中信银行电子银行业务管理办法

　　（一）由金融机构法定代表人签署的增加或变更业务类型的申请；

　　（二）拟增加或变更业务类型的定义和操作流程；

　　（三）拟增加或变更业务类型的风险特征和防范措施；

　　（四）有关管理规章制度；

　　（五）申请单位联系人以及联系电话、传真、电子邮件信箱等联系方式；

　　（六）中国银监会要求提供的其他文件和资料。

　　第二十四条　业务经营活动不受地域限制的银行业金融机构（以下简称全国性金融机构），申请开办电子银行业务或增加、变更需要审批的电子银行业务类型，应由其总行（公司）统一向中国银监会申请。

　　按照有关规定只能在某一城市或地区内从事业务经营活动的银行业金融机构（以下简称地区性金融机构），申请开办电子银行业务或增加、变更需要审批的电子银行业务类型，应由其法人机构向所在地中国银监会派出机构申请。

　　外资金融机构申请开办电子银行业务或增加、变更需要审批的电子银行业务类型，应由其总行（公司）或在中华人民共和国境内的主报告行向中国银监会申请。

　　第二十五条　中国银监会或其派出机构在收到金融机构增加或变更需要审批的电子银行业务类型完整申请材料3个月内，做出批准或者不批准的书面决定；决定不批准的，应当说明理由。

　　第二十六条　其他电子银行业务类型适用报告制，金融机构增加或变更时不需申请，但应在开办该业务类型前1个月内，参照第二十三条　的有关规定，将有关材料报送中国银监会或其派出机构。

　　第二十七条　已经实现业务数据集中处理和系统整合（以下简称数据集中处理）的银行业金融机构，获准开办电子银行业务后，可以授权其分支机构开办部分或全部电子银行业务。其分支机构在开办相关业务之前，应向所在地中国银监会派出机构报告。

　　未实现数据集中处理的银行业金融机构，如果其分支机构的电子银行业务处理系统独立于总部，该分支机构开办电子银行业务按照地区性金融机构开办电子银行业务的情形管理，应持其总行授权文件，按照有关规定向所在地中国银监会派出机构申请或报告。其他分支机构只需持其总行授权文件，在开办相关业务之前，向所在地中国银监会派出机构报告。

　　外资金融机构获准开办电子银行业务后，其境内分支机构开办电子银行业务，应持其总行（公司）授权文件向所在地中国银监会派出机构报告。

　　第二十八条　已开办电子银行业务的金融机构按计划决定终止全部电子银行服务或部分类型的电子银行服务时，应提前3个月就终止电子银行服务的原因及相关问题处置方案等，报告中国银监会，并同时予以公告。

　　金融机构按计划决定停办部分电子银行业务类型时，应于停办该业务前1个月内向中国银监会报告，并予以公告。

　　金融机构终止电子银行服务或停办部分业务类型，必须采取有效的措施保护客户的合法权益，并针对可能出现的问题制定有效的处置方案。

　　第二十九条　金融机构终止电子银行服务或停办部分业务类型后，需要重新开办电子银行业务或者重新开展已停办的业务类型时，应按照相关规定重新申请或办理。

　　第三十条　金融机构因电子银行系统升级、调试等原因，需要按计划暂时停止电子银行服务的，应选择适当的时间，尽可能减少对客户的影响，并至少提前3天在其网站上予以公告。

　　受突发事件或偶然因素影响非计划暂停电子银行服务，在正常工作时间内超过4个小时或者在正常工作时间外超过8个小时的，金融机构应在暂停服务后24小时内将有关情况报告中国银监会，并应在事故处理基本结束后3日内，将事故原因、影响、补救措施及处理情况等，报告中国银监会。

第三章　风险管理

　　第三十一条　金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中，并应根据电子银行业务的运营特点，建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。

　　第三十二条　金融机构的电子银行风险管理体系和内部控制体系应当具有清晰的管理架构、完善的规章制度和严格的内部授权控制机制，能够对电子银行业务面临的战略风险、运营风险、法律风险、声誉风险、信用风险、市场风险等实施有效的识别、评估、监测和控制。

　　第三十三条　金融机构针对传统业务风险制定的审慎性风险管理原则和措施等，同样适用于电子银行业务，但金融机构应根据电子银行业务环境和运行方式的变化，对原有风险管理制度、规则和程序进行必要的和适当的修正。

　　第三十四条　金融机构的董事会和高级管理层应根据本机构的总体发展战略和实际经营情况，制订电子银行发展战略和可行的经营投资战略，对电子银行的经营进行持续性的综合效益分析，科学评估电子银行业务对金融机构总体风险的影响。

　　第三十五条　在制定电子银行发展战略时，金融机构应加强电子银行业务的知识产权保护工作。

　　第三十六条　金融机构应当针对电子银行不同系统、风险设施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类，制定适当的安全策略，建立健全风险控制程序和安全操作规程，采取相应的安全管理措施。

　　对各类安全控制措施应定期检查、测试，并根据实际情况适时调整，保证安全措施的持续有效和及时更新。

　　第三十七条　金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，采取适当的保护措施。

　　（一） 有形场所的物理安全控制，必须符合国家有关法律法规和安全标准的要求，对尚没有统一安全标准的有形场所的安全控制，金融机构应确保其制定的安全制度有效地覆盖可能面临的主要风险；

　　（二） 以开放型网络为媒介的电子银行系统，应合理设置和使用防火墙、防病毒软件等安全产品与技术，确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力；

　　（三） 对重要设施设备的接触、检查、维修和应急处理，应有明确的权限界定、责任划分和操作流程，并建立日志文件管理制度，如实记录并妥善保管相关记录；

　　（四） 对重要技术参数，应严格控制接触权限，并建立相应的技术参数调整与变更机制，并保证在更换关键人员后，能够有效防止有关技术参数的泄漏；

　　（五） 对电子银行管理的关键岗位和关键人员，应实行轮岗和强制性休假制度，建立严格的内部监督管理制度。

　　第三十八条　金融机构应采用适当的加密技术和措施，保证电子交易数据传输的安全性与保密性，以及所传输交易数据的完整性、真实性和不可否认性。

　　金融机构采用的数据加密技术应符合国家有关规定，并根据电子银行业务的安全性需要和科技信息技术的发展，定期检查和评估所使用的加密技术和算法的强度，对加密方式进行适时调整。