中国银行业监督管理委员会办公厅银监办便函[2011]549号关于征求对《网上银行安全风险管理指引》(征求意见稿)意见的函各银监局,各国有商业银行,股份制商业银行,邮政储蓄银行,各省级农村信用联社:为加强网上银行的安全风险管理工作,建立全面的安全风险管理框架和组织架构,明确网上银行安全控制的基本要求,促进网上银行业务健康、持续发展,银监会起草了《网上银行安全风险管理指引》(征求意见稿),现征求各银监局和各银行机构意见.请各银行机构组织管理、业务、科技等相关部门认真研究,提出有针对性的意见,并于11月25日前将意见以书面形式反馈银监会信息中心(同时报送电子版)。请各银监局将本函转发至辖内各银行机构,各银监局汇总辖内银行机构意见后,于11月25日前以书面形式报送银监会信息中心(同时报送电子版)。联系人:姜帆联系电话:010-66278625传真:010-66299296电子邮箱:jiangfan@cbrc.gov.cn附件:《网上银行安全风险管理指引》(征求意见搞)二零一一年十一月四日网上银行安全风险管理指引(征求意见稿)第一章总则第二章组织架构第三章安全风险管理框架第四章业务安全控制第五章技术安全控制第六章管理与内部控制第七章网上支付安全控制第八章客户教育和风险提示第九章审计与评估第十章监督管理第十一章附则第一章总则第一条为防范网上银行安全风险,保障客户和商业银行的合法权益,促进网上银行业务的健康、持续发展,依据《中华人民共和国商业银行监督管理法》、《中华人民共和国商业银行法》、《电子商业银行业务管理办法》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》,以及相关的法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行和农村合作银行、城市信用社、农村信用社。政策性银行、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称网上银行(以下简称“网银”)是指商业银行利用互联网等开放性公共网络或专用网络为媒介,以客户发出的电子指令为依据,为客户提供网上金融业务的电子渠道类服务。同时,依托公共网络或专用网络在收付款人之间进行资金支付结算的网上支付业务,应统一纳入网上银行的安全风险管理。第四条本指引所称网银安全风险,是指商业银行在网银的业务经营和管理过程中,由于环境因素、人员原因、安全漏洞以及管理和流程缺陷导致的操作、法律和声誉等风险。可能导致网银安全风险的威胁和弱点主要存在于内控管理、产品创新和开发、业务运营、系统运维、信息安全保障等环节。第五条商业银行应将网银安全风险管理纳入本行的全面风险管理体系,结合自身网银业务特点,建立与全面风险管理体系相一致的网银安全风险管理框架、策略及流程。第二章组织架构第六条商业银行应建立与网银安全风险管理相适应的组织架构,该组织应包含董事会、高级管理层、网银安全风险管理部门、业务条线部门、信息科技部门、内部审计部门,各部门应明确各自职责并对所负责的网银安全风险进行归口管理。第七条董事会对网银安全风险的管理负最终责任,主要职责包括:(一)负责监督高级管理层对网银安全风险的控制情况,并对网银安全风险及管理状况提出管理和内部控制意见;(二)审批网银审计报告。第八条高级管理层的主要职责:(一)制定、定期审查和监督执行网银安全风险管理机制和程序;(二)明确各部门的网银安全风险管理职责,了解掌握网银重大安全风险,确定风险可接受原则和容忍度,审批重大安全风险控制措施,督促各部门履行管理职责,确保网银安全风险管理机制正常运行;(三)审批网银安全风险评估报告。第九条商业银行应指定网银安全风险管理牵头部门,明确牵头部门和其他各相关部门的职责范围、工作流程和沟通协调机制。第十条风险管理牵头部门负责组织、推动各部门的网银安全风险管理工作,组织制定和发布有关制度、规定,建立各部门联席会议机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练等。第十一条业务条线部门负责网银业务层面的安全风险管理工作,明确本部门的风险管理职责,执行网银业务安全风险自评估或外部评估,对网银的业务运营和操作进行日常合规检查,编制本部门的业务应急预案等。第十二条信息科技部门负责网银系统开发、建设和日常运行维护的安全风险管理工作,明确本部门的风险管理职责,执行网银系统安全风险自评估或外部评估,对网银系统的开发和运行维护进行日常合规检查,编制本部门的技术应急预案等。第十三条商业银行内部审计部门负责对网银业务和系统进行审计检查,根据审计结果向董事会提交审计报告,跟踪、督导审计发现问题的整改工作。第三章安全风险管理框架第十四条商业银行应建立网银安全风险管理框架。管理框架应至少包括如下内容:(一)管理目标及范围;(二)管理组织架构及职责;(三)风险管理策略;(四)风险识别及评价;(五)风险监测及控制;(六)审计和评估机制。第十五条商业银行的网银安全风险管理策略应至少包括如下内容:(一)风险评价和定级策略;(二)风险管理偏好、容忍度及风险参数制订策略;(三)风险控制策略(接受、降低、缓释、转移、规避、消除等);(四)成本及效益评价策略;(五)控制措施有效性评价策略。第十六条商业银行应依据监管机构要求、网银业务发展以及内外部环境的变化,通过自我检查、内部审计、外部评估等手段,至少每三年对网银安全风险管理框架、管理策略进行一次修订。第十七条商业银行在进行网银安全风险识别时,应首先判断网银在业务运营、系统运维、安全管理等过程中需保护的对象(如人员,服务、流程、系统、数据等),通过综合分析对象的价值及其面临的因环境和人员因素导致的内外部威胁,以及本身存在的管理缺陷、内控缺失和安全漏洞等弱点,正确识别会对客户和商业银行利益造成损害的安全风险。第十八条商业银行应制定客观的安全事件影响或损失程度分级标准,至少综合考虑如下因素,所影响的客户或业务范围、服务中断时间、财务损失程度、客户资料泄露规模、舆论影响范围等。第十九条商业银行应制定客观的安全事件发生可能性分级标准,至少综合考虑如下因素,自身弱点的可利用程度、当前内外部威胁发生动机的强烈程度、该风险所产生事件在过去一定时期内发生的频率、以及对将来发生趋势的分析等。第二十条商业银行应在正确识别网银安全风险的基础上,根据其发生安全事件后的影响或损失程度以及发生可能性的分级标准,评定风险等级。第二十一条商业银行应建立网银安全风险的持续监测机制,加强对内外部威胁和自身弱点以及残余风险(包括已接受的风险)的监测,充分利用技术手段实现安全风险监测的自动化,及时掌握网银安全风险的变化情况以及验证已有控制措施的有效性。第二十二条商业银行应将能够代表网银安全某一风险领域变化情况并可监测的特征值或指标作为关键风险指标,建立符合本机构组织架构和职责的多层级关键风险指标体系。如资金损失类、案件和安全事件类、异常交易类、客户投诉类、人员管理类、网银服务可用类等关键指标。第二十三条商业银行在进行网银安全风险监测时,应建立告警、升级、响应和处理机制,通过关联分析多种信息来源,确定并报告各级别网银安全风险。第二十四条商业银行应明确风险报告的内容、频率、形式、对象和路径,确保高级管理层和相关部门及时掌握网银安全风险状况以及影响和陨失情况。第二十五条商业银行应根据网银安全风险评估结果,结合风险监测获得的风险变化情况,依据风险管理策略,制定风险控制计划和控制措施,并在审核后实施。第二十六条商业银行对于未达到预期控制目标或衍生新风险的控制措施,应重新启动评估流程,制定和选择新的风险控制措施。同时应对网银安全风险,包括已接受的风险,定期进行再评估。第二十七条商业银行针对网银业务规模增长快速,以及网银外部环境多变的特点,同时结合网银系统的开放、复杂以及技术发展迅速等特征,在风险评估中应及时调整评估重点,积极关注新威胁、新弱点,制定和调整风险控制措施,增强网银安全。第四章业务安全控制第二十八条商业银行在制定网银业务发展规划、网银系统技术架构和安全策略,以及推出重要产品和业务活动时,应提交高级管理层审批,确保网银发展目标与本行总体业务目标一致。第二十九条商业银行在网银产品的业务设计阶段,应重点关注以下因素:产品的可行性和合规性、业务规则的完整性以及一致性和延续性、产品之间的关联性和依赖性、产品易用和安全之间的平稳性等,避免产生潜在安全风险。第三十条商业银行在进行网银产品的业务规则设计时,应根据客户和交易类型以及风险级别,制定相应的安全控制要求。控制要求至少应包括以下内容:(一)双因素身份认证。银行应根据审慎原则,对银行认为的高风险交易,包括但不限于向非同名网银转账汇款、超过一定额度的网上支付等支付结算类业务,使用双因素身份认证。(二)交易确认。银行可对高风险交易增加除身份认证(含双因素身份认证)以外的交易追加认证,如发送短信动态验证码)。(三)限额设定。银行对网银转账汇款、网上支付等支付结算类业务,应根据其认证方式不同,设置不同的限额。(四)交易提醒。银行应提供网银高风险交易短信提醒功能,额度可由银行设定,或由客户自行设定。(五)落地处理。银行可以根据审慎性原则,对于交易要素不完整、超过额度的转账支付和关注类账户的资金流动(如疑似违规资金变动)等交易进行人工审核。第三十一条商业银行在制定业务操作规程或规范时,应明确规定客户开通网银服务时的身份核实方法,包括需客户提供的资料内容和要求,以及银行验证客户资料真实性、有效性和完整性的具体措施。第三十二条商业银行在制定业务操作规程或规范时,应明确客户开通网银服务或其重要功能时,需要签订的服务协议内容。内容至少包括:各方的权利义务、风险提示和安全常识、收费标准、差错与争议处理、违约条款、服务和协议终止条件等。第三十三条商业银行为保护业务安全和客户权益,应建议客户预留手机号码,且在手机号码变更时及时更新,并要求客户对所提供号码的真实性和有效性负责,以便在网银业务发生重大调整、交易出现差错、交易确认或交易提醒时及时通知客户。第三十四条商业银行应在网银业务办理过程中,保留重要凭证和操作记录,对网银开户、安全工具更换、交易认证手机号码更改等重要操作进行流水勾兑稽核,防范内部案件。商业银行应严格后台操作权限的分配,根据参数的影响程度分级审批,对涉及批量客户的计费、限额、功能开关等重要业务规则调整,要做好参数维护方案的审核,严格执行参数维护流程,防范网银后台操作风险。第三十五条商业银行应建立网银业务异常交易监控流程,采集分析网银交易信息,主动预防、发现和终止如外部欺诈、身份冒用、虚假交易、套现、洗钱等异常交易,有效防范和化解风险。第三十六条商业银行网银业务异常交易监控的范围至少应包括:客户签约、登录、查询、转账、缴费、支付等交易以及与交易相关的行为特征和客户终端信息,监控信息要严格保密,不得泄露。第三十七条商业银行网银异常交易风险的事件响应,应与信息科技部门充分沟通,相互配合,建立业务和技术的联动机制,确保异常交易事件响应的及时性、准确性和有效性。第三十八条商业银行在处理因交易超时、系统故障或其他原因导致的账务差错或异常交易时,应严格按照申告、核实、批准、调整、留档的程序转人工处理,处理过程的文档应按照商业银行会计档案进行管理。第三十九条商业银行的网银服务内容、操作流程、收费标准和服务协议等发生重大调整前,或系统进行重要升级前,应通过多种渠道对外予以公告。第四十条商业银行应建立规范的网银业务投诉和客户纠纷处理机制,制定相关登记、统计制度和处理原则、策略,妥善处理,避免风险扩散。处理原则和策略应根据外部环境和网银业务的变化适时调整。第五章技术安全控制第四十一条商业银行在进行网银技术选择时,应充分考虑网银采用的技术多样和发展迅速的特点,通过原型开发或技术测试等手段积极开展预研,充分评估技术的成熟度、安全性,对涉及新技术、新平台、新架构的选择应进行评审。第四十二条商业银行应制定开发和测试的安全规范与技术指南,重点明确客户端安全控制、交易安全控制、权限划分与访问控制、资源控制、密钥与加