农村信用社手机银行业务风险管理办法(试行)模版.docx

1、xx农村信用社手机银行风险管理办法（试行）第一章总则第一条 为确保xx农村信用社手机银行系统运行安全， 按照中国银行业监督管理委员会电子银行业务管理办法的有 关要求，特制定本办法。第二条 手机银行安全管理设计的基本原则（一）完善手机银行安全管理体系。手机银行的安全管理体系包括技术管理体系、业务管理体系和内控管理体系。（二）建立合理的授权制度。（三）采用综合性的智能网络管理系统，提供一体化的网络管理服务。（四）手机银行的安全管理应建立完善的内控管理制度。（五）手机银行应该建立起一套集保护、监测、反应于一体的动态监控和预警体系。（六）对于可能引起系统中断或故障的各种原因要进行评估， 要事先制定出相

2、应的灾难恢复计划。第二章技术方面的风险控制措施第三条 采用权威性的、可信赖性的金融认证中心（CFCA） 证书认证体系，以及电子签名技术，保证客户的身份认证，交易 信息的完整性、保密性、可用性、可控性、可审查性以及不可抵 赖性。第四条在手机银行系统中，采用二级防火墙、入侵检测、 漏洞扫描技术作为系统安全的核心,可以有效的抵御内外的攻击。 第五条访问控制。网络接入点采用两台防火墙互为备份，通过划分外网区、DMZ 区和内网区不同安全区域，对不同级别的访问进行严格端口和服务限制。第六条 入侵检测系统置于手机银行 web 服务器区域。移动网络的接入点通过防火墙进行隔离，对于进入内部的信息，入侵 检测进行

3、扫描，入侵检测一旦发现危险的操作，技术人员通过对 入侵检测的信息进行分析，及时对防火墙进行相应的安全策略调 整，能够有效防止入侵者（黑客）的欺骗性攻击。进入我行社的内部网（防火墙内部端口区）后，所有与相关服务器的连接都要经过二级防火墙，一级防火墙的内部区位于二级防火墙的外部区，此区域对防火墙的其他区域进入要求非常高。手机银行数据和应用服务器都在防火墙单独的区域内，内部网络都无法直接访问数据服务器，均设定访问控制、端口控制和地址转换。第七条 为保证整个系统的安全，利用漏洞扫描系统定期对移动网络入口设备、内部网络设备和服务器进行检测，一旦发现 漏洞及时对系统进行升级，对网络部署进行调整，并充分发挥

4、现 有设备的作用，保证系统的安全性和稳定性。第八条 通过防火墙日志，能够实时监控系统的运行，及时地掌握系统安全状况，发现问题并作出相应的对策。第三章业务流程方面的风险控制措施第九条系统管理员对主管柜员的操作权限进行设置，不允 许其操作个人指令，只允许其查询。第十条签约个人用户登录、使用手机银行，绑定用户当前 使用的手机终端设备，并增加短信验证码对其密码的保护。第十一条系统设置单笔限额和累计限额。采用动态短信验证码及支付密码认证，系统设置最高单笔限额和最高日累计限额， 同时支持客户在系统最高限额范围内根据个人需求设置最高单笔限额和最高日累计限额。第十二条客户在每次登录手机银行系统时，系统提示预留

5、 信息和登录次数。第十三条为防止经办柜员遗漏操作业务造成风险。系统设置经办人员查询业务处理时，直接打印清单，才能进行业务处理， 如果未打印清单，则不能进行业务处理。第十四条 各行社内管柜员如果发现可疑指令,先通过综合业务系统进行查询；如果已经扣款成功，打印清单后直接处理； 如果综合业务系统扣款不成功，内管柜员选择放弃该笔指令。第十五条 如果落地指令经过柜员审核不通过而选择拒绝， 则柜员要进行手工冲账，确保客户提交的每笔指令安全性。第十六条 转账交易需同时输入收款人账号和收款人户名， 并在后续交易界面重复显示收款人账号、收款人户名和转账金额 等重要信息，防止操作失误。第四章管理制度方面的风险控制

6、措施第十七条设置手机银行相关管理机构或岗位,省联社设置 手机银行安全主管及安全管理组、手机银行应急小组等。第十八条制定手机银行系统运行考核指标，建立安全评估制度，定期检测所有关键设备（网络设备、主机等）、系统软件的工作状态、业务操作系统的运作情况，审查其工作日志。严密监控手机银行系统（防火墙、入侵检测系统、漏洞扫描系统、病毒防护系统、主机系统等）的日常运行，发现异常情况即时处理， 确保手机银行的安全。第十九条制定整体安全策略、业务运行应急计划、业务连 续性计划。（一）系统的备份情况，包括软硬件的备份和数据的备份。 备份系统核心系统的安放位置应足以保证在当前系统无法运作时 不会受到影响，备份系统

7、的安全水平应不低于当前系统的安全水 平。（二）对意外事故的处理。在自然灾害或突发性事件（例如 地震、电击、非正常断电、外力带来的物理性损毁等）导致系统 突然停顿、业务中断情况下的应对措施和实施程序，包括启用备 用设备、恢复系统和数据的措施等。（三）对非法侵入或攻击的处理。主要指在遭到内外部的非 法侵入和攻击而导致数据被窃、资金损失、程序混乱、系统瘫痪 等情况下的应对措施和实施程序。第二十条 以网站的方式向客户说明和公开各种手机银行业务品种的交易规则，在客户申请某项手机银行业务品种时，向客 户说明该品种的交易风险及其在具体交易中的权利与义务。第二十一条 内部审计。配备手机银行业务审计力量，定期对手机银行业务进行审计。第二十二条 人员培训。根据业务发展需要，适时对从业人员进行培训，及时更新系统安全保障技术和设备。第二十三条 手机银行管理岗位和人员，应实行轮岗和强制性休假制度。第二十四条 建立手机银行业务运作重大事项报告制度，及时向监管当局报告手机银行业务经营过程中发生的重大泄密、黑 客侵入、网址更名等重大事项。第二十五条 邀请国家认可的安全测评认证中心进行安全测评。