GY农村商业银行电子银行业务风险管理办法

GY农村商业银行电子银行业务风险管理办法（试行）

第一章总则

第一条为加强GY市农村信用合作联社（简称“我联社”，下同）电子银行（含网上银行、

手机银行、电话银行等，下同）业务的风险管理，保障客户及银行的合法权益，促进电子

银行业务的健康有序发展，根据《中华人民共和国电子签名法》、《电子银行业务管理办法》、

《电子银行安全评估指引》、《电子支付指引（第一号）》、《商业银行信息科技风险管理指引》

等信息安全的有关法律法规，制定本办法。

第二条我联社电子银行风险管理的目标是通过建立有效的机制，实现对电子银行风险的

识别、计量、监测和控制，促进电子银行安全、持续、稳健运行，推动业务创新，提高信

息技术使用水平，增强核心竞争力和可持续发展能力。

第三条电子银行风险管理的内容包括业务风险管理和信息安全风险管理。电子银行业务的风险主要

体现为：操作风险、信息科技风险、法律风险、信誉风险以及信用风险、市场风险。

电子银行业务信用风险、市场风险的管理应遵守我联社现行各项风险管理制度。

本办法重点规范操作风险、信息科技风险、法律风险、信誉风险的管理。

第四条我联社实行电子银行年度评估制度，重大事件报告制度。对重大事件，按事件性质和专项制度规定及时向监管部门报告。

第五条我联社由监察稽核部对电子银行系统的运行状况进行定期审计。

第二章风险管理的组织机构与职责

第六条合规与风险管理委员会负责制定电子银行风险管理政策、监控风险管理政策执行情况、确定全社电子银行风险管理活动目标、审批电子银行风险管理的重大事项、协调监察稽核部、安全保卫部、合规部、银行卡部、信息科技部、会计结算部等相关业务管理部门之间的操作风险管理缝隙，建立涵盖全社范围电子银行各项活动的风险管理系统。

第七条电子银行业务风险管理纳入我联社风险管理体系。合规与风险管理委员会负责制订与完善风险管理制度及实施细则，组织开展电子银行业务自律监管、安全评估，有效识别、监测、控制和评估电子银行业务风险，及时向上级部门或监管部门报告风险信息和处理情况。

第八条银行卡部是电子银行业务的主管部门，主要职责有：贯彻落实电子银行监管的各项规定与政策；拟定电子银行管理、运营的各项规章制度；配合辖内营业网点提供客户服务，组织开展电子银行业务的市场调研工作；负责提出电子银行业务更新、升级需求，并组织相关测试和培训；落实电子银行风险管理政策及内控要求，确保电子银行业务运行的连续性和安全性。

第九条会计结算部负责制定会计核算规章制度，确保电子银行业务严格按照国家会计

政策和我联社相关制度执行，参与网银业务的需求讨论、系统测试与验收工作。

第十条信息科技部负责电子银行运营设备和安全控制设备的正常运转；风险管理技术手段的安全保障；制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作；协助省联社进行产品研发过程中的技术风险分析、运行维护和功能完善工作，并及时解决电子银行系统运行中出现的技术问题，确保电子银行系统安全、正常运行。

第十一条监察稽核部负责电子银行系统的检查审计工作，开展电子银行系统运行的审计，查找并督促消除业务风险和管理隐患，查处违反电子银行系统内部控制制度的事件。

第十二条安全保卫部负责电子银行安全措施的检查、协助公安司法部门对违法行为的调查、侦破。

第十三条合规部负责电子银行业务风险管理所涉及的法律事务及反洗钱工作，并负责电子银行业务知识产权的保护工作。

第十四条各信用社应指定部门和人员负责电子银行业务管理工作，向客户推介电子银行业务，按照联社制定的规章制度受理和办理电子银行业务、做好电子银行业务营销、售后服务和意见反馈工作。

第三章操作风险管理

第十五条操作风险是指我联社员工或客户没有按照相关规定或手册操作而造成的我联社收益或资本的风险。

第十六条对于我联社员工操作风险控制的基本要求：

（一）有效隔离应用系统、验证系统、处理系统和数据库等各系统间的风险传递；

（二）确保任何单个员工和外部服务供应商都无法独立完成一项交易；

（三）加强员工思想道德教育，强化操作人员密码管理，实行分级授权管理。

（四）实行电子银行关键岗位工作人员AB角制，岗位第一责任人不在岗位时，应指定相应工作人员代其行使相关事权，确保工作不间断、不拖延。

（五）电子银行业务操作人员必须熟悉电子银行的业务操作流程，必须参加电子银行业务培训方能办理业务，电子银行部将定期组织培训和考核。

第十七条对于客户操作风险控制的基本要求：

（一）详细说明并提供演示流程，清晰告知客户电子银行操作要领；

（二）通过客户服务中心、操作指南、柜员指导等多渠道提供帮助，并及时进行风险提示；

（三）通过登陆保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率。

（四）客户重要信息（如姓名、身份证号码等）变更必须由本人持有效证件前往营业网点办理。

（五）对客户对外支付额度进行限制，支付限额如有调整必须提前十日在我联社网站公布。

第四章信息科技风险管理

第十八条信息科技风险是指信息科技在我联社电子银行系统运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷导致的银行收益或资本的风险。

第十九条严密防范并及时填堵系统后门，以防止黑客通过后门进入系统进行破坏和窃密。

第二十条统一建立网络逻辑分段，形成IP子网，实现对内部网络的隔离，在路由器上

实施包过滤，并且利用防火墙来实现基于IP地址的内外访问控制。

第二十一条建立实时病毒防范功能，以防止系统错误、数据混乱、服务失败等给业务系统和管理系统带来损失。

第二十二条建立数据存储备份管理，确保在发生系统被破坏、应用错误、数据丢失时，通过数据存储管理进行及时恢复。

第二十三条建立系统安全漏洞扫描机制，在系统使用过程中动态地寻找系统漏洞，帮助完善系统的安全，并以此防止由于其它的网络操作对系统的安全造成威胁。

第二十四条建立外部攻击侦测机制，通过IDS、IPS系统，及时发现外部攻击行为，并对攻击行为进行及时处理，问题严重时候，启动应急预案。

第二十五条采用身份鉴别、访问控制、数据加密、数据完整、数字签名、防重发等安全控制机制，保证客户使用的安全性。

第二十六条进行风险评估，制定风险评估计划，识别信息资产，评价信息资产威胁发生的可能性以及弱点被利用的容易程度，确定风险等级，找出目标与现状的差距，改进信息安全措施。

第二十七条制定安全计划，明确实施方案，确定可接受风险的程度，制定风险缓释策略，减少、规避和转移风险；检查和测试风险缓释策略和安全计划实施情况。

第二十八条保证电子银行开发环境和应用环境的分离，评估和认证后续开发应用的需求和风险。

第五章法律风险管理

第二十九条法律风险是指违反或不遵守法律、法规、规章或惯例等给银行收益或资本所造成的风险。

第三十条对于资金转移类交易，必须要采用双重身份认证和加密传输，并由客户设定支付额度，以此防范人民银行《电子支付指引（第一号）》提示的电子支付风险。

第三十一条电子银行业务的开通，必须首先与客户签订电子银行服务协议及合同，明确双方的权利与义务，并在协议条款和网站上对电子银行业务有可能造成的风险进行公告。

第三十二条对于客户有意泄露密码或未履行应尽义务的，我联社应根据法律法规维护自身合法权益。

第三十三条加强对与我联社系统存在技术和业务连接的第三方机构的管理，通过正式法律协议明确双方的纠纷处理、赔偿等相关法律责任，向客户充分披露银行与第三方机构的业务流程和责权关系，积极防范法律风险。

第六章信誉风险管理

第三十四条信誉风险是指负面的公众舆论对我联社收益或资本所造成的风险。

第三十五条在电子系统中，应采用先进的成熟技术，避免因技术落后给客户带来不便，使客户对我联社整体服务能力产生怀疑。

第三十六条为客户信息负责，防止因系统安全性缺陷严重损害客户的隐私权。

第三十七条制定恰当的应急计划和业务连续性计划，使系统具备为客户提供不间断服务的能力。

第三十八条制定危机公关预案，加强与媒体的合作，针对突发事件和负面舆论，要认真分析、及时汇报、积极响应、统一口径，最大限度地消除负面影响。