銀發〔2002〕102號

    中國人民銀行各分行、營業管理部，各政策性銀行、國有獨資商業銀行、股份制商業銀行：

    現就實施《網上銀行業務管理暫行辦法》（中國人民銀行令〔2001〕第6號，以下簡稱《辦法》）有關問題通知如下:

    一、關於網上銀行業務的準入

    （一）網上銀行業務的準入程式

    根據《辦法》第七條和第九條的規定，人民銀行對銀行機構開辦網上銀行業務的市場準入，實行“一級監管”的原則，即：各類銀行機構首次開辦網上銀行業務，應由其總行向人民銀行總行、分行或營業管理部申請。銀行在獲准開辦網上銀行業務後，如需要增加網上銀行業務品種，應由其總行或主報告行向人民銀行總行、分行或營業管理部申請。

    銀行通過網際網路增開無需人民銀行審批或備案的業務品種，由其總行或主報告行事前向人民銀行總行、分行或營業管理部書面報告即可開辦，無需人民銀行回復。

    中外合資銀行、外商獨資銀行、外國銀行分行的總行或主報告行、以及總部在北京以外地區的股份制商業銀行在向人民銀行總行提交申請或報告的同時，應抄送人民銀行相應分行或營業管理部、以及當地管轄行。在審查期間，人民銀行相應分行、營業管理部或當地管轄行如有不同意見，可及時向人民銀行總行反饋。

    銀行分支機構或主報告行以外的其他外國銀行分行在其總行或主報告行已獲批准的網上銀行業務範圍內增開網上銀行業務，在取得其內部授權後，於事前向人民銀行當地管轄行提交書面報告後即可開辦，無需人民銀行回復。

    人民銀行當地管轄行收到銀行分支機構或主報告行以外的其他外國銀行分行的報告後，應及時對該機構開展網上銀行業務的情況進行監督檢查，及時向人民銀行上級行報告發現的問題。

    對事前未向人民銀行報告即新開網上銀行業務的商業銀行，人民銀行有權依據《辦法》第二十六條給予相應處罰。

    （二）網上銀行業務的準入形式

    對適用備案制的網上銀行業務申請，統一用“備案通知書”回復商業銀行，由人民銀行監管部門加蓋本部門公章後直接發出。

    對適用審批制的網上銀行業務申請，人民銀行行文批復商業銀行。

    （三）應補充報送的資料

    銀行機構首次申請開辦網上銀行業務，除按《辦法》第八條報送有關資料外，還應按照《辦法》第八條第（八）項的要求提供以下資料和資訊：

    （一）註冊的網站名；

    （二）演示光碟，顯示用戶界面並介紹申請機構業務運作系統的基本結構；

    （三）外國銀行分行還應報告其母行網上銀行業務的開展情況，具體內容包括業務品種、業務規模、風險管理措施等。

    二、開辦網上銀行業務申請的審查要點

    審查銀行機構開辦網上銀行業務的申請，人民銀行監管部門應掌握以下要點：

    （一）風險管理能力

    網上銀行業務申請機構應配備合格的管理人員和專業人員，應建立識別、監測、控制和管理網上銀行業務風險的方法與管理制度。

    （二）安全性評估

    銀行開辦網上銀行業務，應對其業務運作的安全性進行評估。人民銀行監管部門在對銀行該項工作的審查過程中，應把握以下方面：

    1、安全性評估應由合格的機構或組織實施。

    銀行選擇的評估機構可以是銀行的內部審計部門、或主管部門認可的外部評估機構、或由銀行自行組織的專家委員會。衡量評估機構或組織是否合格，要考慮評估機構或組織是否獨立於網上銀行業務系統的開發部門和運作部門，是否擁有專業評估人員。專業評估人員應掌握國際和國內相關行業的行業標準和專業技能，應能勝任對網上銀行業務安全性的評估。

    2、應向人民銀行提交安全評估報告。安全評估報告應至少滿足以下要求：

    （1）評估報告應列明評估的範圍。評估應突出對資訊系統安全的評估，包括安全策略、物理安全、數據通訊安全、應用系統安全等方面的內容。

    （2）評估報告應列明評估所依據的國內和國際標準，判斷網上銀行業務運作系統是否符合標準。

    （3）評估報告應指出安全隱患和提出整改的建議，並對網上銀行業務的安全性做出明確的結論。

    （4）評估報告應由相關責任人簽字。一是要由評估機構或組織的負責人簽字。如果是由銀行自行組織的專家委員會評估，則報告應明確提示每位專家負責評估的部分，並由每一位專家簽字；如果是由銀行的內部審計部門或外部評估機構評估，則評估報告要由內部審計部門或外部評估機構的第一負責人簽字。二是評估報告要經銀行的主管部門負責人、主管行長或行長簽字，確認評估結論。

    《辦法》頒布前，經人民銀行批准已開辦網上銀行業務的銀行機構，應根據《辦法》及本通知的要求，對網上銀行業務運作的安全性進行重新評估，提交補充評估報告。

    （三）網上銀行業務運作應急和業務連續性計劃

    銀行業務運作應急和連續性計劃至少應包括以下四個方面的內容：

    1、系統的備份情況，包括軟硬體的備份和數據的備份。重點審核備份系統核心繫統（例如電腦主機）的安放位置、備份系統的安全水準。備份系統核心繫統的安放位置應足以保證在當前系統無法運作時不會受到影響，備份系統的安全水準應不低於當前系統的安全水準。

    2、對意外事故的處理。主要指在自然災害或突發性事件（例如地震、電擊、非正常斷電、外力帶來的物理性損毀等）導致系統突然停頓、業務中斷情況下的應對措施和實施程式，包括啟用備用設備、恢復系統和數據的措施等。

    3、對非法侵入或攻擊的處理。主要指在遭到內外部的非法侵入和攻擊而導致數據被竊、資金損失、程式混亂、系統癱瘓等情況下的應對措施和實施程式。

    4、對業務運作應急計劃和連續性計劃的科學性和有效性進行定期測試的制度安排，包括：（1）具有定期測試的時間安排；（2）測試應在高級管理層的直接監督之下；（3）對測試中發現的問題應及時解決，等。

    （四）內部監控能力

    網上銀行業務申請機構應建立網上銀行業務審計制度，應配備相應的網上銀行業務審計人員。

    三、對網上銀行業務的監管和報告要求

    人民銀行現有對傳統銀行業務的風險監管要求對網上銀行業務仍然適用，但應充分認識網上銀行業務監管工作的複雜性和艱巨性，突出對技術性風險的監管，督促銀行機構加強對網上銀行業務運作安全的檢查，並加強對網上銀行業務監管人員的培訓，建立網上銀行業務專業監管力量。

    同時，人民銀行應督促商業銀行建立網上銀行業務資訊管理系統，按以下要求向人民銀行報告網上銀行業務經營情況和存在的問題：

    一是定期向人民銀行及分支機構的監管部門和統計部門報送《網上銀行業務基本情況統計表》，于每年4月10日、7月10日、10月10日之前報送上一季度的網上銀行業務開展情況，于每年1月10日之前報送上一年度第四季度的網上銀行業務開展情況，于每年1月20日之前報送上一年度全年的網上銀行業務開展情況；

    二是每年初應就上一年度網上銀行業務的基本情況、存在問題和下一年度的發展計劃向人民銀行監管部門報送總結報告；

    三是根據《辦法》二十四條建立網上銀行業務運作重大事項報告制度，及時向監管當局報告網上銀行業務經營過程中發生的重大泄密、駭客侵入、網址更名等重大事項。

    各銀行機構應按規定的報告格式，自2002年第1季度始向人民銀行報告網上銀行業務開展情況。對未按要求報告網上銀行業務基本情況及風險狀況的銀行機構，人民銀行監管部門有權按有關規定進行處罰。

    四、其他事項

    根據《中華人民共和國商業銀行法》的規定，城市信用合作社、農村信用合作社和郵政儲蓄機構開辦網上銀行業務，可參照《辦法》執行。

    請人民銀行各分行、營業管理部接此文後，及時轉發至轄區內的外資銀行等相關金融機構。

    新華社 2002-4-23