【正文】 和國(guó)境內(nèi)開辦電子銀行業(yè)務(wù)，向中華人民共和國(guó)境內(nèi)企業(yè)、居民等客戶提供電子銀行服務(wù)。第三條 在中華人民共和國(guó)境內(nèi)設(shè)立的銀行業(yè)金融機(jī)構(gòu)，以及依據(jù)《中華人民共和國(guó)外資金融機(jī)構(gòu)管理?xiàng)l例》設(shè)立的外資金融機(jī)構(gòu)，應(yīng)當(dāng)按照本辦法的規(guī)定開展電子銀行業(yè)務(wù)。第二條 本辦法所稱電子銀行業(yè)務(wù)，是指金融機(jī)構(gòu)利用面向社會(huì)公眾開放的通訊渠道和公眾網(wǎng)絡(luò)，以及銀行為特定自助服務(wù)設(shè)施或客戶建立的專用網(wǎng)絡(luò)提供的銀行業(yè)務(wù)。—8— 第五十四條 本辦法自下發(fā)之日起施行。第五十二條重大突發(fā)事件專題報(bào)告：對(duì)系統(tǒng)故障、非法入侵、客戶信息泄漏、客戶資金被盜及內(nèi)部作案等重大突發(fā)事件要逐件專題報(bào)告，并及時(shí)上報(bào)有關(guān)部門采取相應(yīng)補(bǔ)救措施，防止損失進(jìn)一步擴(kuò)大。業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告分為年度業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告和重大突發(fā)事件的專題報(bào)告。第四十九條電子銀行客戶發(fā)生大額交易、異常交易時(shí)，系統(tǒng)應(yīng)提示相關(guān)工作人員及時(shí)聯(lián)系客戶，由相關(guān)工作人員根據(jù)客戶的回應(yīng)決定是否放行交易。按業(yè)務(wù)規(guī)則定期審查監(jiān)控日志和審計(jì)報(bào)告，對(duì)于業(yè)務(wù)異常流量和交易進(jìn)行事后監(jiān)督和確認(rèn)。第四十六條完善信息科技風(fēng)險(xiǎn)內(nèi)控制度，查漏補(bǔ)缺，調(diào)整優(yōu)化，嚴(yán)格評(píng)估信息安全內(nèi)控體系的完整性和實(shí)施的有效性，電子銀行部、內(nèi)控風(fēng)險(xiǎn)管理部應(yīng)適時(shí)組織開展轄內(nèi)機(jī)構(gòu)信息科技合規(guī)風(fēng)險(xiǎn)的現(xiàn)場(chǎng)檢查。第四十四條建立電子銀行業(yè)務(wù)管理部門、內(nèi)控風(fēng)險(xiǎn)管理部門與業(yè)務(wù)部門的聯(lián)動(dòng)機(jī)制，實(shí)現(xiàn)各部門間的防范優(yōu)勢(shì)互補(bǔ)和信息共享，形成風(fēng)險(xiǎn)管理的合力。第四十二條電子銀行部應(yīng)定期組織培訓(xùn)學(xué)習(xí)，加大頻度，培訓(xùn)中結(jié)合監(jiān)管部門有關(guān)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理文件要求，通過(guò)系統(tǒng)學(xué)習(xí)和培訓(xùn)，在工作中自覺(jué)貫徹執(zhí)行，提高全員信息科技合規(guī)意識(shí)。第四十條制定危機(jī)公關(guān)預(yù)案，加強(qiáng)與媒體的合作，針對(duì)突發(fā)事件和負(fù)面輿論，要認(rèn)真分析、及時(shí)匯報(bào)、積極響應(yīng)、統(tǒng)一口徑，最大限度地消除負(fù)面影響。第三十八條為客戶信息負(fù)責(zé)，防止因系統(tǒng)安全性缺陷嚴(yán)重?fù)p害客戶的隱私權(quán)。第六章信譽(yù)風(fēng)險(xiǎn)管理第三十六條信譽(yù)風(fēng)險(xiǎn)是指負(fù)面的公眾輿論對(duì)我行收益或資本所造成的風(fēng)險(xiǎn)。第三十四條對(duì)于客戶有意泄露密碼或未履行應(yīng)盡義務(wù)的，我行應(yīng)根據(jù)法律法規(guī)維護(hù)自身合法權(quán)益。第三十二條對(duì)于資金轉(zhuǎn)移類交易，必須要采用雙重身份認(rèn)證和加密傳輸，并由客戶設(shè)定支付額度，以此防范人民銀行《電子支付指引（第一號(hào)）》提示的電子支付風(fēng)險(xiǎn)。第三十條保證電子銀行開發(fā)環(huán)境和應(yīng)用環(huán)境的分離，評(píng)估和認(rèn)證后續(xù)開發(fā)應(yīng)用的需求和風(fēng)險(xiǎn)。第二十八條進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定風(fēng)險(xiǎn)評(píng)估計(jì)劃，識(shí)別信息資產(chǎn)，評(píng)價(jià)信息資產(chǎn)威脅發(fā)生的可能性以及弱點(diǎn)被利用的容易程度，確定風(fēng)險(xiǎn)等級(jí)，找出目標(biāo)與現(xiàn)狀的差距，改進(jìn)信息安全措施。第二十六條建立外部攻擊偵測(cè)機(jī)制，通過(guò)IDS、IPS系統(tǒng)，及時(shí)發(fā)現(xiàn)外部攻擊行為，并對(duì)攻擊行為進(jìn)行及時(shí)處理，問(wèn)題嚴(yán)重時(shí)候，啟動(dòng)應(yīng)急預(yù)案。第二十四條建立數(shù)據(jù)存儲(chǔ)備份管理，確保在發(fā)生系統(tǒng)被破壞、應(yīng)用錯(cuò)誤、數(shù)據(jù)丟失時(shí)，通過(guò)數(shù)據(jù)存儲(chǔ)管理進(jìn)行及時(shí)恢復(fù)。第二十二條嚴(yán)格進(jìn)行網(wǎng)絡(luò)邏輯分段，形成IP子網(wǎng)，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的隔離，在路由器上實(shí)施數(shù)據(jù)包過(guò)濾，并且利用防火墻來(lái)實(shí)現(xiàn)基于IP地址的內(nèi)外訪問(wèn)控制。第四章信息科技風(fēng)險(xiǎn)管理第二十條信息科技風(fēng)險(xiǎn)是指信息科技在電子銀行系統(tǒng)運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷導(dǎo)致的我行收益或資本的風(fēng)險(xiǎn)。（四）客戶重要信息（如姓名、身份證號(hào)碼等）變更必須由本人持有效證件前往營(yíng)業(yè)網(wǎng)點(diǎn)辦理。（五）電子銀行業(yè)務(wù)操作人員必須熟悉電子銀行的業(yè)務(wù)操作流程，必須參加電子銀行業(yè)務(wù)培訓(xùn)方能辦理業(yè)務(wù)，電子銀行部定期組織培訓(xùn)和考核。第十八條對(duì)于員工操作風(fēng)險(xiǎn)控制的基本要求：（一）有效隔離應(yīng)用系統(tǒng)、驗(yàn)證系統(tǒng)、處理系統(tǒng)和數(shù)據(jù)庫(kù)等各系—3— 統(tǒng)間的風(fēng)險(xiǎn)傳遞；（二）確保任何單個(gè)員工和外部服務(wù)供應(yīng)商都無(wú)法獨(dú)立完成一項(xiàng)交易；（三）加強(qiáng)員工思想道德教育，強(qiáng)化操作人員密碼管理，實(shí)行分級(jí)授權(quán)管理。第十六條營(yíng)業(yè)部及各支行應(yīng)指定專人負(fù)責(zé)電子銀行業(yè)務(wù)管理工作，向客戶推介電子銀行業(yè)務(wù)，按照我行制定的規(guī)章制度受理和辦理電子銀行業(yè)務(wù)、做好電子銀行業(yè)務(wù)營(yíng)銷、售后服務(wù)和意見反饋工作。第十四條綜合業(yè)務(wù)部負(fù)責(zé)電子銀行安全措施的檢查、協(xié)助公安司法部門對(duì)違法行為的調(diào)查、偵破。第十二條金電公司托管中心是我行電子銀行系統(tǒng)的運(yùn)維部門，金電公司托管中心負(fù)責(zé)制定信息系統(tǒng)運(yùn)維相關(guān)資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、信息系統(tǒng)變更管理、安全事件處理、數(shù)據(jù)備份與恢復(fù)管理、信息系統(tǒng)應(yīng)急預(yù)案、密碼安全、交付管理等相關(guān)規(guī)章制度；負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境網(wǎng)絡(luò)安全管理；負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境物理機(jī)房安全監(jiān)控管理；負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境主機(jī)安全管理，包括但不限于對(duì)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)等安全進(jìn)行管理；負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境應(yīng)用安全管理；負(fù)責(zé)信息系統(tǒng)運(yùn)維環(huán)境數(shù)據(jù)安全管理，包括但不限對(duì)外包服務(wù)所涉及的重要業(yè)務(wù)數(shù)據(jù)、鑒別信息等的安全管理。第十條會(huì)計(jì)核算部負(fù)責(zé)制定會(huì)計(jì)核算規(guī)章制度，確保電子銀行業(yè)務(wù)嚴(yán)格按照國(guó)家會(huì)計(jì)政策和我行相關(guān)制度執(zhí)行，參與網(wǎng)銀業(yè)務(wù)的需求討論、系統(tǒng)測(cè)試與驗(yàn)收工作。第九條電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理納入我行風(fēng)險(xiǎn)管理體系?！?— 第二章風(fēng)險(xiǎn)管理的組織機(jī)構(gòu)與職責(zé)第七條風(fēng)險(xiǎn)管理委員會(huì)負(fù)責(zé)制定電子銀行風(fēng)險(xiǎn)管理政策、監(jiān)控風(fēng)險(xiǎn)管理政策執(zhí)行情況、制定我行電子銀行風(fēng)險(xiǎn)管理活動(dòng)目標(biāo)、審批電子銀行風(fēng)險(xiǎn)管理的重大事項(xiàng)，協(xié)調(diào)內(nèi)控風(fēng)險(xiǎn)管理部、綜合管理部、會(huì)計(jì)核算部、電子銀行部、信息科技部、金電公司托管中心等相關(guān)業(yè)務(wù)管理部門之間的操作風(fēng)險(xiǎn)管理縫隙，建立涵蓋轄區(qū)范圍電子銀行各項(xiàng)活動(dòng)的風(fēng)險(xiǎn)管理系統(tǒng)。第五條由內(nèi)控風(fēng)險(xiǎn)管理部對(duì)電子銀行系統(tǒng)的運(yùn)行狀況進(jìn)行定期審計(jì)。第四條我行實(shí)行電子銀行年度評(píng)估制度，重大事件報(bào)告制度。電子銀行業(yè)務(wù)信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)的管理應(yīng)遵守我行現(xiàn)行各項(xiàng)風(fēng)險(xiǎn)管理制度。第三條電子銀行風(fēng)險(xiǎn)管理的內(nèi)容包括業(yè)務(wù)風(fēng)險(xiǎn)管理和信息安全風(fēng)險(xiǎn)管理。第一篇：銀行電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理辦法XXXXXX銀行電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理辦法第一章總 則第一條為加強(qiáng)XXXXXX銀行(以下簡(jiǎn)稱我行)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理，保障客戶及我行的合法權(quán)益，促進(jìn)電子銀行業(yè)務(wù)的健康有序發(fā)展，根據(jù)《中華人民共和國(guó)電子簽名法》、《電子銀行業(yè)務(wù)管理辦法》、《電子銀行安全評(píng)估指引》、《電子支付指引（第一號(hào)）》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等信息安全的有關(guān)法律法規(guī)，制定本辦法。第二條電子銀行風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)電子銀行風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)電子銀行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。電子銀行業(yè)務(wù)的風(fēng)險(xiǎn)主要體現(xiàn)為：操作風(fēng)險(xiǎn)、信息科技風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)以及信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)等。本辦法重點(diǎn)規(guī)范操作風(fēng)險(xiǎn)、信息科技風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)的管理。對(duì)重大事件，按事件性質(zhì)和專項(xiàng)制度規(guī)定及時(shí)向監(jiān)管部門報(bào)告。第六條本辦法適用于我行各管理部門、業(yè)務(wù)部門、營(yíng)業(yè)機(jī)構(gòu)及全體員工。第八條電子銀行部是電子銀行業(yè)務(wù)的主管部門，主要職責(zé)有：貫徹落實(shí)電子銀行監(jiān)管的各項(xiàng)規(guī)定與政策；擬定電子銀行管理、運(yùn)營(yíng)的各項(xiàng)規(guī)章制度；配合市場(chǎng)營(yíng)銷部門提供客戶服務(wù)，配合市場(chǎng)營(yíng)銷部門組織開展電子銀行業(yè)務(wù)的市場(chǎng)調(diào)研、產(chǎn)品開發(fā)及產(chǎn)品完善工作；負(fù)責(zé)提出電子銀行業(yè)務(wù)開發(fā)、更新、升級(jí)需求，并組織相關(guān)測(cè)試和培訓(xùn)；落實(shí)電子銀行風(fēng)險(xiǎn)管理政策及內(nèi)控要求，確保電子銀行業(yè)務(wù)運(yùn)行的連續(xù)性和安全性。風(fēng)險(xiǎn)管理委員會(huì)負(fù)責(zé)制訂與完善風(fēng)險(xiǎn)管理制度及實(shí)施細(xì)則，組織開展電子銀行業(yè)務(wù)自律監(jiān)管、安全評(píng)估，有效識(shí)別、監(jiān)測(cè)、控制和評(píng)估電子銀行業(yè)務(wù)風(fēng)險(xiǎn)，及時(shí)向上級(jí)部門或監(jiān)管部門報(bào)告風(fēng)險(xiǎn)信息和處理情況。第十一條信息科技部負(fù)責(zé)產(chǎn)品研發(fā)過(guò)程中的技術(shù)風(fēng)險(xiǎn)分析、新產(chǎn)品開發(fā)、投產(chǎn)、運(yùn)行維護(hù)和功能完善工作；制定相關(guān)技術(shù)標(biāo)準(zhǔn)并參與電子銀行業(yè)務(wù)的需求討論、系統(tǒng)測(cè)試與驗(yàn)收工作；電子銀行運(yùn)營(yíng)設(shè)備和安全控制設(shè)備的正常運(yùn)轉(zhuǎn)；電子銀行數(shù)據(jù)的安全存放和傳遞；風(fēng)險(xiǎn)管理技術(shù)手段的安全保障；制定相關(guān)技術(shù)標(biāo)準(zhǔn)并參與電子銀行業(yè)務(wù)的需求討論、系統(tǒng)測(cè)試與驗(yàn)收工作；及時(shí)解決電子銀行系統(tǒng)運(yùn)行中—2— 出現(xiàn)的技術(shù)問(wèn)題，確保電子銀行系統(tǒng)安全、正常運(yùn)行。第十三條內(nèi)控風(fēng)險(xiǎn)管理部負(fù)責(zé)電子銀行系統(tǒng)的檢查審計(jì)工作，開展電子銀行系統(tǒng)運(yùn)行的審計(jì)，查找并督促消除業(yè)務(wù)風(fēng)險(xiǎn)和管理隱患，查處違反電子銀行系統(tǒng)內(nèi)部控制制度的事件。第十五條綜合管理部、會(huì)計(jì)核算部分別負(fù)責(zé)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理所涉及的法律事務(wù)和反洗錢工作。第三章操作風(fēng)險(xiǎn)管理第十七條操作風(fēng)險(xiǎn)是指我行員工或客戶沒(méi)有按照相關(guān)規(guī)定或手冊(cè)操作而造成我行收益或資本的風(fēng)險(xiǎn)。（四）實(shí)行電子銀行關(guān)鍵崗位工作人員AB角制，崗位第一責(zé)任人不在崗位時(shí)，應(yīng)指定相應(yīng)工作人員代其行使相關(guān)事權(quán)，確保工作不間斷、不拖延。第十九條對(duì)于客戶操作風(fēng)險(xiǎn)控制的基本要求：（一）詳細(xì)說(shuō)明并提供演示流程，清晰告知客戶電子銀行操作要領(lǐng)；（二）通過(guò)客戶服務(wù)中心、操作指南、柜員指導(dǎo)等多渠道提供幫助，并及時(shí)進(jìn)行風(fēng)險(xiǎn)提示；（三）通過(guò)登陸保護(hù)、密碼強(qiáng)度以及各類防范技術(shù)盡可能減少客戶發(fā)生風(fēng)險(xiǎn)損失的概率。（五）對(duì)客戶對(duì)外支付額度進(jìn)行限制，支付限額如有調(diào)整必須提前十日向客戶公布?！?— 第二十一條嚴(yán)密防范并及時(shí)填堵系統(tǒng)后門，以防止黑客通過(guò)后門進(jìn)入系統(tǒng)進(jìn)行破壞和竊密。第二十三條建立實(shí)時(shí)病毒防范功能，以防止系統(tǒng)錯(cuò)誤、數(shù)據(jù)混亂、服務(wù)失敗等給業(yè)務(wù)系統(tǒng)和管理系統(tǒng)帶來(lái)?yè)p失。第二十五條建立系統(tǒng)安全漏洞掃描機(jī)制，在系統(tǒng)使用過(guò)程中動(dòng)態(tài)地尋找系統(tǒng)漏洞，幫助完善系統(tǒng)的安全，并以此防止由于其它的網(wǎng)絡(luò)操作對(duì)系統(tǒng)的安全造成威脅。第二十七條采用身份鑒別、訪問(wèn)控制、數(shù)據(jù)加密、數(shù)據(jù)完整、數(shù)字簽名、防重發(fā)等安全控制機(jī)制，保證客戶使用的安全性。第二十九條制定安全計(jì)劃，明確實(shí)施方案，確定可接受風(fēng)險(xiǎn)的程度，制定風(fēng)險(xiǎn)緩釋策略，減少、規(guī)避和轉(zhuǎn)移風(fēng)險(xiǎn)；檢查和測(cè)試風(fēng)險(xiǎn)緩釋策略和安全計(jì)劃實(shí)施情況?！?—第五章法律風(fēng)險(xiǎn)管理第三十一條法律風(fēng)險(xiǎn)是指違反或不遵守法律、法規(guī)、規(guī)章或約定的慣例，或者沒(méi)有完善地界定有關(guān)交易各方在法律上的權(quán)利和義務(wù)而造成我行收益或資本的風(fēng)險(xiǎn)。第三十三條電子銀行業(yè)務(wù)的開通，必須首先與客戶簽訂電子銀行服務(wù)協(xié)議及合同，明確雙方的權(quán)利與義務(wù)，并在協(xié)議條款和網(wǎng)站上對(duì)電子銀行業(yè)務(wù)有可能造成的風(fēng)險(xiǎn)進(jìn)行公告。第三十五條加強(qiáng)對(duì)與我行系統(tǒng)存在技術(shù)和業(yè)務(wù)連接的第三方機(jī)構(gòu)的管理，通過(guò)正式法律協(xié)議明確雙方的糾紛處理、賠償?shù)认嚓P(guān)法律責(zé)任，向客戶充分披露銀行與第三方機(jī)構(gòu)的業(yè)務(wù)流程和責(zé)權(quán)關(guān)系，積極防范法律風(fēng)險(xiǎn)。第三十七條在電子系統(tǒng)中，應(yīng)采用先進(jìn)、成熟的技術(shù)，避免因技術(shù)落后給客戶帶來(lái)不便，使客戶對(duì)我行整體服務(wù)能力產(chǎn)生不信賴。第三十九條制定合適的應(yīng)急計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，使系統(tǒng)—6— 具備為客戶提供不間斷服務(wù)的能力。第七章合規(guī)風(fēng)險(xiǎn)管理第四十一條合規(guī)風(fēng)險(xiǎn)是指銀行因未能遵循法律法規(guī)、監(jiān)管要求、規(guī)則、自律性組織制定的有關(guān)準(zhǔn)則、已及適用于銀行自身業(yè)務(wù)活動(dòng)的行為準(zhǔn)則，而可能遭受法律制裁或監(jiān)管處罰、重大財(cái)務(wù)損失或聲譽(yù)損失的風(fēng)險(xiǎn)。第四十三條建立各網(wǎng)點(diǎn)一線人員聯(lián)席會(huì)議制度，及時(shí)對(duì)臨柜操作的各項(xiàng)風(fēng)險(xiǎn)點(diǎn)相互交流，共同研究和解決工作中出現(xiàn)的新問(wèn)題、新情況。第四十五條各營(yíng)業(yè)網(wǎng)點(diǎn)內(nèi)部建立信息科技風(fēng)險(xiǎn)協(xié)調(diào)機(jī)制，明確責(zé)任，定期自查本網(wǎng)點(diǎn)信息科技合規(guī)方面存在的問(wèn)題，遇到內(nèi)部不能協(xié)調(diào)解決的問(wèn)題，及時(shí)上報(bào)?！?—第八章異常交易監(jiān)控第四十七條要求電子銀行系統(tǒng)外包服務(wù)商應(yīng)用專門軟件對(duì)電子銀行系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)控和審計(jì)，并逐日形成日志和審計(jì)報(bào)告。第四十八條對(duì)電子銀行客戶發(fā)生的大額交易、可疑交易按監(jiān)管部門的要求提取、上報(bào)。第九章風(fēng)險(xiǎn)的分析與報(bào)告第五十條電子銀行業(yè)務(wù)的分析與報(bào)告是指對(duì)電子銀行業(yè)務(wù)風(fēng)險(xiǎn)定期進(jìn)行分析，總結(jié)經(jīng)驗(yàn)，發(fā)現(xiàn)問(wèn)題，分析原因，采取措施，并形成業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告。第五十一條年度業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告必須在次年１月內(nèi)上報(bào)，其主要內(nèi)容包括：本年度業(yè)務(wù)風(fēng)險(xiǎn)發(fā)生情況、風(fēng)險(xiǎn)結(jié)構(gòu)、分析成因、防范措施、經(jīng)驗(yàn)教訓(xùn)、整改措施。第十章附 則第五十三條本辦法由XX