電子銀行安全評估指引簡介

內(nèi)容解讀

第一章 總 則

第一條 ；為加強(qiáng)電子銀行業(yè)務(wù)的安全與風(fēng)險(xiǎn)管理，保證電子銀行安全評估的客觀性、及時(shí)性、全面性和有效性，依據(jù)《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定，制定本指引。

第二條 ；電子銀行的安全評估，是指金融機(jī)構(gòu)在開展電子銀行業(yè)務(wù)過程中，對電子銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全、客戶保護(hù)等方面進(jìn)行的安全測試和管控能力的考察與評價(jià)。

第三條 ；開展電子銀行業(yè)務(wù)的金融機(jī)構(gòu)，應(yīng)根據(jù)其電子銀行發(fā)展和管理的需要，至少每2年對電子銀行進(jìn)行一次全面的安全評估。

第四條 ；金融機(jī)構(gòu)可以利用外部專業(yè)化的評估機(jī)構(gòu)對電子銀行進(jìn)行安全評估，也可以利用內(nèi)部獨(dú)立于電子銀行業(yè)務(wù)運(yùn)營和管理部門的評估部門對電子銀行進(jìn)行安全評估。

第五條 ；金融機(jī)構(gòu)應(yīng)建立電子銀行安全評估的規(guī)章制度體系和工作規(guī)程，保證電子銀行安全評估能夠及時(shí)、客觀地得以實(shí)施。

第六條 ；金融機(jī)構(gòu)的電子銀行安全評估，應(yīng)接受中國銀行業(yè)監(jiān)督管理委員會(huì)（以下簡稱中國銀監(jiān)會(huì)）的監(jiān)督指導(dǎo)。

第二章 ；安全評估機(jī)構(gòu)

第七條 ；承擔(dān)金融機(jī)構(gòu)電子銀行安全評估工作的機(jī)構(gòu)，可以是金融機(jī)構(gòu)外部的社會(huì)專業(yè)化機(jī)構(gòu)，也可以是金融機(jī)構(gòu)內(nèi)部具備相應(yīng)條件的相對獨(dú)立部門。

第八條 ；外部機(jī)構(gòu)從事電子銀行安全評估，應(yīng)具備以下條件：

（一） 具有較為完善的開展電子銀行安全評估業(yè)務(wù)的管理制度和操作規(guī)程；

（二） 制定了系統(tǒng)、全面的評估手冊或評估指導(dǎo)文件，評估手冊或評估指導(dǎo)文件的內(nèi)容應(yīng)至少包括評估程序、評估方法和依據(jù)、評估標(biāo)準(zhǔn)等；

（三） 擁有與電子銀行安全評估相關(guān)的各類專業(yè)人才，了解國際和中國相關(guān)行業(yè)的行業(yè)標(biāo)準(zhǔn)；

（四） 中國銀監(jiān)會(huì)規(guī)定的其他從事電子銀行安全評估應(yīng)當(dāng)具備的條件。

第九條 ；金融機(jī)構(gòu)內(nèi)部部門從事電子銀行安全評估，除應(yīng)具備第八條 ；規(guī)定的有關(guān)條件外，還應(yīng)具備以下條件：

（一） 必須獨(dú)立于電子銀行業(yè)務(wù)系統(tǒng)開發(fā)部門、運(yùn)營部門和管理部門；

（二） 未直接參與過有關(guān)電子銀行設(shè)備的選購工作。

第十條 ；中國銀監(jiān)會(huì)負(fù)責(zé)電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定工作。

電子銀行安全評估機(jī)構(gòu)在開展金融機(jī)構(gòu)電子銀行安全評估業(yè)務(wù)前，可以向中國銀監(jiān)會(huì)申請對其資質(zhì)進(jìn)行認(rèn)定。

第十一條 ；金融機(jī)構(gòu)在進(jìn)行電子銀行安全評估時(shí)，可以選擇經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu)，也可以選擇未經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu)。

金融機(jī)構(gòu)選擇經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu)時(shí)，有關(guān)安全評估機(jī)構(gòu)的管理適用本指引有關(guān)規(guī)定。金融機(jī)構(gòu)選擇未經(jīng)中國銀監(jiān)會(huì)資質(zhì)認(rèn)定的安全評估機(jī)構(gòu)時(shí)，安全評估機(jī)構(gòu)的選擇標(biāo)準(zhǔn)應(yīng)不低于第八條、第九條規(guī)定的條件要求，并應(yīng)按照《電子銀行業(yè)務(wù)管理辦法》的有關(guān)規(guī)定，報(bào)送相關(guān)材料。

電子銀行安全評估機(jī)構(gòu)無論是否經(jīng)過中國銀監(jiān)會(huì)資質(zhì)認(rèn)定，在開展電子銀行安全評估活動(dòng)時(shí)，都應(yīng)遵守有關(guān)電子銀行安全評估實(shí)施和管理的規(guī)定。

第十二條 ；中國銀監(jiān)會(huì)每年將組織一次電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定工作，評定時(shí)間應(yīng)提前1個(gè)月公告。

第十三條 ；申請資質(zhì)認(rèn)定的電子銀行安全評估機(jī)構(gòu)，應(yīng)在中國銀監(jiān)會(huì)公告規(guī)定的時(shí)限內(nèi)提交以下材料（一式七份）：

（一） 電子銀行安全評估資質(zhì)認(rèn)定申請報(bào)告；

（二） 機(jī)構(gòu)介紹；

（三） 安全評估業(yè)務(wù)管理框架、管理制度、操作規(guī)程等；

（四） 評估手冊或評估指導(dǎo)文件；

（五） 主要評估人員簡歷；

（六） 中國銀監(jiān)會(huì)要求提供的其他文件、資料。

第十四條 ；中國銀監(jiān)會(huì)收到安全評估機(jī)構(gòu)資質(zhì)認(rèn)定申請完整材料后，組織有關(guān)專家和監(jiān)管人員對申請材料進(jìn)行評議，采用投票的辦法評定電子銀行安全評估機(jī)構(gòu)是否達(dá)到了有關(guān)資質(zhì)要求。

第十五條 ；中國銀監(jiān)會(huì)對評估機(jī)構(gòu)資質(zhì)評議后，出具《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》，載明評議意見，對評估機(jī)構(gòu)的資質(zhì)做出認(rèn)定。

第十六條 ；中國銀監(jiān)會(huì)出具的《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》，僅供評估機(jī)構(gòu)與金融機(jī)構(gòu)商恰有關(guān)電子銀行安全評估業(yè)務(wù)時(shí)使用，不影響評估機(jī)構(gòu)開展其他經(jīng)營活動(dòng)。

評估機(jī)構(gòu)不得將《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳或其他活動(dòng)。

第十七條 ；經(jīng)中國銀監(jiān)會(huì)評議并被認(rèn)為達(dá)到有關(guān)資質(zhì)要求的評估機(jī)構(gòu)，每次資質(zhì)認(rèn)定的有效期限為2年。

經(jīng)評議不符合認(rèn)定資質(zhì)的，評估機(jī)構(gòu)可在下一年度重新申請資質(zhì)認(rèn)定。

第十八條 ；在資質(zhì)認(rèn)定的有效期限內(nèi)，電子銀行安全評估機(jī)構(gòu)如果出現(xiàn)下列情況，中國銀監(jiān)會(huì)將撤銷已做出的評議和認(rèn)定意見：

（一） 評估機(jī)構(gòu)管理不善，其工作人員泄露被評估機(jī)構(gòu)秘密的；

（二） 評估工作質(zhì)量低下，評估活動(dòng)出現(xiàn)重要遺漏的；

（三） 未按要求提交評估報(bào)告，或評估報(bào)告中存在不實(shí)表述的；

（四） 將《電子銀行安全評估機(jī)構(gòu)資質(zhì)認(rèn)定意見書》用于宣傳和其他經(jīng)營活動(dòng)的；

（五） 存在其他嚴(yán)重不盡職行為的。

第十九條 ；評估機(jī)構(gòu)有下列行為之一的，中國銀監(jiān)會(huì)將在一定期限或無限期不再受理評估機(jī)構(gòu)的資質(zhì)認(rèn)定申請，金融機(jī)構(gòu)不應(yīng)再委托該評估機(jī)構(gòu)進(jìn)行安全評估：

（一） 與委托機(jī)構(gòu)合謀，共同隱瞞在安全評估過程中發(fā)現(xiàn)的安全漏洞，未按要求寫入評估報(bào)告的；

（二） 在評估過程中弄虛作假，編造安全評估報(bào)告的；

（三） 泄漏被評估機(jī)構(gòu)機(jī)密信息，或不當(dāng)使用被評估機(jī)構(gòu)機(jī)密資料的。

金融機(jī)構(gòu)內(nèi)部評估機(jī)構(gòu)出現(xiàn)以上情況之一的，中國銀監(jiān)會(huì)將依法對相關(guān)機(jī)構(gòu)和責(zé)任人進(jìn)行處罰。

第二十條 ；中國銀監(jiān)會(huì)認(rèn)可的電子銀行安全評估機(jī)構(gòu)，以及有關(guān)資質(zhì)認(rèn)定、撤銷等信息，僅向開展電子銀行業(yè)務(wù)的各金融機(jī)構(gòu)通報(bào)，不向社會(huì)發(fā)布。

金融機(jī)構(gòu)不得向第三方泄露中國銀監(jiān)會(huì)的有關(guān)通報(bào)信息，影響有關(guān)機(jī)構(gòu)的其他業(yè)務(wù)活動(dòng)，也不得將有關(guān)信息用于與電子銀行安全評估活動(dòng)無關(guān)的其他業(yè)務(wù)活動(dòng)。

第二十一條 ；金融機(jī)構(gòu)可以在中國銀監(jiān)會(huì)認(rèn)定的評估機(jī)構(gòu)范圍內(nèi)，自主選擇電子銀行安全評估機(jī)構(gòu)。

第二十二條 ；電子銀行主要系統(tǒng)設(shè)置于境外并在境外實(shí)施電子銀行安全評估的外資金融機(jī)構(gòu)，以及需要按照所在地監(jiān)管部門的要求在境外實(shí)施電子銀行安全評估的中資金融機(jī)構(gòu)境外分支機(jī)構(gòu)，電子銀行安全評估機(jī)構(gòu)的選擇應(yīng)遵循所在國家或地區(qū)的法律要求。

所在國家或地區(qū)沒有相關(guān)法律要求的，金融機(jī)構(gòu)應(yīng)參照本指引的有關(guān)規(guī)定開展安全評估活動(dòng)。

第二十三條 ；金融機(jī)構(gòu)應(yīng)與聘用的電子銀行安全評估機(jī)構(gòu)簽訂書面服務(wù)協(xié)議，在服務(wù)協(xié)議中，必須含有明確的保密條 ；款和保密責(zé)任。

金融機(jī)構(gòu)選擇內(nèi)部部門作為評估機(jī)構(gòu)時(shí)，應(yīng)由電子銀行管理部門與評估部門簽訂評估責(zé)任確定書。

第二十四條 ；安全評估機(jī)構(gòu)應(yīng)根據(jù)評估協(xié)議的規(guī)定，認(rèn)真履行評估職責(zé)，真實(shí)評估被評估機(jī)構(gòu)電子銀行安全狀況。

第三章 ；安全評估的實(shí)施

第二十五條 ；評估機(jī)構(gòu)在開始電子銀行安全評估之前，應(yīng)就評估的范圍、重點(diǎn)、時(shí)間與要求等問題，與被評估機(jī)構(gòu)進(jìn)行充分的溝通，制定評估計(jì)劃，由雙方簽字認(rèn)可。

第二十六條 ；依據(jù)評估計(jì)劃，評估機(jī)構(gòu)進(jìn)場對委托機(jī)構(gòu)的電子銀行安全進(jìn)行評估。

電子銀行安全評估應(yīng)真實(shí)、全面地評價(jià)電子銀行系統(tǒng)的安全性。

第二十七條 ；電子銀行安全評估至少應(yīng)包括以下內(nèi)容：

（一） 安全策略；

（二） 內(nèi)控制度建設(shè)；

（三） 風(fēng)險(xiǎn)管理狀況；

（四） 系統(tǒng)安全性；

（五） 電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃；

（六） 電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃；

（七） 電子銀行風(fēng)險(xiǎn)預(yù)警體系；

（八） 其他重要安全環(huán)節(jié)和機(jī)制的管理。

第二十八條 ；電子銀行安全策略的評估，至少應(yīng)包括以下內(nèi)容：

（一） 安全策略制定的流程與合理性；

（二） 系統(tǒng)設(shè)計(jì)與開發(fā)的安全策略；

（三） 系統(tǒng)測試與驗(yàn)收的安全策略；

（四） 系統(tǒng)運(yùn)行與維護(hù)的安全策略；

（五） 系統(tǒng)備份與應(yīng)急的安全策略；

（六） 客戶信息安全策略。

評估機(jī)構(gòu)對金融機(jī)構(gòu)安全策略的評估，不僅要評估安全策略、規(guī)章制度和程序是否存在，還要評估這些制度是否得到貫徹執(zhí)行，是否及時(shí)更新，是否全面覆蓋電子銀行業(yè)務(wù)系統(tǒng)。

第二十九條 ；電子銀行內(nèi)控制度的評估，應(yīng)至少包括以下內(nèi)容：

（一） 內(nèi)部控制體系總體建設(shè)的科學(xué)性與適宜性；

（二） 董事會(huì)和高級管理層在電子銀行安全和風(fēng)險(xiǎn)管理體系中的職責(zé)，以及相關(guān)部門職責(zé)和責(zé)任的合理性；

（三） 安全監(jiān)控機(jī)制的建設(shè)與運(yùn)行情況；

（四） 內(nèi)部審計(jì)制度的建設(shè)與運(yùn)行情況。

第三十條 ；電子銀行風(fēng)險(xiǎn)管理狀況的評估，應(yīng)至少包括以下內(nèi)容：

（一） 電子銀行風(fēng)險(xiǎn)管理架構(gòu)的適應(yīng)性和合理性；

（二） 董事會(huì)和高級管理層對電子銀行安全與風(fēng)險(xiǎn)管理的認(rèn)知能力與相關(guān)政策、策略的制定執(zhí)行情況；

（三） 電子銀行管理機(jī)構(gòu)職責(zé)設(shè)置的合理性及對相關(guān)風(fēng)險(xiǎn)的管控能力；

（四） 管理人員配備與培訓(xùn)情況；

（五） 電子銀行風(fēng)險(xiǎn)管理的規(guī)章制度與操作規(guī)定、程序等的執(zhí)行情況；

（六） 電子銀行業(yè)務(wù)的主要風(fēng)險(xiǎn)及管理狀況；

（七） 業(yè)務(wù)外包管理制度建設(shè)與管理狀況。

第三十一條 ；電子銀行系統(tǒng)安全性的評估，應(yīng)至少包括以下內(nèi)容：

（一） 物理安全；

（二） 數(shù)據(jù)通訊安全；

（三） 應(yīng)用系統(tǒng)安全；

（四） 密鑰管理；

（五） 客戶信息認(rèn)證與保密；

（六） 入侵監(jiān)測機(jī)制和報(bào)告反應(yīng)機(jī)制。

評估機(jī)構(gòu)應(yīng)突出對數(shù)據(jù)通訊安全和應(yīng)用系統(tǒng)安全的評估，客觀評價(jià)金融機(jī)構(gòu)是否采用了合適的加密技術(shù)、合理設(shè)計(jì)和配置了服務(wù)器和防火墻，銀行內(nèi)部運(yùn)作系統(tǒng)和數(shù)據(jù)庫是否安全等，以及金融機(jī)構(gòu)是否制定了控制和管理修改電子銀行系統(tǒng)的制度和控制程序，并能保證各種修改得到及時(shí)測試和審核。

第三十二條 ；電子銀行業(yè)務(wù)運(yùn)行連續(xù)性計(jì)劃的評估，應(yīng)至少包括以下內(nèi)容：

（一） 保障業(yè)務(wù)連續(xù)運(yùn)營的設(shè)備和系統(tǒng)能力；

（二） 保證業(yè)務(wù)連續(xù)運(yùn)營的制度安排和執(zhí)行情況。

第三十三條 ；電子銀行業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃的評估，應(yīng)至少包括以下內(nèi)容：

（一） 電子銀行應(yīng)急制度建設(shè)與執(zhí)行情況；

（二） 電子銀行應(yīng)急設(shè)施設(shè)備配備情況；

（三） 定期、持續(xù)性檢測與演練情況；

（四） 應(yīng)對意外事故或外部攻擊的能力。

第三十四條 ；評估機(jī)構(gòu)應(yīng)制定本機(jī)構(gòu)電子銀行安全評定標(biāo)準(zhǔn)，在進(jìn)行安全評估時(shí)，應(yīng)根據(jù)委托機(jī)構(gòu)的實(shí)際情況，確定不同評估內(nèi)容對電子銀行總體風(fēng)險(xiǎn)影響程度的權(quán)重，對每項(xiàng)評估內(nèi)容進(jìn)行評分，綜合計(jì)算出被評估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級。

第三十五條 ；評估完成后，評估機(jī)構(gòu)應(yīng)及時(shí)撰寫評估報(bào)告，并于評估完成后1個(gè)月內(nèi)向委托機(jī)構(gòu)提交由其法定代表人或其授權(quán)委托人簽字認(rèn)可的評估報(bào)告。

第三十六條 ；評估報(bào)告應(yīng)至少包括以下內(nèi)容：

（一） 評估的時(shí)間、范圍及其他協(xié)議中重要的約定；

（二） 評估的總體框架、程序、主要方法及主要評估人員介紹；

（三） 不同評估內(nèi)容風(fēng)險(xiǎn)權(quán)重的確定標(biāo)準(zhǔn)，風(fēng)險(xiǎn)等級的計(jì)算方法，以及風(fēng)險(xiǎn)等級的定義；

（四） 評估內(nèi)容與評估活動(dòng)描述；

（五） 評估結(jié)論；

（六） 對被評估機(jī)構(gòu)電子銀行安全管理的建議；

（七） 其他需要說明的問題；

（八） 主要術(shù)語定義和所采用的國際或國內(nèi)標(biāo)準(zhǔn)介紹（可作為附件）；

（九） 評估工作流程記錄表（可作為附件）；

（十） 評估機(jī)構(gòu)參加評估人員名單（可作為附件）。

在評估結(jié)論中，評估機(jī)構(gòu)應(yīng)采用量化的辦法表明被評估機(jī)構(gòu)電子銀行的風(fēng)險(xiǎn)等級，說明被評估機(jī)構(gòu)電子銀行安全管理中存在的主要問題與隱患，并提出整改建議。

第三十七條 ；評估報(bào)告完成并提交委托機(jī)構(gòu)后，如需修改，應(yīng)將修改的原因、依據(jù)和修改意見作為附件附在原報(bào)告之后，不得直接修改原報(bào)告。

第四章 ；安全評估活動(dòng)的管理

第三十八條 ；金融機(jī)構(gòu)在申請開辦電子銀行業(yè)務(wù)時(shí)，應(yīng)當(dāng)按照有關(guān)規(guī)定對完成測試的電子銀行系統(tǒng)進(jìn)行安全評估。

第三十九條 ；金融機(jī)構(gòu)開辦電子銀行業(yè)務(wù)后，有下列情形之一的，應(yīng)立即組織安全評估：

（一） 由于安全漏洞導(dǎo)致系統(tǒng)被攻擊癱瘓，修復(fù)運(yùn)行的；

（二） 電子銀行系統(tǒng)進(jìn)行重大更新或升級后，出現(xiàn)系統(tǒng)意外停機(jī)12小時(shí)以上的；

（三） 電子銀行關(guān)鍵設(shè)備與設(shè)施更換后，出現(xiàn)重大事故修復(fù)后仍不能保持連續(xù)不間斷運(yùn)行的；

（四） 基于電子銀行安全管理需要立即評估的。

第四十條 ；金融機(jī)構(gòu)對電子銀行外部安全評估機(jī)構(gòu)的選聘，應(yīng)由金融機(jī)構(gòu)的董事會(huì)或高級管理層負(fù)責(zé)。

第四十一條 ；已實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)，其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評估，在總行（公司）的電子銀行安全評估中應(yīng)包含對其分支機(jī)構(gòu)電子銀行安全管理狀況的評估。

第四十二條 ；未實(shí)現(xiàn)數(shù)據(jù)集中管理的銀行業(yè)金融機(jī)構(gòu)，其分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)且擁有獨(dú)立的業(yè)務(wù)處理設(shè)備與系統(tǒng)的，分支機(jī)構(gòu)的電子銀行系統(tǒng)應(yīng)在總行（公司）的統(tǒng)一管理和指導(dǎo)下，按照有關(guān)規(guī)定進(jìn)行安全評估。

第四十三條 ；電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境外的外資金融機(jī)構(gòu)，其境外總行（公司）已經(jīng)進(jìn)行了安全評估且符合本指引有關(guān)規(guī)定的，其境內(nèi)分支機(jī)構(gòu)開展電子銀行業(yè)務(wù)不需單獨(dú)進(jìn)行安全評估，但應(yīng)按照本指引的有關(guān)要求，向監(jiān)管部門報(bào)送安全評估報(bào)告。

第四十四條 ；電子銀行主要業(yè)務(wù)處理系統(tǒng)設(shè)置在境內(nèi)的外資金融機(jī)構(gòu)，或者雖設(shè)置在境外但其境外總行（公司）未進(jìn)行安全評估或安全評估不符合本指引有關(guān)規(guī)定的，應(yīng)按規(guī)定開展電子銀行安全評估工作。

第四十五條 ；電子銀行安全評估工作，確需由多個(gè)評估機(jī)構(gòu)共同承擔(dān)或?qū)嵤r(shí)，金融機(jī)構(gòu)應(yīng)確定一個(gè)主要的評估機(jī)構(gòu)協(xié)調(diào)總體評估工作，負(fù)責(zé)總體評估報(bào)告的編制。

金融機(jī)構(gòu)將電子銀行系統(tǒng)委托給不同的評估機(jī)構(gòu)進(jìn)行安全評估，應(yīng)當(dāng)明確每個(gè)評估機(jī)構(gòu)安全評估的范圍，并保證全面覆蓋了應(yīng)評估的事項(xiàng)，沒有遺漏。

第四十六條 ；金融機(jī)構(gòu)應(yīng)在簽署評估協(xié)議后兩周內(nèi)，將評估機(jī)構(gòu)簡介、擬采用的評估方案和評估步驟等，報(bào)送中國銀監(jiān)會(huì)。

第四十七條 ；中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可派員參加金融機(jī)構(gòu)電子銀行安全評估工作，但不作為正式評估人員，不提供評估意見。

第四十八條 ；評估機(jī)構(gòu)應(yīng)本著客觀、公正、真實(shí)和自主的原則，開展評估活動(dòng)，并嚴(yán)格保守在評估過程中獲悉的商業(yè)機(jī)密。

第四十九條 ；在評估過程中，委托機(jī)構(gòu)和評估機(jī)構(gòu)之間應(yīng)建立信息保密工作機(jī)制：

（一） 評估過程中，調(diào)閱相關(guān)資料、復(fù)制相關(guān)文件或數(shù)據(jù)等，都應(yīng)建立登記、簽字制度；

（二） 調(diào)閱的文件資料應(yīng)在指定的場所閱讀，不得帶出指定場所；

（三） 復(fù)制的文件或數(shù)據(jù)一般也不應(yīng)帶出工作場所，如確需帶出的，必須詳細(xì)登記帶出文件或數(shù)據(jù)名稱、數(shù)量、帶出原因、文件與數(shù)據(jù)的最終處理方式、責(zé)任人等，并由相關(guān)負(fù)責(zé)人簽字確認(rèn)；

（四） 評估過程中廢棄的文件、材料和不再使用的數(shù)據(jù)，應(yīng)立即予以銷毀或刪除；

（五） 評估工作結(jié)束后，雙方應(yīng)就有關(guān)機(jī)密數(shù)據(jù)、資料等的交接情況簽署說明。

第五十條 ；金融機(jī)構(gòu)在收到評估機(jī)構(gòu)評估報(bào)告的1個(gè)月內(nèi)，應(yīng)將評估報(bào)告報(bào)送中國銀監(jiān)會(huì)。

金融機(jī)構(gòu)報(bào)送評估報(bào)告時(shí)，可對評估報(bào)告中的有關(guān)問題作必要的說明。

第五十一條 ；未經(jīng)監(jiān)管部門批準(zhǔn)，電子銀行安全評估報(bào)告不得作為廣告宣傳資料使用，也不得提供給除監(jiān)管部門以外的第三方機(jī)構(gòu)。

第五十二條 ；對未按有關(guān)要求進(jìn)行的安全評估，或者評估程序、方法和評估報(bào)告存在重要缺陷的安全評估，中國銀監(jiān)會(huì)可以要求金融機(jī)構(gòu)進(jìn)行重新評估。

第五十三條 ；中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可以自己組織或委托評估機(jī)構(gòu)對金融機(jī)構(gòu)的電子銀行系統(tǒng)進(jìn)行安全評估，金融機(jī)構(gòu)應(yīng)予以配合。

第五十四條 ；中國銀監(jiān)會(huì)根據(jù)監(jiān)管工作的需要，可直接向評估機(jī)構(gòu)了解其評估的方法、范圍和程序等。

第五十五條 ；對于評估報(bào)告中所反映出的問題，金融機(jī)構(gòu)應(yīng)采取有效的措施加以糾正。

第五章 ；附則

第五十六條 ；本指引由中國銀監(jiān)會(huì)負(fù)責(zé)解釋。

第五十七條 ；本指引自2006年3月1日起施行。2100433B

管理會(huì)計(jì)基本指引

第一章 總 則

第一條 為促進(jìn)單位（包括企業(yè)和行政事業(yè)單位，下同）加強(qiáng)管理會(huì)計(jì)工作，提升內(nèi)部管理水平，促進(jìn)經(jīng)濟(jì)轉(zhuǎn)型升級，根據(jù)《中華人民共和國會(huì)計(jì)法》、《財(cái)政部關(guān)于全面推進(jìn)管理會(huì)計(jì)體系建設(shè)的指導(dǎo)意見》等，制定本指引。

第二條 基本指引在管理會(huì)計(jì)指引體系中起統(tǒng)領(lǐng)作用，是制定應(yīng)用指引和建設(shè)案例庫的基礎(chǔ)。管理會(huì)計(jì)指引體系包括基本指引、應(yīng)用指引和案例庫，用以指導(dǎo)單位管理會(huì)計(jì)實(shí)踐。

第三條 管理會(huì)計(jì)的目標(biāo)是通過運(yùn)用管理會(huì)計(jì)工具方法，參與單位規(guī)劃、決策、控制、評價(jià)活動(dòng)并為之提供有用信息，推動(dòng)單位實(shí)現(xiàn)戰(zhàn)略規(guī)劃。

第四條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)遵循下列原則：

（一）戰(zhàn)略導(dǎo)向原則。管理會(huì)計(jì)的應(yīng)用應(yīng)以戰(zhàn)略規(guī)劃為導(dǎo)向，以持續(xù)創(chuàng)造價(jià)值為核心，促進(jìn)單位可持續(xù)發(fā)展。

（二）融合性原則。管理會(huì)計(jì)應(yīng)嵌入單位相關(guān)領(lǐng)域、層次、環(huán)節(jié)，以業(yè)務(wù)流程為基礎(chǔ)，利用管理會(huì)計(jì)工具方法，將財(cái)務(wù)和業(yè)務(wù)等有機(jī)融合。

（三）適應(yīng)性原則。管理會(huì)計(jì)的應(yīng)用應(yīng)與單位應(yīng)用環(huán)境和自身特征相適應(yīng)。單位自身特征包括單位性質(zhì)、規(guī)模、發(fā)展階段、管理模式、治理水平等。

（四）成本效益原則。管理會(huì)計(jì)的應(yīng)用應(yīng)權(quán)衡實(shí)施成本和預(yù)期效益，合理、有效地推進(jìn)管理會(huì)計(jì)應(yīng)用。

第五條 管理會(huì)計(jì)應(yīng)用主體視管理決策主體確定，可以是單位整體，也可以是單位內(nèi)部的責(zé)任中心。

第六條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)包括應(yīng)用環(huán)境、管理會(huì)計(jì)活動(dòng)、工具方法、信息與報(bào)告等四要素。

第二章 應(yīng)用環(huán)境

第七條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)充分了解和分析其應(yīng)用環(huán)境。管理會(huì)計(jì)應(yīng)用環(huán)境，是單位應(yīng)用管理會(huì)計(jì)的基礎(chǔ)，包括內(nèi)外部環(huán)境。

內(nèi)部環(huán)境主要包括與管理會(huì)計(jì)建設(shè)和實(shí)施相關(guān)的價(jià)值創(chuàng)造模式、組織架構(gòu)、管理模式、資源保障、信息系統(tǒng)等因素。

外部環(huán)境主要包括國內(nèi)外經(jīng)濟(jì)、市場、法律、行業(yè)等因素。

第八條 單位應(yīng)準(zhǔn)確分析和把握價(jià)值創(chuàng)造模式，推動(dòng)財(cái)務(wù)與業(yè)務(wù)等的有機(jī)融合。

第九條 單位應(yīng)根據(jù)組織架構(gòu)特點(diǎn)，建立健全能夠滿足管理會(huì)計(jì)活動(dòng)所需的由財(cái)務(wù)、業(yè)務(wù)等相關(guān)人員組成的管理會(huì)計(jì)組織體系。有條件的單位可以設(shè)置管理會(huì)計(jì)機(jī)構(gòu)，組織開展管理會(huì)計(jì)工作。

第十條 單位應(yīng)根據(jù)管理模式確定責(zé)任主體，明確各層級以及各層級內(nèi)的部門、崗位之間的管理會(huì)計(jì)責(zé)任權(quán)限，制定管理會(huì)計(jì)實(shí)施方案，以落實(shí)管理會(huì)計(jì)責(zé)任。

第十一條 單位應(yīng)從人力、財(cái)力、物力等方面做好資源保障工作，加強(qiáng)資源整合，提高資源利用效率效果，確保管理會(huì)計(jì)工作順利開展。

單位應(yīng)注重管理會(huì)計(jì)理念、知識(shí)培訓(xùn)，加強(qiáng)管理會(huì)計(jì)人才培養(yǎng)。

第十二條 單位應(yīng)將管理會(huì)計(jì)信息化需求納入信息系統(tǒng)規(guī)劃，通過信息系統(tǒng)整合、改造或新建等途徑，及時(shí)、高效地提供和管理相關(guān)信息，推進(jìn)管理會(huì)計(jì)實(shí)施。

第三章 管理會(huì)計(jì)活動(dòng)

第十三條 管理會(huì)計(jì)活動(dòng)是單位利用管理會(huì)計(jì)信息，運(yùn)用管理會(huì)計(jì)工具方法，在規(guī)劃、決策、控制、評價(jià)等方面服務(wù)于單位管理需要的相關(guān)活動(dòng)。

第十四條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)做好相關(guān)信息支持，參與戰(zhàn)略規(guī)劃擬定，從支持其定位、目標(biāo)設(shè)定、實(shí)施方案選擇等方面，為單位合理制定戰(zhàn)略規(guī)劃提供支撐。

第十五條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)融合財(cái)務(wù)和業(yè)務(wù)等活動(dòng)，及時(shí)充分提供和利用相關(guān)信息，支持單位各層級根據(jù)戰(zhàn)略規(guī)劃做出決策。

第十六條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)設(shè)定定量定性標(biāo)準(zhǔn)，強(qiáng)化分析、溝通、協(xié)調(diào)、反饋等控制機(jī)制，支持和引導(dǎo)單位持續(xù)高質(zhì)高效地實(shí)施單位戰(zhàn)略規(guī)劃。

第十七條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)合理設(shè)計(jì)評價(jià)體系，基于管理會(huì)計(jì)信息等，評價(jià)單位戰(zhàn)略規(guī)劃實(shí)施情況，并以此為基礎(chǔ)進(jìn)行考核，完善激勵(lì)機(jī)制；同時(shí)，對管理會(huì)計(jì)活動(dòng)進(jìn)行評估和完善，以持續(xù)改進(jìn)管理會(huì)計(jì)應(yīng)用。

第四章 工具方法

第十八條 管理會(huì)計(jì)工具方法是實(shí)現(xiàn)管理會(huì)計(jì)目標(biāo)的具體手段。

第十九條 管理會(huì)計(jì)工具方法是單位應(yīng)用管理會(huì)計(jì)時(shí)所采用的戰(zhàn)略地圖、滾動(dòng)預(yù)算管理、作業(yè)成本管理、本量利分析、平衡計(jì)分卡等模型、技術(shù)、流程的統(tǒng)稱。管理會(huì)計(jì)工具方法具有開放性，隨著實(shí)踐發(fā)展不斷豐富完善。

第二十條 管理會(huì)計(jì)工具方法主要應(yīng)用于以下領(lǐng)域：戰(zhàn)略管理、預(yù)算管理、成本管理、營運(yùn)管理、投融資管理、績效管理、風(fēng)險(xiǎn)管理等。

（一）戰(zhàn)略管理領(lǐng)域應(yīng)用的管理會(huì)計(jì)工具方法包括但不限于戰(zhàn)略地圖、價(jià)值鏈管理等；

（二）預(yù)算管理領(lǐng)域應(yīng)用的管理會(huì)計(jì)工具方法包括但不限于全面預(yù)算管理、滾動(dòng)預(yù)算管理、作業(yè)預(yù)算管理、零基預(yù)算管理、彈性預(yù)算管理等；

（三）成本管理領(lǐng)域應(yīng)用的管理會(huì)計(jì)工具方法包括但不限于目標(biāo)成本管理、標(biāo)準(zhǔn)成本管理、變動(dòng)成本管理、作業(yè)成本管理、生命周期成本管理等；

（四）營運(yùn)管理領(lǐng)域應(yīng)用的管理會(huì)計(jì)工具方法包括但不限于本量利分析、敏感性分析、邊際分析、標(biāo)桿管理等；

（五）投融資管理領(lǐng)域應(yīng)用的管理會(huì)計(jì)工具方法包括但不限于貼現(xiàn)現(xiàn)金流法、項(xiàng)目管理、資本成本分析等；

（六）績效管理領(lǐng)域應(yīng)用的管理會(huì)計(jì)工具方法包括但不限于關(guān)鍵指標(biāo)法、經(jīng)濟(jì)增加值、平衡計(jì)分卡等；

（七）風(fēng)險(xiǎn)管理領(lǐng)域應(yīng)用的管理會(huì)計(jì)工具方法包括但不限于單位風(fēng)險(xiǎn)管理框架、風(fēng)險(xiǎn)矩陣模型等。

第二十一條 單位應(yīng)用管理會(huì)計(jì)，應(yīng)結(jié)合自身實(shí)際情況，根據(jù)管理特點(diǎn)和實(shí)踐需要選擇適用的管理會(huì)計(jì)工具方法，并加強(qiáng)管理會(huì)計(jì)工具方法的系統(tǒng)化、集成化應(yīng)用。

第五章 信息與報(bào)告

第二十二條 管理會(huì)計(jì)信息包括管理會(huì)計(jì)應(yīng)用過程中所使用和生成的財(cái)務(wù)信息和非財(cái)務(wù)信息。

第二十三條 單位應(yīng)充分利用內(nèi)外部各種渠道，通過采集、轉(zhuǎn)換等多種方式，獲得相關(guān)、可靠的管理會(huì)計(jì)基礎(chǔ)信息。

第二十四條 單位應(yīng)有效利用現(xiàn)代信息技術(shù)，對管理會(huì)計(jì)基礎(chǔ)信息進(jìn)行加工、整理、分析和傳遞，以滿足管理會(huì)計(jì)應(yīng)用需要。

第二十五條 單位生成的管理會(huì)計(jì)信息應(yīng)相關(guān)、可靠、及時(shí)、可理解。

第二十六條 管理會(huì)計(jì)報(bào)告是管理會(huì)計(jì)活動(dòng)成果的重要表現(xiàn)形式，旨在為報(bào)告使用者提供滿足管理需要的信息。管理會(huì)計(jì)報(bào)告按期間可以分為定期報(bào)告和不定期報(bào)告，按內(nèi)容可以分為綜合性報(bào)告和專項(xiàng)報(bào)告等類別。

第二十七條 單位可以根據(jù)管理需要和管理會(huì)計(jì)活動(dòng)性質(zhì)設(shè)定報(bào)告期間。一般應(yīng)以公歷期間作為報(bào)告期間，也可以根據(jù)特定需要設(shè)定報(bào)告期間。

第六章 附 則

第二十八條 本指引由財(cái)政部負(fù)責(zé)解釋。

第二十九條 本指引自印發(fā)之日起施行。

客戶申請通過企業(yè)網(wǎng)上銀行辦理電子銀行承兌匯票業(yè)務(wù)的，應(yīng)先向其開戶行申請注冊成為網(wǎng)上銀行證書客戶。

(1)已注冊企業(yè)網(wǎng)上銀行證書客戶需開通電子銀行承兌匯票業(yè)務(wù)的，請?zhí)峁┮韵沦Y料：企業(yè)組織機(jī)構(gòu)代碼證及復(fù)印件、法人及代理人身份證及復(fù)印件、授權(quán)書、公章、預(yù)留印鑒及法人章、開戶網(wǎng)點(diǎn)需要的其他資料。

(2)尚未注冊企業(yè)網(wǎng)上銀行證書客戶需開通電子銀行承兌匯票業(yè)務(wù)的，請?zhí)峁┮韵沦Y料：企業(yè)營業(yè)執(zhí)照正、副本及復(fù)印件、組織機(jī)構(gòu)代碼證及復(fù)印件、法人及代理人身份證及復(fù)印件、授權(quán)書、公章、預(yù)留印鑒及法人章、開戶網(wǎng)點(diǎn)需要的其他資料。2100433B

電子銀行承兌匯票在流傳、集約化管理等方面與紙質(zhì)銀行承兌匯票相比具有較大優(yōu)勢，也將是未來商業(yè)銀行業(yè)務(wù)爭奪的一種重點(diǎn)，建議商業(yè)銀行可以對以下類別客戶進(jìn)行重點(diǎn)營銷，搶占市場先機(jī)。