第一章　總則

　　第二章　安全評估機構(gòu)

　　第三章　安全評估的實施

　　第四章　安全評估活動的管理

　　第五章　附則

　　第一章　總則

　　第一條　為加強電子銀行業(yè)務(wù)的安全與風險管理，保證電子銀行安全評估的客觀性、及時性、全面性和有效性，依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定，制定本指引。

　　第二條　電子銀行的安全評估，是指金融機構(gòu)在開展電子銀行業(yè)務(wù)過程中，對電子銀行的安全策略、內(nèi)控制度、風險管理、系統(tǒng)安全、客戶保護等方面進行的安全測試和管控能力的考察與評價。

　　第三條　開展電子銀行業(yè)務(wù)的金融機構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對電子銀行進行一次全面的安全評估。

　　第四條　金融機構(gòu)可以利用外部專業(yè)化的評估機構(gòu)對電子銀行進行安全評估，也可以利用內(nèi)部獨立于電子銀行業(yè)務(wù)運營和管理部門的評估部門對電子銀行進行安全評估。

　　第五條　金融機構(gòu)應(yīng)建立電子銀行安全評估的規(guī)章制度體系和工作規(guī)程，保證電子銀行安全評估能夠及時、客觀地得以實施。

　　第六條　金融機構(gòu)的電子銀行安全評估，應(yīng)接受中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）的監(jiān)督指導。

　　第二章　安全評估機構(gòu)

　　第七條　承擔金融機構(gòu)電子銀行安全評估工作的機構(gòu)，可以是金融機構(gòu)外部的社會專業(yè)化機構(gòu)，也可以是金融機構(gòu)內(nèi)部具備相應(yīng)條件的相對獨立部門。

　　第八條　外部機構(gòu)從事電子銀行安全評估，應(yīng)具備以下條件：

　　（一）具有較為完善的開展電子銀行安全評估業(yè)務(wù)的管理制度和操作規(guī)程；

　　（二）制定了系統(tǒng)、全面的評估手冊或評估指導文件，評估手冊或評估指導文件的內(nèi)容應(yīng)至少包括評估程序、評估方法和依據(jù)、評估標準等；

　　（三）擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才，了解國際和中國相關(guān)行業(yè)的行業(yè)標準；

　　（四）中國銀監(jiān)會規(guī)定的其他從事電子銀行安全評估應(yīng)當具備的條件。

　　第九條　金融機構(gòu)內(nèi)部部門從事電子銀行安全評估，除應(yīng)具備第八條　規(guī)定的有關(guān)條件外，還應(yīng)具備以下條件：

　　（一）必須獨立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門、運營部門和管理部門；

　　（二）未直接參與過有關(guān)電子銀行設(shè)備的選購工作。

　　第十條　中國銀監(jiān)會負責電子銀行安全評估機構(gòu)資質(zhì)認定工作。

　　電子銀行安全評估機構(gòu)在開展金融機構(gòu)電子銀行安全評估業(yè)務(wù)前，可以向中國銀監(jiān)會申請對其資質(zhì)進行認定。

　　第十一條　金融機構(gòu)在進行電子銀行安全評估時，可以選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)，也可以選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)。

　　金融機構(gòu)選擇經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)時，有關(guān)安全評估機構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機構(gòu)選擇未經(jīng)中國銀監(jiān)會資質(zhì)認定的安全評估機構(gòu)時，安全評估機構(gòu)的選擇標準應(yīng)不低于第八條、第九條規(guī)定的條件要求，并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定，報送相關(guān)材料。

　　電子銀行安全評估機構(gòu)無論是否經(jīng)過中國銀監(jiān)會資質(zhì)認定，在開展電子銀行安全評估活動時，都應(yīng)遵守有關(guān)電子銀行安全評估實施和管理的規(guī)定。

　　第十二條　中國銀監(jiān)會每年將組織一次電子銀行安全評估機構(gòu)資質(zhì)認定工作，評定時間應(yīng)提前1個月公告。

　　第十三條　申請資質(zhì)認定的電子銀行安全評估機構(gòu)，應(yīng)在中國銀監(jiān)會公告規(guī)定的時限內(nèi)提交以下材料（一式七份）：

　　（一）電子銀行安全評估資質(zhì)認定申請報告；

　　（二）機構(gòu)介紹；

　　（三）安全評估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等；

　　（四）評估手冊或評估指導文件；

　　（五）主要評估人員簡歷；

　　（六）中國銀監(jiān)會要求提供的其他文件、資料。

　　第十四條　中國銀監(jiān)會收到安全評估機構(gòu)資質(zhì)認定申請完整材料后，組織有關(guān)專家和監(jiān)管人員對申請材料進行評議，采用投票的辦法評定電子銀行安全評估機構(gòu)是否達到了有關(guān)資質(zhì)要求。

　　第十五條　中國銀監(jiān)會對評估機構(gòu)資質(zhì)評議后，出具《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》，載明評議意見，對評估機構(gòu)的資質(zhì)做出認定。

　　第十六條　中國銀監(jiān)會出具的《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》，僅供評估機構(gòu)與金融機構(gòu)商恰有關(guān)電子銀行安全評估業(yè)務(wù)時使用，不影響評估機構(gòu)開展其他經(jīng)營活動。

　　評估機構(gòu)不得將《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》用于宣傳或其他活動。

　　第十七條　經(jīng)中國銀監(jiān)會評議并被認為達到有關(guān)資質(zhì)要求的評估機構(gòu)，每次資質(zhì)認定的有效期限為2年。

　　經(jīng)評議不符合認定資質(zhì)的，評估機構(gòu)可在下一年度重新申請資質(zhì)認定。

　　第十八條　在資質(zhì)認定的有效期限內(nèi)，電子銀行安全評估機構(gòu)如果出現(xiàn)下列情況，中國銀監(jiān)會將撤銷已做出的評議和認定意見：

　　（一）評估機構(gòu)管理不善，其工作人員泄露被評估機構(gòu)秘密的；

　　（二）評估工作質(zhì)量低下，評估活動出現(xiàn)重要遺漏的；

　　（三）未按要求提交評估報告，或評估報告中存在不實表述的；

　　（四）將《電子銀行安全評估機構(gòu)資質(zhì)認定意見書》用于宣傳和其他經(jīng)營活動的；

　　（五）存在其他嚴重不盡職行為的。

　　第十九條　評估機構(gòu)有下列行為之一的，中國銀監(jiān)會將在一定期限或無限期不再受理評估機構(gòu)的資質(zhì)認定申請，金融機構(gòu)不應(yīng)再委托該評估機構(gòu)進行安全評估：

　　（一）與委托機構(gòu)合謀，共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報告的；

　　（二）在評估過程中弄虛作假，編造安全評估報告的；

　　（三）泄漏被評估機構(gòu)機密信息，或不當使用被評估機構(gòu)機密資料的。

　　金融機構(gòu)內(nèi)部評估機構(gòu)出現(xiàn)以上情況之一的，中國銀監(jiān)會將依法對相關(guān)機構(gòu)和責任人進行處罰。

　　第二十條　中國銀監(jiān)會認可的電子銀行安全評估機構(gòu)，以及有關(guān)資質(zhì)認定、撤銷等信息，僅向開展電子銀行業(yè)務(wù)的各金融機構(gòu)通報，不向社會發(fā)布。

　　金融機構(gòu)不得向第三方泄露中國銀監(jiān)會的有關(guān)通報信息，影響有關(guān)機構(gòu)的其他業(yè)務(wù)活動，也不得將有關(guān)信息用于與電子銀行安全評估活動無關(guān)的其他業(yè)務(wù)活動。

　　第二十一條　金融機構(gòu)可以在中國銀監(jiān)會認定的評估機構(gòu)范圍內(nèi)，自主選擇電子銀行安全評估機構(gòu)。

　　第二十二條　電子銀行主要系統(tǒng)設(shè)置于境外并在境外實施電子銀行安全評估的外資金融機構(gòu)，以及需要按照所在地監(jiān)管部門的要求在境外實施電子銀行安全評估的中資金融機構(gòu)境外分支機構(gòu)，電子銀行安全評估機構(gòu)的選擇應(yīng)遵循所在國家或地區(qū)的法律要求。

　　所在國家或地區(qū)沒有相關(guān)法律要求的，金融機構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評估活動。

　　第二十三條　金融機構(gòu)應(yīng)與聘用的電子銀行安全評估機構(gòu)簽訂書面服務(wù)協(xié)議，在服務(wù)協(xié)議中，必須含有明確的保密條款和保密責任。

　　金融機構(gòu)選擇內(nèi)部部門作為評估機構(gòu)時，應(yīng)由電子銀行管理部門與評估部門簽訂評估責任確定書。

　　第二十四條　安全評估機構(gòu)應(yīng)根據(jù)評估協(xié)議的規(guī)定，認真履行評估職責，真實評估被評估機構(gòu)電子銀行安全狀況。

　　第三章　安全評估的實施

　　第二十五條　評估機構(gòu)在開始電子銀行安全評估之前，應(yīng)就評估的范圍、重點、時間與要求等問題，與被評估機構(gòu)進行充分的溝通，制定評估計劃，由雙方簽字認可。

　　第二十六條　依據(jù)評估計劃，評估機構(gòu)進場對委托機構(gòu)的電子銀行安全進行評估。

　　電子銀行安全評估應(yīng)真實、全面地評價電子銀行系統(tǒng)的安全性。

　　第二十七條　電子銀行安全評估至少應(yīng)包括以下內(nèi)容：

　　（一）安全策略；

　　（二）內(nèi)控制度建設(shè)；

　　（三）風險管理狀況；

　　（四）系統(tǒng)安全性；

　　（五）電子銀行業(yè)務(wù)運行連續(xù)性計劃；

　　（六）電子銀行業(yè)務(wù)運行應(yīng)急計劃；

　　（七）電子銀行風險預警體系；

　　（八）其他重要安全環(huán)節(jié)和機制的管理。

　　第二十八條　電子銀行安全策略的評估，至少應(yīng)包括以下內(nèi)容：

　　（一）安全策略制定的流程與合理性；

　　（二）系統(tǒng)設(shè)計與開發(fā)的安全策略；

　　（三）系統(tǒng)測試與驗收的安全策略；

　　（四）系統(tǒng)運行與維護的安全策略；

　　（五）系統(tǒng)備份與應(yīng)急的安全策略；

　　（六）客戶信息安全策略。

　　評估機構(gòu)對金融機構(gòu)安全策略的評估，不僅要評估安全策略、規(guī)章制度和程序是否存在，還要評估這些制度是否得到貫徹執(zhí)行，是否及時更新，是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。

　　第二十九條　電子銀行內(nèi)控制度的評估，應(yīng)至少包括以下內(nèi)容：

　　（一）內(nèi)部控制體系總體建設(shè)的科學性與適宜性；

　　（二）董事會和高級管理層在電子銀行安全和風險管理體系中的職責，以及相關(guān)部門職責和責任的合理性；

　　（三）安全監(jiān)控機制的建設(shè)與運行情況；

　　（四）內(nèi)部審計制度的建設(shè)與運行情況。

　　第三十條　電子銀行風險管理狀況的評估，應(yīng)至少包括以下內(nèi)容：

　　（一）電子銀行風險管理架構(gòu)的適應(yīng)性和合理性；

　　（二）董事會和高級管理層對電子銀行安全與風險管理的認知能力與相關(guān)政策、策略的制定執(zhí)行情況；

　　（三）電子銀行管理機構(gòu)職責設(shè)置的合理性及對相關(guān)風險的管控能力；

　　（四）管理人員配備與培訓情況；

　　（五）電子銀行風險管理的規(guī)章制度與操作規(guī)定、程序等的執(zhí)行情況；

　　（六）電子銀行業(yè)務(wù)的主要風險及管理狀況；

　　（七）業(yè)務(wù)外包管理制度建設(shè)與管理狀況。

　　第三十一條　電子銀行系統(tǒng)安全性的評估，應(yīng)至少包括以下內(nèi)容：

　　（一）物理安全；

　　（二）數(shù)據(jù)通訊安全；

　　（三）應(yīng)用系統(tǒng)安全；

　　（四）密鑰管理；

　　（五）客戶信息認證與保密；

　　（六）入侵監(jiān)測機制和報告反應(yīng)機制。

　　評估機構(gòu)應(yīng)突出對數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評估，客觀評價金融機構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計和配置了服務(wù)器和防火墻，銀行內(nèi)部運作系統(tǒng)和數(shù)據(jù)庫是否安全等，以及金融機構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時測試和審核。

　　第三十二條　電子銀行業(yè)務(wù)運行連續(xù)性計劃的評估，應(yīng)至少包括以下內(nèi)容：

　　（一）保障業(yè)務(wù)連續(xù)運營的設(shè)備和系統(tǒng)能力；

　　（二）保證業(yè)務(wù)連續(xù)運營的制度安排和執(zhí)行情況。

　　第三十三條　電子銀行業(yè)務(wù)運行應(yīng)急計劃的評估，應(yīng)至少包括以下內(nèi)容：

　　（一）電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況；

　　（二）電子銀行應(yīng)急設(shè)施設(shè)備配備情況；

　　（三）定期、持續(xù)性檢測與演練情況；

　　（四）應(yīng)對意外事故或外部攻擊的能力。

　　第三十四條　評估機構(gòu)應(yīng)制定本機構(gòu)電子銀行安全評定標準，在進行安全評估時，應(yīng)根據(jù)委托機構(gòu)的實際情況，確定不同評估內(nèi)容對電子銀行總體風險影響程度的權(quán)重，對每項評估內(nèi)容進行評分，綜合計算出被評估機構(gòu)電子銀行的風險等級。

　　第三十五條　評估完成后，評估機構(gòu)應(yīng)及時撰寫評估報告，并于評估完成后1個月內(nèi)向委托機構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認可的評估報告。

　　第三十六條　評估報告應(yīng)至少包括以下內(nèi)容：

　　（一）評估的時間、范圍及其他協(xié)議中重要的約定；

　　（二）評估的總體框架、程序、主要方法及主要評估人員介紹；

　　（三）不同評估內(nèi)容風險權(quán)重的確定標準，風險等級的計算方法，以及風險等級的定義；

　　（四）評估內(nèi)容與評估活動描述；

　　（五）評估結(jié)論；

　　（六）對被評估機構(gòu)電子銀行安全管理的建議；

　　（七）其他需要說明的問題；

　　（八）主要術(shù)語定義和所采用的國際或國內(nèi)標準介紹（可作為附件）；

　　（九）評估工作流程記錄表（可作為附件）；

　　（十）評估機構(gòu)參加評估人員名單（可作為附件）。

　　在評估結(jié)論中，評估機構(gòu)應(yīng)采用量化的辦法表明被評估機構(gòu)電子銀行的風險等級，說明被評估機構(gòu)電子銀行安全管理中存在的主要問題與隱患，并提出整改建議。

　　第三十七條　評估報告完成并提交委托機構(gòu)后，如需修改，應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報告之后，不得直接修改原報告。

　　第四章　安全評估活動的管理

　　第三十八條　金融機構(gòu)在申請開辦電子銀行業(yè)務(wù)時，應(yīng)當按照有關(guān)規(guī)定對完成測試的電子銀行系統(tǒng)進行安全評估。

　　第三十九條　金融機構(gòu)開辦電子銀行業(yè)務(wù)后，有下列情形之一的，應(yīng)立即組織安全評估：

　　（一）由于安全漏洞導致系統(tǒng)被攻擊癱瘓，修復運行的；

　　（二）電子銀行系統(tǒng)進行重大更新或升級后，出現(xiàn)系統(tǒng)意外停機12小時以上的；

　　（三）電子銀行關(guān)鍵設(shè)備與設(shè)施更換后，出現(xiàn)重大事故修復后仍不能保持連續(xù)不間斷運行的；

　　（四）基于電子銀行安全管理需要立即評估的。

　　第四十條　金融機構(gòu)對電子銀行外部安全評估機構(gòu)的選聘，應(yīng)由金融機構(gòu)的董事會或高級管理層負責。

　　第四十一條　已實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構(gòu)，其分支機構(gòu)開展電子銀行業(yè)務(wù)不需單獨進行安全評估，在總行（公司）的電子銀行安全評估中應(yīng)包含對其分支機構(gòu)電子銀行安全管理狀況的評估。

　　第四十二條　未實現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機構(gòu)，其分支機構(gòu)開展電子銀行業(yè)務(wù)且擁有獨立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的，分支機構(gòu)的電子銀行系統(tǒng)應(yīng)在總行（公司）的統(tǒng)一管理和指導下，按照有關(guān)規(guī)定進行安全評估。

　　第四十三條　電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機構(gòu)，其境外總行（公司）已經(jīng)進行了安全評估且符合本指引有關(guān)規(guī)定的，其境內(nèi)分支機構(gòu)開展電子銀行業(yè)務(wù)不需單獨進行安全評估，但應(yīng)按照本指引的有關(guān)要求，向監(jiān)管部門報送安全評估報告。

　　第四十四條　電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機構(gòu)，或者雖設(shè)置在境外但其境外總行（公司）未進行安全評估或安全評估不符合本指引有關(guān)規(guī)定的，應(yīng)按規(guī)定開展電子銀行安全評估工作。

　　第四十五條　電子銀行安全評估工作，確需由多個評估機構(gòu)共同承擔或?qū)嵤r，金融機構(gòu)應(yīng)確定一個主要的評估機構(gòu)協(xié)調(diào)總體評估工作，負責總體評估報告的編制。

　　金融機構(gòu)將電子銀行系統(tǒng)委托給不同的評估機構(gòu)進行安全評估，應(yīng)當明確每個評估機構(gòu)安全評估的范圍，并保證全面覆蓋了應(yīng)評估的事項，沒有遺漏。

　　第四十六條　金融機構(gòu)應(yīng)在簽署評估協(xié)議后兩周內(nèi)，將評估機構(gòu)簡介、擬采用的評估方案和評估步驟等，報送中國銀監(jiān)會。

　　第四十七條　中國銀監(jiān)會根據(jù)監(jiān)管工作的需要，可派員參加金融機構(gòu)電子銀行安全評估工作，但不作為正式評估人員，不提供評估意見。

　　第四十八條　評估機構(gòu)應(yīng)本著客觀、公正、真實和自主的原則，開展評估活動，并嚴格保守在評估過程中獲悉的商業(yè)機密。

　　第四十九條　在評估過程中，委托機構(gòu)和評估機構(gòu)之間應(yīng)建立信息保密工作機制：

　　（一）評估過程中，調(diào)閱相關(guān)資料、復制相關(guān)文件或數(shù)據(jù)等，都應(yīng)建立登記、簽字制度；

　　（二）調(diào)閱的文件資料應(yīng)在指定的場所閱讀，不得帶出指定場所；

　　（三）復制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場所，如確需帶出的，必須詳細登記帶出文件或數(shù)據(jù)名稱、數(shù)量、帶出原因、文件與數(shù)據(jù)的最終處理方式、責任人等，并由相關(guān)負責人簽字確認；

　　（四）評估過程中廢棄的文件、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷毀或刪除；

　　（五）評估工作結(jié)束后，雙方應(yīng)就有關(guān)機密數(shù)據(jù)、資料等的交接情況簽署說明。

　　第五十條　金融機構(gòu)在收到評估機構(gòu)評估報告的1個月內(nèi)，應(yīng)將評估報告報送中國銀監(jiān)會。

　　金融機構(gòu)報送評估報告時，可對評估報告中的有關(guān)問題作必要的說明。

　　第五十一條　未經(jīng)監(jiān)管部門批準，電子銀行安全評估報告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門以外的第三方機構(gòu)。

　　第五十二條　對未按有關(guān)要求進行的安全評估，或者評估程序、方法和評估報告存在重要缺陷的安全評估，中國銀監(jiān)會可以要求金融機構(gòu)進行重新評估。

　　第五十三條　中國銀監(jiān)會根據(jù)監(jiān)管工作的需要，可以自己組織或委托評估機構(gòu)對金融機構(gòu)的電子銀行系統(tǒng)進行安全評估，金融機構(gòu)應(yīng)予以配合。

　　第五十四條　中國銀監(jiān)會根據(jù)監(jiān)管工作的需要，可直接向評估機構(gòu)了解其評估的方法、范圍和程序等。

　　第五十五條　對于評估報告中所反映出的問題，金融機構(gòu)應(yīng)采取有效的措施加以糾正。

　　第五章　附則

　　第五十六條　本指引由中國銀監(jiān)會負責解釋。

　　第五十七條　本指引自2006年3月1日起施行。