电子银行安全评估指引

cisamaqing

电子银行安全评估指引\r\n\r\n（征求意见稿）\r\n\r\n第一章 总则\r\n\r\n第一条 为促进电子银行业务的健康发展，保证电子银行业务安全性评估的客观性、及时性、全面性和有效性，依据《中华人民共和国银行业监督管理法》、《中华人民共和国金融机构法》等法律法规和《电子银行业务管理办法》等监管规章，制定本指引。\r\n\r\n第二条 电子银行的安全评估，是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面，进行的安全测试和风险管理能力等的综合安全考察与评价。\r\n\r\n第三条 在中华人民共和国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构，都应定期对电子银行安全进行评估。\r\n\r\n第四条 开展电子银行业务的金融机构可以利用外部专业化的评估机构对电子银行安全进行评估，也可以利用内部独立于电子银行业务运营管理部门的评估部门进行电子银行安全评估。\r\n\r\n第五条 金融机构的电子银行安全评估工作应纳入金融机构风险管理的总体框架，由金融机构的风险管理委员会或相关机构直接负责。\r\n\r\n第六条 金融机构的电子银行安全评估应接受中国银行业监督管理委员会（以下简称中国银监会）的监督指导。\r\n\r\n第二章 安全评估机构\r\n\r\n第七条 承担金融机构电子银行安全评估工作的机构，可以是外部专业化服务机构，也可以是金融机构内部具备相应条件的相对独立部门。\r\n\r\n第八条 外部机构从事电子银行安全评估，应具备以下条件：\r\n\r\n（一）具有较为完善的开展电子银行安全评估业务的管理制度和操作规程；\r\n\r\n（二）制定了系统全面的内部评估手册或评估指导文件，内容应至少包括评估程序、评估方法和依据、评估标准等；\r\n\r\n（三）拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准；\r\n\r\n（四）其他从事电子银行安全评估应当具备的条件。\r\n\r\n第九条 金融机构内部部门从事电子银行安全评估，除应具备第八条规定的有关条件外，还应具备以下条件：\r\n\r\n（一）从事电子银行安全评估的部门必须独立于电子银行业务系统开发部门和运营部门；\r\n\r\n（二）从事电子银行安全评估的部门未直接参与过有关电子银行设备的选购工作。\r\n\r\n第十条 中国银监会负责电子银行安全评估机构资格认定工作。电子银行安全评估机构资格认定工作，每年组织一次。\r\n\r\n电子银行安全评估机构在从事金融机构电子银行安全评估业务之前，应向中国银监会申请对其资格进行认定。\r\n\r\n第十一条 申请资格认定的电子银行评估机构，应在中国银监会公告的时限内提交以下材料（一式七份）：\r\n\r\n（一）电子银行安全评估资格认定申请报告；\r\n\r\n（二）机构介绍；\r\n\r\n（三）安全评估业务管理框架、管理制度、操作规程等；\r\n\r\n（四）评估手册或评估指导文件；\r\n\r\n（五）主要评估人员简历；\r\n\r\n（六）中国银监会要求提供的其他文件和资料。\r\n\r\n第十二条 中国银监会收到安全评估机构资格认定的完整材料后三个月内，组织有关专家和监管人员对申请材料进行评议，采用投票的办法决定电子银行安全评估机构是否达到了有关资质要求。\r\n\r\n第十三条 中国银监会对评估机构资质评议后，出具《电子银行安全评估机构资格认定意见书》，载明评议意见，对评估机构的资格作出认定。\r\n\r\n第十四条 中国银监会出具的《电子银行安全评估机构资格认定意见书》，仅供评估机构与开展电子银行业务的金融机构商恰有关电子银行评估业务时使用，不影响评估机构开展其他经营活动。\r\n\r\n评估机构不得将《电子银行安全评估机构资格认定意见书》用于宣传或其他活动。\r\n\r\n第十五条 经中国银监会评议并被认为达到有关资质要求的评估机构，每次资格认定的有效期为两年。\r\n\r\n经评议未达到认定资格的，评估机构可在下一年度重新申请资格认定。\r\n\r\n第十六条 在有效期内，电子银行安全评估机构如果出现下列情况，中国银监会将撤销已做出的评议和认定意见：\r\n\r\n（一）评估机构管理不善，其工作人员泄露被评估机构秘密的；\r\n\r\n（二）评估工作质量低下，评估活动出现重要遗漏的；\r\n\r\n（三）未按要求提交评估报告，或评估报告中存在不实表述的；\r\n\r\n（四）将《电子银行安全评估机构资格认定意见书》用于宣传和其他经营活动的；\r\n\r\n（五）存在其他严重不尽职行为的。\r\n\r\n第十七条 评估机构有下列行为之一的，中国银监会将在一定期限或无限期不承接评估机构的资格认定请求，银行业金融机构不应再委托该评估机构进行安全评估：\r\n\r\n（一）与委托机构合谋，共同隐瞒在安全评估过程中发现的安全漏洞，未按要求写入评估报告；\r\n\r\n（二）在评估过程中弄虚作假，编造安全评估报告；\r\n\r\n（三）泄漏银行机密信息，或不当使用银行机密资料；\r\n\r\n银行业金融机构内部评估机构出现以上情况之一的，中国银监会将按照有关法律法规和行政规章的规定，对相关责任人进行处罚。\r\n\r\n第十八条 中国银监会认可的电子银行安全评估机构，以及有关资格认定撤销决定等信息，仅向开展电子银行业务的各金融机构通报，不向社会公布。 \r\n\r\n第十九条 金融机构不得向第三方泄露中国银监会的有关通报信息，影响外部机构的其他业务活动，也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。\r\n\r\n第二十条 开展电子银行业务的金融机构可以在中国银监会认可的评估机构范围内，自主选择安全评估机构，签订书面服务协议。\r\n\r\n金融机构选择内部部门作为评估机构时，应由电子银行运营部门与评估部门签订评估责任确定书。\r\n\r\n第二十一条 金融机构与评估机构签订的服务协议中，必须含有明确的保密条款和保密责任。\r\n\r\n第二十二条 安全评估机构应根据评估协议的规定，认真履行评估职责，真实评估被评估机构电子银行运营的安全状况。