风险管理
(1)网络完全要求:
1.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第三十七条 金融机构应当保障电子银行运营设备,以及安全控制设施设备的安全,对电子银行的重要设施和数据,采取适当的保护措施。
2.《电子银行安全评估指引》(银监发〔2006〕9号)
第三十条 规定银行应采取必要措施为电子支付交易数据保密:对电子支付交易数据的访问须经合理授权和确认;电子支付交易数据须以安全方式保存,并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取;第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度;对电子支付交易数据的访问均须登记,并确保该登记不被篡改。
3.《中华人民共和国网络安全法》
第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
4.《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)
第四条第(一)款 严格落实国家网络安全和标准符合相关规定。各商业银行、支付机构、银行卡清算机构要严格落实国家网络安全和信息技术安全有关规定,使用经国家密码管理机构认可的商用密码产品。一是涉及的客户端软件、受理终端、银行卡、数字证书、动态令牌设备等应符合国家和金融行业相关标准,并通过国家认证认可管理部门认可机构的安全评估。二是业务系统建设和运营应符合国家信息安全等级保护的相关要求。三是业务系统及备份系统应按照国家网络安全相关要求部署在我国境内。
5.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第三十七条 金融机构应当保障电子银行运营设备,以及安全控制设施设备的安全,对电子银行的重要设施和数据,采取适当的保护措施。
6.《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
第十八条 非银行支付机构应当具备必要和独立的业务系统、设施和技术,按照强制性国家标准以及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。
7.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
第二十五条 支付机构网络支付业务相关系统设施和技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求,或者尚未形成国家、金融行业标准,支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。
(2)应急计划要求:
1.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
第二十九条第(一)款 (银行应)制定相应的风险控制策略,防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化,并具备有效的业务容量、业务连续性计划和应急计划;
第三十一条 电子银行业务运行应急计划,应至少包括以下内容:(一)电子银行应急制度建设和执行情况;(二)电子银行应急系统建设;(三)定期、持续性的检测和演练情况;(四)应对意外事故或非法攻击的能力。
2.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第四十六条 金融机构应制定电子银行业务连续性计划,保证电子银行业务的连续正常运营。 金融机构电子银行业务连续性计划应充分考虑第三方服务供应商对业务连续性的影响,并应采取适当的预防措施。
第四十七条 金融机构应制定电子银行应急计划和事故处理预案,并定期对这些计划和预案进行测试,以管理、控制和减少意外事件造成的危害。
3.《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(七)业务连续性计划与应急处置。
4.《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
第十八条 非银行支付机构应当具备必要和独立的业务系统、设施和技术,按照强制性国家标准以及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。
第二十五条 非银行支付机构应当将收款人和付款人信息等必要信息包含在电子支付指令中,确保所传递的电子支付指令的完整性、一致性、可跟踪稽核和不可篡改。非银行支付机构不得伪造、变造电子支付指令。
第四十一条 非银行支付机构发生对其经营发展、支付业务稳定性和连续性、用户合法权益产生重大影响事项的,应当按照规定向中国人民银行报告。
5.《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
第五十七条 《条例》所称突发事件应急预案应当包括下列内容:(一)支付业务系统连续性保障应急预案。(二)备付金风险应急预案。(三)用户信息泄露风险应急预案。(四)其他可能危及非银行支付机构正常经营,损害用户合法权益的风险事件应急预案。
6.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
第二十六条 支付机构应当在境内拥有安全、规范的网络支付业务处理系统及其备份系统,制定突发事件应急预案,保障系统安全性和业务连续性。支付机构为境内交易提供服务的,应当通过境内业务处理系统完成交易处理,并在境内完成资金结算。
7.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
第二十九条第(一)款 (银行应)制定相应的风险控制策略,防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化,并具备有效的业务容量、业务连续性计划和应急计划;
第三十一条 电子银行业务运行应急计划,应至少包括以下内容:(一)电子银行应急制度建设和执行情况;(二)电子银行应急系统建设;(三)定期、持续性的检测和演练情况;(四)应对意外事故或非法攻击的能力。
8.《条码支付业务规范(试行)》(银发〔2017〕296号印发)
第三十九条 银行、支付机构应制定突发事件应急预案,建立灾难备份系统,确保条码支付业务的连续性和业务系统安全运行。
9.《支付清算系统危机处置预案》(银发[2015]284号印发)
各支付系统直接参与者应根据《预案》,进一步明确辖内支付系统危机处置领导小组职责,建立高效应急工作机制,完善预防、预警机制和报告制度,做好应急处置准备和应急保障等工作。
10.《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
第五十二条商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
(3)其他:
1.《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处置。
2.《商业银行业务连续性监管指引》(银监发〔2011〕104 号)是专为为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,制定的指引。
3.《电子银行安全评估指引》(银监发〔2006〕9号)
第二十六条第二款 电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十七条 电子银行安全评估至少应包括以下内容:
(一) 安全策略;(二) 内控制度建设;(三) 风险管理状况;(四) 系统安全性;(五) 电子银行业务运行连续性计划;(六) 电子银行业务运行应急计划;(七) 电子银行风险预警体系;(八) 其他重要安全环节和机制的管理。
- 《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
- 《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
- 《电子银行安全评估指引》(银监发〔2006〕9号)
- 《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
- 《商业银行业务连续性监管指引》 (银监发〔2011〕104 号)
- 《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
- 《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
- 《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
- 《条码支付业务规范(试行)》(银发〔2017〕296号印发)
- 《支付清算系统危机处置预案》(银发〔2015〕284号印发)
- 《中华人民共和国网络安全法》
- 《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)
风险管理
(1)网络完全要求:
1.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第三十七条 金融机构应当保障电子银行运营设备,以及安全控制设施设备的安全,对电子银行的重要设施和数据,采取适当的保护措施。
2.《电子银行安全评估指引》(银监发〔2006〕9号)
第三十条 规定银行应采取必要措施为电子支付交易数据保密:对电子支付交易数据的访问须经合理授权和确认;电子支付交易数据须以安全方式保存,并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取;第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度;对电子支付交易数据的访问均须登记,并确保该登记不被篡改。
3.《中华人民共和国网络安全法》
第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
4.《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)
第四条第(一)款 严格落实国家网络安全和标准符合相关规定。各商业银行、支付机构、银行卡清算机构要严格落实国家网络安全和信息技术安全有关规定,使用经国家密码管理机构认可的商用密码产品。一是涉及的客户端软件、受理终端、银行卡、数字证书、动态令牌设备等应符合国家和金融行业相关标准,并通过国家认证认可管理部门认可机构的安全评估。二是业务系统建设和运营应符合国家信息安全等级保护的相关要求。三是业务系统及备份系统应按照国家网络安全相关要求部署在我国境内。
5.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第三十七条 金融机构应当保障电子银行运营设备,以及安全控制设施设备的安全,对电子银行的重要设施和数据,采取适当的保护措施。
6.《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
第十八条 非银行支付机构应当具备必要和独立的业务系统、设施和技术,按照强制性国家标准以及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。
7.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
第二十五条 支付机构网络支付业务相关系统设施和技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求,或者尚未形成国家、金融行业标准,支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。
(2)应急计划要求:
1.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
第二十九条第(一)款 (银行应)制定相应的风险控制策略,防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化,并具备有效的业务容量、业务连续性计划和应急计划;
第三十一条 电子银行业务运行应急计划,应至少包括以下内容:(一)电子银行应急制度建设和执行情况;(二)电子银行应急系统建设;(三)定期、持续性的检测和演练情况;(四)应对意外事故或非法攻击的能力。
2.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第四十六条 金融机构应制定电子银行业务连续性计划,保证电子银行业务的连续正常运营。 金融机构电子银行业务连续性计划应充分考虑第三方服务供应商对业务连续性的影响,并应采取适当的预防措施。
第四十七条 金融机构应制定电子银行应急计划和事故处理预案,并定期对这些计划和预案进行测试,以管理、控制和减少意外事件造成的危害。
3.《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(七)业务连续性计划与应急处置。
4.《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
第十八条 非银行支付机构应当具备必要和独立的业务系统、设施和技术,按照强制性国家标准以及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。
第二十五条 非银行支付机构应当将收款人和付款人信息等必要信息包含在电子支付指令中,确保所传递的电子支付指令的完整性、一致性、可跟踪稽核和不可篡改。非银行支付机构不得伪造、变造电子支付指令。
第四十一条 非银行支付机构发生对其经营发展、支付业务稳定性和连续性、用户合法权益产生重大影响事项的,应当按照规定向中国人民银行报告。
5.《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
第五十七条 《条例》所称突发事件应急预案应当包括下列内容:(一)支付业务系统连续性保障应急预案。(二)备付金风险应急预案。(三)用户信息泄露风险应急预案。(四)其他可能危及非银行支付机构正常经营,损害用户合法权益的风险事件应急预案。
6.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
第二十六条 支付机构应当在境内拥有安全、规范的网络支付业务处理系统及其备份系统,制定突发事件应急预案,保障系统安全性和业务连续性。支付机构为境内交易提供服务的,应当通过境内业务处理系统完成交易处理,并在境内完成资金结算。
7.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
第二十九条第(一)款 (银行应)制定相应的风险控制策略,防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化,并具备有效的业务容量、业务连续性计划和应急计划;
第三十一条 电子银行业务运行应急计划,应至少包括以下内容:(一)电子银行应急制度建设和执行情况;(二)电子银行应急系统建设;(三)定期、持续性的检测和演练情况;(四)应对意外事故或非法攻击的能力。
8.《条码支付业务规范(试行)》(银发〔2017〕296号印发)
第三十九条 银行、支付机构应制定突发事件应急预案,建立灾难备份系统,确保条码支付业务的连续性和业务系统安全运行。
9.《支付清算系统危机处置预案》(银发[2015]284号印发)
各支付系统直接参与者应根据《预案》,进一步明确辖内支付系统危机处置领导小组职责,建立高效应急工作机制,完善预防、预警机制和报告制度,做好应急处置准备和应急保障等工作。
10.《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
第五十二条商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
(3)其他:
1.《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
第十五条 商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一)信息分级与保护。
(二)信息系统开发、测试和维护。
(三)信息科技运行和维护。
(四)访问控制。
(五)物理安全。
(六)人员安全。
(七)业务连续性计划与应急处置。
2.《商业银行业务连续性监管指引》(银监发〔2011〕104 号)是专为为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,制定的指引。
3.《电子银行安全评估指引》(银监发〔2006〕9号)
第二十六条第二款 电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十七条 电子银行安全评估至少应包括以下内容:
(一) 安全策略;(二) 内控制度建设;(三) 风险管理状况;(四) 系统安全性;(五) 电子银行业务运行连续性计划;(六) 电子银行业务运行应急计划;(七) 电子银行风险预警体系;(八) 其他重要安全环节和机制的管理。
- 《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号发布)
- 《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
- 《电子银行安全评估指引》(银监发〔2006〕9号)
- 《商业银行信息科技风险管理指引》(银监发〔2009〕19号印发)
- 《商业银行业务连续性监管指引》 (银监发〔2011〕104 号)
- 《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
- 《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
- 《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号发布)
- 《条码支付业务规范(试行)》(银发〔2017〕296号印发)
- 《支付清算系统危机处置预案》(银发〔2015〕284号印发)
- 《中华人民共和国网络安全法》
- 《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)