(一) 由于安全漏洞导致系统被攻击瘫痪,修复运行的;
(二) 电子银行系统进行重大更新或升级后,出现系统意外停机12小时以上的;
(三) 电子银行关键设备与设施更换后,出现重大事故修复后仍不能保持连续不间断运行的;
(四) 基于电子银行安全管理需要立即评估的。
第四十条 金融机构对电子银行外部安全评估机构的选聘,应由金融机构的董事会或高级管理层负责。
第四十一条 已实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务不需单独进行安全评估,在总行(公司)的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。
第四十二条 未实现数据集中管理的银行业金融机构,其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的,分支机构的电子银行系统应在总行(公司)的统一管理和指导下,按照有关规定进行安全评估。
第四十三条 电子银行主要业务处理系统设置在境外的外资金融机构,其境外总行(公司)已经进行了安全评估且符合本指引有关规定的,其境内分支机构开展电子银行业务不需单独进行安全评估,但应按照本指引的有关要求,向监管部门报送安全评估报告。
第四十四条 电子银行主要业务处理系统设置在境内的外资金融机构,或者虽设置在境外但其境外总行(公司)未进行安全评估或安全评估不符合本指引有关规定的,应按规定开展电子银行安全评估工作。
第四十五条 电子银行安全评估工作,确需由多个评估机构共同承担或实施时,金融机构应确定一个主要的评估机构协调总体评估工作,负责总体评估报告的编制。
金融机构将电子银行系统委托给不同的评估机构进行安全评估,应当明确每个评估机构安全评估的范围,并保证全面覆盖了应评估的事项,没有遗漏。
第四十六条 金融机构应在签署评估协议后两周内,将评估机构简介、拟采用的评估方案和评估步骤等,报送中国银监会。
第四十七条 中国银监会根据监管工作的需要,可派员参加金融机构电子银行安全评估工作,但不作为正式评估人员,不提供评估意见。
