1、XXXXXX銀行電子銀行業務風險管理辦法第一章 總 則第一條 為加強XXXXXX銀行 (以下簡稱我行)電子銀行業務風險管理，保障客戶及我行的合法權益，促進電子銀行業務的健康有序發展，根據中華人民共和國電子簽名法、電子銀行業務管理辦法、電子銀行安全評估指引、電子支付指引（第一號）、商業銀行信息科技風險管理指引等信息安全的有關法律法規，制定本辦法。第二條 電子銀行風險管理的目標是通過建立有效的機制，實現對電子銀行風險的識別、計量、監測和控制，促進電子銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。第三條 電子銀行風險管理的內容包括業務風險管理和信息安全

2、風險管理。電子銀行業務的風險主要體現為：操作風險、信息科技風險、法律風險、信譽風險、合規風險以及信用風險、市場風險等。電子銀行業務信用風險、市場風險的管理應遵守我行現行各項風險管理制度。本辦法重點規范操作風險、信息科技風險、法律風險、信譽風險的管理。第四條 我行實行電子銀行年度評估制度，重大事件報告制度。對重大事件，按事件性質和專項制度規定及時向監管部門報告。第五條 由內控風險管理部對電子銀行系統的運行狀況進行定期審計。第六條 本辦法適用于我行各管理部門、業務部門、營業機構及全體員工。第二章 風險管理的組織機構與職責第七條 風險管理委員會負責制定電子銀行風險管理政策、監控風險管理政策執行情況、

3、制定我行電子銀行風險管理活動目標、審批電子銀行風險管理的重大事項，協調內控風險管理部、綜合管理部、會計核算部、電子銀行部、信息科技部、金電公司托管中心等相關業務管理部門之間的操作風險管理縫隙，建立涵蓋轄區范圍電子銀行各項活動的風險管理系統。第八條 電子銀行部是電子銀行業務的主管部門，主要職責有：貫徹落實電子銀行監管的各項規定與政策；擬定電子銀行管理、運營的各項規章制度；配合市場營銷部門提供客戶服務，配合市場營銷部門組織開展電子銀行業務的市場調研、產品開發及產品完善工作；負責提出電子銀行業務開發、更新、升級需求，并組織相關測試和培訓；落實電子銀行風險管理政策及內控要求，確保電子銀行業務運行的連續

4、性和安全性。第九條 電子銀行業務風險管理納入我行風險管理體系。風險管理委員會負責制訂與完善風險管理制度及實施細則，組織開展電子銀行業務自律監管、安全評估，有效識別、監測、控制和評估電子銀行業務風險，及時向上級部門或監管部門報告風險信息和處理情況。第十條 會計核算部負責制定會計核算規章制度，確保電子銀行業務嚴格按照國家會計政策和我行相關制度執行，參與網銀業務的需求討論、系統測試與驗收工作。第十一條 信息科技部負責產品研發過程中的技術風險分析、新產品開發、投產、運行維護和功能完善工作；制定相關技術標準并參與電子銀行業務的需求討論、系統測試與驗收工作；電子銀行運營設備和安全控制設備的正常運轉；電子銀

5、行數據的安全存放和傳遞；風險管理技術手段的安全保障；制定相關技術標準并參與電子銀行業務的需求討論、系統測試與驗收工作；及時解決電子銀行系統運行中出現的技術問題，確保電子銀行系統安全、正常運行。第十二條 金電公司托管中心是我行電子銀行系統的運維部門，金電公司托管中心負責制定信息系統運維相關資產管理、介質管理、設備管理、監控管理、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、信息系統變更管理、安全事件處理、數據備份與恢復管理、信息系統應急預案、密碼安全、交付管理等相關規章制度；負責信息系統運維環境網絡安全管理；負責信息系統運維環境物理機房安全監控管理；負責信息系統運維環境主機安全管理，包

6、括但不限于對服務器操作系統、數據庫等安全進行管理；負責信息系統運維環境應用安全管理；負責信息系統運維環境數據安全管理，包括但不限對外包服務所涉及的重要業務數據、鑒別信息等的安全管理。第十三條 內控風險管理部負責電子銀行系統的檢查審計工作，開展電子銀行系統運行的審計，查找并督促消除業務風險和管理隱患，查處違反電子銀行系統內部控制制度的事件。第十四條 綜合業務部負責電子銀行安全措施的檢查、協助公安司法部門對違法行為的調查、偵破。第十五條 綜合管理部、會計核算部分別負責電子銀行業務風險管理所涉及的法律事務和反洗錢工作。第十六條 營業部及各支行應指定專人負責電子銀行業務管理工作，向客戶推介電子銀行業務

7、，按照我行制定的規章制度受理和辦理電子銀行業務、做好電子銀行業務營銷、售后服務和意見反饋工作。第三章 操作風險管理第十七條 操作風險是指我行員工或客戶沒有按照相關規定或手冊操作而造成我行收益或資本的風險。第十八條 對于員工操作風險控制的基本要求：（一）有效隔離應用系統、驗證系統、處理系統和數據庫等各系統間的風險傳遞；（二）確保任何單個員工和外部服務供應商都無法獨立完成一項交易；（三）加強員工思想道德教育，強化操作人員密碼管理，實行分級授權管理;（四）實行電子銀行關鍵崗位工作人員AB角制，崗位第一責任人不在崗位時，應指定相應工作人員代其行使相關事權，確保工作不間斷、不拖延。（五）電子銀行業務操作

8、人員必須熟悉電子銀行的業務操作流程，必須參加電子銀行業務培訓方能辦理業務，電子銀行部定期組織培訓和考核。第十九條 對于客戶操作風險控制的基本要求：（一）詳細說明并提供演示流程，清晰告知客戶電子銀行操作要領；（二）通過客戶服務中心、操作指南、柜員指導等多渠道提供幫助，并及時進行風險提示；（三）通過登陸保護、密碼強度以及各類防范技術盡可能減少客戶發生風險損失的概率;（四）客戶重要信息（如姓名、身份證號碼等）變更必須由本人持有效證件前往營業網點辦理;（五）對客戶對外支付額度進行限制，支付限額如有調整必須提前十日向客戶公布。第四章 信息科技風險管理第二十條 信息科技風險是指信息科技在電子銀行系統運用過

9、程中，由于自然因素、人為因素、技術漏洞和管理缺陷導致的我行收益或資本的風險。第二十一條 嚴密防范并及時填堵系統后門，以防止黑客通過后門進入系統進行破壞和竊密。第二十二條 嚴格進行網絡邏輯分段，形成IP子網，實現對內部網絡的隔離，在路由器上實施數據包過濾，并且利用防火墻來實現基于IP地址的內外訪問控制。第二十三條 建立實時病毒防范功能，以防止系統錯誤、數據混亂、服務失敗等給業務系統和管理系統帶來損失。第二十四條 建立數據存儲備份管理，確保在發生系統被破壞、應用錯誤、數據丟失時，通過數據存儲管理進行及時恢復。第二十五條 建立系統安全漏洞掃描機制，在系統使用過程中動態地尋找系統漏洞，幫助完善系統的安

10、全，并以此防止由于其它的網絡操作對系統的安全造成威脅。第二十六條 建立外部攻擊偵測機制，通過IDS、IPS系統，及時發現外部攻擊行為，并對攻擊行為進行及時處理，問題嚴重時候，啟動應急預案。第二十七條 采用身份鑒別、訪問控制、數據加密、數據完整、數字簽名、防重發等安全控制機制，保證客戶使用的安全性。第二十八條 進行風險評估，制定風險評估計劃，識別信息資產，評價信息資產威脅發生的可能性以及弱點被利用的容易程度，確定風險等級，找出目標與現狀的差距，改進信息安全措施。第二十九條 制定安全計劃，明確實施方案，確定可接受風險的程度，制定風險緩釋策略，減少、規避和轉移風險；檢查和測試風險緩釋策略和安全計劃實

11、施情況。第三十條 保證電子銀行開發環境和應用環境的分離，評估和認證后續開發應用的需求和風險。第五章 法律風險管理第三十一條 法律風險是指違反或不遵守法律、法規、規章或約定的慣例，或者沒有完善地界定有關交易各方在法律上的權利和義務而造成我行收益或資本的風險。第三十二條 對于資金轉移類交易，必須要采用雙重身份認證和加密傳輸，并由客戶設定支付額度，以此防范人民銀行電子支付指引（第一號）提示的電子支付風險。第三十三條 電子銀行業務的開通，必須首先與客戶簽訂電子銀行服務協議及合同，明確雙方的權利與義務，并在協議條款和網站上對電子銀行業務有可能造成的風險進行公告。第三十四條 對于客戶有意泄露密碼或未履行應

12、盡義務的，我行應根據法律法規維護自身合法權益。第三十五條 加強對與我行系統存在技術和業務連接的第三方機構的管理，通過正式法律協議明確雙方的糾紛處理、賠償等相關法律責任，向客戶充分披露銀行與第三方機構的業務流程和責權關系，積極防范法律風險。第六章 信譽風險管理第三十六條 信譽風險是指負面的公眾輿論對我行收益或資本所造成的風險。第三十七條 在電子系統中，應采用先進、成熟的技術，避免因技術落后給客戶帶來不便，使客戶對我行整體服務能力產生不信賴。第三十八條 為客戶信息負責，防止因系統安全性缺陷嚴重損害客戶的隱私權。第三十九條 制定合適的應急計劃和業務連續性計劃，使系統具備為客戶提供不間斷服務的能力。第

13、四十條 制定危機公關預案，加強與媒體的合作，針對突發事件和負面輿論，要認真分析、及時匯報、積極響應、統一口徑，最大限度地消除負面影響。第七章 合規風險管理第四十一條 合規風險是指銀行因未能遵循法律法規、監管要求、規則、自律性組織制定的有關準則、已及適用于銀行自身業務活動的行為準則，而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險。第四十二條 電子銀行部應定期組織培訓學習，加大頻度，培訓中結合監管部門有關銀行業金融機構信息科技風險管理文件要求，通過系統學習和培訓，在工作中自覺貫徹執行，提高全員信息科技合規意識。第四十三條 建立各網點一線人員聯席會議制度，及時對臨柜操作的各項風險點相互交

14、流，共同研究和解決工作中出現的新問題、新情況。第四十四條 建立電子銀行業務管理部門、內控風險管理部門與業務部門的聯動機制，實現各部門間的防范優勢互補和信息共享，形成風險管理的合力。第四十五條 各營業網點內部建立信息科技風險協調機制，明確責任，定期自查本網點信息科技合規方面存在的問題，遇到內部不能協調解決的問題，及時上報。第四十六條 完善信息科技風險內控制度，查漏補缺，調整優化，嚴格評估信息安全內控體系的完整性和實施的有效性，電子銀行部、內控風險管理部應適時組織開展轄內機構信息科技合規風險的現場檢查。第八章 異常交易監控第四十七條 要求電子銀行系統外包服務商應用專門軟件對電子銀行系統進行實時的監控和審計，并逐日形成日志和審計報告。按業務規則定期審查監控日志和審計報告，對于業務異常流量和交易進行事后監督和確認。第四十八條 對電子銀行客戶發生的大額交易、可疑交易按監管部門的要求提取、上報。第四十九條 電子銀行客戶發生大額交易、異常交易時，系統應提示相關工作人員及時聯系客戶，由相關工作人員根據客戶的回應決定是否放行交易。第九章 風險的分析與報告第五十條 電子銀行業務的分析與報告是指對電子銀行業務風險定期進行分析，總結經驗，發現問題，分析原因，采取措施，并形成業務風險報告。業務風險報告分為年度業務