网上银行安全风险管理指引(征求意见稿)549号文.doc
《网上银行安全风险管理指引(征求意见稿)549号文.doc》由会员分享,可在线阅读,更多相关《网上银行安全风险管理指引(征求意见稿)549号文.doc(15页珍藏版)》请在冰点文库上搜索。
中国银行业监督管理委员会办公厅
银监办便函[2011]549号
关于征求对《网上银行安全风险管理指引》
(征求意见稿)意见的函
各银监局,各国有商业银行,股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强网上银行的安全风险管理工作,建立全面的安全风险管理框架和组织架构,明确网上银行安全控制的基本要求,促进网上银行业务健康、持续发展,银监会起草了《网上银行安全风险管理指引》(征求意见稿),现征求各银监局和各银行机构意见.请各银行机构组织管理、业务、科技等相关部门认真研究,提出有针对性的意见,并于11月25日前将意见以书面形式反馈银监会信息中心(同时报送电子版)。
请各银监局将本函转发至辖内各银行机构,各银监局汇总辖内银行机构意见后,于11月25日前以书面形式报送银监会信息中心(同时报送电子版)。
联系人:
姜帆
联系电话:
010-66278625
传真:
010-66299296
电子邮箱:
jiangfan@
附件:
《网上银行安全风险管理指引》(征求意见搞)
二零一一年十一月四日
网上银行安全风险管理指引
(征求意见稿)
第一章总则
第二章组织架构
第三章安全风险管理框架
第四章业务安全控制
第五章技术安全控制
第六章管理与内部控制
第七章网上支付安全控制
第八章客户教育和风险提示
第九章审计与评估
第十章监督管理
第十一章附则
第一章 总则
第一条为防范网上银行安全风险,保障客户和商业银行的合法权益,促进网上银行业务的健康、持续发展,依据《中华人民共和国商业银行监督管理法》、《中华人民共和国商业银行法》、《电子商业银行业务管理办法》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》,以及相关的法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行和农村合作银行、城市信用社、农村信用社。
政策性银行、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称网上银行(以下简称“网银”)是指商业银行利用互联网等开放性公共网络或专用网络为媒介,以客户发出的电子指令为依据,为客户提供网上金融业务的电子渠道类服务。
同时,依托公共网络或专用网络在收付款人之间进行资金支付结算的网上支付业务,应统一纳入网上银行的安全风险管理。
第四条本指引所称网银安全风险,是指商业银行在网银的业务经营和管理过程中,由于环境因素、人员原因、安全漏洞以及管理和流程缺陷导致的操作、法律和声誉等风险。
可能导致网银安全风险的威胁和弱点主要存在于内控管理、产品创新和开发、业务运营、系统运维、信息安全保障等环节。
第五条商业银行应将网银安全风险管理纳入本行的全面风险管理体系,结合自身网银业务特点,建立与全面风险管理体系相一致的网银安全风险管理框架、策略及流程。
第二章 组织架构
第六条商业银行应建立与网银安全风险管理相适应的组织架构,该组织应包含董事会、高级管理层、网银安全风险管理部门、业务条线部门、信息科技部门、内部审计部门,各部门应明确各自职责并对所负责的网银安全风险进行归口管理。
第七条董事会对网银安全风险的管理负最终责任,主要职责包括:
(一)负责监督高级管理层对网银安全风险的控制情况,并对网银安全风险及管理状况提出管理和内部控制意见;
(二)审批网银审计报告。
第八条高级管理层的主要职责:
(一)制定、定期审查和监督执行网银安全风险管理机制和程序;
(二)明确各部门的网银安全风险管理职责,了解掌握网银重大安全风险,确定风险可接受原则和容忍度,审批重大安全风险控制措施,督促各部门履行管理职责,确保网银安全风险管理机制正常运行;
(三)审批网银安全风险评估报告。
第九条商业银行应指定网银安全风险管理牵头部门,明确牵头部门和其他各相关部门的职责范围、工作流程和沟通协调机制。
第十条风险管理牵头部门负责组织、推动各部门的网银安全风险管理工作,组织制定和发布有关制度、规定,建立各部门联席会议机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练等。
第十一条业务条线部门负责网银业务层面的安全风险管理工作,明确本部门的风险管理职责,执行网银业务安全风险自评估或外部评估,对网银的业务运营和操作进行日常合规检查,编制本部门的业务应急预案等。
第十二条信息科技部门负责网银系统开发、建设和日常运行维护的安全风险管理工作,明确本部门的风险管理职责,执行网银系统安全风险自评估或外部评估,对网银系统的开发和运行维护进行日常合规检查,编制本部门的技术应急预案等。
第十三条商业银行内部审计部门负责对网银业务和系统进行审计检查,根据审计结果向董事会提交审计报告,跟踪、督导审计发现问题的整改工作。
第三章 安全风险管理框架
第十四条商业银行应建立网银安全风险管理框架。
管理框架应至少包括如下内容:
(一)管理目标及范围;
(二)管理组织架构及职责;
(三)风险管理策略;
(四)风险识别及评价;
(五)风险监测及控制;
(六)审计和评估机制。
第十五条商业银行的网银安全风险管理策略应至少包括如下内容:
(一)风险评价和定级策略;
(二)风险管理偏好、容忍度及风险参数制订策略;
(三)风险控制策略(接受、降低、缓释、转移、规避、消除等);
(四)成本及效益评价策略;
(五)控制措施有效性评价策略。
第十六条商业银行应依据监管机构要求、网银业务发展以及内外部环境的变化,通过自我检查、内部审计、外部评估等手段,至少每三年对网银安全风险管理框架、管理策略进行一次修订。
第十七条商业银行在进行网银安全风险识别时,应首先判断网银在业务运营、系统运维、安全管理等过程中需保护的对象(如人员,服务、流程、系统、数据等),通过综合分析对象的价值及其面临的因环境和人员因素导致的内外部威胁,以及本身存在的管理缺陷、内控缺失和安全漏洞等弱点,正确识别会对客户和商业银行利益造成损害的安全风险。
第十八条商业银行应制定客观的安全事件影响或损失程度分级标准,至少综合考虑如下因素,所影响的客户或业务范围、服务中断时间、财务损失程度、客户资料泄露规模、舆论影响范围等。
第十九条商业银行应制定客观的安全事件发生可能性分级标准,至少综合考虑如下因素,自身弱点的可利用程度、当前内外部威胁发生动机的强烈程度、该风险所产生事件在过去一定时期内发生的频率、以及对将来发生趋势的分析等。
第二十条商业银行应在正确识别网银安全风险的基础上,根据其发生安全事件后的影响或损失程度以及发生可能性的分级标准,评定风险等级。
第二十一条商业银行应建立网银安全风险的持续监测机制,加强对内外部威胁和自身弱点以及残余风险(包括已接受的风险)的监测,充分利用技术手段实现安全风险监测的自动化,及时掌握网银安全风险的变化情况以及验证已有控制措施的有效性。
第二十二条商业银行应将能够代表网银安全某一风险领域变化情况并可监测的特征值或指标作为关键风险指标,建立符合本机构组织架构和职责的多层级关键风险指标体系。
如资金损失类、案件和安全事件类、异常交易类、客户投诉类、人员管理类、网银服务可用类等关键指标。
第二十三条商业银行在进行网银安全风险监测时,应建立告警、升级、响应和处理机制,通过关联分析多种信息来源,确定并报告各级别网银安全风险。
第二十四条商业银行应明确风险报告的内容、频率、形式、对象和路径,确保高级管理层和相关部门及时掌握网银安全风险状况以及影响和陨失情况。
第二十五条商业银行应根据网银安全风险评估结果,结合风险监测获得的风险变化情况,依据风险管理策略,制定风险控制计划和控制措施,并在审核后实施。
第二十六条商业银行对于未达到预期控制目标或衍生新风险的控制措施,应重新启动评估流程,制定和选择新的风险控制措施。
同时应对网银安全风险,包括已接受的风险,定期进行再评估。
第二十七条商业银行针对网银业务规模增长快速,以及网银外部环境多变的特点,同时结合网银系统的开放、复杂以及技术发展迅速等特征,在风险评估中应及时调整评估重点,积极关注新威胁、新弱点,制定和调整风险控制措施,增强网银安全。
第四章 业务安全控制
第二十八条商业银行在制定网银业务发展规划、网银系统技术架构和安全策略,以及推出重要产品和业务活动时,应提交高级管理层审批,确保网银发展目标与本行总体业务目标一致。
第二十九条商业银行在网银产品的业务设计阶段,应重点关注以下因素:
产品的可行性和合规性、业务规则的完整性以及一致性和延续性、产品之间的关联性和依赖性、产品易用和安全之间的平稳性等,避免产生潜在安全风险。
第三十条商业银行在进行网银产品的业务规则设计时,应根据客户和交易类型以及风险级别,制定相应的安全控制要求。
控制要求至少应包括以下内容:
(一)双因素身份认证。
银行应根据审慎原则,对银行认为的高风险交易,包括但不限于向非同名网银转账汇款、超过一定额度的网上支付等支付结算类业务,使用双因素身份认证。
(二)交易确认。
银行可对高风险交易增加除身份认证(含双因素身份认证)以外的交易追加认证,如发送短信动态验证码)。
(三)限额设定。
银行对网银转账汇款、网上支付等支付结算类业务,应根据其认证方式不同,设置不同的限额。
(四)交易提醒。
银行应提供网银高风险交易短信提醒功能,额度可由银行设定,或由客户自行设定。
(五)落地处理。
银行可以根据审慎性原则,对于交易要素不完整、超过额度的转账支付和关注类账户的资金流动(如疑似违规资金变动)等交易进行人工审核。
第三十一条商业银行在制定业务操作规程或规范时,应明确规定客户开通网银服务时的身份核实方法,包括需客户提供的资料内容和要求,以及银行验证客户资料真实性、有效性和完整性的具体措施。
第三十二条商业银行在制定业务操作规程或规范时,应明确客户开通网银服务或其重要功能时,需要签订的服务协议内容。
内容至少包括:
各方的权利义务、风险提示和安全常识、收费标准、差错与争议处理、违约条款、服务和协议终止条件等。
第三十三条商业银行为保护业务安全和客户权益,应建议客户预留手机号码,且在手机号码变更时及时更新,并要求客户对所提供号码的真实性和有效性负责,以便在网银业务发生重大调整、交易出现差错、交易确认或交易提醒时及时通知客户。
第三十四条商业银行应在网银业务办理过程中,保留重要凭证和操作记录,对网银开户、安全工具更换、交易认证手机号码更改等重要操作进行流水勾兑稽核,防范内部案件。
商业银行应严格后台操作权限的分配,根据参数的影响程度分级审批,对涉及批量客户的计费、限额、功能开关等重要业务规则调整,要做好参数维护方案的审核,严格执行参数维护流程,防范网银后台操作风险。
第三十五条商业银行应建立网银业务异常交易监控流程,采集分析网银交易信息,主动预防、发现和终止如外部欺诈、身份冒用、虚假交易、套现、洗钱等异常交易,有效防范和化解风险。
第三十六条商业银行网银业务异常交易监控的范围至少应包括:
客户签约、登录、查询、转账、缴费、支付等交易以及与交易相关的行为特征和客户终端信息,监控信息要严格保密,不得泄露。
第三十七条商业银行网银异常交易风险的事件响应,应与信息科技部门充分沟通,相互配合,建立业务和技术的联动机制,确保异常交易事件响应的及时性、准确性和有效性。
第三十八条商业银行在处理因交易超时、系统故障或其他原因导致的账务差错或异常交易时,应严格按照申告、核实、批准、调整、留档的程序转人工处理,处理过程的文档应按照商业银行会计档案进行管理。
第三十九条商业银行的网银服务内容、操作流程、收费标准和服务协议等发生重大调整前,或系统进行重要升级前,应通过多种渠道对外予以公告。
第四十条商业银行应建立规范的网银业务投诉和客户纠纷处理机制,制定相关登记、统计制度和处理原则、策略,妥善处理,避免风险扩散。
处理原则和策略应根据外部环境和网银业务的变化适时调整。
第五章 技术安全控制
第四十一条商业银行在进行网银技术选择时,应充分考虑网银采用的技术多样和发展迅速的特点,通过原型开发或技术测试等手段积极开展预研,充分评估技术的成熟度、安全性,对涉及新技术、新平台、新架构的选择应进行评审。
第四十二条商业银行应制定开发和测试的安全规范与技术指南,重点明确客户端安全控制、交易安全控制、权限划分与访问控制、资源控制、密钥与加解密、日志审计等方面的要求,同时应加强人员安全培训和执行情况检查。
第四十三条商业银行应采取技术措施保证客户端软件自身的完整性,保证敏感程序逻辑的机密性,定期评估客户端安全措施的有效性,针对新的威胁及时更新控制方式和强度。
第四十四条商业银行提供的客户端软件对客户端环境的设置不应降低客户端系统的安全性,不应影响客户其他软件的正常使用;当客户下载银行客户端时,应提供有效方法便于客户识别程序来源和完整性。
第四十五条商业银行应采取技术措施保证客户端录入的敏感信息的机密性、完整性,如使用专用的密码输入控件等;应采取技术措施保证银行返回到客户端的重要信息的完整性,如图形显示或短信通知等;应为客户提供必要的防钓鱼欺诈措施,如提供预留验证信息、客户自定义界面样式等功能。
第四十六条商业银行应充分认识不同类型、不同版本的操作系统或浏览器之间的安全技术差异,在进行客户端代码开发时,采用合理有效的安全控制措施,确保网银的整体安全防护水平。
第四十七条商业银行应规范网银系统的交易请求入口和权限控制,如禁止通过链接隐藏的方式进行功能屏蔽等。
服务器端应对请求数据进行检查,对请求指令的逻辑顺序进行控制,对返回内容进行有效性和安全性检查。
对请求数据和返回数据应在满足业务需求的情况下遵循最少原则。
第四十八条商业银行应根据不同风险等级,为客户提供相匹配的网银身份鉴别和交易认证手段,如静态密码、动态口令卡、动态令牌、文件证书、USBKey、短信认证、语音认证等或其组合。
网银身份鉴别和交易认证手段应满足监管要求和业界规范。
第四十九条商业银行应制定合理的网银系统安全测试计划、分配足够的资源验证安全质量,如对网银代码进行安全审查、对系统进行渗透性测试、对安全控制措施进行查验等,防范引入恶意代码或出现安全漏洞。
第五十条商业银行应对开发、测试环境进行有效的安全控制,确保开发文档、源代码、测试数据等敏感资料的安全保密;应将开发、测试环境与生产环境进行有效隔离,避免开发、测试环境被利用成为攻击入口。
第五十一条商业银行应定期评估程序代码,开展代码重构与优化,保证程序代码的安全可靠、逻辑清晰、功能明确、组织形式合理,以提高程序代码的安全性和可维护性。
第五十二条商业银行应合理规划网银的网络安全防护架构,使用网络和安全设备,配置安全策略和控制措施,对网银系统与外部互联网、银行内部业务系统进行边界隔离,严格划分网银内部安全区域,防范内、外部威胁,确保网银系统和银行内部业务系统的安全稳定。
第五十三条商业银行的网银系统在上线运行时,应针对网银的互联网环境依赖和外部威胁高的特性,在互联网接入点部署安全设备,如防火墙、IDS/IPS、DDoS防护等设备,并设置相应的安全规则,有效降低或消除安全风险。
第五十四条商业银行应对网银安全设备以及非网银正常操作的交易请求和操作行为进行持续监控,依据攻击或威胁类型建立安全监控指标和监控模型,有效监测网银安全事件,并采取安全控制措施消除内外部攻击和威胁。
第五十五条商业银行的网银应具有良好的系统异常处理机制。
当交易失败或系统异常出错时,应进行友好的客户端提示和引导,同时避免泄露系统和银行内部信息。
第五十六条商业银行应制定网银紧急补丁的开发响应流程,及时修补安全漏洞,必要时可提供临时性补丁或方案进行紧急处理,避免产生安全事件或事件影响范围扩大。
第五十七条商业银行在使用开源软件或免费软件时,应经过充分的安全评估,至少包括如下内容,源代码安全检查、稳定和安全性测试、自身技术支持能力评价、可替换能力评估等。
第五十八条商业银行应每年定期组织网银系统的漏洞扫描和渗透性测试,并形成测试报告。
对发现的安全隐患应及时进行修补或升级,确保网银的安全防护能力。
第五十九条商业银行应定期对自身和同业网银事件进行回顾和技术分析,剖析欺诈过程、识别典型特征,分析自身业务及其现有控制措施的弱点,积极改进控制措施,达到主动防御的目的。
第六章 管理与内部控制
第六十条商业银行应根据自身业务特点和内部管理需要,结合外部监管要求,制定网银相关的管理制度、操作规程和安全规范,同时应根据网银业务和技术的变化和发展进行修订和完善。
第六十一条商业银行应对网银的业务和技术关键和重要岗位的任职人员资格进行审查,保证人员的专业技能和职业操守符合岗位任职要求。
第六十二条商业银行应建立人员安全保密制度,签订保密协议,对于有权接触网银系统或敏感信息的人员,尤其是外部合作人员,加强权限控制和监控审计。
第六十三条商业银行应合理设置网银管理和操作岗位、职责,对关键和重要岗位,按照职责分工、权限分离、相互监督的原则,防止不相容岗位出现混岗现象。
应建立岗位轮岗、调岗、离职和强制休假的制度,避免因其导致的网银敏感信息和业务、技术资料的泄露。
第六十四条商业银行在业务运营、后台管理和系统运维过程中,应遵循“最小授权”及“按需使用”的原则设置人员权限。
同时,对内部人员提取、修改、删除、销毁网银执行代码、参数和生产数据等关键性操作应建立严格的审批、审核、审计和监督检查机制。
第六十五条商业银行应设置网银的安全管理岗位,保证网银安全策略、规范、要求的贯彻落实,检查执行落实情况,统一管理与网银有关的安全介质。
第六十六条商业银行应加强网银的客户、账户、交易等敏感信息的保护,建立包括管理、技术以及物理的信息安全程序和流程,确保敏感信息的安全性、保密性和完整性。
第六十七条商业银行对网银系统的客户、账户、交易等敏感信息的使用应加强管理、明确职责,采取如分级审批、权限控制、加密签名、数据变形或清洗、记录使用日志等管理和技术手段,确保信息的使用安全。
根据使用需求,应采用最小化原则提供数据信息。
第六十八条商业银行应对网银系统程序的版本制作和发布制定统一的规范,防范正式版本中因含有未清理的测试指令、参数、数据或调试信息导致的安全隐患。
第六十九条商业银行应对网银页面提供的链接和内容进行统一管理,并保证外部链接和引用内容的有效性、真实性、安全性,定期进行检查和评估。
第七十条商业银行应加强网银日志的管理,日志记录内容和保存要求应符合监管要求和审计需要,网银日志尤其是交易日志应合理分配日志大小和访问权限,曰志禁止修改,确保其可用性、保密性和完整性。
第七十一条商业银行应建立密钥和网银安全工具的管理机制,包括密钥的生成、使用、保管、备份、恢复、更换及销毁等过程的控制,以及网银安全工具的采购、制作、保管、发放及销毁的管控。
第七十二条商业银行应制定网银运行维护的服务管理和控制措施,包括事件处理、问题处理、变更处理等,应明确岗位、职责、处理流程、定级和升降级标准、响应时间、处理时间、可用资源以及各流程间的关联和转换要求等,要注重业务和技术的联动。
第七十三条商业银行应加强网银系统的容量管理,对网银设备使用率、网络流量、平均和最大交易量等指标进行日常监控和趋势分析,积极关注业务高峰和热点交易对网银系统的影响,结合当前系统设备处理能力和应用设计容量等既定参数,及时提出扩容方案并实施。
第七十四条商业银行应建立网银应急预案,同时针对网银的安全特点,重点关注信息和网络安全,对DDoS、SQL注入、跨站脚本等攻击和其他入侵行为制定具体的应急场景和处理措施。
第七十五条商业银行应建立跨部门的网银应急联动机制,加强业务和技术、开发和运维的协调配合,明确应急责任人,在网银突发事件发生时,遵循既定处理流程和相关应急预案进行整体应对和处置。
第七十六条商业银行应对网银应急联动机制和应急预案定期组织演练和验证,保证应急处理时间和应急处置措旄满足网银业务要求。
第七十七条商业银行应对应急处置或演练过程中发现的问题进行及时处理,修订应急预案和相关规定,形成持续改进机制。
第七十八条商业银行应对员工加强风险管理制度和框架、内部管理流程、安全管理知识、外部监管要求等制度和规范的培训,建立长效培训机制,确保员工了解岗位职责以及违反安全规定可能导致的后果,强化员工合规操作的思想意识。
第七章网上支付安全控制
第七十九条商业银行在开展网上支付业务过程中,应加强合作商户和第三方支付机构的准入管埋,重点评估其资信情况、经营范围、管理能力、技术安全、服务质量、财务稳健性和行业地位等。
第八十条商业银行在与合作商户和第三方支付机构合作时,应签订合作协议,明确要求在交易过程中,商户应向商业银行提供的有关商户、商品及资金用途等信息内容,防范外部欺诈和法律风险。
第八十一条商业银行对于由第三方机构完成安全认证的网上支付业务,应在双方的合作协议中增加先行赔付条款,约定第三方支付机构应在银行开立风险准备金账户,用于先行赔付客户因外部欺诈等产生的资金损失。
第三方支付机构缴存的风险准备金,不能低于客户备付金日均余额的10%。
本条款所称备付金日均余额,是指银行根据最近90日内,日均由第三方支付机构完成安全认证的交易备付金余额。
第八十二条商业银行在与合作商户和第三方支付机构合作时,应采取必要的技术手段确保交易指令的及时性、准确性、保密性、完整性和不可抵赖性,同时要求合作商户和第三方支付机构提供客户详细账单信息,并在网银系统支付页面中显示供客户确认。
第八十三条商业银行在与合作商户和第三方支付机构合作时,应根据不同业务类型和安全认证方式采取差异化的风险控制策略,谨慎设置交易限额。
第八十四条商业银行未经客户授权,不得将客户敏感信息提供给第三方支付机构,同时应向客户充分披露银行与合作商户和第三方支付机构的业务流程和责权关系,防范法律风险和声誉风险。
第八十五条商业银行应建立在特约商户和第三方支付机构发生重大风险时的应对机制,发现其信誉、经营状况恶化、存在违反协议或违法违规等行为的,可以采取相应措施,如终止合作关系等,保护客户和商业银行的权益。
第八章 客户教育和风险提示
第八十六条商业银行应加强客户宣传和提示,充分解释本行各类网银业务流程和安全控制措施,避免由于客户误解或了解不全导致的投诉、纠纷和损失。
在发布网银新产品、业务流程变更、安全控制措施变化时,商业银行更应强化客户宣传和提示。
第八十七条商业银行应切实承担对网银客户的安全教育责任,至少应包括以下措施;
(一)通过各种宣传渠道向公众明示本行正确的网银官方网址和呼叫中心号码:
(二)在本行网站首页显著位置开设网银安全教育栏目;
(三)印制并向客户配发语言通俗,形象直观的网银安全宣传资料;
(四)明示客户认真核对实际领用网银安全工具(如USBKey、动态令牌、动态口令卡等)与签约回执中安全工具编码信息的一致性;
(五)在网银使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。
第八十八条商业银行应根据外部安全环境的不断变化,及时更新并发布安全防范措施,措施至少包括以下内容:
(一)要求客户预留真实的客户信息,如真实的身份证件、本人有效的
升级会员 