第三十九条 金融机构开办电子银行业务后，有下列情形之一的，应立即组织安全评估：（一） 由于安全漏洞导致系统被攻击瘫痪，修复运行的；（二） 电子银行系统进行重大更新或升级后，出现系统意外停机12小时以上的；（三） 电子银行关键设备与设施更换后，出现重大事故修复后仍不能保持连续不间断运行的；（四） 基于电子银行安全管理需要立即评估的。第四十条 金融机构对电子银行外部安全评估机构的选聘，应由金融机构的董事会或高级管理层负责。第四十一条 已实现数据集中管理的银行业金融机构，其分支机构开展电子银行业务不需单独进行安全评估，在总行（公司）的电子银行安全评估中应包含对其分支机构电子银行安全管理状况的评估。第四十二条 未实现数据集中管理的银行业金融机构，其分支机构开展电子银行业务且拥有独立的业务处理设备与系统的，分支机构的电子银行系统应在总行（公司）的统一管理和指导下，按照有关规定进行安全评估。第四十三条 电子银行主要业务处理系统设置在境外的外资金融机构，其境外总行（公司）已经进行了安全评估且符合本指引有关规定的，其境内分支机构开展电子银行业务不需单独进行安全评估，但应按照本指引的有关要求，向监管部门报送安全评估报告。第四十四条 电子银行主要业务处理系统设置在境内的外资金融机构，或者虽设置在境外但其境外总行（公司）未进行安全评估或安全评估不符合本指引有关规定的，应按规定开展电子银行安全评估工作。第四十五条 电子银行安全评估工作，确需由多个评估机构共同承担或实施时，金融机构应确定一个主要的评估机构协调总体评估工作，负责总体评估报告的编制。金融机构将电子银行系统委托给不同的评估机构进行安全评估，应当明确每个评估机构安全评估的范围，并保证全面覆盖了应评估的事项，没有遗漏。第四十六条 金融机构应在签署评估协议后两周内，将评估机构简介、拟采用的评估方案和评估步骤等，报送中国银监会。第四十七条 中国银监会根据监管工作的需要，可派员参加金融机构电子银行安全评估工作，但不作为正式评估人员，不提供评估意见。第四十八条 评估机构应本着客观、公正、真实和自主的原则，开展评估活动，并严格保守在评估过程中获悉的商业机密。第四十九条 在评估过程中，委托机构和评估机构之间应建立信息保密工作机制：（一） 评估过程中，调阅相关资料、复制相关文件或数据等，都应建立登记、签字制度；（二） 调阅的文件资料应在指定的场所阅读，不得带出指定场所；（三） 复制的文件或数据一般也不应带出工作场所，如确需带出的，必须详细登记带出文件或数据名称、数量、带出原因、文件与数据的最终处理方式、责任人等，并由相关负责人签字确认；（四） 评估过程中废弃的文件、材料和不再使用的数据，应立即予以销毁或删除；（五） 评估工作结束后，双方应就有关机密数据、资料等的交接情况签署说明。第五十条 金融机构在收到评估机构评估报告的1个月内，应将评估报告报送中国银监会。金融机构报送评估报告时，可对评估报告中的有关问题作必要的说明。第五十一条 未经监管部门批准，电子银行安全评估报告不得作为广告宣传资料使用，也不得提供给除监管部门以外的第三方机构。第五十二条 对未按有关要求进行的安全评估，或者评估程序、方法和评估报告存在重要缺陷的安全评估，中国银监会可以要求金融机构进行重新评估。第五十三条 中国银监会根据监管工作的需要，可以自己组织或委托评估机构对金融机构的电子银行系统进行安全评估，金融机构应予以配合。第五十四条 中国银监会根据监管工作的需要，可直接向评估机构了解其评估的方法、范围和程序等。第五十五条 对于评估报告中所反映出的问题，金融机构应采取有效的措施加以纠正。第五章 附则第五十六条 本指引由中国银监会负责解释。第五十七条 本指引自2006年3月1日起施行。