隨著互聯網信息技術的不斷發展，銀行展業模式發生了巨大的變化。越來越多的銀行業務完成了線上化、移動化遷移。電子銀行系統業務功能、形態也在不斷更新、迭代。線上、移動端用戶規模日益龐大，小程序、開放銀行等新興形態的業務占比越來越大。

伴隨著電子銀行系統重要性提升，電子銀行面臨的威脅種類越來越多，風險越來越大。針對銀行業發動系統攻擊的黑客數量越來越多，攻擊手段也越來越復雜。銀行業信息安全問題引起各界關注，并被認為達到關系社會安定發展的高度。

面對種種外在威脅存在的嚴峻形勢，銀行業需要更加重視電子銀行的安全性，結合系統特性，有針對性地開展電子銀行信息安全保障工作。

電子銀行安全評估的合規需求

人民銀行在2020年2月修訂的《網上銀行系統信息安全通用規范》（JR/T0068-2020）中要求應每年至少開展一次對網上銀行系統的信息安全風險評估及深度信息安全檢測工作。

銀保監會在《電子銀行業務管理辦法》中也要求銀行不長于兩年進行一次電子銀行系統安全評估。

因此，銀行機構定期開展電子銀行安全評估已成為信息安全合規工作的必選項。通過電子銀行評估，銀行機構可及時、全面發現電子銀行業務系統在管理、技術和業務方面存在的問題，消減信息安全風險，建立更完善的電子銀行系統安全事件防范預警機制，保障電子銀行業務安全運行，提升電子銀行風險防控能力和業務競爭力，滿足國家和行業監管要求。

電子銀行安全評估的工作內容

電子銀行安全評估會展開的工作有哪些？主要依據銀保監會發布的《電子銀行安全評估指引》，并參考人民銀行發布的《網上銀行系統信息安全通用規范》內容，對銀行業金融機構電子銀行業務的安全策略、內控制度建設、風險管理狀況、系統安全性、業務運行連續性、業務運行應急計劃、風險預警體系等方面的安全性進行深入分析和評估，提出有針對性的對策和建議。

電子銀行安全評估的常見手段

電子銀行安全評估一般從電子銀行系統入手，分別針對安全管理、技術安全、業務安全三個層面進行剖析。

安全管理方面

通過制度審查、流程記錄復核、訪談、流程追查等手段，評估電子銀行安全管理框架及體系的健全性、符合性和有效性。

技術安全方面

通過安全配置核查、漏洞掃描、滲透測試、機房能力測評等技術手段，對電子銀行的數據通訊安全、應用系統安全、客戶端安全、密鑰管理、客戶信息認證與保密等進行評估，并根據評估結論提供行之有效的風險改善方案。

業務安全層面

通過穿行測試、業務流程梳理、控制措施驗證等手段，對電子銀行中的業務流程安全性進行分析，將業務安全測試覆蓋到每一個業務操作點，尋找業務邏輯、權限控制問題等風險點，充分挖掘業務風險。

中國金融認證中心（CFCA）擁有一支高素質金融行業信息安全專業技術人才隊伍，長期為主管部門、監管部門的行業標準制定工作提供技術支撐，并在銀行業內廣泛開展電子銀行安全評估服務，為電子銀行安全合規工作精準把脈，為電子銀行風險管理工作守望助力。

責任編輯：韓希宇