农商行网上银行业务风险管理办法(试行)模版.docx

1、农商行网上银行业务风险管理办法(试行)第一章 总则第一条 为加强农商行网上银行业务的风险管理，保障客户及银行的合法权益，促进电子银行业务的健康有序发展，根据中华人民共和国电子签名法、电子银行业务管理办法、电子银行安全评估指引、商业银行信息科技风险管理指引、电子支付指引（第一号）、农商行风险管理办法等，制定本办法。第二条 农商行网上银行风险管理的目标是通过建立有效的机制，实现对网上银行风险的识别、计量、监测和控制，促进电子银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。第三条 网上银行的风险主要体现为：操作风险、信息科技风险、法律风险、声誉风险以及信

2、用风险、市场风险。网上银行信用风险、市场风险的管理应遵守农商行现行各项风险管理制度。本办法重点规范操作风险、信息科技风险、法律风险、声誉风险的管理。 第四条 本办法适用于全省农商行（含农村商业银行、农村合作银行）。第二章 风险管理的组织机构与职责第五条 各级农商行的理（董）事会是网上银行风险管理的最高决策管理机构，应当对辖内的网上银行风险管理工作承担最终责任。 第六条 农商行联合社负责制定网上银行风险管理政策、监控风险管理政策执行情况、确定网上银行风险管理活动目标、审批网上银行风险管理的重大事项，建立涵盖农商行范围的网上银行各项活动的风险管理体系。第七条 省联社网上银行管理部门，主要职责有：贯

3、彻落实网上银行监管的各项规定与政策；拟定网上银行管理、运营的各项规章制度；提供客户服务，开展网上银行业务的市场调研、产品开发及产品完善工作；负责提出网上银行业务开发、更新、升级需求，并组织相关测试和培训；落实网上银行风险管理政策及内控要求，确保网上银行业务运行的连续性和安全性。负责产品研发过程中的技术风险分析、新产品开发、投产和功能完善工作；负责网上银行运营设备和安全控制设备的正常运转；网上银行数据的安全存放和传递；风险管理技术手段的安全保障；及时解决网上银行系统运行中出现的技术问题，确保网上银行系统安全、正常运行。第八条 财务管理处负责制定会计核算规章制度，确保网上银行业务严格按照国家会计政

4、策和相关制度执行，参与电子银行业务的需求讨论、系统测试与验收工作。第九条 辖内各级稽核部门负责网上银行系统的检查审计工作，开展电子银行系统运行的审计，查找并督促消除业务风险和管理隐患，查处违反电子银行系统内部控制制度的事件。第十条 风险合规处负责网上银行业务风险管理所涉及的法律事务, 并负责电子银行业务知识产权的保护工作。第十一条 反洗钱工作由反洗钱办公室负责，对大额和可疑支付交易向监管部门进行报告。第三章 风险管理内容第一节 操作风险管理第十二条 操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成的损失，包括法律风险。第十三条 对于农商行员工操作风险控制的基本要求

5、：（一）有效隔离应用系统、验证系统、处理系统和数据库等各系统间的风险传递；（二）确保任何单个员工和外部服务供应商都无法独立完成一项交易；（三）加强员工思想道德教育，强化操作人员密码管理，实行分级授权管理。（四）实行电子银行关键岗位工作人员AB岗制，岗位第一责任人不在岗位时，应指定相应工作人员代其行使相关事权，确保工作不间断、不拖延。第十四条 对于客户的操作风险提示：（一）详细说明并提供演示流程，清晰告知客户网上银行操作要领；（二）通过客户服务中心、操作指南、柜员指导等多渠道提供帮助，并及时进行风险提示；（三）通过登陆保护、密码强度以及各类防范技术尽可能减少客户发生风险损失的概率。（四）客户重要

6、信息（如姓名、身份证号码等）变更必须由本人持有效证件前往营业网点办理。 第十五条 客户办理网上银行业务，填写的业务申请表、授权书等内容不得涂改。 第十六条 受理机构接受客户网上银行业务申请时，必须坚持“三核对”，即：核对客户出示的有效证件、账户凭证原件与申请表上填写的内容是否相符；通过系统核对客户密码或直接核对账户预留印鉴；核对申请表、授权书上的填写内容与系统显示的客户信息（户名、证件类型、证件号码等）是否相符。 第十七条 各级审计部门应建立网上银行业务的自律监管与检查制度，并纳入全省综合业务自律监管与检查的统一管理，对网上银行业务的操作风险进行监督。 第十八条 法律风险是指违反或不遵守法律、

7、法规、规章或惯例等给银行收益或资本所造成的风险。 第十九条 电子银行业务的开通，必须首先与客户签订电子银行服务协议及合同，明确双方的权利与义务，并在协议条款和网站上对电子银行业务有可能造成的风险进行公告。第二十条 对于客户有意泄露密码或未履行应尽义务的，农商行应根据法律法规维护自身合法权益。第二节 信息科技风险管理第二十一条 本办法所称信息科技风险是指信息科技在农商行网上银行系统运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷导致的银行收益或资本的风险。第二十二条 严密防范并及时填堵系统后门，以防止黑客通过后门进入系统进行破坏和窃密。第二十三条 建立网络逻辑分段，形成IP子网，实现对内部

8、网络的隔离，在路由器上实施包过滤，并且利用防火墙来实现基于IP地址的内外访问控制。第二十四条 建立实时病毒防范功能，以防止系统错误、数据混乱、服务失败等给业务系统和管理系统带来损失。第二十五条 建立数据存储备份管理，确保在发生系统被破坏、应用错误、数据丢失时，通过数据存储管理进行及时恢复。第二十六条 建立系统安全漏洞扫描机制，在系统使用过程中动态地寻找系统漏洞，帮助完善系统的安全，并以此防止由于其它的网络操作对系统的安全造成威胁。第二十七条 建立外部攻击侦测机制，通过IDS、IPS系统，及时发现外部攻击行为，并对攻击行为进行及时处理，问题严重时候，启动应急预案。第二十八条 采用身份鉴别、访问控

9、制、数据加密、数据完整、数字签名、防重发等安全控制机制，保证客户使用的安全性。第二十九条 进行风险评估，制定风险评估计划，识别信息资产，评价信息资产威胁发生的可能性以及弱点被利用的容易程度，确定风险等级，找出目标与现状的差距，改进信息安全措施。第三十条 制定安全计划，明确实施方案，确定可接受风险的程度，制定风险缓释策略，减少、规避和转移风险；检查和测试风险缓释策略和安全计划实施情况。第三十一条 保证网上银行开发环境和应用环境的分离，评估和认证后续开发应用的需求和风险。第三节 声誉风险管理第三十二条 声誉风险是指负面的公众舆论对农商行收益或资本所造成的风险。第三十三条 在网上银行系统中，应采用先进的成熟技术，避免因技术落后给客户带来不便，使客户对我单位整体服务能力产生怀疑。第三十四条 为客户信息负责，防止因系统安全性缺陷严重损害客户的隐私权。第三十五条 加强与媒体的合作，针对突发事件和负面舆论，要认真分析、及时汇报、积极响应、统一口径，最大限度地消除负面影响。第四章 附则第三十六条 本办法由农商行制定并负责解释、修改。第三十七条 本办法自下发之日起实施。