农村信用社网上银行业务风险管理办法(试行)

1、XX农村信用社网上银行业务风险管理办法（试行）目录第一章总则第二章风险管理的组织机构与职责第三章风险管理内容第一节操作风险管理第二节信息科技风险管理第三节声誉风险管理第四章附则第一章总则第一条为加强XX农村信用社网上银行业务的风险管理，保障客户及银行的合法权益，促进电子银行业务的健康有序发展，根据中华人民共和国电子签名法、电子银行业务管理办法、电子银行安全评估指引、商业银行信息科技风险管理指引、电子支付指引（第一号）、XX农村信用社风险管理办法等，制定本办法。第二条XX农村信用社网上银行风险管理的目标是通过建立有效的机制，实现对网上银行风险的识别、计量、监测和控制，促进电子银行安全、持续、稳健

2、运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。第三条网上银行的风险主要体现为：操作风险、信息科技风险、法律风险、声誉风险以及信用风险、市场风险。网上银行信用风险、市场风险的管理应遵守XX农村信用社现行各项风险管理制度。本办法重点规范操作风险、信息科技风险、法律风险、声誉风险的管理。第四条本办法适用于全省农村信用社（含农村商业银行、农村合作银行）。第二章风险管理的组织机构与职责第五条各级农村信用社的理（董）事会是网上银行风险管理的最高决策管理机构，应当对辖内的网上银行风险管理工作承担最终责任。第六条XX农村信用社联合社负责制定网上银行风险管理政策、监控风险管理政策执行

3、情况、确定网上银行风险管理活动目标、审批网上银行风险管理的重大事项，建立涵盖XX农村信用社范围的网上银行各项活动的风险管理体系。第七条省联社网上银行管理部门，主要职责有：贯彻落实网上银行监管的各项规定与政策；拟定网上银行管理、运营的各项规章制度；提供客户服务，开展网上银行业务的市场调研、产品开发及产品完善工作；负责提由网上银行业第2页共8页务开发、更新、升级需求，并组织相关测试和培训；落实网上银行风险管理政策及内控要求，确保网上银行业务运行的连续性和安全性。负责产品研发过程中的技术风险分析、新产品开发、投产和功能完善工作；负责网上银行运营设备和安全控制设备的正常运转；网上银行数据的安全存放和传

4、递；风险管理技术手段的安全保障；及时解决网上银行系统运行中由现的技术问题，确保网上银行系统安全、正常运行第八条财务管理处负责制定会计核算规章制度，确保网上银行业务严格按照国家会计政策和相关制度执行，参与电子银行业务的需求讨论、系统测试与验收工作。第九条辖内各级稽核部门负责网上银行系统的检查审计工作，开展电子银行系统运行的审计，查找并督促消除业务风险和管理隐患，查处违反电子银行系统内部控制制度的事件。第十条风险合规处负责网上银行业务风险管理所涉及的法律事务，并负责电子银行业务知识产权的保护工作。第十一条反洗钱工作由反洗钱办公室负责，对大额和可疑支付交易向监管部门进行报告。第三章风险管理内容第一节

5、操作风险管理第十二条操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成的损失，包括法律风险。第十三条对于XX农村信用社员工操作风险控制的基本要求：（一）有效隔离应用系统、验证系统、处理系统和数据库等各系统间的风险传递；（二）确保任何单个员工和外部服务供应商都无法独立完成一项交易；（三）加强员工思想道德教育，强化操作人员密码管理，实行分级授权管理。（四）实行电子银行关键岗位工作人员AB岗制，岗位第一责任人不在岗位时，应指定相应工作人员代其行使相关事权，确保工作不间断、不拖延。第十四条对于客户的操作风险提示：（一）详细说明并提供演示流程，清晰告知客户网上银行操作要领；（

6、二）通过客户服务中心、操作指南、柜员指导等多渠道提供帮助，并及时进行风险提示；第4页共8页（三）通过登陆保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率。（四）客户重要信息（如姓名、身份证号码等）变更必须由本人持有效证件前往营业网点办理。第十五条客户办理网上银行业务，填写的业务中请表、授权书等内容不得涂改。第十六条受理机构接受客户网上银行业务申请时，必须坚持“三核对”，即：核对客户由示的有效证件、账户凭证原件与申请表上填写的内容是否相符；通过系统核对客户密码或直接核对账户预留印鉴；核对申请表、授权书上的填写内容与系统显示的客户信息（户名、证件类型、证件号码等）是否相符。第十七条各

7、级审计部门应建立网上银行业务的自律监管与检查制度，并纳入全省综合业务自律监管与检查的统一管理，对网上银行业务的操作风险进行监督。第十八条法律风险是指违反或不遵守法律、法规、规章或惯例等给银行收益或资本所造成的风险。第十九条电子银行业务的开通，必须首先与客户签订电子银行服务协议及合同，明确双方的权利与义务，并在协议条款和网站上对电子银行业务有可能造成的风险进行公告。第二十条对于客户有意泄露密码或未履行应尽义务的，XX农村信用社应根据法律法规维护自身合法权益。第二节信息科技风险管理第二十一条本办法所称信息科技风险是指信息科技在XX农村信用社网上银行系统运用过程中，由于自然因素、人为因素、技术漏洞和

8、管理缺陷导致的银行收益或资本的风险。第二十二条严密防范并及时填堵系统后门，以防止黑客通过后门进入系统进行破坏和窃密。第二十三条建立网络逻辑分段，形成IP子网，实现对内部网络的隔离，在路由器上实施包过滤，并且利用防火墙来实现基于IP地址的内外访问控制。第二十四条建立实时病毒防范功能，以防止系统错误、数据混乱、服务失败等给业务系统和管理系统带来损失。第二十五条建立数据存储备份管理，确保在发生系统被破坏、应用错误、数据丢失时，通过数据存储管理进行及时恢复。第二十六条建立系统安全漏洞扫描机制，在系统使用过程中动态地寻找系统漏洞，帮助完善系统的安全，并以此防止由于其它的网络操作对系统的安全造成威胁。第二

9、十七条建立外部攻击侦测机制，通过IDS、IPS系统，及时发现外部攻击行为，并对攻击行为进行及时处理，问题严重时候，启动应急预案。第二十八条采用身份鉴别、访问控制、数据加密、数据完整、数字签名、防重发等安全控制机制，保证客户使用的安全性。第二十九条进行风险评估，制定风险评估计划，识别信息资产，评价信息资产威胁发生的可能性以及弱点被利用的容易程度，确定风险等级，找由目标与现状的差距，改进信息安全措施。第三十条制定安全计划，明确实施方案，确定可接受风险的程度，制定风险缓释策略，减少、规避和转移风险；检查和测试风险缓释策略和安全计划实施情况。第三十一条保证网上银行开发环境和应用环境的分离，评估和认证后续开发应用的需求和风险。第三节声誉风险管理第三十二条声誉风险是指负面的公众舆论对XX农村信用社收益或资本所造成的风险。第三十三条在网上银行系统中，应采用先进的成熟技术，避免因技术落后给客户带来不便，使客户对我单位整体服务能力