隨著互聯(lián)網(wǎng)信息技術(shù)的不斷發(fā)展，銀行展業(yè)模式發(fā)生了巨大的變化。越來越多的銀行業(yè)務(wù)完成了線上化、移動化遷移。電子銀行系統(tǒng)業(yè)務(wù)功能、形態(tài)也在不斷更新、迭代。線上、移動端用戶規(guī)模日益龐大，小程序、開放銀行等新興形態(tài)的業(yè)務(wù)占比越來越大。

(資料圖片僅供參考)

伴隨著電子銀行系統(tǒng)重要性提升，電子銀行面臨的威脅種類越來越多，風(fēng)險越來越大。針對銀行業(yè)發(fā)動系統(tǒng)攻擊的黑客數(shù)量越來越多，攻擊手段也越來越復(fù)雜。銀行業(yè)信息安全問題引起各界關(guān)注，并被認為達到關(guān)系社會安定發(fā)展的高度。

面對種種外在威脅存在的嚴峻形勢，銀行業(yè)需要更加重視電子銀行的安全性，結(jié)合系統(tǒng)特性，有針對性地開展電子銀行信息安全保障工作。

電子銀行安全評估的合規(guī)需求

人民銀行在2020年2月修訂的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（JR/T0068-2020）中要求應(yīng)每年至少開展一次對網(wǎng)上銀行系統(tǒng)的信息安全風(fēng)險評估及深度信息安全檢測工作。

銀保監(jiān)會在《電子銀行業(yè)務(wù)管理辦法》中也要求銀行不長于兩年進行一次電子銀行系統(tǒng)安全評估。

因此，銀行機構(gòu)定期開展電子銀行安全評估已成為信息安全合規(guī)工作的必選項。通過電子銀行評估，銀行機構(gòu)可及時、全面發(fā)現(xiàn)電子銀行業(yè)務(wù)系統(tǒng)在管理、技術(shù)和業(yè)務(wù)方面存在的問題，消減信息安全風(fēng)險，建立更完善的電子銀行系統(tǒng)安全事件防范預(yù)警機制，保障電子銀行業(yè)務(wù)安全運行，提升電子銀行風(fēng)險防控能力和業(yè)務(wù)競爭力，滿足國家和行業(yè)監(jiān)管要求。

電子銀行安全評估的工作內(nèi)容

電子銀行安全評估會展開的工作有哪些？主要依據(jù)銀保監(jiān)會發(fā)布的《電子銀行安全評估指引》，并參考人民銀行發(fā)布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》內(nèi)容，對銀行業(yè)金融機構(gòu)電子銀行業(yè)務(wù)的安全策略、內(nèi)控制度建設(shè)、風(fēng)險管理狀況、系統(tǒng)安全性、業(yè)務(wù)運行連續(xù)性、業(yè)務(wù)運行應(yīng)急計劃、風(fēng)險預(yù)警體系等方面的安全性進行深入分析和評估，提出有針對性的對策和建議。

電子銀行安全評估的常見手段

電子銀行安全評估一般從電子銀行系統(tǒng)入手，分別針對安全管理、技術(shù)安全、業(yè)務(wù)安全三個層面進行剖析。

安全管理方面

通過制度審查、流程記錄復(fù)核、訪談、流程追查等手段，評估電子銀行安全管理框架及體系的健全性、符合性和有效性。

技術(shù)安全方面

通過安全配置核查、漏洞掃描、滲透測試、機房能力測評等技術(shù)手段，對電子銀行的數(shù)據(jù)通訊安全、應(yīng)用系統(tǒng)安全、客戶端安全、密鑰管理、客戶信息認證與保密等進行評估，并根據(jù)評估結(jié)論提供行之有效的風(fēng)險改善方案。

業(yè)務(wù)安全層面

通過穿行測試、業(yè)務(wù)流程梳理、控制措施驗證等手段，對電子銀行中的業(yè)務(wù)流程安全性進行分析，將業(yè)務(wù)安全測試覆蓋到每一個業(yè)務(wù)操作點，尋找業(yè)務(wù)邏輯、權(quán)限控制問題等風(fēng)險點，充分挖掘業(yè)務(wù)風(fēng)險。

中國金融認證中心（CFCA）擁有一支高素質(zhì)金融行業(yè)信息安全專業(yè)技術(shù)人才隊伍，長期為主管部門、監(jiān)管部門的行業(yè)標(biāo)準(zhǔn)制定工作提供技術(shù)支撐，并在銀行業(yè)內(nèi)廣泛開展電子銀行安全評估服務(wù)，為電子銀行安全合規(guī)工作精準(zhǔn)把脈，為電子銀行風(fēng)險管理工作守望助力。

關(guān)鍵詞： 安全評估 信息安全 安全管理