【文章內(nèi)容簡介】 等各系統(tǒng)間的風險傳遞。第三十四條 金融機構(gòu)應及時檢查其電子銀行可供客戶使用的容量，采取必要的措施保證接入線路的通暢，并采用適當?shù)膫浞莺拓撦d均衡技術，保證客戶對電子銀行服務的可用性。第三十五條 金融機構(gòu)應制定有效的應急計劃和事故處理預案，并定期對這些計劃和預案進行檢測，定期或不定期評估測試銀行網(wǎng)絡系統(tǒng)、業(yè)務操作系統(tǒng)的動作情況，以管理、控制和減少意外事件引發(fā)的問題，保證系統(tǒng)的正常連續(xù)性運營。第三十六條 金融機構(gòu)的服務連續(xù)性計劃應充分考慮在應急情況下對第三方服務供應商，以及其他機構(gòu)的反應能力，并采取適當?shù)拇胧?。第三十七條 金融機構(gòu)應采取適當?shù)拇胧┖筒捎眠m當?shù)募夹g，鑒定與識別啟動網(wǎng)上銀行服務的客戶真實身份，并對其權(quán)限實施有效管理。金融機構(gòu)應在物理控制和軟件控制兩個方面，建立對非法進入或越權(quán)進入的甄別、處理和報告機制；第三十八條 金融機構(gòu)應建立適宜的入侵檢測系統(tǒng)，對電子銀行運行實施實時監(jiān)控，并定期進行漏洞掃描。第三十九條 金融機構(gòu)應建立電子銀行系統(tǒng)內(nèi)部審計機制，定期對電子銀行業(yè)務進行審計，確保對全部的電子銀行交易具有明確的審計監(jiān)督。第四十條 金融機構(gòu)應定期檢測所有關鍵設備和系統(tǒng)軟件的工作狀態(tài)，審查其工作日志。第四十一條 金融機構(gòu)應保證所有的電子銀行交易都有清晰的跟蹤記錄，并且采用了適當?shù)募夹g和措施保存這些數(shù)據(jù)，符合有關法律法規(guī)的時限要求。第四十二條 金融機構(gòu)應當與客戶簽訂電子銀行服務合約，明確雙方的權(quán)利、義務。金融機構(gòu)應當充分揭示電子銀行交易過程中客戶可能面臨的風險，說明已采取的風險控制措施和各方應承擔的責任。第四十三條 金融機構(gòu)應當在其網(wǎng)站上對所提供的電子銀行服務進行必要的說明，明確啟動電子銀行服務的合法渠道與途徑，以及意外事故報告方式、聯(lián)系辦法等。未實現(xiàn)數(shù)據(jù)集中管理，或者銀行業(yè)金融機構(gòu)與其分支機構(gòu)以及分支機構(gòu)之間域名不一致的，應當由總行（公司）為客戶提供統(tǒng)一的接入站點，設置規(guī)范的不 同域名分支機構(gòu)鏈接。銀行業(yè)金融機構(gòu)應當盡可能地避免使用多個不同的域名。第四十四條 金融機構(gòu)應當采取適當措施，保證開展電子銀行業(yè)務時遵守了相關法律法規(guī)對客戶信息和隱私保護的要求。第四十五條 金融機構(gòu)應針對電子銀行的實際發(fā)展情況，制訂多層次的培訓計劃，進行持續(xù)培訓，提高相關人員的安全管理意識和專業(yè)知識與技能。第四章 數(shù)據(jù)交換轉(zhuǎn)移管理第四十六條 金融機構(gòu)可以根據(jù)業(yè)務發(fā)展的需要，與其他依法開展電子銀行業(yè)務的金融機構(gòu)建立電子銀行系統(tǒng)數(shù)據(jù)交換機制，實現(xiàn)電子銀行業(yè)務平臺的直接連接，進行實時跨行資金轉(zhuǎn)移。第四十七條 建立電子銀行數(shù)據(jù)交換機制的金融機構(gòu)，或者電子銀行平臺實現(xiàn)相互連接的金融機構(gòu)，應當建立聯(lián)合風險管理委員會，負責協(xié)調(diào)跨行間的業(yè)務風險管理。聯(lián)合風險管理委員會由所有參加數(shù)據(jù)交換或電子銀行平臺連接的金融機構(gòu)組成。聯(lián)合風險管理委員會應當建立明確的規(guī)章制度和工作規(guī)程。第四十八條 銀行業(yè)金融機構(gòu)根據(jù)業(yè)務發(fā)展或管理的需要，可以通過電子銀行系統(tǒng)與非銀行業(yè)金融機構(gòu)直接交換有關數(shù)據(jù)，但必須嚴格遵守有關法律法規(guī)和行政規(guī)章的要求，簽訂范圍明確、職責清晰的書面協(xié)議，保證數(shù)據(jù)安全。第四十九條 銀行業(yè)金融機構(gòu)根據(jù)業(yè)務發(fā)展需要，可以利用電子銀行平臺為企事業(yè)單位和個人提供資金管理和支付服務，為電子商務經(jīng)營者提供網(wǎng)上支付平臺等。為電子商務經(jīng)營者提供網(wǎng)上支付平臺時，銀行業(yè)金融機構(gòu)必須對有關對象進行嚴格審查，簽訂書面協(xié)議，建立監(jiān)督機制，嚴加防范不法人員利用電子銀行平臺從事違法資金轉(zhuǎn)移或其他非法活動。第五十條 外國銀行分行因管理需要確需向境外總行轉(zhuǎn)移有關電子銀行數(shù)據(jù)的，必須嚴格遵守有關法律法規(guī)的規(guī)定，不得將有關數(shù)據(jù)用于與本行業(yè)務無關的活動中。第五十一條 金融機構(gòu)從其他金融機構(gòu)獲得的電子銀行客戶信息和業(yè)務數(shù)據(jù)，應依法使用和保存，不得非法或擅自將其他金融機構(gòu)電子銀行的有關數(shù)據(jù)向第三方轉(zhuǎn)移。第五章 業(yè)務外包管理第五十二條 金融機構(gòu)可以根據(jù)需要，將電子銀行部分系統(tǒng)和服務的開發(fā)與技術支持等，外包給第三方機構(gòu)。金融機構(gòu)在進行有關業(yè)務外包時，應當根據(jù)實際需要，合理確定外包的原則和范圍，認真分析和評估技術或服務外包潛在的風險，建立健全有關規(guī)章制度，制定相應的風險防范措施。第五十三條 金融機構(gòu)在選擇外包服務供應商時，應充分審查、評估外包服務供應商的經(jīng)營狀況、財務狀況和實際的風險控制與責任承擔能力，進行適當?shù)娘L險分析和必要的盡職調(diào)查。第五十四條 金融機構(gòu)應當與外包服務供應商簽訂書面合同，明確雙方的權(quán) 利、義務。在合同中，必須載明外包服務供應商保密條款和保密責任。第五十五條 金融機構(gòu)應充分認識和評價第三方機構(gòu)對電子銀行業(yè)務風險控制的影響，并將其納入總體安全策略之中。第五十六條 金融機構(gòu)應確立一套完整的檢測程序，審慎管理電子銀行系統(tǒng)及應用程序的外包安排或合作安排產(chǎn)生的風險。外包及合作業(yè)務都應符合金融機構(gòu)的風險管理標準，并建立針對電子銀行外包業(yè)務風險的應急計劃。第五十七條 金融機構(gòu)應在健全內(nèi)部跟蹤、監(jiān)督機制的基礎上，建立與第三方之間的有效溝通機制，并制定適宜的變更第三方機構(gòu)過渡方案。第五十八條 金融機構(gòu)對設計開發(fā)電子銀行業(yè)務處理系統(tǒng)、授權(quán)管理系統(tǒng)、數(shù)據(jù)備份系統(tǒng)，以及其他涉及機密數(shù)據(jù)管理和傳遞系統(tǒng)等進行外包時，應在業(yè)務外包實施前向中國銀監(jiān)會備案?？蛻魝€人信息、交易記錄和其他涉及客戶隱私問題的信息數(shù)據(jù)，不得外包給第三方機構(gòu)管理。第六章 跨境業(yè)務活動管理第五十九條 開辦電子銀行業(yè)務的金融機構(gòu)，可以根據(jù)業(yè)務需要向境外居民提供跨境電子銀行服務。第六十條 向境外居民提供跨境電子銀行服務的金融機構(gòu)，應當遵守境外居民所在國的法律規(guī)定，并應以下文件、資料報中國銀監(jiān)會備案。（一）提供跨境電子銀行服務的國別，以及該國對電子銀行業(yè)務管理的主要法律要求；（二）跨境電子銀行服務的主要對象及服務內(nèi)容；（三）未來三年內(nèi)跨境電子銀行業(yè)務的發(fā)展規(guī)模、客戶規(guī)模的分析預測；（四）電子銀行業(yè)務法律與合規(guī)性分析。（五）中國銀監(jiān)會要求提供的其他文件資料。第六十一條 金融機構(gòu)將部分業(yè)務或客戶數(shù)據(jù)轉(zhuǎn)移至境外的，必須嚴格遵守國家有關法律法規(guī)的規(guī)定。金融機構(gòu)根據(jù)有關合作協(xié)議，或者外資金融機構(gòu)的境內(nèi)分支機構(gòu)出于業(yè)務需要，需要將部分業(yè)務數(shù)據(jù)轉(zhuǎn)移至國外的合作伙伴、總（集團）公司或特定的外包服務供應商，且符合國家有關法律法規(guī)規(guī)定的，必須就客戶信息的安全性與保密性作出安排。第六十二條 金融機構(gòu)利用電子銀行系統(tǒng)開展離岸金融業(yè)務，應報中國銀監(jiān)會備案。第七章 電子銀行業(yè)務的監(jiān)督檢查第六十三條 中國銀監(jiān)會依照有關法律法規(guī)的規(guī)定，對電子銀行業(yè)務實施非現(xiàn)場監(jiān)管、現(xiàn)場檢查和安全監(jiān)測，對電子銀行安全評估實施管理，并對電子銀行發(fā)展或管理的行業(yè)自律組織進行指導和監(jiān)督。第六十四條 開展電子銀行業(yè)務的金融機構(gòu)應當建立電子銀行業(yè)務統(tǒng)計體系，定期向中國銀監(jiān)會報告有關數(shù)據(jù)、資料。實現(xiàn)數(shù)據(jù)集中管理的國有商業(yè)銀行、股份制商業(yè)銀行等金融機構(gòu)，應由總行統(tǒng)一向中國銀監(jiān)會報告；未實現(xiàn)數(shù)據(jù)集中管理的國有銀行、股份制商業(yè)銀行等機構(gòu)，由總行向中國銀監(jiān)會報告有關數(shù)據(jù)資料的同時，其分行應向所在地的中國銀監(jiān)會分支機構(gòu)報告；城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、信用社、外資金融機構(gòu)等，向中國銀監(jiān)會當?shù)胤种C構(gòu)報告。第六十五條 開展電子銀行業(yè)務的金融機構(gòu)應當每年對電子銀行業(yè)務的發(fā)展與管理情況進行分析總結(jié)，撰寫電子銀行發(fā)展報告，與下一的一月底之前報中國銀監(jiān)會。金融機構(gòu)的電子銀行發(fā)展報告應當至少包括以下方面：（一）電子銀行業(yè)務交易量、交易筆數(shù)、客戶數(shù)等業(yè)務發(fā)展規(guī)模及增長情況；（二）電子銀行主要業(yè)務和業(yè)務發(fā)展與增長情況；（三）電子銀行業(yè)務的投入與收益情況，以及相關服務價格；（四）電子銀行的風險管理體系及制度變化情況；（五）電子銀行面臨的主要風險和發(fā)展中面臨的主要問題；（六）下一電子銀行業(yè)務發(fā)展的預測；（七）其他發(fā)展與管理情況。第六十六條 開展電子銀行業(yè)務的金融機構(gòu)應當按照中國銀監(jiān)會的要求，對電子銀行進行定期的安全自我評估，并將有關評估情況向中國銀監(jiān)會報告。第六十七條 開展電子銀行業(yè)務的金融機構(gòu)應當建立電子銀行業(yè)務重大事項報告制度，對于重大案件和重大風險事件，以及可能會引發(fā)其他金融機構(gòu)電子銀行系統(tǒng)風險的事件，應及時向中國銀監(jiān)會報告。第六十八條 中國銀監(jiān)會根據(jù)監(jiān)管的需要，可以獨立或者聘請外部機構(gòu)對電子銀行業(yè)務系統(tǒng)進行安全漏洞掃描、攻擊測試等，開展電子銀行業(yè)務的金融機構(gòu)應當積極配合，并嚴格保密有關結(jié)果，不得將有關結(jié)論用于宣傳活動中。第六十九條 中國銀監(jiān)會依照有關法律法規(guī)和行政規(guī)章的規(guī)定，對電子銀行業(yè)務進行現(xiàn)場檢查。第七十條 開展電子銀行業(yè)務的金融機構(gòu)應對中國銀監(jiān)會在監(jiān)督檢查中發(fā)現(xiàn)的問題及時整改，并將整改情況上報中國銀監(jiān)會。第八章 法律責任第七十一條 金融機構(gòu)在提供電子銀行服務時，因電子銀行系統(tǒng)存在的安全隱患、違規(guī)操作和其他非客戶原因造成的資金損失，由金融機構(gòu)承擔相應責任；因客戶泄漏交易密碼，或者未按照服務協(xié)議盡到應盡的安全防范和保密義務所造成的資金損失，由客戶承擔相應責任；因電子認證服務提供者提供的電子簽名認證出現(xiàn)漏洞或失誤等原因造成的損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。第七十二條 未經(jīng)批準開辦電子銀行業(yè)務，或者未經(jīng)批準或備案變更電子銀行業(yè)務品種，除依據(jù)相應的法律法規(guī)明確應由客戶承擔責任的情況外，由金融機構(gòu)承擔相應責任。第七十三條 金融機構(gòu)已經(jīng)按照有關法律法規(guī)和行政規(guī)章的要求，盡到了電子銀行風險管理和安全管理的相應職責，但應其他金融機構(gòu)或者其他金融機構(gòu)外包服務商的原因，造成客戶資金損失的，由其他金融機構(gòu)承擔相應責任。但為客 戶提供服務的金融機構(gòu)應先予以墊付，然后向相關機構(gòu)追償。第七十四條 金融機構(gòu)開展電子銀行業(yè)務違反審慎經(jīng)營規(guī)則和有關安全管理規(guī)范，存在較大安全隱患，但尚不構(gòu)成違法違規(guī)的，中國銀監(jiān)會應當責令限期改正；逾期未改正的，或者其安全隱患在短時間難以解決的，中國銀監(jiān)會可以區(qū)別情形，采取下列措施：（一）暫停批準增加新的電子銀行業(yè)務品種；（二）限制發(fā)展新的電子銀行客戶；（三）責令調(diào)整電子銀行管理部門負責人。第七十五條 金融機構(gòu)在開展電子銀行業(yè)務過程中，違反有關法律法規(guī)和本辦法的有關規(guī)定，中國銀監(jiān)會將依據(jù)有關法律法規(guī)和行政規(guī)章的規(guī)定予以處罰。第九章 附則第七十六條 銀行業(yè)金融機構(gòu)利用為特定自助服務設施或客戶建立的專用網(wǎng)絡提供的銀行業(yè)務，有相關業(yè)務管理規(guī)定的，遵照其規(guī)定，但網(wǎng)絡安全、技術風險等管理應參照本辦法的有關規(guī)定；沒有相關業(yè)務規(guī)定的，遵照本辦法。第七十七條 本辦法實施之前，經(jīng)監(jiān)管部門批準已經(jīng)開辦網(wǎng)上銀行業(yè)務的金融機構(gòu)，其電話銀行等備案類的電子銀行類型和網(wǎng)上銀行，不需再行審批或報備，但應于本辦法實施后一個月內(nèi)將已開辦的電子銀行種類、開辦時間、審批文件等報中國銀監(jiān)會。上述機構(gòu)開辦手機銀行等以無線網(wǎng)絡為媒介的電子銀行業(yè)務，應按本辦法申請。第七十八條 本辦法實施之前，已經(jīng)開辦網(wǎng)上銀行業(yè)務但尚未報批或已經(jīng)申請但尚未或監(jiān)管部門批準的金融機構(gòu)，其電話銀行等備案類的電子銀行類型不需再行報備，但應于本辦法實施后一個月內(nèi)將已開辦的電子銀行種類、開辦時間等報中國銀監(jiān)會。上述機構(gòu)開辦網(wǎng)上銀行、手機銀行，以及其他以互聯(lián)網(wǎng)或無線網(wǎng)絡為媒介的電子銀行業(yè)務，應按本辦法申請；已經(jīng)遞交申請材料的，應按照本辦法的要求補充有關材料。第七十九條 本辦法實施之前，未開辦網(wǎng)上銀行業(yè)務但已開辦電話銀行業(yè)務的金融機構(gòu)，其電話銀行等備案類的電子銀行類型不需再行報備，但應于本辦法實施后一個月內(nèi)將已開辦的電子銀行種類、開辦時間等報中國銀監(jiān)會。上述機構(gòu)新開辦其他電子銀行業(yè)務，應按照本辦法的規(guī)定執(zhí)行。第八十條 本辦法由中國銀監(jiān)會負責解釋。第八十一條 本辦法自發(fā)布之日起施行。三官支行2015年1月1日第三篇：銀行電子銀行業(yè)務風險管理辦法XXXXXX銀行電子銀行業(yè)務風險管理辦法第一章總 則第一條為加強XXXXXX銀行(以下簡稱我行)電子銀行業(yè)務風險管理，保障客戶及我行的合法權(quán)益，促進電子銀行業(yè)務的健康有序發(fā)展，根據(jù)《中華人民共和國電子簽名法》、《電子銀行業(yè)務管理辦法》、《電子銀行安全評估指引》、《電子支付指引（第一號）》、《商業(yè)銀行信息科技風險管理指引》等信息安全的有關法律法規(guī)，制定本辦法。第二條電子銀行風險管理的目標是通過建立有效的機制，實現(xiàn)對電子銀行風險的識別、計量、監(jiān)測和控制，促進電子銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。第三條電子銀行風險管理的內(nèi)容包括業(yè)務風險管理和信息安全風險管理。電子銀行業(yè)務的風險主要體現(xiàn)為：操作風險、信息科技風險、法律風險、信譽風險、合規(guī)風險以及信用風險、市場風險等。電子銀行業(yè)務信用風險、市場風險的管理應遵守我行現(xiàn)行各項風險管理制度。本辦法重點規(guī)范操作風險、信息科技風險、法律風險、信譽風險的管理。第四條我行實行電子銀行評估制度，重大事件報告制度。對重大事件，按事件性質(zhì)和專項制度規(guī)定及時向監(jiān)管部門報告。第五條由內(nèi)控風險管理部對電子銀行系統(tǒng)的運行狀況進行定期審計。第六條本辦法適用于我行各管理部門、業(yè)務部門、營業(yè)機構(gòu)及全體員工?！?— 第二章風險管理的組織機構(gòu)與職責第七條風險管理委員會負責制定電子銀行風險管理政策、監(jiān)控風險管理政策執(zhí)行情況、制定我行電子銀行風險管理活動目標、審批電子銀行風險管理的重大事項，協(xié)調(diào)內(nèi)控風險管理部、綜合管理部、會計核算部、電子銀行部、信息科技部、金電公司托管中心等相關業(yè)務管理部門之間的操作風險管理縫隙，建立涵蓋轄區(qū)范圍電子銀行各項活動的風險管理系統(tǒng)。第八條電子銀行部是電子銀行業(yè)務的主管部門，主要職責有：貫徹落實電子銀行監(jiān)管的各項規(guī)定與政策；擬定電子銀行管理、運營的各項規(guī)章制度；配合市場營銷部門提供客戶服務，配合市場營銷部門組織開展電子銀行業(yè)務的市場調(diào)研、產(chǎn)品開發(fā)及產(chǎn)品完善工作；負責提出電子銀行業(yè)務開發(fā)、更新、升級需求，并組織相關測試和培訓；落實電子銀行風險管理政策及內(nèi)控要求，確保電子銀行業(yè)務運行的連續(xù)性和安全性。第九條電子銀行業(yè)務風險管理納入我行風險管理體系。風險管理委員會負責制訂與完善風險管理制度