加强辖区银行业金融机构风险监测与评估，及早发现影响辖区银行业金融机构稳健性运行的苗头性、倾向性问题，防范和化解系统性金融风险，维护辖区金融稳定，根据《中华人民共和国人民银行法》、《中华人民共和国商业银行法》、《ⅩⅩ区金融业风险监测评估工作指引》以及中国人民银行相关规章制度等，制定本办法。 第二条本办法所称现场评估，是指人民银行ⅩⅩ区内各分支机构在对银行业金融机构非现场监测评估的基础上，通过调查问卷、现场访谈、调阅资料、数据核对等多种方式，从风险管理体系建设及执行、经营审慎性、公司治理、管理层素质及合规性、核心指标稳健性等方面，对银行业金融机构的稳健性作出定性和定量判断的行为。 第三条现场评估工作应遵循因地制宜、客观全面、公平公正、合理有效的原则。 第二章现场评估内容

第四条根据《ⅩⅩ区银行业金融机构现场评估实施方案》，银行业金融机构现场评估内容主要包括以下几个方面：㈠风险管理体系建设及执行有效性。主要从信用风险管理、市场风险管理、操作风险管理、流动性风险管理、声誉风险管理、应急管理、风险管理部门独立性及人员配置、发展战略、业务模式、规模扩张、网点布局、新发放贷款投向、存贷款平滑度、短期融资依赖度、贷款集中行业和客户景气度等方面进行评估。 ㈡公司治理、管理层素质及合规性。 ㈢资本、人员及系统稳定性。 ㈣核心指标稳健性。主要从资本充足性、安全性、流动性、盈利性和管理水平等方面进行评估。 第三章现场评估程序 第五条现场评估程序分为评估准备、评估实施和评估报告及结果处理三个阶段。 第一节评估准备 第六条银行业金融机构应于每年2月最后一个工作日前向所在地人民银行报送上一年度的《金融稳定评估指标

银行业务外包风险评估工作实施方案

银行业务外包风险评估工作实施方案 为深入了解和掌握业务外包风险状况，促进业务外包健康发展，同时推动巴塞尔新资本协议实施，推广使用操作风险管理工具，总行决定对我行业务外包进行风险评估。根据总行《关于开展今年下半年专项风险评估工作的通知》（农银办发【今年】726号）及《中国农业银行河南省分行业务外包风险评估工作实施方案》要求，结合我行业务外包实际，特制定本实施方案。 一、评估的背景和目标 （一）开展业务外包风险评估的背景。 一是总行《中国农业银行今年风险管理工作要点》明确制定了上半年开展清算中心业务风险评估，下半年开展后台中心风险评估总体工作布署，但鉴于全行“三大中心”建设各行进度不同，大部分行下半年“三大中心”建设未全面完成，不能在全行进行后台中心风险评估，总行决定在后台中心、业务外包、小额农贷三个板块领域开展专项风险评估，我行被总行划分在业务外包板块进行风险评估。二是实施操作风险经济资本高级计量法的要求。总行已将经济资本分配到各部门、各级行，为确保计量数据的准确，“让数据和事实说话”，总行逐步在主要业务条线开展风险评估，通过有步骤的、循序渐进的推进各条线风险评估，全面识别不同条线面临的主要风险和潜在风险，针对不同环节风险和风险程度及时采取措施，有效防控风险，构建科学的风险管理机制。 （二）开展业务外包风险评估的意义。 通过开展业务外包风险评估，可以从制度、流程、协议等方面查找并发现我行主要外包业务存在的缺陷和不足，并通过完善制度、优

化流程、修改协议等措施，提高我行业务外包整体风险防控能力。 （三）评估目标。 1、清查业务外包领域已发生的各类风险事件，收集损失数据，深入分析导致风险事件发生的内外部原因。 2、以风险为导向，全面排查业务运行中存在的各类风险隐患，查找风险管理中存在的各种问题。 3、在定性定量分析风险事件和损失、风险隐患、风险管理情况的基础上，判断未来内外部环境改变后风险变化趋势，多角度、系统性地提出整改意见，建立健全风险控制机制，强化风险防范，促进业务优化和发展。 二、评估对象及范围 结合总行评估要点所涉及的主要业务领域及我行业务外包实际，本次业务外包风险评估仅限运营管理、信用卡和安全保卫3个业务条线外包活动，具体业务产品或管理活动详见风险评估内容及要点（见附件2）。 （一）评估对象。 我行业务外包风险评估对象为市分行运营管理部、电子银行部（信用卡业务）、安全保卫部及各县级支行与三个条线业务外包相关的业务管理部门。 （二）评估范围。 一是风险事件及损失评估。收集范围为2008年1月1日至今年9月30日发生的业务外包类风险事件和损失。主要为：操作风险事件及损失、外包供应商违约事件及损失等。 二是风险隐患评估。包括：产品、设备、流程、系统、人员、制度、操作、管理、监督检查、体制机制等方面存在的问题和隐患；外部欺诈、客户信用、外包供应商势力等外部因素存在的问题和隐患；

银行安全评估自查报告自查自纠

银行安全评估自查报告 自查自纠 集团文件发布号：（9816-UATWW-MWUB-WUNN-INNUL-DQQTY-

XXX商业银行安全 评估工作自查报告 市行: 根据攀商银发[2013]154号《关于转发《中国银行业监督管理委员会XXX监管分局**市公安局关于开展XXX银行业金融机构安全评估工作的通知》的通知》的文件精神，积极成立了安全检查小组，我支行结合自身实际，认真开展了自查自纠工作，现将安全评估工作汇报如下： 一、安全自查工作情况 （一）、营业场所安全 1、物防方面： (1)、柜台与外界相通的出入安装有尾随门，在其余出入口均安装有坚固的金属防护门金属防护门锁具符合标准，柜**有防爆功能的透明防护屏障；此次对支行营业室手动卷帘门、进出营业室的防尾缓冲式电控联动门使用情况进行了检查，使用情况正常。对营业大厅具有防爆功能的透明防护屏障进行检查，有一道落地玻璃有严重裂痕，目前已重新更换。大厅和金库配备有自动应急照明设备3台；(2)、现金出纳柜台已采用砖石或钢筋混凝土结构，柜台高度、宽度都符合检查机关的相关要求；现金业务柜台的台面设置和收银槽长宽高均符合要求；(3)、对营业大厅空调、饮水机等大功率设备进行检查发现，如果空调等设备正常运行，就会造成ATM机的电压不够，出现自动关机情况，针对该情况，支行专门请电工和攀钢的供电所人员一起，对引入支行的电路问题进行了改造；(4)、对营业大堂、ATM机网点消防用灭火器摆放位置合理和能否正常使用进行了检查，通过检查更换了2个过期灭火器；(5)、对营业室柜台配备的催泪瓦斯、狼牙棒、电警棍进行了检查，均能正常使用，并多配置了2个狼牙棒；(6)、对机房和金库、档案室进行了检查,存在机房和金库杂物比较多, 文件柜顶上乱堆杂物，墙上电线紊乱，卫生状况差等问题，针对这些问题，对相关工作人员进行了批评，并购买了铁皮柜放置在机房和金库中,将祼露在外的纸质资料和杂物归置在柜中。档案室一直保持整洁，并配备有防火、防水、防潮、防鼠等设施，每日由档案管理员检查；(7)、我行设立了一台大功率柴油发电机，功率充足，特殊情况下，应急照明设备能自动启动。对发电机房，进行了安全检查，由于雨季到了，发电机房顶棚流入的水容易溅入发电机内造成危险，为保证其安全使用，重新加固了顶棚，安置了水槽。 2、技防方面： 根据银监会有关信息科技风险管理要求，及我行《分支机构信息科技工作管理办法》的要求，我支行设立了两名信息科技管理员高强、景海东（兼职），负责本机构信息科技管理方面的工作，并每月对运营网络、机房、自助设备、配电箱、稳压器/UPS工作情况、线路发热情况、配电箱内的空气开关等重要区域进行检查，对存在的问题及时通知有关人进行了改正

中国银监会关于印发《商业银行信息科技风险管理指引》的通知

商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产一2 一 生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务- 3 一 部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 （六）在建立良好的公司治理的墓础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。（七）确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改。 （八）每年审阅并向银监会及其派出机构报送信息科技风险管理的年度报告。

银行网络安全建设方案书

XXX银行生产网络安全规划建议书 2006年6月 目录 1项目情况概述 (22) 2网络结构调整与安全域划分 (44) 3XXX银行网络需求分析 (66) 3.1网上银行安全风险和安全需求 (77) 3.2生产业务网络安全风险和安全需求 (88) 4总体安全技术框架建议 (1010) 4.1网络层安全建议 (1010) 4.2系统层安全建议 (1212) 4.3管理层安全建议 (1313) 5详细网络架构及产品部署建议 (1414) 5.1网上银行安全建议 (1414) 5.2省联社生产网安全建议 (1616) 5.3地市联社生产网安全建议 (1818) 5.4区县联社生产网安全建议 (1818) 5.5全行网络防病毒系统建议 (1919) 5.6网络安全管理平台建议 (2020) 5.6.1部署网络安全管理平台的必要性 (2020) 5.6.2网络安全管理平台部署建议 (2121) 5.7建立专业的安全服务体系建议 (2222) 5.7.1现状调查和风险评估 (2323) 5.7.2安全策略制定及方案设计 (2323) 5.7.3安全应急响应方案 (2424) 6安全规划总结 (2727) 7产品配置清单 (2828)

1项目情况概述 Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应用的增加，已经形成了一个横纵联系，错综复杂的网络。从纵向来看，目前XXX银行网络分为四层，第一层为省联社网络，第二层为地市联社网络，第三层为县（区）联社网络，第四层为分理处网络。 从横向来看，省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上，还包括网上银行、测试子网和MIS子网三个单独的子网。其整个网络的结构示意图如下： 图1.1 XXX银行网络结构示意图 XXX银行网络是一个正在新建的网络，目前业务系统刚刚上线运行，还没有进行信息安全方面的建设。而对于XXX银行网络来说，生产网是网络中最重要的部分，所有的应用也业务系统都部署在生产网上。一旦生产网出现问题，造成的损失和影响将是不可估量的。因此现在急需解决生产网的安全问题。

规范文件-银行业金融机构安全评估办法(7月修订)

银行业金融机构安全评估办法 (2010年7月修订) 第一条为加强对银行业金融机构内部治安保卫工作的指导，规范日常监督、检查工作，及时发现和消除安全隐患，维护单位内部安全，依据《中华人民共和国洽安管理处罚法》、《企业事业单位内部治安保卫条例》等法律规定，制定本办法。 第二条本办法所称的安全评估，是指公安机关和银行业监督管理部门（以下简称银监部门）依法对银行业金融机构内部的安全防范制度、措施、人员和设施等状况进行综合评估的活动。开展安全评估工作应与对银行业金融机构的日常安全检查工作相结合． 第三条安全评估应当依照有关法律、法规、规章和《银行营业场所风险等级和防护级别的规定》、《银行业务库安全防范的要求》、《银行自助设备自助银行安全防范的规定》、《安防工程程序与要求》、《安全防范工程技术标准》等标准进行．安全评估以两年为一个周期，每偶数年作为开展评估工作的起始年，奇数年的n 月30 日前完成评估，并将评估总结报上级公安机关和银监部门。 第四条安全评估工作由省级公安机关会同同级银监部门（大连、青岛、宁波、厦门、深圳等地银监局会同所在地公安机关）共同组织实施。各省级公安机关和银监部门应根据本办法制定评估工作实施方案，培训评估人员。 开展安全评估时，应组成评估小组，成员为不少于5 人的单数。评估小组成员由公安机关、银监部门和各省级金融安全防范专家库中来自银行业金融机构的人员组成。 第五条安全评估的内容主要包括： （一）营业场所安全； （二）业务库安全； （三）自助设备、自助银行安全； 〔四）运钞安全；

（五）消防安全； （六）计算机安全； （七）枪支弹药安全； （八）案件防范； （九）安全保卫基础工作。 第六条安全评估的方法主要有： （一）询问被评估单位安全保卫工作负责人和其他工作人员，了解安全保卫工作情况； （二）查阅、复制、调取与安全保卫工作有关的文件、资料； （三）实地查看银行业金融机构安全保卫工作制度、措施的制定和落实情况； （四）实地了解银行业金融机构安全保卫机构设置和人员配备情况； （五）实地查看测试物防、技防等安全防范设施的设置和运行情况； （六）突击检查和抽查； （七）根据需要依法采取的其他安全评估方法。 第七条安全评估以县级、地市级和省级银行业金融机构为单位计分。对县级以下银行业金融机构的评估，应按照本办法第五条所列的九项内容逐项评分，每大项中涉及多个机构的，应在对多个机构逐一打分的基础上取平均值作为最后得分。县级、地市级和省级被评估单位的评估分数计分方法为：下一级银行业金融机构评估所得分数的平均值的80 ％加上本级机构评估所得分数的20 ％之和。 跨省设立分支机构的银行业金融机构的评估分应取其下一级机构评估分的平均值。 第八条安全评估根据评估内容和标准打分，满分为100 分。银行业金融机构累计得分在95 分（含）以上的，列为安全防范优秀单位；累计得分在95 分至85 分（含）的，列为安全防范合格单位；累计得分低于85 分的，列为安全防范不达标单位；其中累计得分低

电子银行业务管理办法

电子银行业务管理办法

附件二十九上海农村商业银行企业网上银行通知存款业务作业指导书 附件1： 永兴沪农商村镇银行电子银行业务管理办法 (2015年2月修订) 目录 第一章总则 (4) 第二章管理职责 (8) 第三章基本规定 (10) 第四章柜员管理 (21) 第五章参数管理 (22) 第六章移动数字证书管理 (23) 第七章个人网上银行业务 (24) 第八章企业网上银行业务 (25) 第九章电子银行业务特殊处理 (26) 第十章客户投诉及咨询业务 (27) 第十一章门户网站管理 (28) 第十二章自助机具管理 (30) 第十三章移动终端业务管理 (32) 第十四章短信业务管理 (33) (35)

第十六章业务检查 (36) 第十七章电子银行售后服务 (38) 第十八章电子银行客户教育 (39) 第十九章突发事件应急处理 (40) 第二十章附则 (43)

第一章总则 第一条为加强永兴沪农商村镇银行电子 银行业务管理，规范业务处理行为，防范风险发生，促进电子银行业务健康、持续、快速发展，根据《中华人民共和国商业银行法》、《中华人民共和国电子签名法》、《电子银行业务管理办法》、《电子支付指引》、《网上银行系统信息安全规范》、《人民币银行结算账户管理办法》、《支付结算办法》以及监管部门有关规定、规范性文件和相关业务制度，制定本办法。 第二条本办法所称永兴沪农商村镇银行（以下简称“村镇银行”）是经监管机构依据有关法律、法规批准，由上海农商银行（以下简称“主发起行”）和其他境内非金融机构企业法人或境内自然人共同出资并由上海农商 银行控股，主要为县（市）区域内的“三农”及中小企业提供金融服务的银行业金融机构；村镇银行管理部是主发起行设立的，负责管理和推动村镇银行业务发展，指导村镇银行建立健全业务制度、防范各类风险的职能部门；村镇银行管理分部是主发起行村镇银行管理部

银行电子银行岗位认证考题

中国银行电子银行岗位资格认证考试试题库 个人网银-客户端 一、不定项选择题 1.同一用户一天登录验证连续（A ）次无效，系统暂时冻结该客户登录功能，次日零点自动解冻或由银行有效鉴别客户身份后人工即时解锁。 A. 5次 B. 10次 C. 15次 D. 20次 2.同一客户连续登录验证无效累计（C ）次，冻结该客户登录功能，客户须持有效身份证明到银行柜台办理解锁。 A. 5次 B. 10次 C. 15次 D. 20次 3.网上银行提供的下列安全防护措施中，（C ）该项用于帮助用户识别假冒网站。 A. 安全控件 B. 专用“退出”按钮 C. 预留“欢迎信息” D. 交易限额设置 4.我行网银BOCNET个人理财版客户，通过（B ）开通网上支付功能。 A. 前往柜台开通 B. 在线自助开通 C. 电话银行开通

5.网上银行安全认证工具E-TOKEN的优点包括（ABCD ）。 A. 无需安装驱动，实现了物理分离 B. 使用简单，用户只要根据网银提示输入密码口令即可 C. 动态口令每60秒随机更新一次，不法分子难以仿冒 D. 一个口令在认证过程中只使用一次，下次认证时则更换另一口令 6.下列操作中符合网银操作安全习惯的为（D ）。 A. 使用本人身份证号、生日等容易记的信息做为密码 B. 在网吧、图书馆等公共场所使用网上银行 C. 操作结束后直接点击网上银行页面右上角的“×”关闭浏览器结束使用 D. 在任何情况下，坚持账号和密码自己保管，不透漏给任何人 7.E-TOKEN的有效期为（D ）。 A.半年 B.1年 C.2年 D.3年 8.网上银行个人用户同时遗忘网上银行密码和用户名，可通过以下（C ）方式进行用户名找回并重置网银密码。 A. 网上银行自助找回 B. 电话银行找回 C. 营业网点柜台找回 D. 短信找回 9.个人网银服务中，下列（ABCD ）可实现7*24小时服务。 A. 银行账户查询

金融领域(银行)平安稳定风险评估标准

金融领域（银行）平安稳定风险评估标准 金融领域（银行）平安稳定风险评估标准 一、单位内部指调平台建设（20分） （一）监控中心（室）建设（3分） 1、一级分行（邮政企业同级机构，下同）及以上机构未建立视 频监控中心的，扣2分； 2、二级分行及以下机构未建立视频监控室的，扣2分； （二）信息资源整合（12分） 1、一级分行以上机构未组织实施监控中心（室）信息资源整合 的扣4分，未组织开展营业场所人脸自动识别系统建设工作的，扣 4分； 2、营业场所大门入口处未建立人脸自动识别系统的，扣8分 （无营业场所的此项不评估、不扣分）； 3、监控中心（室）未将单位内部从业人员信息、安保人员信息、视频监控图像信息和人脸自动识别等信息全部整合到监控平台的， 每少1项扣1分，扣完4分为止（无营业场所的不评估人脸自动识 别信息）。 (三)信息平台联网（5分） 1、监控中心（室）的监控平台未与公安机关进行联网，未实现 信息上传功能的，扣4分； 2、因技术设备维保工作不到位，导致平台数据传输、视频巡控、预警信息发布等功能无法正常使用的，扣1分；

评估依据：《企业事业单位内部治安保卫条例》、《关于加快推进XX市立体化社会治安防控体系建设的意见》、《XX市公共视频监控系统图像资源整合实施方案》 二、单位内部风险管控工作（20分） （一）内控机构建设（3分） 1、一级分行及以上机构未设置独立内控工作机构的扣1.5分， 未配备专职内控工作人员的扣1.5分； 2、二级分行及以下机构未配备专职或兼职内控工作人员的，扣 3分。 （二）内控机制建设（7分） 2、一级分行及以上机构未建立重要财务票据、公章印章、员工 出入境证照保管等项管理制度的，每少1项扣1分，扣完3分为止。 （三）内控措施落实（10分） 1、未对员工落实理财产品售卖双录机制、贷款业务流程操作规定、公章印章使用管理制度和单位内部人员轮岗制度情况开展监督 检查，无相关文字记录的，每少1项扣1.5分，扣完6分为止（对不涉及内容不评估，不扣分）； 2、未对员工异常行为、涉稳事件上访苗头、大额资金划转、理 财产品收益兑付情况及时进行分析研判，无相关文字记录的，每少 1项扣1分，扣完4分为止（对不涉及内容不评估，不扣分）。 评估依据：《银行业金融机构案防工作办法》 三、安全防范监督检查（20分） （一）安保基础工作（6分） 1、一级分行及以上机构未设置独立保卫机构、配备专职保卫人 员的，扣2分；

GY农村商业银行电子银行业务风险管理办法

GY农村商业银行电子银行业务风险管理办法（试行） 第一章总则 第一条为加强GY市农村信用合作联社（简称“我联社”，下同）电子银行（含网上银行、 手机银行、电话银行等，下同）业务的风险管理，保障客户及银行的合法权益，促进电子 银行业务的健康有序发展，根据《中华人民共和国电子签名法》、《电子银行业务管理办法》、 《电子银行安全评估指引》、《电子支付指引（第一号）》、《商业银行信息科技风险管理指引》 等信息安全的有关法律法规，制定本办法。 第二条我联社电子银行风险管理的目标是通过建立有效的机制，实现对电子银行风险的 识别、计量、监测和控制，促进电子银行安全、持续、稳健运行，推动业务创新，提高信 息技术使用水平，增强核心竞争力和可持续发展能力。 第三条电子银行风险管理的内容包括业务风险管理和信息安全风险管理。电子银行业务的风险主要 体现为：操作风险、信息科技风险、法律风险、信誉风险以及信用风险、市场风险。 电子银行业务信用风险、市场风险的管理应遵守我联社现行各项风险管理制度。 本办法重点规范操作风险、信息科技风险、法律风险、信誉风险的管理。 第四条我联社实行电子银行年度评估制度，重大事件报告制度。对重大事件，按事件性质和专项制度规定及时向监管部门报告。 第五条我联社由监察稽核部对电子银行系统的运行状况进行定期审计。 第二章风险管理的组织机构与职责 第六条合规与风险管理委员会负责制定电子银行风险管理政策、监控风险管理政策执行情况、确定全社电子银行风险管理活动目标、审批电子银行风险管理的重大事项、协调监察稽核部、安全保卫部、合规部、银行卡部、信息科技部、会计结算部等相关业务管理部门之间的操作风险管理缝隙，建立涵盖全社范围电子银行各项活动的风险管理系统。 第七条电子银行业务风险管理纳入我联社风险管理体系。合规与风险管理委员会负责制订与完善风险管理制度及实施细则，组织开展电子银行业务自律监管、安全评估，有效识别、监测、控制和评估电子银行业务风险，及时向上级部门或监管部门报告风险信息和处理情况。 第八条银行卡部是电子银行业务的主管部门，主要职责有：贯彻落实电子银行监管的各项规定与政策；拟定电子银行管理、运营的各项规章制度；配合辖内营业网点提供客户服务，组织开展电子银行业务的市场调研工作；负责提出电子银行业务更新、升级需求，并组织相关测试和培训；落实电子银行风险管理政策及内控要求，确保电子银行业务运行的连续性和安全性。 第九条会计结算部负责制定会计核算规章制度，确保电子银行业务严格按照国家会计

电子银行部合规风险评估

电子银行部合规风险评估 随着银行业科技进步的步伐加快，农村信用社加大了对信息科技的投入，使得网络信息建设步入了快速发展的快车道。从总体上看，目前农村信用社在科技工作上，各项规章制度比较健全，设备运行比较正常，软件管理比较规范，资料保管比较好。但是，由于信息集中程度不断提高，农村信用社信息科技风险防范工作面临着新的形势、新情况和新问题，在信息科技风险的管理上，普遍存在重视信息科技建设、轻信息科技管理，重信息科技建设的档次提升、轻信息科技风险防范，重眼前业务发展、轻长期信息科技发规划等问题。 一、目前信用社信息科技风险管理中存在的主要问题 目前农村信用社对信息科技风险的管理相对薄弱，管理层缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，导致一些风险事项隐患存在以下几个突出问题。 （一）对信息科技风险认识不到位，观念陈旧。信用社员工特别是管理层部分年龄较大的员工，学历较低，对科技知识学习掌握得不多，思维定式仍然沿用老办法多，对新事物接受少，接受慢，因而对快速发展的信息工作认识不到位，重视程度不够，不知道如何让科技推动各项业务工作的开展；不知道如何检查科技工作。对科技工作往往很茫然，缺乏学习，工作中主动应用较少。 （二）信息科技管理部门人员配备不足，技术队伍力量比较

薄弱。信用社网点多，科技部门人员配备较少，目前我县联社电子银行部三人，既要开展新业务的推广、银行卡的差错处理、银行卡管理又要做网络设备上的维护工作，工作任务特别重。基层及部分领导甚至认为信息科技风险就是保证业务系统正常运转的错误观念，极易忽视了自身各级系统的漏洞和隐患排查、除险。管理层没有成立或成立了但很少关心科技信息工作；或把科技部门独立于其它业务部门之外，不能有效识别并量化可能存在的信息科技风险因素。 （三）制度淡薄，综合管理与制度执行不到位。部分网点不能严格执行相关计算机应用管理制度和设备运行管理规定，各种登记不完整，缺少部分对设备运行日志的登记，个别人随意离开工作岗位，且不及时签退；密码设臵规律性较强，喜用易记的数字、家庭或单位的电话号码作密码，保密性差；网点改造未及时与科技部门协调，有少数营业网点对设备随意摆放，弱电线路不达标；有些网点网络设备运行环境较差，设备上的灰尘较多，防雷、防潮、防火、防鼠等防范措施不到位；不能起到设备运行的风险防范作用。 （四）外部制约与风险控制环节不到位。辖内营业网点均未接受有关信息科技风险的外部评估，向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的，尤其是监控系统项目外包管理缺乏有效的风险防范手段，没有经常性的对外包服务商近期经营状况和提供的服务状况进行评价和报告，缺乏

银行业金融机构安全评估标准

银行业金融机构安全评估标准 一、营业场所安全（15分） 检查方法：实地检查营业场所物防技防设施、营业场所周边状况，检查录像回放质量。 （一）物防设施（8分）扣分项总和为19分，权重0.42。 1、二层以下窗户未安装金属防护栏或未采取相应防护措施(如安装具有防弹、防爆功能的透明防护屏障和入侵探测装置等)的扣0.5分； 4、场所外有围墙但未安装防止爬越的障碍物或周界报警装置的扣0.5分；主要检查围墙高度和防爬障碍物。 6、现金出纳柜台未采用砖石或钢筋混凝土结构(因楼面承重等原因经公安机关主管部门批准采用其他建筑方式的除外)，柜台高度低于800mm、宽度小于500mm的扣3分；主要检查柜台长宽。 9、现金业务柜台的台面设置或收银槽长、宽、高不符合要求的扣0.5分；收银槽长30宽20高15。 10、营业场所未建卫生设施的扣0.5分；（高月路无） 11、未配备自动应急照明设备或自动应急照明设备失灵的扣0.5分；现场测试。 12、未配备自卫器材的扣0.5分。要检查灭火枪的使用情况。（二）技防设施（7分）扣分项总和为17.5分，权重0.4。 1、监控设备（独秀、营业部为二级） （1）二级以上风险营业场所与外界相通的出入口未安装视频监控装置的扣1分； （2）二级以上风险营业场所现金业务区未安装监控装置的扣3分； （3）二级以上风险营业场所非现金业务区未安装监控装置，不能实时监视营业室内人员活动情况的扣1分； （4）二级以上风险营业场所现金业务区视频监控系统不能实时监视、记录现金支付交易全过程，回放图像不能清晰显示柜员操作和客户脸部特征的扣2分； （5）二级以上风险营业场所出入口视频监控系统的回放图像不能清晰分辨出入大门人员体貌特征的扣1分；

网上银行安全评估报告

第十一章系统平台安全评估结果 11.1系统平台安全评估结果汇总与分析 首先分不从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估，然后综合各部分评估结果形成网上银行系统平台安全评估结果，具体评估结果见下表：

通过网上银行系统平台安全评估结果，AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。 好的方面要紧表现在以下几个方面： 1)运行维护方面： 建立了完整的日志及审计机制，日志的收集和定期审计对网络安全问题的发觉和追查都有重要的意义。 在网银系统的Internet入口部署了IDS，能够及时监测流量突发事件和事件源头。

目前网络治理要紧使用加密的SSH和HTTPS，加密的数据传输对嗅探攻击相对安全。 网上银行技术支持小组及时了解、分析研究各系统软件（包括Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等）最新相关安全的Patch 信息以及最新版本信息，如有必要及时安装相应的软件Patch或者进行必须的系统软件升级，确保系统无安全漏洞。 网络设备的OS与配置文件有治理员备份和保管。 2)网络设备安全方面： 网络设备有统一的安全配置规范。例如：IOS版本版本生机到高版本，设备口令加密存储，停止无用服务等。 网络设备的治理制度与执行符合安全性要求。 3)安全域划分方面： 划分了合理的安全域，Internet区、DMZ区、Trusted区、Intranet区、安全治理区。 4)网络安全操纵方面： 网上银行在线路、服务器冗灾方面做得专门好，有完善的访问操纵措施和数据加密措施。 系统的设计遵循了多重爱护的原则，进行了多层次网络安全