第一章 总 则



第一条 为加强电子银行业务的安全与风险管理，保证电子银行安全评估的客观性、及时性、全面性和有效性，依据《电子银行业务管理办法》的有关规定，制定本指引。
第二条 电子银行的安全评估，是指金融机构在开展电子银行业务过程中，对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
第三条 开展电子银行业务的金融机构，应根据其电子银行发展和管理的需要，至少每2年对电子银行进行一次全面的安全评估。
第四条 金融机构可以利用外部专业化的评估机构对电子银行进行安全评估，也可以利用内部独立于电子银行业务运营和管理部门的评估部门对电子银行进行安全评估。
第五条 金融机构应建立电子银行安全评估的规章制度体系和工作规程，保证电子银行安全评估能够及时、客观地得以实施。
第六条 金融机构的电子银行安全评估，应接受中国银行业监督管理委员会（以下简称中国银监会）的监督指导。


第二章 安全评估机构


第七条 承担金融机构电子银行安全评估工作的机构，可以是金融机构外部的社会专业化机构，也可以是金融机构内部具备相应条件的相对独立部门。
第八条 外部机构从事电子银行安全评估，应具备以下条件：
（一） 具有较为完善的开展电子银行安全评估业务的管理制度和操作规程；
（二） 制定了系统、全面的评估手册或评估指导文件，评估手册或评估指导文件的内容应至少包括评估程序、评估方法和依据、评估标准等；
（三） 拥有与电子银行安全评估相关的各类专业人才，了解国际和中国相关行业的行业标准；
（四） 中国银监会规定的其他从事电子银行安全评估应当具备的条件。
第九条 金融机构内部部门从事电子银行安全评估，除应具备第八条 规定的有关条件外，还应具备以下条件：
（一） 必须独立于电子银行业务系统开发部门、运营部门和管理部门；
（二） 未直接参与过有关电子银行设备的选购工作。
第十条 中国银监会负责电子银行安全评估机构资质认定工作。
电子银行安全评估机构在开展金融机构电子银行安全评估业务前，可以向中国银监会申请对其资质进行认定。
第十一条 金融机构在进行电子银行安全评估时，可以选择经中国银监会资质认定的安全评估机构，也可以选择未经中国银监会资质认定的安全评估机构。
金融机构选择经中国银监会资质认定的安全评估机构时，有关安全评估机构的管理适用本指引有关规定。金融机构选择未经中国银监会资质认定的安全评估机构时，安全评估机构的选择标准应不低于第八条、第九条规定的条件要求，并应按照《电子银行业务管理办法》的有关规定，报送相关材料。
电子银行安全评估机构无论是否经过中国银监会资质认定，在开展电子银行安全评估活动时，都应遵守有关电子银行安全评估实施和管理的规定。
第十二条 中国银监会每年将组织一次电子银行安全评估机构资质认定工作，评定时间应提前1个月公告。
第十三条 申请资质认定的电子银行安全评估机构，应在中国银监会公告规定的时限内提交以下材料（一式七份）：
（一） 电子银行安全评估资质认定申请报告；
（二） 机构介绍；
（三） 安全评估业务管理框架、管理制度、操作规程等；
（四） 评估手册或评估指导文件；
（五） 主要评估人员简历；
（六） 中国银监会要求提供的其他文件、资料。
第十四条 中国银监会收到安全评估机构资质认定申请完整材料后，组织有关专家和监管人员对申请材料进行评议，采用投票的办法评定电子银行安全评估机构是否达到了有关资质要求。
第十五条 中国银监会对评估机构资质评议后，出具《电子银行安全评估机构资质认定意见书》，载明评议意见，对评估机构的资质做出认定。
第十六条 中国银监会出具的《电子银行安全评估机构资质认定意见书》，仅


   第1页   第2页   第3页   第4页