gy農(nóng)村商業(yè)銀行電子銀行業(yè)務風險管理辦法

1、GY農(nóng)村商業(yè)銀行電子銀行業(yè)務風險管理辦法（試行）第一章總則第一條為加強GY市農(nóng)村信用合作聯(lián)社（簡稱“我聯(lián)社”，下同）電子銀行（含網(wǎng)上銀行、手機銀行、電話銀行等，下同）業(yè)務的風險管理，保障客戶及銀行的合法權益，促進電子銀行業(yè)務的健康有序發(fā)展，根據(jù)《中華人民共和國電子簽名法》、《電子銀行業(yè)務管理辦法》、《電子銀行安全評估指引》、《電子支付指引（第一號）》、《商業(yè)銀行信息科技風險管理指引》等信息安全的有關法律法規(guī)，制定本辦法。第二條我聯(lián)社電子

2、銀行風險管理的目標是通過建立有效的機制，實現(xiàn)對電子銀行風險的識別、計量、監(jiān)測和控制，促進電子銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。第三條電子銀行風險管理的內(nèi)容包括業(yè)務風險管理和信息安全風險管理。電子銀行業(yè)務的風險主要體現(xiàn)為：操作風險、信息科技風險、法律風險、信譽風險以及信用風險、市場風險。電子銀行業(yè)務信用風險、市場風險的管理應遵守我聯(lián)社現(xiàn)行各項風險管理制度。本辦法重點規(guī)范操作風險、

3、信息科技風險、法律風險、信譽風險的管理。第四條我聯(lián)社實行電子銀行年度評估制度，重大事件報告制度。對重大事件，按事件性質和專項制度規(guī)定及時向監(jiān)管部門報告。第五條我聯(lián)社由監(jiān)察稽核部對電子銀行系統(tǒng)的運行狀況進行定期審計。第二章風險管理的組織機構與職責第六條合規(guī)與風險管理委員會負責制定電子銀行風險管理政策、監(jiān)控風險管理政策執(zhí)行情況、確定全社電子銀行風險管理活動目標、審批電子銀行風險管理的重大事項、協(xié)調(diào)監(jiān)察稽核部、安全保衛(wèi)部、合規(guī)部、銀行卡部、信

4、息科技部、會計結算部等相關業(yè)務管理部門之間的操作風險管理縫隙，建立涵蓋全社范圍電子銀行各項活動的風險管理系統(tǒng)。第七條電子銀行業(yè)務風險管理納入我聯(lián)社風險管理體系。合規(guī)與風險管理委員會負責制訂與完善風險管理制度及實施細則，組織開展電子銀行業(yè)務自律監(jiān)管、安全評估，有效識別、監(jiān)測、控制和評估電子銀行業(yè)務風險，及時向上級部門或監(jiān)管部門報告風險信息和處理情況。第八條銀行卡部是電子銀行業(yè)務的主管部門，主要職責有：貫徹落實電子銀行監(jiān)管的各項規(guī)定與政策；

5、擬定電子銀行管理、運營的各項規(guī)章制度；配合轄內(nèi)營業(yè)網(wǎng)點提供客戶服務，組織開展電子銀行業(yè)務的市場調(diào)研工作；負責提出電子銀行業(yè)務更新、升級需求，并組織相關測試和培訓；落實電子銀行風險管理政策及內(nèi)控要求，確保電子銀行業(yè)務運行的連續(xù)性和安全性。第九條會計結算部負責制定會計核算規(guī)章制度，確保電子銀行業(yè)務嚴格按照國家會計第二十條統(tǒng)一建立網(wǎng)絡邏輯分段，形成IP子網(wǎng)，實現(xiàn)對內(nèi)部網(wǎng)絡的隔離，在路由器上實施包過濾，并且利用防火墻來實現(xiàn)基于IP地址的內(nèi)外訪問

6、控制。第二十一條建立實時病毒防范功能，以防止系統(tǒng)錯誤、數(shù)據(jù)混亂、服務失敗等給業(yè)務系統(tǒng)和管理系統(tǒng)帶來損失。第二十二條建立數(shù)據(jù)存儲備份管理，確保在發(fā)生系統(tǒng)被破壞、應用錯誤、數(shù)據(jù)丟失時，通過數(shù)據(jù)存儲管理進行及時恢復。第二十三條建立系統(tǒng)安全漏洞掃描機制，在系統(tǒng)使用過程中動態(tài)地尋找系統(tǒng)漏洞，幫助完善系統(tǒng)的安全，并以此防止由于其它的網(wǎng)絡操作對系統(tǒng)的安全造成威脅。第二十四條建立外部攻擊偵測機制，通過IDS、IPS系統(tǒng)，及時發(fā)現(xiàn)外部攻擊行為，并對攻擊行

7、為進行及時處理，問題嚴重時候，啟動應急預案。第二十五條采用身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)完整、數(shù)字簽名、防重發(fā)等安全控制機制，保證客戶使用的安全性。第二十六條進行風險評估，制定風險評估計劃，識別信息資產(chǎn)，評價信息資產(chǎn)威脅發(fā)生的可能性以及弱點被利用的容易程度，確定風險等級，找出目標與現(xiàn)狀的差距，改進信息安全措施。第二十七條制定安全計劃，明確實施方案，確定可接受風險的程度，制定風險緩釋策略，減少、規(guī)避和轉移風險；檢查和測試風險緩釋策略和

8、安全計劃實施情況。第二十八條保證電子銀行開發(fā)環(huán)境和應用環(huán)境的分離，評估和認證后續(xù)開發(fā)應用的需求和風險。第五章法律風險管理第二十九條法律風險是指違反或不遵守法律、法規(guī)、規(guī)章或慣例等給銀行收益或資本所造成的風險。第三十條對于資金轉移類交易，必須要采用雙重身份認證和加密傳輸，并由客戶設定支付額度，以此防范人民銀行《電子支付指引（第一號）》提示的電子支付風險。第三十一條電子銀行業(yè)務的開通，必須首先與客戶簽訂電子銀行服務協(xié)議及合同，明確雙方的權利

9、與義務，并在協(xié)議條款和網(wǎng)站上對電子銀行業(yè)務有可能造成的風險進行公告。第三十二條對于客戶有意泄露密碼或未履行應盡義務的，我聯(lián)社應根據(jù)法律法規(guī)維護自身合法權益。第三十三條加強對與我聯(lián)社系統(tǒng)存在技術和業(yè)務連接的第三方機構的管理，通過正式法律協(xié)議明確雙方的糾紛處理、賠償?shù)认嚓P法律責任，向客戶充分披露銀行與第三方機構的業(yè)務流程和責權關系，積極防范法律風險。第六章信譽風險管理第三十四條信譽風險是指負面的公眾輿論對我聯(lián)社收益或資本所造成的風險。第三十