第一条 为促进电子银行业务的健康发展，保证电子银行业务安全性评估的客观性、及时性、全面性和有效性，依据《中华人民共和国银行业监督管理法》、《中华人民共和国金融机构法》等法律法规和《电子银行业务管理办法》等监管规章，制定本指引。

第二条 电子银行的安全评估，是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面，进行的安全测试和风险管理能力等的综合安全考察与评价。

第三条 在中华人民共和国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构，都应定期对电子银行安全进行评估。

第四条 开展电子银行业务的金融机构可以利用外部专业化的评估机构对电子银行安全进行评估，也可以利用内部独立于电子银行业务运营管理部门的评估部门进行电子银行安全评估。

第五条 金融机构的电子银行安全评估工作应纳入金融机构风险管理的总体框架，由金融机构的风险管理委员会或相关机构直接负责。

第六条 金融机构的电子银行安全评估应接受中国银行业监督管理委员会（以下简称中国银监会）的监督指导。

第二章 安全评估机构

第七条 承担金融机构电子银行安全评估工作的机构，可以是外部专业化服务机构，也可以是金融机构内部具备相应条件的相对独立部门。

第八条 外部机构从事电子银行安全评估，应具备以下条件：

（一）具有较为完善的开展电子银行安全评估业务的管理制度和操作规程；
（二）制定了系统全面的内部评估手册或评估指导文件，内容应至少包括评估程序、评估方法和依据、评估标准等；
（三）拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准；
（四）其他从事电子银行安全评估应当具备的条件。

第九条 金融机构内部部门从事电子银行安全评估，除应具备第八条规定的有关条件外，还应具备以下条件：

（一）从事电子银行安全评估的部门必须独立于电子银行业务系统开发部门和运营部门；
（二）从事电子银行安全评估的部门未直接参与过有关电子银行设备的选购工作。

第十条 中国银监会负责电子银行安全评估机构资格认定工作。电子银行安全评估机构资格认定工作，每年组织一次。

电子银行安全评估机构在从事金融机构电子银行安全评估业务之前，应向中国银监会申请对其资格进行认定。

第十一条 申请资格认定的电子银行评估机构，应在中国银监会公告的时限内提交以下材料（一式七份）：

（一）电子银行安全评估资格认定申请报告；
（二）机构介绍；
（三）安全评估业务管理框架、管理制度、操作规程等；
（四）评估手册或评估指导文件；
（五）主要评估人员简历；
（六）中国银监会要求提供的其他文件和资料。

第十二条 中国银监会收到安全评估机构资格认定的完整材料后三个月内，组织有关专家和监管人员对申请材料进行评议，采用投票的办法决定电子银行安全评估机构是否达到了有关资质要求。

第十三条 中国银监会对评估机构资质评议后，出具《电子银行安全评估机构资格认定意见书》，载明评议意见，对评估机构的资格作出认定。

第十四条 中国银监会出具的《电子银行安全评估机构资格认定意见书》，仅供评估机构与开展电子银行业务的金融机构商恰有关电子银行评估业务时使用，不影响评估机构开展其他经营活动。

评估机构不得将《电子银行安全评估机构资格认定意见书》用于宣传或其他活动。

第十五条 经中国银监会评议并被认为达到有关资质要求的评估机构，每次资格认定的有效期为两年。
经评议未达到认定资格的，评估机构可在下一年度重新申请资格认定。

第十六条 在有效期内，电子银行安全评估机构如果出现下列情况，中国银监会将撤销已做出的评议和认定意见：

（一）评估机构管理不善，其工作人员泄露被评估机构秘密的；
（二）评估工作质量低下，评估活动出现重要遗漏的；
（三）未按要求提交评估报告，或评估报告中存在不实表述的；
（四）将《电子银行安全评估机构资格认定意见书》用于宣传和其他经营活动的；
（五）存在其他严重不尽职行为的。

第十七条 评估机构有下列行为之一的，中国银监会将在一定期限或无限期不承接评估机构的资格认定请求，银行业金融机构不应再委托该评估机构进行安全评估：

（一）与委托机构合谋，共同隐瞒在安全评估过程中发现的安全漏洞，未按要求写入评估报告；
（二）在评估过程中弄虚作假，编造安全评估报告；
（三）泄漏银行机密信息，或不当使用银行机密资料；
银行业金融机构内部评估机构出现以上情况之一的，中国银监会将按照有关法律法规和行政规章的规定，对相关责任人进行处罚。

第十八条 中国银监会认可的电子银行安全评估机构，以及有关资格认定撤销决定等信息，仅向开展电子银行业务的各金融机构通报，不向社会公布。

第十九条 金融机构不得向第三方泄露中国银监会的有关通报信息，影响外部机构的其他业务活动，也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。

第二十条 开展电子银行业务的金融机构可以在中国银监会认可的评估机构范围内，自主选择安全评估机构，签订书面服务协议。
金融机构选择内部部门作为评估机构时，应由电子银行运营部门与评估部门签订评估责任确定书。

第二十一条 金融机构与评估机构签订的服务协议中，必须含有明确的保密条款和保密责任。

第二十二条 安全评估机构应根据评估协议的规定，认真履行评估职责，真实评估被评估机构电子银行运营的安全状况。

第三章 安全评估的实施

第二十三条 评估机构在开始电子银行安全评估之前，应就评估的范围、重点、时间与要求等问题，与被评估机构进行充分的沟通，制定评估计划，由双方签字认可。

第二十四条 依据评估计划，评估机构进场对委托机构的电子银行安全进行评估。电子银行安全评估应真实、全面地评价电子银行系统的安全性。

第二十五条 电子银行安全评估至少应包括以下内容：

（一）安全策略；
（二）内控制度建设；
（三）风险管理状况；
（四）系统安全性；
（五）电子银行业务运行连续性计划；
（六）电子银行业务运行应急计划；
（七）电子银行风险预警体系；
（八）其他重要安全环节和机制。

第二十六条 电子银行安全策略的评估，至少应包括以下内容：

（一）安全策略制定的流程与合理性；
（二）系统设计与开发的安全策略；
（三）系统测试与验收的安全策略；
（四）系统运行与维护的安全策略；
（五）系统备份与应急相关策略。
评估机构对金融机构安全策略的评估，不仅要评估安全战略、规章制度和程序是否存在，还要评估这些制度是否能得到贯彻执行，是否能做到及时更新，是否能全面覆盖电子银行业务系统。

第二十七条 电子银行内控制度的评估，应至少包括以下内容：

（一）高级管理层对电子银行安全的认知能力与水平；
（二）安全监控机制的建设与运行；
（三）内部审计制度的建设与运行。

第二十八条 电子银行风险管理状况的评估，应至少包括以下内容：

（一）电子银行管理机构设置的合理性与其他部门的协调性；
（二）电子银行管理部门主要负责人对电子银行的熟知程度；
（三）管理人员配备与培训情况；
（四）电子银行风险管理的规章制度与操作规定、程序等；
（五）电子银行业务风险管理状况；
（六）业务外包管理制度建设与管理状况。

第二十九条 电子银行系统安全性的评估，应至少包括以下内容：

（一）物理安全；
（二）数据通讯安全；
（三）应用系统安全；
（四）密钥管理；
（五）客户信息认证与保密；
（六）入侵监测机制和报告反应机制。

评估机构应突出对数据通讯安全和应用系统安全的评估，客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙，银行内部运作系统和数据库是否安全等，以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序，并能保证各种修改得到及时测试和审核。

第三十条 电子银行业务运行连续性计划，应至少包括以下内容：

（一）电子银行保障业务连续运营的设备和系统能力；
（二）保证业务连续运营的制度安排和执行情况；

第三十一条 电子银行业务运行应急计划，应至少包括以下内容：

（一）电子银行应急制度建设和执行情况；
（二）电子银行应急系统建设；
（三）定期、持续性的检测和演练情况；
（四）应对意外事故或非法攻击的能力。

第三十二条 评估机构进行安全评估的方式，包括审核有关资料、与相关人员谈话等，但在电子银行安全性评估时，必须采取至少一种方法对系统进行测试。

第三十三条 评估机构在进行安全评估时，应根据委托机构的实际情况，确定不同评估内容对电子银行总体风险影响程度的权重，对每项评估内容进行评分，综合计算出所评估机构电子银行的风险等级。

第三十四条 评估完成后，评估机构应及时撰写评估报告，并于评估完成后一个月内向委托机构提交由其法定代表人签字认可的评估报告。

第三十五条 评估报告应至少包括以下内容：

（一）评估的时间、范围及其他协议中重要的约定；
（二）评估的总体框架、程序、主要方法及主要评估人员介绍；
（三）不同评估内容风险权重的确定标准，风险等级的计算方法，以及风险等级的定义；
（四）评估内容与评估活动描述；
（五）评估结论；
（六）其他需要说明的问题；
（七）主要术语定义和所采用的国际或国内标准介绍（可作为附件）；
（八）评估工作流程记录表（可作为附件）；
（九）参加评估人员名单（可作为附件）。

在评估结论中，评估机构应采用量化的办法，表明被评估机构电子银行的风险等级，并说明被评估机构电子银行安全管理中存在的主要问题与隐患，并说明整改建议。

第三十六条 评估报告完成并提交委托机构后，如需修改，应将修改的原因、依据和修改意见作为附件附在原报告之后，不得直接修改原报告。

第四章 安全评估活动的管理

第三十七条 金融机构在申请开办电子银行业务时，应当按照有关规定对完成测试的电子银行进行安全评估。

第三十八条 金融机构获准开办电子银行业务后，应当至少每年对电子银行进行一次安全评估。

有下列情形之一的，应立即组织安全评估：
（一）由于安全漏洞导致系统被攻击瘫痪，修复完善的；
（二）电子银行系统进行重大的更新和升级的；
（三）电子银行的基础设施出现重大改变的；
（四）基于电子银行安全管理需要应即时评估的。

第三十九条 评估机构的选择应由金融机构的高级管理层最终确定。 评估机构确定后，金融机构必须与评估机构签定评估协议，明确界定评估的任务、双方的权利和义务。

评估协议应由金融机构的高级管理层签署。

第四十条 金融机构原则上只能确定一个评估机构进行评估，若有多个评估机构参与评估，金融机构必须确定一个主要的评估机构协调总体评估工作，负责总体评估报告的制作。

金融机构将电子银行的不同系统委托给不同的评估机构进行安全评估，应当明确每个评估机构的安全评估范围，保证不同的评估范围之间没有遗漏。

第四十一条 金融机构应在签署评估协议后2周内，将评估机构简介、拟采用的评估方案和评估步骤等，报送中国银监会。

第四十二条 中国银监会根据监管工作的需要，可派员参加金融机构电子银行安全评估工作，但不作为正式评估人员，不提供评估意见。

第四十三条 评估机构应本着客观、公正、真实和自主的原则，开展评估活动，并严格保守在评估过程中获悉的商业机密。

第四十四条 在评估过程中，委托机构和评估机构之间应建立信息保密工作机制。

（一）评估过程中，调阅相关资料、复制相关文件或数据等，都应建立登记、签字制度；
（二）调阅的文件资料应在指定的场所阅读，不能复印，不得带出指定场所；
（三）复制的文件或数据不应带出工作场地，如确需带出的，必须详细登记带出数据的原因、时间、责任人等；
（四）评估过程中废弃的文件、材料和不再使用的数据，应立即予以销毁或删除；
（五）评估工作结束后，双方应就有关机密数据、资料等的交接情况签署说明。

第四十五条 金融机构在收到评估机构的评估报告一个月内，应将评估报告抄报中国银监会。
金融机构报送评估报告时，可对评估报告中的有关问题作必要的说明。

第四十六条 未经监管部门批准，电子银行安全评估报告不得作为广告宣传资料使用，也不得提供给除监管部门以外的第三方机构。

第四十七条 对未按有关要求进行的安全评估，或者评估程序、方法和评估报告存在重要缺陷的安全评估，中国银监会可以要求金融机构进行重新评估。

第四十八条 中国银监会根据监管工作的需要，可以自己组织或委托评估机构对电子银行系统进行安全评估，金融机构对于中国银监会组织的安全评估应予以配合。

第四十九条 中国银监会根据监管工作的需要，可直接向评估机构了解其评估的方法、范围和程序等。

第五十条 对于评估报告中所反映出的问题，金融机构应采取有效的措施加以纠正。

第五章 附则

第五十一条 本指引由中国银监会负责解释。

第五十二条 本指引自发布之日起施行。