(一) 保障业务连续运营的设备和系统能力;
(二) 保证业务连续运营的制度安排和执行情况。
第三十三条 电子银行业务运行应急计划的评估,应至少包括以下内容:
(一) 电子银行应急制度建设与执行情况;
(二) 电子银行应急设施设备配备情况;
(三) 定期、持续性检测与演练情况;
(四) 应对意外事故或外部攻击的能力。
第三十四条 评估机构应制定本机构电子银行安全评定标准,在进行安全评估时,应根据委托机构的实际情况,确定不同评估内容对电子银行总体风险影响程度的权重,对每项评估内容进行评分,综合计算出被评估机构电子银行的风险等级。
第三十五条 评估完成后,评估机构应及时撰写评估报告,并于评估完成后1个月内向委托机构提交由其法定代表人或其授权委托人签字认可的评估报告。
第三十六条 评估报告应至少包括以下内容:
(一) 评估的时间、范围及其他协议中重要的约定;
(二) 评估的总体框架、程序、主要方法及主要评估人员介绍;
(三) 不同评估内容风险权重的确定标准,风险等级的计算方法,以及风险等级的定义;
(四) 评估内容与评估活动描述;
(五) 评估结论;
(六) 对被评估机构电子银行安全管理的建议;
(七) 其他需要说明的问题;
(八) 主要术语定义和所采用的国际或国内标准介绍(可作为附件);
(九) 评估工作流程记录表(可作为附件);
(十) 评估机构参加评估人员名单(可作为附件)。
在评估结论中,评估机构应采用量化的办法表明被评估机构电子银行的风险等级,说明被评估机构电子银行安全管理中存在的主要问题与隐患,并提出整改建议。
第三十七条 评估报告完成并提交委托机构后,如需修改,应将修改的原因、依据和修改意见作为附件附在原报告之后,不得直接修改原报告。
第四章 安全评估活动的管理
第三十八条 金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行系统进行安全评估。
第三十九条 金融机构开办电子银行业务后,有下列情形之一的,应立即组织安全评估:
