團體標準《電子銀行安全評估過程實施指南》

編制說明

一、工作簡況

1.1任務來源

《電子銀行安全評估過程實施指南》由廣東省網絡空間安全協(xié)會

歸口管理。

1.2主要起草單位和工作組成員

本標準由北京神州綠盟科技有限公司牽頭，網安聯(lián)認證中心有限

公司、廣州華南檢驗檢測中心有限公司、廣東新興國家網絡安全與信

息化發(fā)展研究院、北京網絡空間安全協(xié)會、廣東關鍵信息基礎設施保

護中心、國源天順科技產業(yè)集團有限公司、廣東中證聲像資料司法鑒

定所、廣州網絡空間安全協(xié)會、揭陽網絡空間安全協(xié)會等多家單位共

同參與編制。

1.3主要工作過程

（1）2024年3月，標準正式立項，協(xié)會組織參與本標準編寫的

人員啟動項目，成立規(guī)范編制小組，確立各自分工，對標準進行調研，

聽取各單位的相關意見；

（2）2024年4月-7月，編制組召開組內研討會并結合充分的

調研結果，參考各類國家標準和相關政策文件，形成標準草案第一稿；

結合各參編單位的反饋意見，修改形成標準草案第二稿；

（3）2024年8-9月，編制組召開組內研討會，基于前期成果，

1/5

經多次內部討論研究，組織完善草案內容，形成征求意見稿。

二、標準編制原則和標準編制詳細說明及解決的主要問題

2.1編制原則

本標準的研究與編制工作遵循以下原則：

（1）符合性原則

本標準使用時能夠與法律法規(guī)和國家強制性標準的要求保持一

致，符合國家相關主管部門的要求。

（2）最小影響原則

本標準規(guī)范涉及技術評估工作應盡可能小的影響系統(tǒng)和應用的

正常運行，不會對正在的運行和業(yè)務的正常提供產生顯著影響。

（3）全面性原則

風險等級評定應在全面收集銀行相關信息的基礎上，綜合全部信

息進行，范圍應覆蓋《電子銀行安全評估指引》所要求的8個方面。

2.2文檔結構

《電子銀行安全評估過程實施指南》標準文檔分為前言、范圍、

規(guī)范性引用文件、術語和定義、電子銀行安全評估原則、電子銀行安

全評估概述、電子銀行安全評估方法和電子銀行安全評價程序、附錄

A電子銀行安全評估報告模版和附錄B電子銀行安全評估內容等部

分。

2.3整體格式

整體格式根據GB/T1.1-2020《標準化工作導則第1部分：標

準化文件的結構和起草規(guī)則》的相關要求，對本標準的各要素進行編

2/5

寫和排版。

在標準內容匯總及整個各方意見過程中，對各編寫組成員提交部

分，根據GB/T1.1-2020的編寫要求進行了必要的增刪改，以確保

符合一致性、協(xié)調性、易用性等文件的表述原則及相關規(guī)定。

2.4標準名稱英文翻譯

標準的名稱“電子銀行安全評估過程實施指南”翻譯為

GuidelinesforImplementingtheSecurityAssessmentProcess

forElectronicBanking。

2.5術語和定義

術語和定義中所列的術語的英文翻譯，如有類似術語的標準，參

考了其翻譯，沒有類似術語標準翻譯的，通過百度翻譯和谷歌翻譯后

進行對比，并參考網絡相關翻譯后進行確定。

2.6電子銀行安全評估原則

電子銀行安全評估原則包括全面性、系統(tǒng)性、公正性、重要性、

保密性、最小影響原則。

2.7電子銀行安全評估概述

本章主要闡述了電子銀行安全評估的定義和說明。是指金融機構

在開展電子銀行業(yè)務過程中，對電子銀行的安全策略、內控制度、風

險管理、系統(tǒng)安全、客戶保護等方面進行的安全測試和管控能力的考

察與評價。

2.8電子銀行安全評估方法

3/5

本章主要介紹了電子銀行評估是針對電子銀行業(yè)務，采用相關的

評估手段，獲取相關的證據數(shù)據，給出評估結論。主要通過安全策略

評估、管理問卷評估、安全顧問訪談、網絡架構分析、人工安全檢查、

安全漏洞掃描、滲透測試和安全配置核查的方法實現(xiàn)。

2.9電子銀行安全評估程序

本章主要介紹了電子銀行安全評估風險等級、電子銀行安全評估

標準和電子銀行安全評估評價程序。描述了風險等級的劃分標準，電

子銀行8個檢查方面與具體檢查項細化的評價標準和評分的計算邏輯

和評級等級劃分。

2.10附錄A電子銀行安全評估報告

本附錄主要介紹了《電子銀行安全評估報告》輸出的模版格式要求

和內容概述。

2.11附錄B電子銀行安全評估內容詳情

本附錄主要介紹了所要求的8個檢查方面與具體檢查項，包括安

全策略、內控制度建設、風險管理狀況、系統(tǒng)安全性、電子銀行業(yè)務

連續(xù)性計劃、電子銀行業(yè)務運行應急計劃、電子銀行風險預警體系和

其他重要安全環(huán)節(jié)和機制的管理的二級子類和指標項具體檢查內容。

三、知識產權情況說明

本標準不涉及專利。

四、采用國際標準和國外先進標準情況

無采用國際標準和國外先進標準情況。

五、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性

4/5

建議本標準推薦性實施。本標準不觸犯國家現(xiàn)行法律法規(guī)，不與

其他強制性國標相沖突。

六、重大分歧意見的處理經過和依據

《電子銀行安全評估過程實施指南》編制過程中未出現(xiàn)重大分歧。

七、標準性質的建議

建議《電子銀行安全評估過程實施指南》作為推薦性團體標準發(fā)

布實施。

八、貫徹標準的要求和措施建議

本標準是對商業(yè)銀行電子銀行業(yè)務作出評估規(guī)范要求標準。通過

規(guī)范的評估，確保電子銀行業(yè)務的安全性，提升整體信息安全水平。

九、替代或廢止現(xiàn)行相關標準的建議

無替代或廢止。

十、其他應予說明的事項

無。

《電子銀行安全評估過程實施指南》