日韩高清亚洲日韩精品一区二区_亚洲成a人片在线观看无码_有奶水三级电视频_婷婷五月天激情综合影院

銀監(jiān)發(fā)〔2013〕5號(hào)《中國銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引的通知》【全文廢止】

瀏覽量:          時(shí)間:2022-01-05 03:25:54

中國銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引的通知【全文廢止】





銀監(jiān)發(fā)〔2013〕5號(hào)



全文廢止,廢止依據(jù):2021年12月30日發(fā)布的《中國銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知》(銀保監(jiān)辦發(fā)〔2021〕141號(hào))






 




中國銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引的通知

各銀監(jiān)局,各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司,郵儲(chǔ)銀行,各省級(jí)農(nóng)村信用聯(lián)社,銀監(jiān)會(huì)直接監(jiān)管的信托公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司:

現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》印發(fā)給你們,請(qǐng)遵照?qǐng)?zhí)行。






 

中國銀監(jiān)會(huì)

2013年2月16日








銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引




第一章 總則





第一條 為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng),降低信息科技外包風(fēng)險(xiǎn),根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī),制定本指引。

第二條 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū))農(nóng)村信用社聯(lián)合社適用本指引。銀監(jiān)會(huì)監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。

第三條 本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為,包含項(xiàng)目外包、人力資源外包等形式。原則上包括以下類型:

(一)研發(fā)咨詢類外包:科技管理及科技治理等咨詢?cè)O(shè)計(jì)外包,規(guī)劃、需求、系統(tǒng)開發(fā)、測(cè)試外包;

(二)系統(tǒng)運(yùn)行維護(hù)類外包:包括數(shù)據(jù)中心(災(zāi)備中心)、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包,自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包;

(三)業(yè)務(wù)外包中的信息科技活動(dòng):市場拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。

第四條 本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)提供信息科技外包。

第五條 信息科技外包可能產(chǎn)生如下風(fēng)險(xiǎn),并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn):

(一)科技能力喪失:銀行業(yè)金融機(jī)構(gòu)過度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展;

(二)業(yè)務(wù)中斷:支持業(yè)務(wù)運(yùn)營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷;

(三)信息泄露:包含客戶信息在內(nèi)的銀行業(yè)金融機(jī)構(gòu)非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露;

(四)服務(wù)水平下降:由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下,使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。

第六條 本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn),該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。

第七條 本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。

第八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系,建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系,控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。

第九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu),制定外包管理戰(zhàn)略,定期進(jìn)行外包風(fēng)險(xiǎn)評(píng)估,通過服務(wù)提供商準(zhǔn)入、評(píng)價(jià)、退出等手段建立及維護(hù)符合自身戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。

第十條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則:

(一)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;

(二)保持外包風(fēng)險(xiǎn)、成本和效益的平衡;

(三)強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制,保持管控力度;

(四)根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì),持續(xù)改進(jìn)外包策略和措施。

第十一條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí),不得將信息科技管理責(zé)任外包。

第十二條 對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保,及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn),按照本指引第五章要求進(jìn)行管理。


 


第二章 外包管理組織架構(gòu)





第十三條 銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé),明確信息科技外包風(fēng)險(xiǎn)管理的主管部門,制定并審批信息科技外包戰(zhàn)略,審議信息科技外包管理流程及制度,督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。

第十四條 信息科技外包風(fēng)險(xiǎn)主管部門的主要職責(zé)包括:

(一)對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示;

(二)監(jiān)督、評(píng)價(jià)外包管理工作,并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善;

(三)向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)管理情況;

(四)董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。

第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì),并配備足夠人員履行以下職責(zé):

(一)實(shí)施信息科技外包戰(zhàn)略;

(二)制定并執(zhí)行信息科技外包管理制度與流程;

(三)執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理,建立并維護(hù)供應(yīng)商關(guān)系管理策略;

(四)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并組織實(shí)施定期演練;

(五)對(duì)外包過程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析,定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門報(bào)告外包活動(dòng)情況。


 


第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理






第一節(jié) 信息科技外包戰(zhàn)略


第十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力,提高科技管理及創(chuàng)新水平,掌握信息科技核心技能為目標(biāo),基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略,包括:不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略。

第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競爭力的職能不得外包。

第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案,通過補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式,有針對(duì)性地獲取或提升管理及技術(shù)能力,降低對(duì)服務(wù)提供商的依賴。

第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。通過準(zhǔn)入和退出機(jī)制合理管控各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量,實(shí)現(xiàn)以下目標(biāo):防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn),通過引入適當(dāng)?shù)母偁幵诮档筒少彸杀镜耐瑫r(shí)提高服務(wù)質(zhì)量,合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。

第二十條 銀行業(yè)金融機(jī)構(gòu)可以按照外包服務(wù)性質(zhì)和重要性程度對(duì)服務(wù)提供商進(jìn)行分級(jí)管理,對(duì)不同級(jí)別的服務(wù)提供商采取差異化的管控措施,在有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。

第二十一條 銀行業(yè)金融機(jī)構(gòu)要同母公司或集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作,但應(yīng)當(dāng)保持關(guān)聯(lián)外包有關(guān)決策的獨(dú)立性,避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平。


第二節(jié) 信息科技外包風(fēng)險(xiǎn)管理


第二十二條 銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估,保持評(píng)估的獨(dú)立性,并向高級(jí)管理層提交評(píng)估報(bào)告。評(píng)估內(nèi)容包括:信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場變化對(duì)外包服務(wù)的影響分析等。

第二十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估,保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評(píng)估內(nèi)容包括:服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等,評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。

第二十四條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作,至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)。


 


第四章 信息科技外包管理






第一節(jié) 外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入


第二十五條 外包項(xiàng)目立項(xiàng)前,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性,根據(jù)項(xiàng)目內(nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估,制定相應(yīng)的風(fēng)險(xiǎn)處置措施,不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。

第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略,結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對(duì)備選服務(wù)提供商進(jìn)行初步篩選,防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。

第二十七條 對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。


第二節(jié) 服務(wù)提供商盡職調(diào)查


第二十八條 對(duì)重要的服務(wù)提供商,銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開展盡職調(diào)查,必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。

第二十九條 銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn),包括但不限于:服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場評(píng)價(jià)、監(jiān)管評(píng)價(jià)等。

第三十條 銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力,包括但不限于:內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。

第三十一條 銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營狀況,包括但不限于:從業(yè)時(shí)間、市場地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。

第三十二條 對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對(duì)服務(wù)提供商的要求,應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平,確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等。

第三十三條 對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。


第三節(jié) 外包服務(wù)合同及要求


第三十四條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前,應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及盡職調(diào)查結(jié)果確定詳細(xì)程度和重點(diǎn)。

第三十五條 銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:

(一)服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件;

(二)合規(guī)與內(nèi)控要求,對(duì)法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施;

(三)服務(wù)連續(xù)性要求,服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求;

(四)銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)利、頻率,服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查,及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任;

(五)政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件,外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排,包括信息、資料和設(shè)施的交接處置等過渡期間相關(guān)服務(wù)的安排;

(六)外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求;

(七)服務(wù)要求或服務(wù)水平條款,至少應(yīng)當(dāng)包括如下內(nèi)容:外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等;

(八)爭端解決機(jī)制、違約及賠償條款,至少包括如下內(nèi)容:服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等,及在各種違約情況下的賠償以及外包爭端的解決機(jī)制;

(九)報(bào)告條款,至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。

第三十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任,以及針對(duì)安全及保密要求需采取的具體措施。包括但不限于:

(一)禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息,以防止信息被非授權(quán)使用;

(二)在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款;

(三)在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開展活動(dòng);

(四)服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí),需滿足安全和保密相關(guān)條款的要求;

(五)在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件,或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類突發(fā)事件時(shí),服務(wù)提供商應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告,包括事件的影響以及處置和糾正措施。

第三十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求:

(一)不得將外包服務(wù)的主要業(yè)務(wù)分包;

(二)主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé),確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議;

(三)主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控,并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。


第四節(jié) 外包服務(wù)安全管理


第三十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施,防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。具體措施包括:

(一)對(duì)外包人員進(jìn)行信息安全培訓(xùn),提高風(fēng)險(xiǎn)管理意識(shí),確保信息安全管控措施在外包服務(wù)過程中有效落實(shí);

(二)明確外包活動(dòng)需要訪問或使用的信息資產(chǎn),包括場地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等,按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問授權(quán);

(三)對(duì)重要或核心的信息系統(tǒng)開發(fā)交付物進(jìn)行源代碼檢查和安全掃描;

(四)定期對(duì)服務(wù)提供商進(jìn)行安全檢查,獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。

第三十九條 銀行業(yè)金融機(jī)構(gòu)對(duì)關(guān)聯(lián)外包服務(wù)提供商定期進(jìn)行的安全檢查,不得以服務(wù)提供商的自評(píng)估替代,不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。

第四十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊,及時(shí)完善信息安全管控體系,避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。


第五節(jié) 外包服務(wù)監(jiān)控與評(píng)價(jià)


第四十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控,要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù),并跟蹤任務(wù)的執(zhí)行情況,及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。

第四十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo),并進(jìn)行相應(yīng)監(jiān)控。常見指標(biāo)包括:

(一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機(jī)率;

(二)故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間;

(三)服務(wù)的次數(shù)、客戶滿意度;

(四)各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率;

(五)外包人員工作飽和率、外包人員的考核合格率。

第四十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性,且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。

第四十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

第四十五條 銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時(shí),應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施,情節(jié)嚴(yán)重的或未及時(shí)糾正的,應(yīng)當(dāng)約談服務(wù)提供商高管人員并限期整改。

第四十六條 外包服務(wù)結(jié)束時(shí),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià),評(píng)價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。

第四十七條 對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)推動(dòng)母公司或所屬集團(tuán)將外包服務(wù)質(zhì)量納入對(duì)服務(wù)提供商的業(yè)績?cè)u(píng)價(jià)范圍,建立外包服務(wù)重大事件問責(zé)機(jī)制。同時(shí),應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績效考核機(jī)制。


第六節(jié) 外包服務(wù)中斷與終止


第四十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對(duì)業(yè)務(wù)連續(xù)性管理的影響,有針對(duì)性地完善業(yè)務(wù)連續(xù)性管理計(jì)劃,包括但不限于:

(一)識(shí)別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源;

(二)通過合同、協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源;

(三)對(duì)服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控,并評(píng)價(jià)其管理水平;

(四)在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相關(guān)的服務(wù)提供商納入演練范圍。

第四十九條 為降低外包突發(fā)事件的可能性及影響,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施,包括但不限于以下內(nèi)容:

(一)在外包服務(wù)實(shí)施過程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況;

(二)與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán);

(三)要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案,如提供備份人員;

(四)對(duì)于涉及重要業(yè)務(wù)的外包服務(wù),銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

第五十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對(duì)重要外包服務(wù)中斷的場景,擬定相應(yīng)的應(yīng)急計(jì)劃,并定期進(jìn)行演練,考慮因素包括但不限于以下內(nèi)容:

(一)事件場景,如重要人員流失導(dǎo)致服務(wù)無法持續(xù),服務(wù)提供商主動(dòng)退出,因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等;

(二)事件持續(xù)時(shí)間和恢復(fù)可能性;

(三)事件影響范圍和可能的應(yīng)急措施;

(四)服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間;

(五)備選的服務(wù)提供商以及外包服務(wù)遷移方案;

(六)外包服務(wù)過渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。

第五十一條 對(duì)于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下,考慮主動(dòng)要求服務(wù)提供商終止服務(wù),情節(jié)特別嚴(yán)重的,可考慮取消準(zhǔn)入資質(zhì),并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實(shí)。

 



第五章 機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理





第五十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比,服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場占比情況,識(shí)別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。同時(shí),還應(yīng)識(shí)別服務(wù)提供商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)所產(chǎn)生的機(jī)構(gòu)集中度風(fēng)險(xiǎn)。

第五十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式,降低機(jī)構(gòu)集中度,減少對(duì)外包服務(wù)提供商的依賴。

第五十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù),證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營能力等。

第五十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對(duì)獨(dú)立的資源,包括服務(wù)團(tuán)隊(duì)、場地、系統(tǒng)、設(shè)備等;并對(duì)資源進(jìn)行定期檢查,確保資源及時(shí)到位。

第五十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中,明確外包服務(wù)的優(yōu)先級(jí),并進(jìn)行服務(wù)中斷應(yīng)急演練,服務(wù)提供商應(yīng)當(dāng)至少參與服務(wù)交接、敏感信息處置等演練過程。

第五十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況的持續(xù)監(jiān)控,建立信息收集機(jī)制,及時(shí)掌握風(fēng)險(xiǎn)事件情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對(duì)本機(jī)構(gòu)產(chǎn)生大面積影響。

第五十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度,必要時(shí)可指派專人進(jìn)行現(xiàn)場監(jiān)督。

第五十九條 對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理。

 



第六章 跨境及非駐場外包管理





第一節(jié) 跨境外包風(fēng)險(xiǎn)管理



第六十條 跨境外包是指在境外其他國家或地區(qū)實(shí)施的信息科技外包服務(wù)活動(dòng)。

第六十一條 跨境外包除具有本指引前述風(fēng)險(xiǎn)外,還包括由于某一國家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國別風(fēng)險(xiǎn),及由于外包實(shí)施場地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場風(fēng)險(xiǎn)。

第六十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國家或地區(qū)狀況,通過建立業(yè)務(wù)連續(xù)性計(jì)劃防范跨境外包所帶來的國別風(fēng)險(xiǎn)。

第六十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國外法律法規(guī)、監(jiān)管要求對(duì)其獲取服務(wù)提供商外包管理信息可能造成的影響。實(shí)施跨境外包應(yīng)當(dāng)以不妨礙銀行業(yè)金融機(jī)構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)延伸檢查為前提。

第六十四條 銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí),應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。

第六十五條 銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí),還應(yīng)當(dāng)充分審查評(píng)估服務(wù)提供商保護(hù)客戶信息的能力,并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包,應(yīng)當(dāng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開展。

第六十六條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施跨境外包時(shí),其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定,明確爭議解決時(shí)所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國的法律解決糾紛。


第二節(jié) 非駐場外包風(fēng)險(xiǎn)管理


第六十七條非駐場外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)構(gòu)不能對(duì)其內(nèi)部控制及風(fēng)險(xiǎn)管理措施進(jìn)行直接管控,應(yīng)當(dāng)在信息安全、知識(shí)產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控、法律合規(guī)等方面加強(qiáng)對(duì)服務(wù)提供商的風(fēng)險(xiǎn)管理。

第六十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對(duì)非駐場外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn),該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。

第六十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的非駐場外包服務(wù)進(jìn)行實(shí)地檢查。實(shí)地檢查原則上一年不少于一次,檢查結(jié)果作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。

第七十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)外包服務(wù)提供商非駐場外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評(píng)估,評(píng)估結(jié)果作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對(duì)于高風(fēng)險(xiǎn)的服務(wù)提供商,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)責(zé)令其進(jìn)行限期整改,對(duì)于逾期未改的服務(wù)提供商應(yīng)當(dāng)暫?;蛉∠浞?wù)資格。

第七十一條 對(duì)于非駐場外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可以參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理,但同業(yè)托管機(jī)構(gòu)須將為其他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分,不得區(qū)別對(duì)待,降低對(duì)自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平。


 


第七章 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求




第七十二條 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù),同時(shí)滿足下述條件,如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷,造成經(jīng)濟(jì)損失的機(jī)構(gòu),具體條件如下:

(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù);或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù);或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù);且上述服務(wù)均為非駐場外包服務(wù)。

(二)服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場份額的三分之一以上;或服務(wù)的跨區(qū)域經(jīng)營法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上;或服務(wù)的其他類型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。

第七十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示,按照如下要求進(jìn)行管理:

(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊(cè)的獨(dú)立法人實(shí)體,注冊(cè)資本和實(shí)收資本不少于1000萬,注冊(cè)成立時(shí)間不少于3年。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu),并針對(duì)所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu),至少應(yīng)當(dāng)建立由公司高級(jí)管理層直接領(lǐng)導(dǎo)、針對(duì)銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì),為持續(xù)的外包服務(wù)提供保證。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系,建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系,擁有有效的檢查、監(jiān)控和考核機(jī)制,確保管理規(guī)范有效執(zhí)行。

(四)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境,滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場地應(yīng)當(dāng)設(shè)置在中國境內(nèi)。

第七十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證:

(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系,并通過業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。

(二)具有完善的質(zhì)量管理體系,并通過業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。

(三)承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu),其機(jī)房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達(dá)到國家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)。

(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù),或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu),應(yīng)當(dāng)具有完善的運(yùn)行服務(wù)管理體系,并通過業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。

第七十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在風(fēng)險(xiǎn)管理、審計(jì)方面對(duì)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)提出如下要求:

(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系,有效識(shí)別、監(jiān)測(cè)、評(píng)估和控制風(fēng)險(xiǎn)。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告,針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件,及時(shí)采取控制或緩釋措施。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)每年聘請(qǐng)獨(dú)立的審計(jì)機(jī)構(gòu),對(duì)自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估,年度風(fēng)險(xiǎn)評(píng)估報(bào)告需報(bào)送所服務(wù)的銀行業(yè)金融機(jī)構(gòu),并抄送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查,確保其過往無不良記錄,且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議,并保留至少10年的法律追訴期。

 



第八章 監(jiān)督管理





第七十六條 銀行業(yè)金融機(jī)構(gòu)開展以下信息科技外包服務(wù)時(shí),應(yīng)當(dāng)在外包合同簽訂前二十個(gè)工作日向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,針對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn),銀監(jiān)會(huì)及其派出機(jī)構(gòu)可以采取風(fēng)險(xiǎn)提示、約見談話、監(jiān)管質(zhì)詢等措施。

(一)信息科技工作整體外包;

(二)數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包;

(三)涉及將銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包;

(四)以非駐場形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包;

(五)關(guān)聯(lián)外包;

(六)涉及跨境的信息科技外包;

(七)其他銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。

第七十七條 銀行業(yè)金融機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生如下重大事件時(shí),應(yīng)當(dāng)在兩個(gè)工作日內(nèi)向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

(一)銀行業(yè)金融機(jī)構(gòu)客戶信息等敏感數(shù)據(jù)泄露;

(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營中斷;

(三)由于不可抗力或服務(wù)提供商重大經(jīng)營、財(cái)務(wù)問題,導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷;

(四)其他重大的服務(wù)提供商違法違規(guī)事件;

(五)銀監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。

第七十八條 銀行業(yè)金融機(jī)構(gòu)在開展年度外包風(fēng)險(xiǎn)管理評(píng)估工作后,應(yīng)當(dāng)將年度風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

第七十九條 銀監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查,監(jiān)督檢查結(jié)果納入對(duì)銀行業(yè)金融機(jī)構(gòu)的監(jiān)管評(píng)級(jí)。

第八十條 對(duì)于風(fēng)險(xiǎn)較高的信息科技外包服務(wù),銀監(jiān)會(huì)或其派出機(jī)構(gòu)可以要求銀行業(yè)金融機(jī)構(gòu)暫緩、中止該類外包服務(wù),直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。

第八十一條 銀行業(yè)金融機(jī)構(gòu)違反本指引規(guī)定的,銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求其糾正或采取替代方案,并視情況予以問責(zé)。因管理過失導(dǎo)致外包活動(dòng)嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運(yùn)行、損害存款人和其他客戶合法權(quán)益的,依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。

第八十二條 銀監(jiān)會(huì)實(shí)行銀行業(yè)信息科技外包服務(wù)活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制,定期對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)布銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)名單和風(fēng)險(xiǎn)提示,防范因高機(jī)構(gòu)集中度外包服務(wù)導(dǎo)致的系統(tǒng)性、區(qū)域性信息科技風(fēng)險(xiǎn)。

第八十三條 銀監(jiān)會(huì)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的銀行業(yè)金融機(jī)構(gòu)信息科技外包服務(wù)進(jìn)行重點(diǎn)風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估,根據(jù)需要,可以要求銀行業(yè)金融機(jī)構(gòu)與重點(diǎn)外包服務(wù)機(jī)構(gòu)會(huì)談,就其外包服務(wù)活動(dòng)和風(fēng)險(xiǎn)的重大事項(xiàng)作出說明。

第八十四條 銀監(jiān)會(huì)應(yīng)當(dāng)組織銀行業(yè)金融機(jī)構(gòu)實(shí)地核查銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng),原則上每兩年進(jìn)行一次,也可以委托其他第三方機(jī)構(gòu)審計(jì)的形式實(shí)施。

第八十五條 銀監(jiān)會(huì)可以根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)風(fēng)險(xiǎn)評(píng)估和實(shí)地核查結(jié)果,對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示,要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)問題實(shí)施整改。

第八十六條 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機(jī)構(gòu)及銀監(jiān)會(huì)的風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地核查。

第八十七條 銀監(jiān)會(huì)組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對(duì)銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄,并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)。

第八十八條 服務(wù)提供商在外包服務(wù)中存在以下情形的,銀監(jiān)會(huì)定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險(xiǎn)預(yù)警,公布機(jī)構(gòu)名單、服務(wù)信息等,要求銀行業(yè)金融機(jī)構(gòu)禁止相關(guān)服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù),禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的,延長其禁止期。

(一)違反國家法律、法規(guī)和監(jiān)管政策,情節(jié)嚴(yán)重的;

(二)竊取、泄露銀行業(yè)金融機(jī)構(gòu)敏感信息,情節(jié)嚴(yán)重的;

(三)因管理過失,多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件的;

(四)服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機(jī)構(gòu)造成損失,多次提示仍未整改的;

(五)對(duì)風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地檢查發(fā)現(xiàn)的問題,逾期仍未整改的;

(六)存在其他違法違規(guī)行為,或發(fā)生其他重大信息科技風(fēng)險(xiǎn)事件的。

第八十九條 銀監(jiān)會(huì)負(fù)責(zé)監(jiān)督銀行業(yè)金融機(jī)構(gòu)對(duì)信息科技外包服務(wù)提供商實(shí)施準(zhǔn)入管理。對(duì)于存在重大風(fēng)險(xiǎn)的外包活動(dòng),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)立即評(píng)估外包的適當(dāng)性,對(duì)信息科技外包服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)預(yù)警提示,要求其進(jìn)行整改并設(shè)定期限;逾期未整改的,禁止其承擔(dān)信息科技外包服務(wù)。


第九章 附則





第九十條 本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。

第九十一條 本指引自公布之日起施行。



鄭州外資企業(yè)服務(wù)中心微信公眾號(hào)

掃描二維碼 關(guān)注我們




本文鏈接:http://www.per-better.com/feizhi/126551.html

本文關(guān)鍵詞: 銀監(jiān)發(fā), 中國銀監(jiān)會(huì), 銀行業(yè), 金融機(jī)構(gòu), 信息, 科技, 外包, 風(fēng)險(xiǎn), 監(jiān)管, 指引, 通知, 全文廢止

最新政策
相關(guān)政策