电子银行业务风险管理办法（暂行）和安全操作指南（暂行）

1、附件1：中国*银行电子银行业务风险管理办法（暂行）第一章 总则第一条 为规范中国*银行（以下简称*银行）电子银行业务风险管理工作，确保电子银行业务安全稳定运行，维护*银行及其客户的合法权益，根据中华人民共和国商业银行法、中华人民共和国电子签名法、中国银行业监督管理委员会电子银行业务管理办法、电子银行安全评估指引、中国人民银行电子支付指引（第一号）等有关法律法规和*银行相关制度规定，特制定本办法。第二条 *银行电子银行业务是指*银行利用面向社会公众开放的通讯通道或开放型公众网络，以及为特定自助服务设施或客户建立的专用网络，向客户提供的银行服务。电子银行具有信息查询、转账汇款、支付结算、投资理财等

2、金融服务功能。第三条 电子银行业务风险管理是指在开办电子银行业务过程中对电子银行风险进行识别、分析并采取有效措施进行防范、控制和处理的行为。第四条 电子银行业务风险管理涉及的对象包括：*银行、客户和第三方。其中客户主要指企业客户、个人客户和网上特约商户，第三方主要指服务提供商和业务合作伙伴等。第五条 根据电子银行业务运作特点，应重点加强管理的风险种类包括：战略风险、技术风险、操作风险、声誉风险、信用风险、法律风险等。（一）战略风险是指因银行经营决策失误、决策执行不当或对行业变化应对不当等因素，导致业务收益或资本形成现实或长远的不确定性或损失。（二）技术风险是指银行在使用与计算机、网络等信息技术

3、相关的产品、服务、传递渠道、系统时,所产生或引发的不确定性或对银行管理的不利因素。（三）操作风险是指由于客户、银行员工操作不当或失误而导致的业务损失或不确定性；由于不完善或有问题的内部程序、人员及系统或外部事件造成损失的可能性。（四）声誉风险是指因负面公众舆论而导致银行资金或客户严重流失的可能性。（五）信用风险是指因客户恶意违约而使银行蒙受损失的现实结果或可能性。（六）法律风险是指由于违反或不遵守法律、法规或约定的惯例，或者没有很完善地界定有关交易各方在法律上的权利和义务，从而产生或引发的对银行管理的不利因素。第六条 电子银行业务风险管理应遵循的基本原则（一）一致性原则。风险管理的目标在于为业

4、务发展提供安全健康的运行环境，各分行要确保电子银行风险管理与业务发展目标的一致性，实现经营效益最大化。（二）全面性原则。风险管理的内容应涉及电子银行业务的各个部门、岗位、业务运行环节和相关方。（三）系统性原则。风险管理的运行机制应具有系统性，包括准确的风险识别机制、有效的风险控制机制、及时的风险补救机制和科学的风险评估机制。（四）集中与分散相统一原则。风险管理的模式采取“统一管理、分级负责”的做法。总行对全行电子银行业务安全风险进行统筹规划与管理，各分行对辖内电子银行业务的风险管理工作具体负责。（五）成本原则。风险管理工作应与电子银行业务的经营规模、业务范围和风险特点相适应，以合理的成本实现风

5、险管理的目标。第七条 总行和各分行须根据不同的风险管理对象、风险种类，按照风险管理的基本原则采取相应的管理措施，贯彻“预防为主”的思想，做到事前严密防范、事中有效控制、事后及时处理。第八条 总行和各分行必须建立健全电子银行业务风险管理体系和内部控制体系，强化业务管理并运用有效技术手段，保证电子银行业务风险管理工作有序开展。第九条 电子银行业务风险管理纳入全行风险管理体系。总行要科学制定电子银行发展战略和经营投资策略,切实防范战略风险;电子银行业务部门和其他相关部门在全行风险管理部门的指导下，根据相应职责范围开展电子银行风险管理工作。在预防、控制和处理电子银行业务风险过程中，各部门之间应相互配合

6、，协同工作。（一）电子银行业务部门负责制订与完善风险管理制度及实施细则，组织开展电子银行业务自律监管、内控检查以及安全评估，有效识别、监测、控制和评估电子银行业务风险，及时向上级部门或银行监管部门报告风险信息和处理情况。（二）科技部门负责产品研发过程中的技术风险分析、电子银行运营设备和安全控制设备的正常运转、电子银行数据的安全存放和传递、风险管理技术手段的安全保障。（三）审计部门负责对电子银行业务进行审计。（四）保卫部门负责电子银行安全措施的检查，协助公安司法部门对违法行为的调查、侦破。（五）法律事务部门负责电子银行业务风险管理所涉及的法律事务工作，并负责电子银行业务知识产权的保护工作。第二章

7、 风险预防 第十条 产品研发的风险预防（一）调研论证。产品开发的市场调研和可行性论证须包括：新产品在业务流程中的操作风险评估、技术风险分析、法律风险分析、市场风险预测以及拟采取的风险防范措施等。（二）立项审批。总行须科学评估电子银行产品的综合风险，以符合业务总体发展战略要求，切实防范战略风险；严格审查设计方案，充分考虑法律风险因素。 （三）需求编写。电子银行业务部门要根据客户需求和业务发展实际编写业务需求书，明确提示风险点，避免出现操作、技术和法律风险。（四）设计开发。产品开发部门根据产品需求制定实施方案，必须充分考虑技术、操作、信用和管理等方面的风险因素，深入研究技术架构、软件模型方面的风险

8、问题。（五）产品验收。在产品验收前，要进行相应风险测试，同时严格执行验收制度，把风险评价结果作为是否推广该产品的重要依据。（六）制度制定。在新产品验收合格上线前，要制定配套的业务制度（包括各类业务操作规程、服务协议及合同文本等）。第十一条 *银行全国性跨商业银行电子银行业务的数据交换接口、支付网关等，统一由总行设置和管理。第十二条 为降低声誉风险，各分行因电子银行系统升级、测试等原因，需要按计划暂时停止电子银行服务的，要将有关情况报告总行和当地银行监管部门并提前3天在网站上予以公告，尽可能减少对客户的影响。 第十三条 各分行决定停办部分电子银行业务类型时，必须在该业务停办前45天向总行报告，经

9、总行批准同意后提前1个月向客户予以公告。第十四条 外包服务的风险预防（一）根据业务需要，可以将电子银行部分系统和服务的开发与技术支持等，外包给第三方机构。在选择外包服务供应商时，必须充分审查、评估外包服务供应商的实际风险控制和责任承担能力，进行风险分析和调查。（二）在购买外包服务时，必须与其签订书面合同，明确双方的权利和义务。合同内容必须载明外包服务供应商保密条款和保密责任。客户个人信息、交易记录和其他涉及客户隐私问题的信息数据，不得外包给第三方机构管理。第十五条 跨境电子银行业务的风险预防（一）跨境电子银行业务,是指*银行利用全行境内的电子银行系统,向境外居民或企业提供的电子银行服务。*银行

10、境内客户在境外接受电子银行服务，不属于跨境电子银行业务。（二）*银行向客户提供跨境电子银行业务，须遵守以下规定：与客户所签订的服务协议文本，要使用中文和客户所在国家或地区（或客户同意的其他国语言）两种文字，两种文字的文本须具有同等法律效力；要按客户所在国的隐私保密要求提供隐私保密措施；要制定专门计划并装备相应设施以应对跨境电子银行业务的突发事件，保证服务和交易的持续性；避免服务中断或数据丢失。第三章 风险控制第十六条 市场营销的风险控制（一）开展电子银行业务时，必须与客户签订电子银行服务协议或合同，明确双方的权利和义务，通过各种方式充分提示交易过程中客户可能面临的风险，说明客户自身应采取的风险

11、防范措施，*银行和客户各方应承担的责任。（二）在与第三方合作时，必须对其综合情况进行风险调查分析，严防因第三方出现风险问题影响*银行声誉。确定合作关系时，要与其签订书面合同，明确双方的权利和义务，严格遵守国家有关计算机信息系统安全、商用密码管理和消费者权益保护等方面的法律法规，书面合同中必须载明有关保密条款和保密责任。第十七条 业务管理的风险控制（一）电子银行业务管理和操作人员必须牢固树立合法合规意识，严格执行电子银行业务的制度规定。要杜绝任何侥幸心理和做法，做到防微杜渐；对违反电子银行安全规定的行为须立即予以纠正。（二）电子银行业务的开通申请、业务功能修改和撤销、电子证书的制作与发放，必须坚

12、持录入、复核职责相分离的基本原则，保证操作安全。（三）开展对相关客户信息和交易信息等进行认证的电子银行业务，采用电子签名时，必须使用安全可靠、具有公信力和相应法律效力的认证系统。认证系统由总行根据银行监管部门的要求统一确定。（四）总行要建立电子银行业务在线监控系统，对非正常交易进行在线监测，实时预警，当时处理，及时核销；对系统定期进行漏洞扫描，对非法侵害者（黑客、计算机病毒、假冒网站等）的破坏采取积极措施进行抵御。（五）总行要建立和完善电子银行业务统计分析管理系统，加强对操作风险数据的跟踪和收集，汇总分析风险管理的数据、资料和业务运营情况，搭建操作风险计量考核平台，为电子银行安全评估工作提供量

13、化数据。第十八条 运行维护的风险控制（一）严格遵守系统运行维护人员与系统设计开发人员相分离的原则。产品需求编写人员和系统软件编程人员不得直接进入和修改生产应用系统，不得直接自行修改关键业务指标和重要技术参数。建立合理的上级管理人员授权机制，严格控制接触权限，防止人员变更后相关内容泄露。（二）采取有效措施，确保电子银行业务生产应用系统与投入生产前的测试应用系统的充分隔离；按照管理权限对后台数据库进行安全维护。从业务制度规定和技术手段两方面，切断各方之间风险传递的路径。（三）要保证电子银行的网络安全。合理设置和使用防火墙、防病毒软件等安全产品和技术，确保电子银行有足够的防攻击能力和防病毒能力，及时

14、对系统容量进行安全检查，采取必要措施保证接入线路的安全通畅。（四）使用电子银行重要技术设施设备，必须符合国家安全规定要求；要对重要设施设备定期进行检查和维修；对重要技术设施设备的接触、检查、维修和应急处理，应具备明确的权限界定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录。（五）必须保障电子银行业务数据的安全存放和传递。所有交易都要有清晰的跟踪记录；遵守相关法律法规，对客户个人信息和隐私权充分加以保护；总行开发的全国性产品和各分行自行开发的区域性产品在投入生产运营时，必须采用国家规定的加密技术和措施，保证电子交易数据传输的保密性、真实性、完整性和不可否认性。（六）加强

15、有形场所的物理安全控制。风险防范必须符合国家有关法律法规和安全标准的要求，确保安全制度的完整性。第十九条 自律监管和内控检查（一）现场检查。各分行要针对电子银行业务的安全要求和特性，通过现场检查的方法对业务操作环节和制度办法的落实情况进行监管，要规范现场检查的程序、方式和内容，定期开展现场检查工作。（二）非现场监测。非现场监测主要采用人工调查咨询、利用非正常交易监测系统远程监测查询等非现场方式进行监管。非现场监测的主要内容为电子银行业务发展规模和应用系统的安全程度。其中发展规模主要包括交易金额、客户数目、业务覆盖区域、盈利能力等；安全程度主要包括系统受黑客攻击和入侵的次数、受病毒感染次数以及资

16、金损失情况等。非现场监测可根据业务实际适时开展。（三）总行和一级分行每年至少开展一次业务检查（包括现场检查和非现场监测），检查面不低于30；二级分行每半年至少开展一次业务检查，检查面不低于50；县级支行每季度至少开展一次业务检查，检查面不低于100。第二十条 审计部门要加强电子银行的内控检查。总行和各分行审计部门要将电子银行业务纳入审计范围，确定审计的内容和重点，定期或不定期组织对电子银行业务进行审计检查，有效控制和防范电子银行业务风险。第四章风险处理第二十一条 总行和各分行要建立健全电子银行突发事件应急处理机制,制定有效的应急预案，并定期对应急预案的操作性进行检验，定期或不定期测试银行网络、

17、业务应用系统的动态情况，以控制和减少重大突发事件引发的问题，保证电子银行业务正常开展和电子银行业务应用系统的连续性运营。第二十二条 各分行要建立电子银行业务重大突发事件的报告制度。发生重大突发事件后，要在12小时内向总行报告，不得隐瞒和拖延。同时，事发分行要立即根据应急预案及时采取有效措施，尽快恢复电子银行业务的正常开展，最大限度减少损失和影响，防止事态扩展和蔓延。第二十三条 各分行因受重大突发事件影响，非计划暂停电子银行业务，在正常工作时间内超过4个小时或者在正常工作时间外超过8个小时的，须在暂停服务后12小时内上报总行并采取有效措施做出相应处理。第二十四条 全行性电子银行业务品种出现跨商业

18、银行风险问题，各分行须上报总行，由总行统一对外协调解决。第二十五条 由于*银行业务、技术等原因引发的电子银行业务风险问题，必须采取有效措施进行改正：（一）应依照相关法律法规，承担客户的资金损失；（二）应认真分析和总结风险原因，积极采取补救措施，堵塞管理漏洞，规避业务风险；（三）按照中国*银行员工违反规章制度处理暂行办法及相关规定追究有关人员责任。构成犯罪的，依法追究其法律责任。第二十六条 由于客户自身原因发生的泄漏交易密码、操作失误及未按照服务协议尽到应尽的安全防范和保密义务所造成的损失，依据有关法律法规、章程或协议规定，向客户说明原因，由客户承担相应责任。 由于客户恶意违约或其他不正当行为造

19、成*银行资金损失的，要对客户的错误做法采取有效措施予以制止，并依照有关法律法规维护*银行的正当权益。第二十七条 由于第三方（服务提供商、业务合作伙伴）原因引发的风险问题，根据相关法律法规、合同协议，依法追究第三方责任。第二十八条 由于非法侵害者（黑客、计算机病毒或假冒网站等）造成的风险问题，必须报经公安、司法机关进行处理。第五章安全评估第二十九条 电子银行安全评估，是指*银行在开展电子银行业务过程中，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。第三十条 电子银行安全评估工作须遵循银行监管部门的规定，并自觉接受银行监管部门的监督指导。第

20、三十一条 电子银行安全评估工作由总行统一组织，根据业务发展和风险管理需要，至少每2年对电子银行进行一次全面的安全评估。第三十二条 电子银行安全评估必须包括以下主要内容：（一）安全策略；（二）内控制度建设；（三）风险管理状况；（四）系统安全性；（五）电子银行业务运行连续性计划；（六）电子银行业务运行应急计划；（七）电子银行风险预警体系；（八）其他重要安全环节和机制的管理。第三十三条 电子银行业务开办过程中，有下列情形之一的，要立即组织安全评估：（一）由于安全漏洞导致系统被攻击瘫痪，修复运行的；（二）电子银行系统进行重大更新或升级后，出现系统意外停机12小时以上的；（三）电子银行关键设备与设施更换

21、后，出现重大事故修复后仍不能保持连续不间断运行的；（四）基于电子银行安全管理需要立即评估的。第三十四条 承担*银行电子银行安全评估工作的机构包括*银行外部的专业化评估机构和*银行内部独立于电子银行业务运营和管理部门的评估部门。第三十五条 在评估机构的选择上，必须采用设计者、开发者为一方，使用者为另一方，评估者为第三方的方式，保证评估者从第三方的角度客观进行评估。第三十六条 *银行选择外部评估机构或内部评估机构，须按照银行监管部门的规定，由总行电子银行业务部门商有关部门提出意见报总行主管行长审批。第三十七条 如选择外部评估机构，在开始电子银行安全评估之前，*银行要与评估机构针对评估的范围、重点、

22、时间和要求等问题进行充分沟通，制定评估计划和评估协议，由双方签字认可。如选择内部评估机构，在开始电子银行安全评估之前，电子银行业务部门要与评估部门针对评估的范围、重点、时间和要求等问题进行充分沟通，制定评估计划和评估协议，由双方签字认可。第三十八条 *银行要在签署评估协议后2周内，将评估机构（或评估部门）简介、拟采用的评估方案和评估步骤等，报送银行监管部门。第三十九条 *银行选择的外部评估机构，必须取得中国银监会的资质认定，并应具备以下条件：（一）具有较为完善的开展电子银行安全评估的管理制度和操作规程；（二）制定了系统、全面的内部评估手册或评估指导文件，内容应至少包括评估程序、评估方法、评估依据和评估标准等；（三）拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准；（四）其他从事电子银行安全评估应当具备的条件。第四十条 *银行选择的内部评估机构，除应具备上述规定的有关