GY农村商业银行电子银行业务风险管理办法

1、GY农村商业银行电子银行业务风险管理办法（试行）第一章总则第一条为加强GY市农村信用合作联社（简称 我联社”下同）电子银行（含网上银 行、手机银行、电话银行等，下同）业务的风险管理，保障客户及银行的合法权益，促进电 子银行业务的健康有序发展， 根据中华人民共和国电子签名法、电子银行业务管理办 法、电子银行安全评估指引、电子支付指引（第一号）、商业银行信息科技风险管理 指引等信息安全的有关法律法规，制定本办法。第二条 我联社电子银行风险管理的目标是通过建立有效的机制，实现对电子银行风险 的识别、计量、监测和控制，促进电子银行安全、持续、稳健运行，推动业务创新，提高 信息技术使用水平，增强核心竞争

2、力和可持续发展能力。第三条电子银行风险管理的内容包括业务风险管理和信息安全风险管理。电子银行业 务的风险主要体现为：操作风险、信息科技风险、法律风险、信誉风险以及信用风险、市场风险。电子银行业务信用风险、市场风险的管理应遵守我联社现行各项风险管理制度。本办法重点规范操作风险、信息科技风险、法律风险、信誉风险的管理。第四条 我联社实行电子银行年度评估制度，重大事件报告制度。对重大事件，按事件 性质和专项制度规定及时向监管部门报告。第五条我联社由监察稽核部对电子银行系统的运行状况进行定期审计。第二章风险管理的组织机构与职责第六条合规与风险管理委员会负责制定电子银行风险管理政策、监控风险管理政策执

3、行情况、确定全社电子银行风险管理活动目标、审批电子银行风险管理的重大事项、协调监察稽核部、安全保卫部、合规部、银行卡部、信息科技部、会计结算部等相关业务管理部门 之间的操作风险管理缝隙，建立涵盖全社范围电子银行各项活动的风险管理系统。第七条电子银行业务风险管理纳入我联社风险管理体系。合规与风险管理委员会负责 制订与完善风险管理制度及实施细则，组织开展电子银行业务自律监管、安全评估，有效识别、监测、控制和评估电子银行业务风险，及时向上级部门或监管部门报告风险信息和处理情况。第八条 银行卡部是电子银行业务的主管部门，主要职责有：贯彻落实电子银行监管的 各项规定与政策；拟定电子银行管理、 运营的各项

4、规章制度； 配合辖内营业网点提供客户服 务，组织开展电子银行业务的市场调研工作；负责提出电子银行业务更新、升级需求，并组织相关测试和培训；落实电子银行风险管理政策及内控要求，确保电子银行业务运行的连续性和安全性。第九条会计结算部负责制定会计核算规章制度，确保电子银行业务严格按照国家会计政策和我联社相关制度执行，参与网银业务的需求讨论、系统测试与验收工作。第十条信息科技部负责电子银行运营设备和安全控制设备的正常运转；风险管理技术 手段的安全保障；制定相关技术标准并参与电子银行业务的需求讨论、系统测试与验收工作；协助省联社进行产品研发过程中的技术风险分析、运行维护和功能完善工作，并及时解决电子银行

5、系统运行中出现的技术问题，确保电子银行系统安全、正常运行。第十一条 监察稽核部负责电子银行系统的检查审计工作，开展电子银行系统运行的审 计，查找并督促消除业务风险和管理隐患，查处违反电子银行系统内部控制制度的事件。第十二条安全保卫部负责电子银行安全措施的检查、协助公安司法部门对违法行为的 调查、侦破。第十三条合规部负责电子银行业务风险管理所涉及的法律事务及反洗钱工作，并负责 电子银行业务知识产权的保护工作。第十四条 各信用社应指定部门和人员负责电子银行业务管理工作，向客户推介电子银 行业务，按照联社制定的规章制度受理和办理电子银行业务、做好电子银行业务营销、 售后服务和意见反馈工作。第三章操作

6、风险管理第十五条操作风险是指我联社员工或客户没有按照相关规定或手册操作而造成的我联 社收益或资本的风险。第十六条 对于我联社员工操作风险控制的基本要求：（一）有效隔离应用系统、验证系统、处理系统和数据库等各系统间的风险传递；（二）确保任何单个员工和外部服务供应商都无法独立完成一项交易；（三）加强员工思想道德教育，强化操作人员密码管理，实行分级授权管理。（四）实行电子银行关键岗位工作人员 AB角制，岗位第一责任人不在岗位时，应指定 相应工作人员代其行使相关事权，确保工作不间断、不拖延。（五）电子银行业务操作人员必须熟悉电子银行的业务操作流程，必须参加电子银行业务培训方能办理业务，电子银行部将定期

7、组织培训和考核。第十七条 对于客户操作风险控制的基本要求：（一）详细说明并提供演示流程，清晰告知客户电子银行操作要领；（二）通过客户服务中心、操作指南、柜员指导等多渠道提供帮助，并及时进行风险提 示；（三）通过登陆保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率。（四）客户重要信息（如姓名、身份证号码等）变更必须由本人持有效证件前往营业网 点办理。（五）对客户对外支付额度进行限制，支付限额如有调整必须提前十日在我联社网站公布。第四章信息科技风险管理第十八条 信息科技风险是指信息科技在我联社电子银行系统运用过程中，由于自然因 素、人为因素、技术漏洞和管理缺陷导致的银行收益或资本的风

8、险。第十九条严密防范并及时填堵系统后门，以防止黑客通过后门进入系统进行破坏和窃 密。第二十条 统一建立网络逻辑分段，形成IP子网，实现对内部网络的隔离，在路由器上实施包过滤，并且利用防火墙来实现基于IP地址的内外访问控制。第二十一条 建立实时病毒防范功能，以防止系统错误、数据混乱、服务失败等给业务 系统和管理系统带来损失。第二十二条 建立数据存储备份管理， 确保在发生系统被破坏、应用错误、数据丢失时，通过数据存储管理进行及时恢复。第二十三条 建立系统安全漏洞扫描机制，在系统使用过程中动态地寻找系统漏洞，帮 助完善系统的安全，并以此防止由于其它的网络操作对系统的安全造成威胁。第二十四条 建立外部

9、攻击侦测机制，通过IDS、IPS系统，及时发现外部攻击行为，并对攻击行为进行及时处理，问题严重时候，启动应急预案。第二十五条 采用身份鉴别、访问控制、数据加密、数据完整、数字签名、防重发等安 全控制机制，保证客户使用的安全性。第二十六条 进行风险评估，制定风险评估计划，识别信息资产，评价信息资产威胁发 生的可能性以及弱点被利用的容易程度，确定风险等级，找出目标与现状的差距，改进信息安全措施。第二十七条 制定安全计划，明确实施方案，确定可接受风险的程度，制定风险缓释策 略，减少、规避和转移风险；检查和测试风险缓释策略和安全计划实施情况。第二十八条 保证电子银行开发环境和应用环境的分离，评估和认证

10、后续开发应用的需 求和风险。第五章法律风险管理第二十九条 法律风险是指违反或不遵守法律、法规、规章或惯例等给银行收益或资本 所造成的风险。第三十条对于资金转移类交易，必须要采用双重身份认证和加密传输，并由客户设定 支付额度，以此防范人民银行电子支付指引（第一号）提示的电子支付风险。第三十一条电子银行业务的开通，必须首先与客户签订电子银行服务协议及合同，明 确双方的权利与义务，并在协议条款和网站上对电子银行业务有可能造成的风险进行公告。第三十二条对于客户有意泄露密码或未履行应尽义务的，我联社应根据法律法规维护 自身合法权益。第三十三条加强对与我联社系统存在技术和业务连接的第三方机构的管理，通过正

11、式 法律协议明确双方的纠纷处理、赔偿等相关法律责任，向客户充分披露银行与第三方机构的业务流程和责权关系，积极防范法律风险。第六章信誉风险管理第三十四条信誉风险是指负面的公众舆论对我联社收益或资本所造成的风险。第三十五条 在电子系统中，应采用先进的成熟技术， 避免因技术落后给客户带来不便， 使客户对我联社整体服务能力产生怀疑。第三十六条为客户信息负责，防止因系统安全性缺陷严重损害客户的隐私权。第三十七条 制定恰当的应急计划和业务连续性计划，使系统具备为客户提供不间断服 务的能力。第三十八条 制定危机公关预案，加强与媒体的合作，针对突发事件和负面舆论，要认 真分析、及时汇报、积极响应、统一口径，最

12、大限度地消除负面影响。第七章异常交易监控第三十九条 应用专门软件对电子银行系统进行实时的监控和审计，并逐日形成日志和 审计报告。按业务规则定期审查监控日志和审计报告，对于业务异常流量和交易进行事后监督和确认。第四十条 对电子银行客户发生的大额交易、可疑交易按监管部门的要求提取、上报。第四十一条 电子银行客户发生大额交易、异常交易时，系统应提示呼叫中心工作人员 及时联系客户，由呼叫中心工作人员根据客户的回应决定是否放行交易。第八章风险的分析与报告第四十二条 电子银行业务的分析与报告是指对电子银行业务风险定期进行分析，总结 经验，发现问题，分析原因，采取措施，并形成业务风险报告。业务风险报告分为年度业务 风险报告和重大突发事件的专题报告。第四十三条 年度业务风险报告必须在次年1月内上报，其主要内容包括：本年度业务 风险发生情况、风险结构、分析成因、防范措施、经验教