,l‘、tIJ特兰.J 谢宗晓博士 “十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起,从事信息安 全风险评估与信息安全管理体系的咨询与培训工作。目前,已发表论文80多篇,出版专著近2()本。 信息安全管理系列之四十 信息安全实践,尤其是最佳实践(best practice)等,从通用领域转向细分领域已经成为业界的 共识,例如,工控系统的风险评估,就已经成为专门的领域,这种趋势在金融行业内亦不例外。电 子银行业务是对信息系统高度依赖的金融服务,因此其技术风险管理在其中非常重要,下文对电子 银行风险管理及其行业监管进行了梳理。 谢宗晓(特约编辑) I一 及其行业监管梳理 摘要:梳理了电子银行安全相关的监管制度,包括巴塞尔银行监管委员会发布的报告、中国人民银行和中国银行业监督 管理委员会发布的监管文件,以及新加坡金融管理局和香港金融管理局的相关监管制度。 关键词:电子银行金融监管网络银行/网上银行 Electronic Banking Risk Management and Supervision Xie Zongxiao(China Financial Certiifcation Authority) Chen Lin(Shandong University of Science and Technology) Abstract:This paper reviews the regulatory system of electronic banking security,including the report issued by the Basel Committee on Banking Supervision,the regulatory documents issued by the PBC and the CBEC,and the relevant regulatory systems of the MAS and the HKMA. Key words:electronic banking/e—banking.financial supe ̄ision,internet banking ..40.. 玉 管委员会(Basel Committee on Banking Supervision) 1 概念 电子银行(electronic banking or e—banking)是一 在1998年3月发布的《电子银行与电子货币风险管 理》(Risk Management for Electronic Banking and 个广义的概念,在《电子银行业务管理办法》(中 国银行业监督管理委员会令[2006]第5号)中将其 定义为商业银行等银行业金融机构利用面向社会公 众开放的通讯通道或开放型公众网络,以及银行为 特定自助服务设施或客户建立的々用网络,向客户 Electronic Money Activities),但是在该报告巾,电 子银行的范围主要指通过电子渠道提供零售与小额 银行产品和服务,包括商业POS机终端,ATM自动 柜员机,电话自动应答服务,个人计算机,智能卡 等。在脚注中,特别指出电子银行业务不包括大额 提供的银行服务。根据这个定义,电子银行及其风 险主要如图I所示。 电子支付以及其他电子方式传送的批发银行业务 . 1999年1 1月,巴塞尔银行监管委员会建立电 子银行组(Electronic Banking Group,EBG), 网上银行/网络银行业务 电子银行业务 Web安全等 。电信诈骗等 并在2000年10月发布了《电子银行组倡议及白皮 书》(Electronic,Banking Group Initiatives and White 电话银行业务 Papers),在该白皮书中,加入了新的媒介,例如 Internet,但是电子银行的定义与范嗣并没有大的 变化。 手机银行业务 手机安全等 其他通过电子的客户自助服务 图1电子银行的业务分类 2001年5月,EBG发布了《电子银行风险管理 原则》(Risk Management Principles for Electronic Banking),并且在2003年7月进行了改版,这个报 告对电子银行的定义特别强调了电子银行包括大额 如图l所示,一般认为,网上银行/网络银行 (Internet Banking)是电子银行的一种,这个包含 关系在《香港货币银行用语汇编》¨ 中也有清晰的 定义。 电子支付以及其他电子方式传送的批发银行业务。 《电子银行风险管理原则》包含了I4项原则,其中 2 巴塞尔银行监管委员会相关报告 对电子银行的监管最早始于国际清算银行 (Bank for International Settlements)巴塞尔银行监 特别指l叶I,这不是“最佳实践”,而是“指南”。 巴塞尔银行监管委员会发布的相关报告顺序, 如图2所示。 o固 期行 电子银行与电子货币 风险管理 电子银行 风险管理原则 电子银行 曩 e 电子银行组 Revised 倡仪及自皮书 图2巴塞尔银行监管委员会发布的相关报告 .41. 过因特网提供的金融服务。”在中国人民银行公告 3国内的电子银行监管文件梳理 国内对于电子银行以及网上银行的监管也比较 早,一般认为,最早发布的监管文件是《网上银行 业务管理暂行办法》(中国人民银行令[2001]第 [2007]第4号,宣布该文废止。更有指导意义的 是中国人民银行发布的JR厂I1 0068--2012《网上银行 系统信息安全通用规范》12]。 中国人民银行发布的主要监管文件的梳理,如 图3所示。 6号)(以下简称《暂行办法》),其中第三条中 指出了“本办法所称网上银行业务,是指银行通 中国人民银行令l___ (2OO1)第6号 5中国人民银付 11.E Pl ●E’S B^●●K OF aⅢH^ 2001 06 9 网上银行 2007 01 废止 八堡亘。 5版 68--2012 图3中国人民银行发布的相关监管文件 中国银行业监督管理委员会在2006年公布了 同而产生差异,监管网上银行有依据,而监管其他 《电子银行业务管理办法》(中国银行业监督管理 委员会令[2006]第5号)和《电子银行安全评估指 引》(银监发[2006]9号),这两个监管文件同时 为了解决《暂行办法》中存在的一些问题,具体引 述如下”J: 类似银行业务“无法可依”,不利于真正控制电子 银行的风险;另一方面《暂行办法》也与国际上 以网络银行(Internet Banking)或电子银行(Electronic Banking,E—Banking)作为法律规范对象的通常做法差 异较大,不利于跨境电子银行业务的监管。 中国银行业监督管理委员会的主要监管文件梳 理,如图4所示。 《暂行办法》仅对网上银行业务(0nline Banking)¨进行规范,一方面导致对同一电子银 行平台上相同风险的监管,因客户所使用的设备不 银监办发(2007)134号1 2006 1 ] ,一———————————一 201 11 1 I|} 电子银行 银监办便函(2011)549与 图4中国银行业监督管理委员会发布的相关监管文件 1)从JPJT 0068--2012推测《网上银行业务管理暂行办法》中所指的“网上银行”,应该是“网络银行”的同义词,英文中都可以对I ̄Intemet Banking。事 实上,在没有专门定义的情况下,电子银行的概念最好考虑上下文的语境,铡如,《关于做好网上银行风险管理和服务的通知》(银监办发[2007]134 号)中“六、其他银行业金融机构开展网上银行(电子银行)业务,应按照本通知中的各项要求执行。”在此处,网上银行和电子银行就没必要做刻意的 区分。 .42. l玉 风险管理框架。在2013年7月发布的《技术风险管理 4其他可以参考的监管制度 国外对电子银行的监管制度,我们主要参考新 加坡金融管理局(Monetary Authority of Singapore, MAS)和香港金融管理局(Hong Kong Monetary Authority,HKMA)。 指南》(Technology Risk Management Guidelines), 依然保持了这个风格,其中,第4章,将风险管理的 过程分为:风险识别、风险评估、风险应对、风险 监视与报告。 值得指出的是,MAS在2008年版《网络银行技 术风险管理》的定义明确指出, “在合适的场合, 网络银行可以认为是在线(网上)金融服务的同义 词。”这个论断也佐证了图1的分类。 新加坡金融管理局的主要监管文件梳理,如图5 所示: 新加坡金融管理局的监管制度有一个明显的特 点,就是在风险管理的框架下考虑技术安全问题。 MAS ̄-:2001年3月公布了《网络银行技术风险管理》 (Internet Banking Technology.Risk Management),并 在之后经历了数次改版,无论哪个版本,都提供了 网上银行技术风险管理 Mar 2001 Version 1.0 … JUI 2001Version 1.1Sep 2O02 Version 1.2 —— Ju 2003 Version 2.0 Jun 2008 Version 3.0 技术风险管理指弓 —————————————————— 图5新加 件 香港金融管理局在2000年7月发布了《电子银行 服务安全风险管理》(Management of Security Risks in Electronic Banking Services),在本文中讨论的诸 多概念也参考了《香港货币银行用语汇编》。 5小结 参考文献 [1]http://www.hkma.gov.hk/gdbook/gb—chi/main/ indexc.shtmI. _[2]李东荣.《网上银行系统信息安全通用规范》解读[M].北 京:中国金融出版社,2017. 普遍认为,信息安全的主要目标是控制风险, 因此,对于电子银行技术风险而言,在整体的风险 管理框架下考虑更为合理。例如,现有的风险管理 [3]中国银监会就电子银行安全评估指引答问(实录)[EB/ OL],http://www.huaxia.com/xw/dl/2006/O041 7661. [4]htmI. 谢宗晓.信息安全风险管理相关词汇定义与解析 .中国 框架一般要包括:风险识别、风险评价、风险评估 和风险应对等多个过程 】,组织可以由此结合巴 [5]标准导报,2016(04):26-29. 谢宗晓,刘立科.信息安全风险评估/管理相关国家标准 塞尔银行监管委员会发布的《电子银行风险管理原 则》,建立适合组织特点的电子银行风险管理框 架,然后在此基础上,再考虑具体的技术细节。 (注:本文仅做学术探讨,与作者所在单位观点无关) [6]介绍[J]_中国标准导报,2016(05):30—33. 赵战生,谢宗晓.信息安全风险评估(第2版)[M].北 京:中国标准出版社,2016. .43.
