第三章 风险管理
第三十一条 金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中,并应根据电子银行业务的运营特点,建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。
第三十二条 金融机构的电子银行风险管理体系和内部控制体系应当具有清晰的管理架构、完善的规章制度和严格的内部授权控制机制,能够对电子银行业务面临的战略风险、运营风险、法律风险、声誉风险、信用风险、市场风险等实施有效的识别、评估、监测和控制。
第三十三条 金融机构针对传统业务风险制定的审慎性风险管理原则和措施等,同样适用于电子银行业务,但金融机构应根据电子银行业务环境和运行方式的变化,对原有风险管理制度、规则和程序进行必要的和适当的修正。
第三十四条 金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况,制订电子银行发展战略和可行的经营投资战略,对电子银行的经营进行持续性的综合效益分析,科学评估电子银行业务对金融机构总体风险的影响。
第三十五条 在制定电子银行发展战略时,金融机构应加强电子银行业务的知识产权保护工作。
第三十六条 金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类,制定适当的安全策略,建立健全风险控制程序和安全操作规程,采取相应的安全管理措施。
对各类安全控制措施应定期检查、测试,并根据实际情况适时调整,保证安全措施的持续有效和及时更新。
第三十七条 金融机构应当保障电子银行运营设施设备,以及安全控制设施设备的安全,对电子银行的重要设施设备和数据,采取适当的保护措施。
(一) 有形场所的物理安全控制,必须符合国家有关法律法规和安全标准的要求,对尚没有统一安全标准的有形场所的安全控制,金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险;
(二) 以开放型网络为媒介的电子银行系统,应合理设置和使用防火墙、防病毒软件等安全产品与技术,确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力;
(三) 对重要设施设备的接触、检查、维修和应急处理,应有明确的权限界定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录;
(四) 对重要技术参数,应严格控制接触权限,并建立相应的技术参数调整与变更机制,并保证在更换关键人员后,能够有效防止有关技术参数的泄漏;
(五) 对电子银行管理的关键岗位和关键人员,应实行轮岗和强制性休假制度,建立严格的内部监督管理制度。
第三十八条 金融机构应采用适当的加密技术和措施,保证电子交易数据传输的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性。
金融机构采用的数据加密技术应符合国家有关规定,并根据电子银行业务的安全性需要和科技信息技术的发展,定期检查和评估所使用的加密技术和算法的强度,对加密方式进行适时调整。
第三十九条 金融机构应当与客户签订电子银行服务协议或合同,明确双方的权利与义务。
在电子银行服务协议中,金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险,金融机构已
