电子银行风险管理自律规范 - 中华民国银行商业同业公会全国联合会.doc

電子銀行風險管理原則 中華民國銀行商業同業公會全國聯合會 中華民國九十三年十二月 目 錄 一、董事會（或常務董事會，下同）及高階管理階層應成立專責單位或指定專人，建立有效風險管理制度，包括風險管理政策及風險控管程序，以有效管理電子銀行業務風險。 - 2 - 二、銀行之關鍵性安全控管機制應經董事會及高階管理階層認可。 - 2 - 三、董事會及高階管理階層應建立全面持續嚴謹之監督程序，以管理委外作業廠商所提供支援電子銀行業務之服務。 - 2 - 四、銀行應採行適當的認證措施，建立客戶辨識及授權機制，以確保客戶在網際網路上進行該銀行業務交易的安全性。 - 3 - 五、銀行應採行交易認證法，加強電子銀行交易的不可否認性，釐清客我之責任與義務，進而建立客戶與銀行間的互信機制。 - 3 - 六、銀行對於電子銀行系統、資料庫及應用程式，應採行適當的分工牽制機制。 - 3 - 七、銀行對於電子銀行系統、資料庫及應用程式，應採行適當的授權控管及存取管理機制。 - 4 - 八、銀行對於電子銀行交易、紀錄及資訊，應採行適當的措施，以維護資料之完整性。 - 4 - 九、銀行對於電子銀行全部交易，應留有清楚的稽核追蹤紀錄。 - 4 - 十、銀行對於電子銀行資料，應依其敏感性及傳送、儲存方式，採行適當的措施，以維護資料之機密性。 - 4 - 十一、銀行對於本身之特性及狀態，應於電子銀行網頁提供足夠資訊，以供客戶在進行電子銀行交易時之參考。 - 4 - 十二、銀行對於所提供之電子銀行產品及服務，應採取適當措施以保護客戶資料隱私權。 - 5 - 十三、銀行應建立一套有效之災變備援及業務復原計畫，以維護電子銀行服務之持續性。 - 5 - 十四、銀行應建立適當的緊急應變計畫，以維持電子銀行系統及服務之正常運作。 - 5 - 電子銀行資安實務參考資料 - 7 -  董事會（或常務董事會，下同）及高階管理階層應成立專責單位或指定專人，建立有效風險管理制度，包括風險管理政策及風險控管程序，以有效管理電子銀行業務風險。 對於擬提供新的電子銀行業務或產品，董事會及高階管理階層應確信已對銀行風險概況、經營策略、成本、效益進行分析，並能勝任管理此新開業務所帶來之風險。 高階管理階層應持續監督電子銀行系統可能問題或是安全漏洞。 應建立電子銀行業務風險管理授權及通報機制（影響銀行經營及聲譽之緊急突發事件，例如駭客入侵、客戶資料外洩），定期或於必要時將風險管理執行狀況及風險承擔情形向董事會及高階管理階層報告。 對於有辦理國際性之電子銀行業務，應確信已進行嚴謹的風險分析，並遵守相關國之金融相關法規及規範。 銀行之關鍵性安全控管機制應經董事會及高階管理階層認可。 建立適當之授權管理、實體存取安全控制及合適之安全控管設備，以提供內、外部使用者適當之安全介面及限制。 有效之安全控管機制應包含設置負責監督安控機制之專責人員、落實執行銀行資訊安全政策及定期檢測安全管制措施。 董事會及高階管理階層應建立全面持續嚴謹之監督程序，以管理委外作業廠商所提供支援電子銀行業務之服務。 銀行對於電子銀行系統及應用程式之委外處理者，應完全瞭解其所帶來之風險。 在訂約之前應詳細審核評估委外作業廠商之專業、信譽及財務能力。 合約至少應載明下列事項，以確保委外服務品質。 具體之委外事項及內容。 委外作業廠商應建立內部控制機制，定期與不定期進行內部考核，委外事項如有不能履行、履行困難或履行困難之虞者，對於銀行負有立即通知之義務。 銀行於必要時，得於事前通知委外作業廠商後終止契約。 委外作業廠商同意主管機關得依銀行法第四十五條規定辦理。 委外作業廠商對外不得以銀行名義辦理受託處理事項。 對於電子銀行業務委外事項其風險管理、安控機制及資料保密機制應符合銀行本身的標準。 對於電子銀行業務委外事項要定期實施內部及外部稽核。 對於電子銀行業務委外事項應建立一套適當之緊急應變計畫。 銀行應採行適當的認證措施，建立客戶辨識及授權機制，以確保客戶在網際網路上進行該銀行業務交易的安全性。 確認客戶電子銀行帳戶為重要的步驟，若無適當的認證措施，可能導致非法個人存取電子銀行帳戶，進而導致銀行財物及信譽之損失。 銀行可以採用下列認證措施：PINs、passwords、smart cards、biometrics、digital certificates及OTP(One Time Password)動態密碼。 銀行宜採行相關認證及安控措施，以確保下列事項： 運用於存取電子銀行客戶帳號或敏感性系統之認證資料庫，應確保避 免被竄改或破壞；而對於企圖竄改或破壞資料之行為，系統應能偵測及留存稽核追蹤紀錄。 凡是新增、刪除或變更個人、代理者、系統之認證資料，均需經過認證辨識及授權，才可修改認證