电子银行安全评估服务

字号：大中小

　　1）背景说明

　　随着金融创新和通讯技术的发展,电子银行已经成为商业银行运行业务最重要的渠道之一,其安全评估也成为银行自身和监管机构重视的问题。CFCA具备中国银监会《电子银行业务管理办法》和《电子银行安全评估指引》等相关法律法规要求的评估资质，为银行业客户提供电子银行的安全策略、内部制度、风险管理、系统安全、客户保护等诸多方面的安全测试，对其管控能力做考察和评估，帮助银行提升电子银行安全服务水平。

电子银行安全评估服务

图1 电子银行威胁视图

　　2）评估依据

　　监管机构颁发的行业相关规章制度

　　■《电子银行安全评估指引》〔2006〕银监发

　　■《电子银行业务管理办法》〔2006〕银监发

　　■《银行业金融机构信息科技风险监管现场检查手册》（银监会）

　　■《电子银行安全风险管理指引》（银监办便函〔2011〕549号）

　　■《电子银行信息系统安全通用规范》（JR/T 0068-2012）

　　参考评估依据

　　■《电子银行风险管理原则》（巴塞尔银行监管委员会）ISO27000系列

　　■《GB/T 22239-2008信息系统安全等级保护基本要求》

　　■《非金融机构支付服务业务系统技术安全标准系列》（人民银行）

　　■《银联卡收单机构账户信息安全管理标准》（中国银联）

　　■《中国银联移动支付技术规范》（中国银联）

　　3）评估范围

　　网上银行手机银行电话银行电视银行微信银行直销银行自助银行网上支付门户网站

　　4）评估框架

电子银行安全评估服务

　　5）评估内容

　　CFCA依据《电子银行安全评估指引》等标准中的评估安全要素，调查分析用户的已有策略，从管理制度、落实情况、物理安全、人员安全、第三方安全等各方面来评估分析。调查业务流程，并对信息资产进行赋值和等级划分；结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行安全性评估，综合分析完成电子银行评估报告。具体内容包括：

　　■安全策略

　　■内控制度建设

　　■风险管理状况

　　■系统安全性

　　■业务运行连续性计划

　　■业务运行应急计划

　　■风险预警体系

　　■其他重要安全环节和机制的管理

　　6）评估流程与方法　　

电子银行安全评估服务