中国银行业监督管理委员会办公厅
银监办便函 [2011] 549号
关于征求对《网上银行安全风险管理指引》
(征求意见稿)意见的函
各银监局,各国有商业银行,股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强网上银行的安全风险管理工作,建立全面的安全风险管理框架和组织架构,明确网上银行安全控制的基本要求,促进网上银行业务健康、持续发展,银监会起草了《网上银行安全风险管理指引》(征求意见稿),现征求各银监局和各银行机构意见.请各银行机构组织管理、业务、科技等相关部门认真研究,提出有针对性的意见,并于11月25日前将意见以书面形式反馈银监会信息中心(同时报送电子版)。
请各银监局将本函转发至辖内各银行机构,各银监局汇总辖内银行机构意见后,于11月25日前以书面形式报送银监会信息中心(同时报送电子版)。
联系人:姜帆
:************
传 真:************
邮政网银登陆:*****************
附件: 《网上银行安全风险管理指引》(征求意见搞)
二零一一年十一月四日
网上银行安全风险管理指引
(征求意见稿)
第一章总则
第二章组织架构
第三章安全风险管理框架
第四章业务安全控制
第五章技术安全控制
第六章管理与内部控制
第七章网上支付安全控制
第八章客户教育和风险提示
第九章审计与评估
第十章监督管理
第十一章 附则
第一章 总 则
第一条 为防范网上银行安全风险,保障客户和商业银行的合法权益,促进网上银行业务的健康、持续发展,依据《中华人民共和国商业银行监督管理法》、 《中华人民共和国商业银行法》、 《电子商业银行业务管理办法》、 《商业银行操作风险管理指引》、 《商业银行信息科技风险管理指引》,以及相关的法律法规,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的法人商业银行和农村合作银行、城市信用社、农村信用社。
政策性银行、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁
公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条 本指引所称网上银行(以下简称“网银”)是指商业银行利用互联网等开放性公共网络或专用网络为媒介,以客户发出的电子指令为依据,为客户提供网上金融业务的电子渠道类服务。同时,依托公共网络或专用网络在收付款人之间进行资金支付结算的网上支付业务,应统一纳入网上银行的安全风险管理。
第四条 本指引所称网银安全风险,是指商业银行在网银的业务经营和管理过程中,由于环境因素、人员原因、安全漏洞以及管理和流程缺陷导致的操作、法律和声誉等风险。可能导致网银安全风险的威胁和弱点主要存在于内控管理、产品创新和开发、业务运营、系统运维、信息安全保障等环节。
第五条 商业银行应将网银安全风险管理纳入本行的全面风险管理体系,结合自身网银业务特点,建立与全面风险管理体系相一致的网银安全风险管理框架、策略及流程。
第二章 组织架构
第六条 商业银行应建立与网银安全风险管理相适应的组织架构,该组织应包含董事会、
高级管理层、网银安全风险管理部门、业务条线部门、信息科技部门、内部审计部门,各部门应明确各自职责并对所负责的网银安全风险进行归口管理。
第七条 董事会对网银安全风险的管理负最终责任,主要职责包括:
(一)负责监督高级管理层对网银安全风险的控制情况,并对网银安全风险及管理状况提出管理和内部控制意见;
(二)审批网银审计报告。
第八条 高级管理层的主要职责:
(一)制定、定期审查和监督执行网银安全风险管理机制和程序;
(二)明确各部门的网银安全风险管理职责,了解掌握网银重大安全风险,确定风险可接受原则和容忍度,审批重大安全风险控制措施,督促各部门履行管理职责,确保网银安全风险管理机制正常运行;
(三)审批网银安全风险评估报告。
第九条 商业银行应指定网银安全风险管理牵头部门,明确牵头部门和其他各相关部门的职责范围、工作流程和沟通协调机制。
第十条 风险管理牵头部门负责组织、推动各部门的网银安全风险管理工作,组织制定和发布有关制度、规定,建立各部门联席会议机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练等。
第十一条 业务条线部门负责网银业务层面的安全风险管理工作,明确本部门的风险管理职责,执行网银业务安全风险自评估或外部评估,对网银的业务运营和操作进行日常合规检查,编制本部门的业务应急预案等。
第十二条 信息科技部门负责网银系统开发、建设和日常运行维护的安全风险管理工作,明确本部门的风险管理职责,执行网银系统安全风险自评估或外部评估,对网银系统的开发和运行维护进行日常合规检查,编制本部门的技术应急预案等。
第十三条 商业银行内部审计部门负责对网银业务和系统进行审计检查,根据审计结果向董事会提交审计报告,跟踪、督导审计发现问题的整改工作。
第三章 安全风险管理框架
第十四条 商业银行应建立网银安全风险管理框架。管理框架应至少包括如下内容:
(一)管理目标及范围;
(二)管理组织架构及职责;
(三)风险管理策略;
(四)风险识别及评价;
(五)风险监测及控制;
(六)审计和评估机制。
第十五条 商业银行的网银安全风险管理策略应至少包括如下内容:
(一)风险评价和定级策略;
(二)风险管理偏好、容忍度及风险参数制订策略;
(三)风险控制策略(接受、降低、缓释、转移、规避、消除等);
(四)成本及效益评价策略;
(五)控制措施有效性评价策略。
第十六条 商业银行应依据监管机构要求、网银业务发展以及内外部环境的变化,通过自我检查、内部审计、外部评估等手段,至少每三年对网银安全风险管理框架、管理策略进行一次修订。
第十七条 商业银行在进行网银安全风险识别时,应首先判断网银在业务运营、系统运维、安全管理等过程中需保护的对象(如人员,服务、流程、系统、数据等),通过综合分析对象的价值及其面临的因环境和人员因素导致的内外部威胁,以及本身存在的管理缺陷、内控缺失和安全漏洞等弱点,正确识别会对客户和商业银行利益造成损害的安全风险。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论