深圳法人银行业金融机构个人手机银行安全评估规范.pdfVIP

深圳法人银行业金融机构

个人手机银行安全评估规范

第一章总则

第一条为加强对个人手机银行（以下简称手机银行）

业务的风险管理，提升手机银行安全评估的规范性和有效

性，根据《中华人民共和国银行业监督管理法》、《中华人民

共和国商业银行法》及《电子银行安全评估指引》等法律法

规，制定本规范。

第二条深圳银监局所监管的法人银行业金融机构（以

下简称银行业金融机构）适用本规范，非银行金融机构参照

本规范执行。

第三条手机银行的安全评估，是指银行业金融机构在

开展手机银行业务过程中，由内部独立部门或外部专业化机

构对手机银行的管理、技术和业务等方面实施的风险评估，

分为全面安全评估和专项安全评估两类。全面安全评估至少

涵盖安全管理体系、业务安全管理、客户端安全、服务器端

安全、身份认证安全等内容，专项安全评估可视情况涵盖上

述部分内容。

第四条银行业金融机构应将手机银行安全评估纳入银

行重要电子业务系统的年度风险评估计划，并在人力和财力

方面确保评估工作能够及时、有效地开展。

-1-

第二章评估机构及评估实施

第五条承担银行业金融机构手机银行安全评估工作的

单位可以是外部专业化机构，也可以是银行业金融机构内部

具备评估条件的相对独立部门。

第六条外部机构从事手机银行安全评估，应具备以下

条件：

（一）具有较为完善的开展手机银行安全评估业务的管

理制度和操作规程；

（二）制定了系统、全面的评估手册或评估指导文件，

评估手册或评估指导文件的内容应至少包括评估程序、评估

方法和依据、评估标准等；

（三）拥有与手机银行安全评估相关的各类专业人才，

了解国内外相关行业的行业标准；

（四）中国银监会及深圳银监局规定的其他从事手机银

行安全评估应当具备的条件。

第七条银行业金融机构内部部门从事手机银行安全评

估，除应具备第六条规定的有关条件外，还应具备以下条件：

（一）必须独立于手机银行的系统开发部门、系统运维

部门和业务管理部门；

（二）未直接参与过有关手机银行系统或设备的选购工

作。

第八条银行业金融机构应与聘用的手机银行安全评估

机构签订书面服务协议，服务协议应包含明确的必威体育官网网址责任条

款。

-2-

第九条银行业金融机构选择内部部门作为评估机构

时，可以聘请内部或外部专业人员参与评估，但必须与被聘

请的外部专业人员签订必威体育官网网址协议。

第十条银行业金融机构在开通手机银行业务前，应聘

请外部专业机构开展全面安全评估。

第十一条银行业金融机构在开通手机银行业务后，每

两年应至少开展一次全面安全评估。

第十二条银行业金融机构手机银行业务如发生下列情

形之一的，应立即开展专项安全评估：

（一）由于安全漏洞导致系统被攻击瘫痪3小时以上的；

（二）由于系统进行变更或升级导致系统不能正常运行

6小时以上的；

（三）业务流程、系统架构、加密方式或身份认证发生

重大变更或升级的。

第十三条评估完成后，评估机构应出具由其法定代表

人或其授权委托人签字认可的正式评估报告。银行业金融机

构应在一个月内将评估报告报深圳银监局。

第三章安全管理体系的评估

第十四条手机银行安全管理体系的评估内容应包括组

织架构和安全管理制度。安全管理制度至少应覆盖数据安

全、软件安全、系统运维安全、业务连续性管理和外包管理

等方面。

第十五条银行业金融机构应建立分工合理、职责明确、

-3-

相互制衡、报告关系清晰的内部管理组织，以保证手机银行

业务管理、信息科技管理和审计监督职能的有效履行。各内

部管理部门应制定明确的岗位职责要求和人员配置要求。

第十六条银行业金融机构应建立覆盖手机银行安全管

理的