第一章 總 則
第一條 為加強(qiáng)電子銀行業(yè)務(wù)的安全與風(fēng)險(xiǎn)管理����,保證電子銀行安全評估的客觀性�����、及時(shí)性��、全面性和有效性�����,依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定,制定本指引����。
第二條 電子銀行的安全評估,是指金融機(jī)構(gòu)在開展電子銀行業(yè)務(wù)過程中����,對電子銀行的安全策略、內(nèi)控制度�����、風(fēng)險(xiǎn)管理��、系統(tǒng)安全����、客戶保護(hù)等方面進(jìn)行的安全測試和管控能力的考察與評價(jià)。
第三條 開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)��,應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要���,至少每2年對電子銀行進(jìn)行一次全面的安全評估。
第四條 金融機(jī)構(gòu)可以利用外部專業(yè)化的評估機(jī)構(gòu)對電子銀行進(jìn)行安全評估�,也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營和管理部門的評估部門對電子銀行進(jìn)行安全評估����。
第五條 金融機(jī)構(gòu)應(yīng)建立電子銀行安全評估的規(guī)章制度體系和工作規(guī)程�����,保證電子銀行安全評估能夠及時(shí)��、客觀地得以實(shí)施����。
第六條 金融機(jī)構(gòu)的電子銀行安全評估,應(yīng)接受中國銀行業(yè)監(jiān)督管理委員會(huì)(以下簡稱中國銀監(jiān)會(huì))的監(jiān)督指導(dǎo)�����。
第二章 安全評估機(jī)構(gòu)
第七條 承擔(dān)金融機(jī)構(gòu)電子銀行安全評估工作的機(jī)構(gòu)��,可以是金融機(jī)構(gòu)外部的社會(huì)專業(yè)化機(jī)構(gòu)����,也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對獨(dú)立部門。
第八條 外部機(jī)構(gòu)從事電子銀行安全評估����,應(yīng)具備以下條件:
(一) 具有較為完善的開展電子銀行安全評估業(yè)務(wù)的管理制度和操作規(guī)程�����;
(二) 制定了系統(tǒng)��、全面的評估手冊或評估指導(dǎo)文件�,評估手冊或評估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評估程序�、評估方法和依據(jù)、評估標(biāo)準(zhǔn)等�;
(三) 擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才,了解國際和中國相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)���;
(四) 中國銀監(jiān)會(huì)規(guī)定的其他從事電子銀行安全評估應(yīng)當(dāng)具備的條件�。
第九條 金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評估����,除應(yīng)具備第八條 規(guī)定的有關(guān)條件外,還應(yīng)具備以下條件:
(一) 必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門�、運(yùn)營部門和管理部門;
(二) 未直接參與過有關(guān)電子銀行設(shè)備的選購工作����。
第十條 中國銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定工作。
電子銀行安全評估機(jī)構(gòu)在開展金融機(jī)構(gòu)電子銀行安全評估業(yè)務(wù)前�����,可以向中國銀監(jiān)會(huì)申請對其資質(zhì)進(jìn)行認(rèn)定�����。
第十一條 金融機(jī)構(gòu)在進(jìn)行電子銀行安全評估時(shí)����,可以選擇經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu),也可以選擇未經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu)����。
金融機(jī)構(gòu)選擇經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu)時(shí),有關(guān)安全評估機(jī)構(gòu)的管理適用本指引有關(guān)規(guī)定�����。金融機(jī)構(gòu)選擇未經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu)時(shí)�,安全評估機(jī)構(gòu)的選擇標(biāo)準(zhǔn)應(yīng)不低于第八條、第九條規(guī)定的條件要求���,并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定��,報(bào)送相關(guān)材料���。
電子銀行安全評估機(jī)構(gòu)無論是否經(jīng)過中國銀監(jiān)會(huì)資質(zhì)認(rèn)定�����,在開展電子銀行安全評估活動(dòng)時(shí)����,都應(yīng)遵守有關(guān)電子銀行安全評估實(shí)施和管理的規(guī)定����。
第十二條 中國銀監(jiān)會(huì)每年將組織一次電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定工作,評定時(shí)間應(yīng)提前1個(gè)月公告���。
第十三條 申請資質(zhì)認(rèn)定的電子銀行安全評估機(jī)構(gòu)���,應(yīng)在中國銀監(jiān)會(huì)公告規(guī)定的時(shí)限內(nèi)提交以下材料(一式七份):
(一) 電子銀行安全評估資質(zhì)認(rèn)定申請報(bào)告;
(二) 機(jī)構(gòu)介紹�����;
(三) 安全評估業(yè)務(wù)管理框架���、管理制度��、操作規(guī)程等�����;
(四) 評估手冊或評估指導(dǎo)文件���;
(五) 主要評估人員簡歷;
(六) 中國銀監(jiān)會(huì)要求提供的其他文件�、資料。
第十四條 中國銀監(jiān)會(huì)收到安全評估機(jī)構(gòu)資質(zhì)認(rèn)定申請完整材料后�����,組織有關(guān)專家和監(jiān)管人員對申請材料進(jìn)行評議���,采用投票的辦法評定電子銀行安全評估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求�。
第十五條 中國銀監(jiān)會(huì)對評估機(jī)構(gòu)資質(zhì)評議后�����,出具《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》����,載明評議意見����,對評估機(jī)構(gòu)的資質(zhì)做出認(rèn)定����。
第十六條 中國銀監(jiān)會(huì)出具的《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》,僅供評估機(jī)構(gòu)與金融機(jī)構(gòu)商恰有關(guān)電子銀行安全評估業(yè)務(wù)時(shí)使用�����,不影響評估機(jī)構(gòu)開展其他經(jīng)營活動(dòng)�。
評估機(jī)構(gòu)不得將《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳或其他活動(dòng)。
第十七條 經(jīng)中國銀監(jiān)會(huì)評議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評估機(jī)構(gòu)��,每次資質(zhì)認(rèn)定的有效期限為2年����。
經(jīng)評議不符合認(rèn)定資質(zhì)的,評估機(jī)構(gòu)可在下一年度重新申請資質(zhì)認(rèn)定�。
第十八條 在資質(zhì)認(rèn)定的有效期限內(nèi),電子銀行安全評估機(jī)構(gòu)如果出現(xiàn)下列情況����,中國銀監(jiān)會(huì)將撤銷已做出的評議和認(rèn)定意見:
(一) 評估機(jī)構(gòu)管理不善,其工作人員泄露被評估機(jī)構(gòu)秘密的;
(二) 評估工作質(zhì)量低下��,評估活動(dòng)出現(xiàn)重要遺漏的���;
(三) 未按要求提交評估報(bào)告�����,或評估報(bào)告中存在不實(shí)表述的;
(四) 將《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳和其他經(jīng)營活動(dòng)的��;
(五) 存在其他嚴(yán)重不盡職行為的��。
第十九條 評估機(jī)構(gòu)有下列行為之一的�����,中國銀監(jiān)會(huì)將在一定期限或無限期不再受理評估機(jī)構(gòu)的資質(zhì)認(rèn)定申請���,金融機(jī)構(gòu)不應(yīng)再委托該評估機(jī)構(gòu)進(jìn)行安全評估:
(一) 與委托機(jī)構(gòu)合謀�����,共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞���,未按要求寫入評估報(bào)告的��;
(二) 在評估過程中弄虛作假�,編造安全評估報(bào)告的���;
(三) 泄漏被評估機(jī)構(gòu)機(jī)密信息��,或不當(dāng)使用被評估機(jī)構(gòu)機(jī)密資料的��。
金融機(jī)構(gòu)內(nèi)部評估機(jī)構(gòu)出現(xiàn)以上情況之一的���,中國銀監(jiān)會(huì)將依法對相關(guān)機(jī)構(gòu)和責(zé)任人進(jìn)行處罰。
第二十條 中國銀監(jiān)會(huì)認(rèn)可的電子銀行安全評估機(jī)構(gòu)���,以及有關(guān)資質(zhì)認(rèn)定����、撤銷等信息���,僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)��,不向社會(huì)發(fā)布����。
金融機(jī)構(gòu)不得向第三方泄露中國銀監(jiān)會(huì)的有關(guān)通報(bào)信息,影響有關(guān)機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng)�,也不得將有關(guān)信息用于與電子銀行安全評估活動(dòng)無關(guān)的其他業(yè)務(wù)活動(dòng)。
第二十一條 金融機(jī)構(gòu)可以在中國銀監(jiān)會(huì)認(rèn)定的評估機(jī)構(gòu)范圍內(nèi)�����,自主選擇電子銀行安全評估機(jī)構(gòu)���。
第二十二條 電子銀行主要系統(tǒng)設(shè)置于境外并在境外實(shí)施電子銀行安全評估的外資金融機(jī)構(gòu)��,以及需要按照所在地監(jiān)管部門的要求在境外實(shí)施電子銀行安全評估的中資金融機(jī)構(gòu)境外分支機(jī)構(gòu),電子銀行安全評估機(jī)構(gòu)的選擇應(yīng)遵循所在國家或地區(qū)的法律要求�����。
所在國家或地區(qū)沒有相關(guān)法律要求的�,金融機(jī)構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評估活動(dòng)。
第二十三條 金融機(jī)構(gòu)應(yīng)與聘用的電子銀行安全評估機(jī)構(gòu)簽訂書面服務(wù)協(xié)議�����,在服務(wù)協(xié)議中�����,必須含有明確的保密條 款和保密責(zé)任。
金融機(jī)構(gòu)選擇內(nèi)部部門作為評估機(jī)構(gòu)時(shí)��,應(yīng)由電子銀行管理部門與評估部門簽訂評估責(zé)任確定書���。
第二十四條 安全評估機(jī)構(gòu)應(yīng)根據(jù)評估協(xié)議的規(guī)定�����,認(rèn)真履行評估職責(zé)��,真實(shí)評估被評估機(jī)構(gòu)電子銀行安全狀況�����。
第三章 安全評估的實(shí)施
第二十五條 評估機(jī)構(gòu)在開始電子銀行安全評估之前����,應(yīng)就評估的范圍�����、重點(diǎn)��、時(shí)間與要求等問題,與被評估機(jī)構(gòu)進(jìn)行充分的溝通�,制定評估計(jì)劃,由雙方簽字認(rèn)可����。
第二十六條 依據(jù)評估計(jì)劃,評估機(jī)構(gòu)進(jìn)場對委托機(jī)構(gòu)的電子銀行安全進(jìn)行評估�����。
電子銀行安全評估應(yīng)真實(shí)�����、全面地評價(jià)電子銀行系統(tǒng)的安全性�。
第二十七條 電子銀行安全評估至少應(yīng)包括以下內(nèi)容:
(一) 安全策略;
(二) 內(nèi)控制度建設(shè)��;
(三) 風(fēng)險(xiǎn)管理狀況����;
(四) 系統(tǒng)安全性�;
(五) 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃;
(六) 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃����;
(七) 電子銀行風(fēng)險(xiǎn)預(yù)警體系��;
(八) 其他重要安全環(huán)節(jié)和機(jī)制的管理��。
第二十八條 電子銀行安全策略的評估���,至少應(yīng)包括以下內(nèi)容:
(一) 安全策略制定的流程與合理性;
(二) 系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略�����;
(三) 系統(tǒng)測試與驗(yàn)收的安全策略�;
(四) 系統(tǒng)運(yùn)行與維護(hù)的安全策略;
(五) 系統(tǒng)備份與應(yīng)急的安全策略�;
(六) 客戶信息安全策略。
評估機(jī)構(gòu)對金融機(jī)構(gòu)安全策略的評估�,不僅要評估安全策略、規(guī)章制度和程序是否存在����,還要評估這些制度是否得到貫徹執(zhí)行,是否及時(shí)更新��,是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)�����。
第二十九條 電子銀行內(nèi)控制度的評估,應(yīng)至少包括以下內(nèi)容:
(一) 內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性�����;
(二) 董事會(huì)和高級管理層在電子銀行安全和風(fēng)險(xiǎn)管理體系中的職責(zé)�,以及相關(guān)部門職責(zé)和責(zé)任的合理性;
(三) 安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況���;
(四) 內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行情況�����。
第三十條 電子銀行風(fēng)險(xiǎn)管理狀況的評估��,應(yīng)至少包括以下內(nèi)容:
(一) 電子銀行風(fēng)險(xiǎn)管理架構(gòu)的適應(yīng)性和合理性��;
(二) 董事會(huì)和高級管理層對電子銀行安全與風(fēng)險(xiǎn)管理的認(rèn)知能力與相關(guān)政策�、策略的制定執(zhí)行情況�����;
(三) 電子銀行管理機(jī)構(gòu)職責(zé)設(shè)置的合理性及對相關(guān)風(fēng)險(xiǎn)的管控能力�;
(四) 管理人員配備與培訓(xùn)情況;
(五) 電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定��、程序等的執(zhí)行情況�����;
(六) 電子銀行業(yè)務(wù)的主要風(fēng)險(xiǎn)及管理狀況��;
(七) 業(yè)務(wù)外包管理制度建設(shè)與管理狀況�����。
第三十一條 電子銀行系統(tǒng)安全性的評估�����,應(yīng)至少包括以下內(nèi)容:
(一) 物理安全����;
(二) 數(shù)據(jù)通訊安全;
(三) 應(yīng)用系統(tǒng)安全����;
(四) 密鑰管理;
(五) 客戶信息認(rèn)證與保密;
(六) 入侵監(jiān)測機(jī)制和報(bào)告反應(yīng)機(jī)制��。
評估機(jī)構(gòu)應(yīng)突出對數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評估�,客觀評價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻���,銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫是否安全等����,以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序�����,并能保證各種修改得到及時(shí)測試和審核����。
第三十二條 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃的評估,應(yīng)至少包括以下內(nèi)容:
(一) 保障業(yè)務(wù)連續(xù)運(yùn)營的設(shè)備和系統(tǒng)能力���;
(二) 保證業(yè)務(wù)連續(xù)運(yùn)營的制度安排和執(zhí)行情況�。
第三十三條 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃的評估���,應(yīng)至少包括以下內(nèi)容:
(一) 電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況��;
(二) 電子銀行應(yīng)急設(shè)施設(shè)備配備情況�����;
(三) 定期���、持續(xù)性檢測與演練情況;
(四) 應(yīng)對意外事故或外部攻擊的能力�����。
第三十四條 評估機(jī)構(gòu)應(yīng)制定本機(jī)構(gòu)電子銀行安全評定標(biāo)準(zhǔn)��,在進(jìn)行安全評估時(shí)����,應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況,確定不同評估內(nèi)容對電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重��,對每項(xiàng)評估內(nèi)容進(jìn)行評分�����,綜合計(jì)算出被評估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級�。
第三十五條 評估完成后,評估機(jī)構(gòu)應(yīng)及時(shí)撰寫評估報(bào)告,并于評估完成后1個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評估報(bào)告�����。
第三十六條 評估報(bào)告應(yīng)至少包括以下內(nèi)容:
(一) 評估的時(shí)間����、范圍及其他協(xié)議中重要的約定;
(二) 評估的總體框架���、程序�����、主要方法及主要評估人員介紹�����;
(三) 不同評估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn)��,風(fēng)險(xiǎn)等級的計(jì)算方法����,以及風(fēng)險(xiǎn)等級的定義����;
(四) 評估內(nèi)容與評估活動(dòng)描述�;
(五) 評估結(jié)論�����;
(六) 對被評估機(jī)構(gòu)電子銀行安全管理的建議����;
(七) 其他需要說明的問題�;
(八) 主要術(shù)語定義和所采用的國際或國內(nèi)標(biāo)準(zhǔn)介紹(可作為附件);
(九) 評估工作流程記錄表(可作為附件)�����;
(十) 評估機(jī)構(gòu)參加評估人員名單(可作為附件)�����。
在評估結(jié)論中�����,評估機(jī)構(gòu)應(yīng)采用量化的辦法表明被評估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級�,說明被評估機(jī)構(gòu)電子銀行安全管理中存在的主要問題與隱患����,并提出整改建議�����。
第三十七條 評估報(bào)告完成并提交委托機(jī)構(gòu)后��,如需修改��,應(yīng)將修改的原因���、依據(jù)和修改意見作為附件附在原報(bào)告之后��,不得直接修改原報(bào)告����。
第四章 安全評估活動(dòng)的管理
第三十八條 金融機(jī)構(gòu)在申請開辦電子銀行業(yè)務(wù)時(shí)�,應(yīng)當(dāng)按照有關(guān)規(guī)定對完成測試的電子銀行系統(tǒng)進(jìn)行安全評估。
第三十九條 金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后����,有下列情形之一的,應(yīng)立即組織安全評估:
(一) 由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓���,修復(fù)運(yùn)行的���;
(二) 電子銀行系統(tǒng)進(jìn)行重大更新或升級后���,出現(xiàn)系統(tǒng)意外停機(jī)12小時(shí)以上的;
(三) 電子銀行關(guān)鍵設(shè)備與設(shè)施更換后����,出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運(yùn)行的���;
(四) 基于電子銀行安全管理需要立即評估的�。
第四十條 金融機(jī)構(gòu)對電子銀行外部安全評估機(jī)構(gòu)的選聘�,應(yīng)由金融機(jī)構(gòu)的董事會(huì)或高級管理層負(fù)責(zé)。
第四十一條 已實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)�����,其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評估�,在總行(公司)的電子銀行安全評估中應(yīng)包含對其分支機(jī)構(gòu)電子銀行安全管理狀況的評估。
第四十二條 未實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)����,其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)且擁有獨(dú)立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的����,分支機(jī)構(gòu)的電子銀行系統(tǒng)應(yīng)在總行(公司)的統(tǒng)一管理和指導(dǎo)下���,按照有關(guān)規(guī)定進(jìn)行安全評估��。
第四十三條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機(jī)構(gòu)��,其境外總行(公司)已經(jīng)進(jìn)行了安全評估且符合本指引有關(guān)規(guī)定的���,其境內(nèi)分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評估,但應(yīng)按照本指引的有關(guān)要求����,向監(jiān)管部門報(bào)送安全評估報(bào)告。
第四十四條 電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機(jī)構(gòu)�,或者雖設(shè)置在境外但其境外總行(公司)未進(jìn)行安全評估或安全評估不符合本指引有關(guān)規(guī)定的,應(yīng)按規(guī)定開展電子銀行安全評估工作�����。
第四十五條 電子銀行安全評估工作����,確需由多個(gè)評估機(jī)構(gòu)共同承擔(dān)或?qū)嵤r(shí)�,金融機(jī)構(gòu)應(yīng)確定一個(gè)主要的評估機(jī)構(gòu)協(xié)調(diào)總體評估工作�,負(fù)責(zé)總體評估報(bào)告的編制。
金融機(jī)構(gòu)將電子銀行系統(tǒng)委托給不同的評估機(jī)構(gòu)進(jìn)行安全評估��,應(yīng)當(dāng)明確每個(gè)評估機(jī)構(gòu)安全評估的范圍����,并保證全面覆蓋了應(yīng)評估的事項(xiàng),沒有遺漏���。
第四十六條 金融機(jī)構(gòu)應(yīng)在簽署評估協(xié)議后兩周內(nèi)�����,將評估機(jī)構(gòu)簡介、擬采用的評估方案和評估步驟等��,報(bào)送中國銀監(jiān)會(huì)���。
第四十七條 中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要���,可派員參加金融機(jī)構(gòu)電子銀行安全評估工作,但不作為正式評估人員��,不提供評估意見。
第四十八條 評估機(jī)構(gòu)應(yīng)本著客觀�、公正、真實(shí)和自主的原則���,開展評估活動(dòng)����,并嚴(yán)格保守在評估過程中獲悉的商業(yè)機(jī)密����。
第四十九條 在評估過程中,委托機(jī)構(gòu)和評估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制:
(一) 評估過程中����,調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等�����,都應(yīng)建立登記���、簽字制度���;
(二) 調(diào)閱的文件資料應(yīng)在指定的場所閱讀�����,不得帶出指定場所���;
(三) 復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場所,如確需帶出的�����,必須詳細(xì)登記帶出文件或數(shù)據(jù)名稱�、數(shù)量、帶出原因�、文件與數(shù)據(jù)的最終處理方式、責(zé)任人等��,并由相關(guān)負(fù)責(zé)人簽字確認(rèn)����;
(四) 評估過程中廢棄的文件���、材料和不再使用的數(shù)據(jù)�����,應(yīng)立即予以銷毀或刪除�����;
(五) 評估工作結(jié)束后��,雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)�����、資料等的交接情況簽署說明�。
第五十條 金融機(jī)構(gòu)在收到評估機(jī)構(gòu)評估報(bào)告的1個(gè)月內(nèi),應(yīng)將評估報(bào)告報(bào)送中國銀監(jiān)會(huì)����。
金融機(jī)構(gòu)報(bào)送評估報(bào)告時(shí),可對評估報(bào)告中的有關(guān)問題作必要的說明��。
第五十一條 未經(jīng)監(jiān)管部門批準(zhǔn)���,電子銀行安全評估報(bào)告不得作為廣告宣傳資料使用���,也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)�。
第五十二條 對未按有關(guān)要求進(jìn)行的安全評估��,或者評估程序�、方法和評估報(bào)告存在重要缺陷的安全評估,中國銀監(jiān)會(huì)可以要求金融機(jī)構(gòu)進(jìn)行重新評估��。
第五十三條 中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要���,可以自己組織或委托評估機(jī)構(gòu)對金融機(jī)構(gòu)的電子銀行系統(tǒng)進(jìn)行安全評估�,金融機(jī)構(gòu)應(yīng)予以配合�。
第五十四條 中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要,可直接向評估機(jī)構(gòu)了解其評估的方法����、范圍和程序等。
第五十五條 對于評估報(bào)告中所反映出的問題��,金融機(jī)構(gòu)應(yīng)采取有效的措施加以糾正��。
第五章 附則
第五十六條 本指引由中國銀監(jiān)會(huì)負(fù)責(zé)解釋�。
第五十七條 本指引自2006年3月1日起施行。
聊天消息
