銀監(jiān)辦發(fā)〔2014〕187號《中國銀監(jiān)會辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場集中式外包風(fēng)險管理的通知》【全文廢止】

中國銀監(jiān)會辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場集中式外包風(fēng)險管理的通知【全文廢止】






銀監(jiān)辦發(fā)〔2014〕187號

全文廢止，廢止依據(jù)：2021年12月30日發(fā)布的《中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知》（銀保監(jiān)辦發(fā)〔2021〕141號）

各銀監(jiān)局、各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司、儲蓄銀行、各省級農(nóng)村信用聯(lián)社，銀監(jiān)會直接監(jiān)管的信托公司、企業(yè)集團(tuán)財務(wù)公司、金融租賃公司：

根據(jù)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管指引》（銀監(jiān)發(fā)〔2013〕5號，以下簡稱《指引》），為保護(hù)銀行業(yè)金融機(jī)構(gòu)關(guān)鍵基礎(chǔ)設(shè)施和信息安全，防范銀行業(yè)信息科技外包集中度風(fēng)險，守住不發(fā)生系統(tǒng)性、全局性風(fēng)險的底線，現(xiàn)就加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場集中式外包行為監(jiān)管工作通知如下：

一、本通知所稱非駐場集中式外包是指外包服務(wù)商不在銀行業(yè)金融機(jī)構(gòu)提供現(xiàn)場服務(wù)，或外包的關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)不在銀行業(yè)金融機(jī)構(gòu)產(chǎn)權(quán)場所，由銀行業(yè)金融機(jī)構(gòu)以租用設(shè)施或購買服務(wù)資源的方式獲得，主要由外包服務(wù)商運維，并且外包服務(wù)商同時為3家（含）以上銀行業(yè)金融機(jī)構(gòu)或其他機(jī)構(gòu)提供服務(wù)的外包方式。信息科技非駐場集中式外包服務(wù)商分為銀行類機(jī)構(gòu)和社會類機(jī)構(gòu)兩類，銀行類機(jī)構(gòu)是指依法設(shè)立的由銀監(jiān)會監(jiān)管的銀行業(yè)金融機(jī)構(gòu)，其他屬于社會類機(jī)構(gòu)。

二、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對非駐場集中式外包服務(wù)商開展全面、深入的盡職調(diào)查，除《指引》要求的盡職調(diào)查內(nèi)容以外，對社會類機(jī)構(gòu)和提供外包服務(wù)未滿3年的銀行類機(jī)構(gòu)應(yīng)當(dāng)重點調(diào)查如下內(nèi)容：

（一）外包服務(wù)商對本機(jī)構(gòu)與其他機(jī)構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界；

（二）外包服務(wù)商是否有管理制度和技術(shù)措施保障本機(jī)構(gòu)數(shù)據(jù)的完整性和保密性；

（三）外包服務(wù)商對涉及本機(jī)構(gòu)的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪問權(quán)限；

（四）外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限，外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的訪問權(quán)限，是否能夠瀏覽、獲取客戶敏感信息；

（五）外包服務(wù)商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系，對關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)運行是否有業(yè)務(wù)連續(xù)性安排；

（六）外包服務(wù)商是否知曉并遵從了銀行業(yè)相關(guān)監(jiān)管法規(guī)要求。

銀行業(yè)金融機(jī)構(gòu)可以委托第三方機(jī)構(gòu)開展盡職調(diào)查，或者采信其他銀行業(yè)金融機(jī)構(gòu)對同一外包服務(wù)商6個月內(nèi)的盡職調(diào)查結(jié)果。

三、銀行業(yè)金融機(jī)構(gòu)開展非駐場集中式外包活動，應(yīng)當(dāng)經(jīng)過審慎、充分的風(fēng)險評估，形成書面風(fēng)險評估報告，并報送董（理）事會和高管層。

四、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照《指引》有關(guān)非駐場外包、重點外包服務(wù)機(jī)構(gòu)風(fēng)險管理要求，審慎決策并選擇外包服務(wù)商，非駐場集中式外包決策應(yīng)當(dāng)經(jīng)過董（理）事會、高管層書面批準(zhǔn)。在同等條件下，非駐場集中式外包服務(wù)應(yīng)當(dāng)優(yōu)先選擇銀行類機(jī)構(gòu)或主動申請接受監(jiān)管評估和監(jiān)督檢查的社會類機(jī)構(gòu)。

五、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照《指引》要求，在外包合同簽訂前至少20個工作日向銀監(jiān)會或其派出機(jī)構(gòu)對非駐場集中式外包活動進(jìn)行報告，報告內(nèi)容應(yīng)當(dāng)包括盡職調(diào)查報告和風(fēng)險評估報告。銀監(jiān)會或其派出機(jī)構(gòu)對相關(guān)外包活動的信息科技風(fēng)險開展審慎評估，視評估情況采取監(jiān)管措施。

六、非駐場集中式外包合同除應(yīng)符合《指引》規(guī)定外，銀行業(yè)金融機(jī)構(gòu)還應(yīng)當(dāng)在合同中書面明確：

（一）外包服務(wù)商應(yīng)當(dāng)遵從銀行業(yè)相關(guān)監(jiān)管法規(guī)；

（二）外包服務(wù)商應(yīng)當(dāng)承諾接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的監(jiān)督檢查；

（三）外包服務(wù)商應(yīng)當(dāng)承諾接受銀行業(yè)金融機(jī)構(gòu)安排的風(fēng)險評估或?qū)徲嫞?br />
（四）外包服務(wù)商對本機(jī)構(gòu)提供的服務(wù)資源應(yīng)當(dāng)至少與其他機(jī)構(gòu)相互邏輯隔離，僅本機(jī)構(gòu)具有對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的最高訪問權(quán)限；

（五）未經(jīng)同意，外包服務(wù)商不得將本機(jī)構(gòu)數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或為外包服務(wù)商自身謀取利益。

本條（一）、（二）款僅適用于社會類機(jī)構(gòu)外包合同。

七、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對非駐場集中式外包活動的日常風(fēng)險監(jiān)測，建立書面風(fēng)險清單并動態(tài)維護(hù)，制定專門的控制措施，并至少每2年安排一次對外包服務(wù)商的外部評估或?qū)徲嫛?br />
八、除銀行業(yè)金融機(jī)構(gòu)安排的評估和審計以外，銀監(jiān)會或其派出機(jī)構(gòu)可以接收社會類機(jī)構(gòu)主動提出的風(fēng)險評估或?qū)徲嬌暾垼⒄铡吨敢酚嘘P(guān)重點外包服務(wù)機(jī)構(gòu)的監(jiān)管規(guī)定，根據(jù)其資質(zhì)、規(guī)模、經(jīng)驗和管理能力等決定是否接受申請?？缡√峁┓?wù)的外包服務(wù)商可以向銀監(jiān)會提出申請，其他外包服務(wù)商可以向注冊地或所服務(wù)的多數(shù)銀行業(yè)金融機(jī)構(gòu)客戶所在地的銀監(jiān)局提出申請。銀行業(yè)金融機(jī)構(gòu)可以采信監(jiān)管機(jī)構(gòu)對外包服務(wù)商在12個月內(nèi)的評估或?qū)徲嫿Y(jié)果，不再重復(fù)安排外部評估或?qū)徲嫛?br />
九、銀監(jiān)會及其派出機(jī)構(gòu)建立非駐場集中式外包服務(wù)商名單，對銀行業(yè)金融機(jī)構(gòu)的非駐場集中式外包活動開展非現(xiàn)場監(jiān)管和現(xiàn)場檢查，建立外包服務(wù)商評價機(jī)制和監(jiān)管信息平臺，采集相關(guān)風(fēng)險信息，并進(jìn)行獨立評估和持續(xù)監(jiān)測。對風(fēng)險隱患突出、控制措施不力的此類外包活動或由此引發(fā)的II級（含）以上信息系統(tǒng)突發(fā)事件，銀監(jiān)會及其派出機(jī)構(gòu)依據(jù)審慎監(jiān)管規(guī)定對銀行業(yè)金融機(jī)構(gòu)予以問責(zé)或處罰，并對相關(guān)外包服務(wù)商在行業(yè)內(nèi)予以警示通報。

十、對本通知印發(fā)之前已經(jīng)實施的非駐場集中式外包，須根據(jù)《指引》及本通知要求開展自查和整改。自查和整改工作安排如下：

（一）各銀行業(yè)金融機(jī)構(gòu)應(yīng)對照《指引》和本通知要求，組織一次全面自查，對已經(jīng)開展的非駐場集中式外包進(jìn)行梳理，重點就盡職調(diào)查、風(fēng)險評估、外包合同、審計和日常風(fēng)險管理進(jìn)行差距分析。

（二）對已經(jīng)開展且尚未到期的非駐場集中式外包合同，如不符合《指引》和本通知要求，各銀行業(yè)金融機(jī)構(gòu)應(yīng)與外包服務(wù)商協(xié)商，妥善開展合同重新簽訂工作。對開展此類外包服務(wù)的年限在3年（含）以上的銀行類機(jī)構(gòu)，各銀行業(yè)金融機(jī)構(gòu)可自行決定是否重新簽署合同，但仍然應(yīng)當(dāng)開展自查。

（三）各銀行業(yè)金融機(jī)構(gòu)須于2014年11月30日前完成自查和整改工作，提交自查和整改報告，同時將外包合同按照屬地監(jiān)管原則報銀監(jiān)會或其派出機(jī)構(gòu)備案。請各銀監(jiān)局匯總轄內(nèi)銀行業(yè)金融機(jī)構(gòu)的自查和整改報告，于2014年12月15日前報送銀監(jiān)會銀行業(yè)信息科技監(jiān)管部。





 

中國銀監(jiān)會辦公廳

二○一四年七月一日

掃描二維碼 關(guān)注我們

本文鏈接：http://www.per-better.com/feizhi/126552.html

本文關(guān)鍵詞： 銀監(jiān)辦發(fā), 中國銀監(jiān)會, 辦公廳, 銀行業(yè), 金融機(jī)構(gòu), 信息, 科技, 駐場, 集中, 外包, 風(fēng)險, 管理, 通知