电子银行业务管理办法-遵循规范，保护您的网络安全

（2005年11月10日中国银行业监督管理委员会第40次主席会议通过）

第九条　金融机构开办电子银行业务，应当具备下列条件：

（一）金融机构的经营活动正常，建立了较为完善的风险管理体系和内部控制制度，在申请开办电子银行业务的前一年内，金融机构的主要信息管理系统和业务处理系统没有发生过重大事故；

（二）制定了电子银行业务的总体发展战略、发展规划和电子银行安全策略，建立了电子银行业务风险管理的组织体系和制度体系；

（三）按照电子银行业务发展规划和安全策略，建立了电子银行业务运营的基础设施和系统，并对相关设施和系统进行了必要的安全检测和业务测试；

（四）对电子银行业务风险管理情况和业务运营设施与系统等，进行了符合监管要求的安全评估；

（五）建立了明确的电子银行业务管理部门，配备了合格的管理人员和技术人员；

（六）中国银监会要求的其他条件。

第十条　金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务，除应具备第九条所列条件外，还应具备以下条件：

（一）电子银行基础设施设备能够保障电子银行的正常运行；

（二）电子银行系统具备必要的业务处理能力，能够满足客户适时业务处理的需要；

（三）建立了有效的外部攻击侦测机制；

（四）中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内；

（五）外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境内或境外。设置在境外时，应在中华人民共和国境内设置可以记录和保存业务交易数据的设施设备，能够满足金融监管部门现场检查的要求，在出现法律纠纷时，能够满足中国司法机构调查取证的要求。

第十一条　外资金融机构开办电子银行业务，除应具备第九条、第十条所列条件外，还应当按照法律、行政法规的有关规定，在中华人民共和国境内设有营业性机构，其所在国家（地区）监管当局具备对电子银行业务进行监管的法律框架和监管能力。

第十二条　金融机构申请开办电子银行业务，根据电子银行业务的不同类型，分别适用审批制和报告制。

（一）利用互联网等开放性网络或无线网络开办的电子银行业务，包括网上银行、手机银行和利用掌上电脑等个人数据辅助设备开办的电子银行业务，适用审批制；

（二）利用境内或地区性电信网络、有线网络等开办的电子银行业务，适用报告制；

（三）利用银行为特定自助服务设施或与客户建立的专用网络开办的电子银行业务，法律法规和行政规章另有规定的遵照其规定，没有规定的适用报告制。

金融机构开办电子银行业务后，与其特定客户建立直接网络连接提供相关服务，属于电子银行日常服务，不属于开办电子银行业务申请的类型。

第十五条　金融机构向中国银监会或其派出机构申请开办电子银行业务，应提交以下文件、资料（一式三份）：

（一）由金融机构法定代表人签署的开办电子银行业务的申请报告；

（二）拟申请的电子银行业务类型及拟开展的业务种类；

（三）电子银行业务发展规划；

（四）电子银行业务运营设施与技术系统介绍；

（五）电子银行业务系统测试报告；

（六）电子银行安全评估报告；

（七）电子银行业务运行应急计划和业务连续性计划；

（八）电子银行业务风险管理体系及相应的规章制度；

（九）电子银行业务的管理部门、管理职责，以及主要负责人介绍；

（十）申请单位联系人以及联系电话、传真、电子邮件信箱等联系方式；

（十一）中国银监会要求提供的其他文件和资料。

第二十二条　金融机构增加或者变更以下电子银行业务类型，适用审批制：

（一）有关法律法规和行政规章规定需要审批但金融机构尚未申请批准，并准备利用电子银行开办的；

（二）金融机构将已获批准的业务应用于电子银行时，需要与证券业、保险业相关机构进行直接实时数据交换才能实施的；

（三）金融机构之间通过互联电子银行平台联合开展的；

（四）提供跨境电子银行服务的。(www.xing528.com)

第三十条　金融机构因电子银行系统升级、调试等原因，需要按计划暂时停止电子银行服务的，应选择适当的时间，尽可能减少对客户的影响，并至少提前3天在其网站上予以公告。

受突发事件或偶然因素影响非计划暂停电子银行服务，在正常工作时间内超过4个小时或者在正常工作时间外超过8个小时的，金融机构应在暂停服务后24小时内将有关情况报告中国银监会，并应在事故处理基本结束后3日内，将事故原因、影响、补救措施及处理情况等，报告中国银监会。

第三十六条　金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类，制定适当的安全策略，建立健全风险控制程序和安全操作规程，采取相应的安全管理措施。

对各类安全控制措施应定期检查、测试，并根据实际情况适时调整，保证安全措施的持续有效和及时更新。

第三十七条　金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，采取适当的保护措施。

（一）有形场所的物理安全控制，必须符合国家有关法律法规和安全标准的要求，对尚没有统一安全标准的有形场所的安全控制，金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险；

（二）以开放型网络为媒介的电子银行系统，应合理设置和使用防火墙、防病毒软件等安全产品与技术，确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力；

（三）对重要设施设备的接触、检查、维修和应急处理，应有明确的权限界定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录；

（四）对重要技术参数，应严格控制接触权限，并建立相应的技术参数调整与变更机制，并保证在更换关键人员后，能够有效防止有关技术参数的泄漏；

（五）对电子银行管理的关键岗位和关键人员，应实行轮岗和强制性休假制度，建立严格的内部监督管理制度。

第三十八条　金融机构应采用适当的加密技术和措施，保证电子交易数据传输的安全性与保密性，以及所传输交易数据的完整性、真实性和不可否认性。

金融机构采用的数据加密技术应符合国家有关规定，并根据电子银行业务的安全性需要和科技信息技术的发展，定期检查和评估所使用的加密技术和算法的强度，对加密方式进行适时调整。

第三十九条　金融机构应当与客户签订电子银行服务协议或合同，明确双方的权利与义务。

在电子银行服务协议中，金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险，金融机构已经采取的风险控制措施和客户应采取的风险控制措施，以及相关风险的责任承担。

第四十条　金融机构应采取适当的措施和采用适当的技术，识别与验证使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。

第四十三条　金融机构应建立电子银行入侵侦测与入侵保护系统，实时监控电子银行的运行情况，定期对电子银行系统进行漏洞扫描，并建立对非法入侵的甄别、处理和报告机制。

第四十四条　金融机构开展电子银行业务，需要对客户信息和交易信息等使用电子签名或电子认证时，应遵照国家有关法律法规的规定。

金融机构使用第三方认证系统，应对第三方认证机构进行定期评估，保证有关认证安全可靠和具有公信力。

第四十七条　金融机构应制定电子银行应急计划和事故处理预案，并定期对这些计划和预案进行测试，以管理、控制和减少意外事件造成的危害。

第四十八条　金融机构应定期对电子银行关键设备和系统进行检测，并详细记录检测情况。

第四十九条　金融机构应明确电子银行管理、运营等各个环节的主要权限、职责和相互监督方式，有效隔离电子银行应用系统、验证系统、业务处理系统和数据库管理系统之间的风险。

第五十一条　金融机构应采取适当的方法和技术，记录并妥善保存电子银行业务数据，电子银行业务数据的保存期限应符合法律法规的有关要求。

第五十二条　金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定。

第五十三条　金融机构应针对电子银行业务发展与管理的实际情况，制订多层次的培训计划，对电子银行管理人员和业务人员进行持续培训。

第五十八条　金融机构在确保电子银行业务数据安全并被恰当使用的情况下，可以向非金融机构转移部分电子银行业务数据。

（一）金融机构由于业务外包、系统测试（调试）、数据恢复与救援等为维护电子银行正常安全运营的需要而向非金融机构转移电子银行业务数据的，应当事先签订书面保密合同，并指派专人负责监督有关数据的使用、保管、传递和销毁；

（二）金融机构由于业务拓展、业务合作等需要向非金融机构转移电子银行业务数据的，除应签订书面保密合同和指定专人监督外，还应建立对数据接收方的定期检查制度，一旦发现数据接收方不当使用、保管或传递电子银行业务数据，应立即停止相关数据转移，并应采取必要的措施预防电子银行客户的合法权益受到损害，法律法规另有规定的除外；

（三）金融机构不得向无业务往来的非金融机构转移电子银行业务数据，不得出售电子银行业务数据，不得损害客户权益利用电子银行业务数据谋取利益。

第六十条　外资金融机构因业务或管理需要确需向境外总行（公司）转移有关电子银行业务数据的，应遵守有关法律法规的规定，采取必要的措施保护客户的合法权益，并遵守有关数据交换和转移的规定。

第八十条　金融机构应当建立电子银行业务重大安全事故和风险事件的报告制度，并保持与监管部门的经常性沟通。

对于电子银行系统被恶意攻破并已出现客户或银行损失，电子银行被病毒感染并导致机密资料外泄，以及可能会引发其他金融机构电子银行系统风险的事件，金融机构应在事件发生后48小时内向中国银监会报告。

第八十一条　中国银监会根据监管的需要，可以依法对金融机构的电子银行业务实施现场检查，也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查。

第八十二条　中国银监会对电子银行业务实施现场检查时，除应按照现场检查的有关规定组成检查组并进行相关业务培训外，还应邀请被检查机构的电子银行业务管理和技术人员介绍其电子银行系统架构、运营管理模式以及关键设备接触要求。

检查人员在实施现场检查过程中，应当遵守被检查机构电子银行安全管理的有关规定。

第八十九条　金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。

因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任，但法律法规另有规定的除外。