电子银行安全评估方案.docVIP

电子银行 安全评估方案 中国金融认证中心（CFCA） 2008-4 目 录 TOC \o 1-3 \h \z \u 1 概述 4 1.1 评估背景 4 1.2 目标 5 1.3 评估参考依据 5 1.4 评估方式 6 2 评估范围 6 3 评估内容 8 3.1 电子银行安全管理评估 8 3.2 电子银行系统平台安全评估 10 3.3 电子银行业务控制评估 12 4 评估方法 13 4.1 评估流程 13 4.1.1 业务及IT应用现状调研 14 4.1.2 现场评估 15 4.1.3 综合评价 16 4.2 评估手段 16 4.2.1 调查 17 4.2.2 检查 17 4.2.3 测试 17 4.2.4 人工分析 18 4.3 评估工具 18 4.3.1 调查问卷 18 4.3.2 现场调查表 18 4.3.3 评估表/Checklist 19 4.3.4 自动化测试工具 20 5 项目阶段与时间估算 20 5.1 项目阶段划分 20 5.1.1 项目准备 21 5.1.2 现状调研与分析 21 5.1.3 实施评估 23 5.1.4 改进建议 24 5.1.5 项目总结 25 5.2 时间估算 25 6 项目组织与人员安排 27 6.1 组织机构 27 6.2 主要人员安排 28 6.3 主要人员介绍 28 7 项目管理 31 7.1 质量保证 31 7.2 实施过程中的风险控制 31 7.3 交流与沟通 32 8 主要项目文档 32 附件1：电子银行整体安全评价准则 33 附件2：关键资产安全风险评价准则 36 概述 为掌握电子银行整体业务应用及安全状况，了解当前电子银行风险管理状况与中国银监会（以下简称银监会）相关要求之间的差距，全面加强电子银行风险管理，最终推动电子银行业务的开展，**银行决定针对电子银行开展安全评估，以期发现并弥补电子银行在安全管理、系统平台安全以及业务控制等方面存在的弱点或问题。 评估背景 随着国民经济、信息技术以及信息化的发展，银行的业务开展模式发生了巨大的变化，最明显的就是以信息技术为支撑平台的电子银行逐渐成为各家银行的重要业务渠道。 与传统银行业务渠道相比，电子银行具有许多优势。一是由于电子银行主要利用公共网络资源，不需设置物理的分支机构或营业网点，大大降低银行经营成本，有效提高银行盈利能力。二是电子银行业务打破了传统银行业务的地域、时间限制，具有能在任何时候(Anytime）、任何地方(Anywhere）、以任何方式（Anyhow）为客户提供金融服务的特点，这既有利于吸引和保留优质客户，又能主动扩大客户群，开辟新的利润来源。三是电子银行有利于服务创新，向客户提供多种类、个性化服务。 但由于其特定的运作方式和网络环境，电子银行在带给人们极大便利的同时，也带来了更多的传统或新的银行风险。通常情况下，电子银行业务的开展可能会给银行带来大量的交易或操作风险、符合性/法律风险以及声誉风险，如：服务中断、客户信息泄露、客户资金被盗等。此外一些传统的风险，如：战略风险、信用风险、流动性/价格/市场等风险也会因电子银行的特点而发生变化，如：由于银行与客户不直接见面、客户分散、业务区域跨度大、市场变化快等原因，银行难以准确判断客户的信誉状况、抵押品价值变化。同时，电子银行业务在许多方面突破了传统的法律框架，这也给电子银行业务运营和监管带来一些体制性障碍。 为有效防范风险，确保电子银行的安全，必须加强对电子银行的监督与管理。为此银监会发布了《电子银行业务管理办法》和《电子银行安全评估指引》，要求申请和开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，利用外部专业评估机构或内部独立于电子银行业务运营及管理的评估部门，定期对电子银行进行安全评估，安全评估包括对电子银行安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。 目标 本次电子银行安全评估工作的目标主要有： 掌握电子银行业务应用及安全状况； 按照银监会相关要求完成电子银行安全评估； 针对评估中发现的问题提出改进建议或方案； 为**银行将来电子银行风险管理积累经验。 评估参考依据 本次电子银行安全评估主要参考依据包括： 《信息安全风险评估指南》(GB/T××××—××××送审稿)； 《商业银行内部控制评价办法》（银监会）； 《银行业金融机构内部审计指引》（银监会）； 《银行业金融机构信息系统风险管理指引》（银监会）； 《电子银行业务管理办法》