第一篇:銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)非現(xiàn)場(chǎng)監(jiān)管報(bào)表
銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn) 非現(xiàn)場(chǎng)監(jiān)管報(bào)表
(征求意見(jiàn)稿)目 錄
第一部分年度報(bào)表..................................................1 I信息科技風(fēng)險(xiǎn)調(diào)查問(wèn)卷............................................1 Q-R-1 信息科技風(fēng)險(xiǎn)調(diào)查問(wèn)卷.....................................1 II基本情況報(bào)表...................................................8 T-B-1 信息科技治理基本情況表...................................8 T-B-2 信息科技風(fēng)險(xiǎn)管理情況表..................................10 T-B-3 信息科技內(nèi)外部審計(jì)與評(píng)估基本情況表......................12 T-B-4 應(yīng)急管理基本情況表......................................14 T-B-5 信息科技項(xiàng)目基本情況表..................................15 T-B-6 災(zāi)備基本情況表..........................................16 T-B-7 外包基本情況表..........................................18 T-B-8 各類中心基本情況表......................................19 T-B-9 數(shù)據(jù)中心及災(zāi)備中心機(jī)房基本情況表........................20 T-B-10 重要信息系統(tǒng)統(tǒng)計(jì)表......................................21 T-B-11 網(wǎng)絡(luò)基本情況表..........................................23 T-B-12 電子銀行業(yè)務(wù)品種統(tǒng)計(jì)表..................................24 T-B-13 電子銀行業(yè)務(wù)量統(tǒng)計(jì)表....................................25 第二部分季度報(bào)表.................................................27 T-B-14 重要信息系統(tǒng)運(yùn)行基本情況報(bào)表............................27 T-B-15 組織機(jī)構(gòu)、人員重大變動(dòng)表................................30 第三部分報(bào)告......................................................31 R-R-1 信息化建設(shè)與信息科技風(fēng)險(xiǎn)管理年度報(bào)告....................31 附錄參考定義.....................................................32 2 填報(bào)須知
一、本報(bào)表作為銀監(jiān)會(huì)信息科技風(fēng)險(xiǎn)監(jiān)管體系的重要組成部 分及信息科技風(fēng)險(xiǎn)識(shí)別、評(píng)估工作的基礎(chǔ)和前提,旨在全面收集 和監(jiān)測(cè)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況。
二、本報(bào)表主要適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的政 策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行、郵政儲(chǔ)蓄銀行、城 市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村 信用社、外資法人銀行等銀行業(yè)金融機(jī)構(gòu)。
三、本報(bào)表是為針對(duì)信息科技風(fēng)險(xiǎn)而設(shè)的專門報(bào)表,銀行業(yè) 金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)所填報(bào)數(shù)據(jù)的真實(shí)性負(fù)責(zé)。
四、本報(bào)表應(yīng)由風(fēng)險(xiǎn)管理部門組織填報(bào)。
五、本報(bào)表分為年度報(bào)表、季度報(bào)表和報(bào)告。年度報(bào)表統(tǒng)計(jì) 周期為12個(gè)月,即上一年10月1日至本年度9月30日,報(bào)送截止時(shí) 間為每年10月15日;季度報(bào)表報(bào)送時(shí)間為季后10日內(nèi);報(bào)告報(bào)送 時(shí)間為自然年后40日內(nèi)。
六、報(bào)表中未特別說(shuō)明統(tǒng)計(jì)范圍的,皆指全行范圍。
七、填報(bào)過(guò)程中,對(duì)于需要特別說(shuō)明的項(xiàng)目或問(wèn)題,請(qǐng)?jiān)趥?注欄中描述具體情況。
八、報(bào)送截止后,對(duì)于存在疑問(wèn)的報(bào)表,監(jiān)管人員可要求機(jī) 構(gòu)提供詳實(shí)材料予以核實(shí)或重報(bào);如有必要,將發(fā)起現(xiàn)場(chǎng)檢查,并以現(xiàn)場(chǎng)檢查結(jié)果為準(zhǔn)。
九、本報(bào)表附有術(shù)語(yǔ)參考定義,填報(bào)過(guò)程中可供參考。第一部分年度報(bào)表
I信息科技風(fēng)險(xiǎn)調(diào)查問(wèn)卷
Q-R-1 信息科技風(fēng)險(xiǎn)調(diào)查問(wèn)卷
填報(bào)機(jī)構(gòu): 填報(bào)人: 責(zé)任人: 填報(bào)日期: 年 月 日 編號(hào) 項(xiàng)目 填報(bào)說(shuō)明 內(nèi)容 單位 備注 1.信息科技風(fēng)險(xiǎn)管理 Q0001 對(duì)信息科技制度進(jìn)行定期 修訂
以信息科技制度修訂發(fā)文為準(zhǔn)□是□否 N/A Q0002 對(duì)信息科技規(guī)劃定期評(píng)估 并修改
若對(duì)信息科技規(guī)劃定期評(píng)估并修 改,請(qǐng)回答是 □是□否 N/A Q0003 制定了關(guān)鍵崗位輪崗計(jì)劃 并依照?qǐng)?zhí)行
以輪崗計(jì)劃和記錄(接替崗位后工 作至少一周)為準(zhǔn) □是□否 N/A Q0004 規(guī)定在職人員定期參加信 息安全及保密培訓(xùn)
以相應(yīng)人員參與的培訓(xùn)記錄為準(zhǔn)□是□否 N/A 2.審計(jì) Q0005 依據(jù)制定的審計(jì)計(jì)劃、方案 開(kāi)展信息科技審計(jì)
以相應(yīng)批文為準(zhǔn)□是□否 N/A Q0006 信息科技審計(jì)報(bào)告抄送風(fēng) 險(xiǎn)管理部門
以提交給風(fēng)險(xiǎn)管理部門的審計(jì)報(bào) 告為準(zhǔn)
□是□否 N/A Q0007 與外部審計(jì)機(jī)構(gòu)簽署保密 協(xié)議
若所有的外部審計(jì)活動(dòng)均與外部 審計(jì)機(jī)構(gòu)簽署保密協(xié)議,請(qǐng)回答是 □是□否 N/A Q0008 信息科技內(nèi)部審計(jì)覆蓋的 比例
請(qǐng)計(jì)算最近12個(gè)月信息科技內(nèi)部 審計(jì)的分支機(jī)構(gòu)數(shù)與分支機(jī)構(gòu)數(shù) 的比值 % 3.重要信息系統(tǒng) Q0009 發(fā)生核心業(yè)務(wù)系統(tǒng)替換或 計(jì)劃實(shí)施核心業(yè)務(wù)系統(tǒng)替 換
若最近12 個(gè)月發(fā)生核心系統(tǒng)的替 換或未來(lái)12個(gè)月計(jì)劃實(shí)施,請(qǐng)回 答是
□是□否 N/A Q0010 有多少家外部機(jī)構(gòu)將系統(tǒng) 或設(shè)備交由本機(jī)構(gòu)托管
如有其他機(jī)構(gòu)(或銀行)將其系統(tǒng)、設(shè)備或業(yè)務(wù)處理交由本機(jī)構(gòu)管理(托管行為),請(qǐng)統(tǒng)計(jì)這些機(jī)構(gòu)的 數(shù)量 個(gè)
Q0011 交由外部機(jī)構(gòu)托管的系統(tǒng) 數(shù)
請(qǐng)統(tǒng)計(jì)交由外部機(jī)構(gòu)托管的系統(tǒng) 數(shù) 個(gè) Q0012 與本機(jī)構(gòu)發(fā)生數(shù)據(jù)交換的 外聯(lián)系統(tǒng)數(shù)量
請(qǐng)統(tǒng)計(jì)所有與本機(jī)構(gòu)發(fā)生數(shù)據(jù)交 換的外聯(lián)系統(tǒng)總數(shù),以運(yùn)行部門的 記錄或外部接口文件(EIF)記錄 為準(zhǔn) 個(gè) Q0013 生產(chǎn)環(huán)境中具有高耦合度 的信息系統(tǒng)數(shù)
若系統(tǒng)的耦合度高,單一系統(tǒng)出現(xiàn) 故障時(shí)會(huì)導(dǎo)致其他多個(gè)系統(tǒng)無(wú)法 正常運(yùn)行,請(qǐng)分析和統(tǒng)計(jì)能導(dǎo)致此 類情況的系統(tǒng)總數(shù)。以系統(tǒng)結(jié)構(gòu)圖 或內(nèi)部邏輯接口文件(ILF)為準(zhǔn) 個(gè) Q0014 仍在使__________用供應(yīng)商已正式宣 布停止支持的系統(tǒng)平臺(tái)的 重要信息系統(tǒng)數(shù)
系統(tǒng)平臺(tái)包括:操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、服務(wù)器等 個(gè) Q0015 核心業(yè)務(wù)系統(tǒng)中相互邏輯 分離的數(shù)據(jù)庫(kù)數(shù)
例如,對(duì)公業(yè)務(wù)使用的數(shù)據(jù)庫(kù)和對(duì) 私業(yè)務(wù)使用的數(shù)據(jù)庫(kù)是邏輯分離 的,其中一個(gè)數(shù)據(jù)庫(kù)失效不會(huì)影響 另一個(gè)數(shù)據(jù)庫(kù)的正常運(yùn)行,就記作 2 個(gè)相互邏輯分離的數(shù)據(jù)庫(kù) 個(gè) Q0016 重要信息系統(tǒng)當(dāng)前容量規(guī) 劃可滿足業(yè)務(wù)發(fā)展需求的 最少年數(shù)
以容量規(guī)劃文檔為準(zhǔn)年 4.系統(tǒng)開(kāi)發(fā)與測(cè)試 Q0017 項(xiàng)目實(shí)施部門定期向信息 科技管理委員會(huì)提交重大 項(xiàng)目進(jìn)度報(bào)告
以提交的進(jìn)度報(bào)告為準(zhǔn)□是□否 N/A Q0018 在重大項(xiàng)目各階段均進(jìn)行 風(fēng)險(xiǎn)評(píng)估,并向項(xiàng)目管理組 織溝通風(fēng)險(xiǎn)點(diǎn),確定處臵方 案
以各階段風(fēng)險(xiǎn)評(píng)估報(bào)告記錄為準(zhǔn)□是□否 N/A Q0019 業(yè)務(wù)和系統(tǒng)需求等經(jīng)業(yè)務(wù) 部門和科技部門共同確認(rèn)
以需求、設(shè)計(jì)相關(guān)文檔為準(zhǔn)□是□否 N/A Q0020 將信息安全要求納入系統(tǒng) 設(shè)計(jì)
以需求、設(shè)計(jì)相關(guān)文檔為準(zhǔn)。信息 安全要求主要包括數(shù)據(jù)安全、身份 驗(yàn)證、權(quán)限管理等內(nèi)容 □是□否 N/A Q0021 系統(tǒng)投產(chǎn)前,準(zhǔn)生產(chǎn)驗(yàn)證環(huán) 境的軟件與生產(chǎn)環(huán)境相同
準(zhǔn)生產(chǎn)驗(yàn)證環(huán)境的軟件包括操作 系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用程序。以生產(chǎn)驗(yàn)證環(huán)境和生產(chǎn)環(huán)境的配 臵項(xiàng)清單為準(zhǔn) □是□否 N/A Q0022 總行科技部門現(xiàn)行項(xiàng)目中,有獨(dú)立質(zhì)量保證人員參與 的項(xiàng)目總數(shù)
請(qǐng)統(tǒng)計(jì)目前分配有質(zhì)量保證人員 的項(xiàng)目總數(shù) 個(gè) Q0023 完成用戶驗(yàn)收測(cè)試的項(xiàng)目 數(shù)
請(qǐng)統(tǒng)計(jì)最近12個(gè)月完成用戶驗(yàn)收 測(cè)試的項(xiàng)目數(shù) 個(gè) Q0024 用戶驗(yàn)收測(cè)試(UAT)前已 完成代碼安全檢查的項(xiàng)目 數(shù)
請(qǐng)統(tǒng)計(jì)最近12個(gè)月上線的信息系 統(tǒng)在UAT前已完成代碼安全檢查工 作的項(xiàng)目數(shù) 個(gè)
5.信息系統(tǒng)變更
Q0025 建立變更的授權(quán)審批機(jī)制 對(duì)信息系統(tǒng)變更進(jìn)行分級(jí),針對(duì)不 同等級(jí)的信息系統(tǒng)變更明確相應(yīng) 的審批管理程序。以相關(guān)變更授權(quán) 審批制度為準(zhǔn) □是□否 N/A 3 Q0026 所有涉及生產(chǎn)環(huán)境的變更,變更前有回退和應(yīng)急方案
在系統(tǒng)變更前,變_______更申請(qǐng)部門制訂 回退和應(yīng)急方案。以相關(guān)方案文檔 為準(zhǔn)
□是□否 N/A Q0027 涉及生產(chǎn)環(huán)境的變更由業(yè) 務(wù)部門與科技部門共同審 批
以審批流程文檔和審批人員清單 為準(zhǔn)
□是□否 N/A Q0028 所有涉及生產(chǎn)環(huán)境的變更 由獨(dú)立人員進(jìn)行復(fù)核
以相關(guān)規(guī)定以及復(fù)核人員清單為 準(zhǔn)
□是□否 N/A Q0029 所有變更都留有記錄,并由 內(nèi)部審計(jì)人員或信息安全 人員定期核查
以變更記錄和審查記錄為準(zhǔn)□是□否 N/A Q0030 重要信息系統(tǒng)緊急變更數(shù) 請(qǐng)統(tǒng)計(jì)最近12個(gè)月內(nèi)重要信息系 統(tǒng)緊急變更的次數(shù)。以系統(tǒng)運(yùn)行部 門的記錄為準(zhǔn) 次
Q0031 涉及生產(chǎn)環(huán)境的變更數(shù) 請(qǐng)統(tǒng)計(jì)最近12個(gè)月內(nèi)涉及生產(chǎn)環(huán) 境的變更總數(shù)(包括各信息科技生 產(chǎn)部門的重要信息系統(tǒng)和非重要 信息系統(tǒng)的變更)。以系統(tǒng)運(yùn)行部 門的記錄為準(zhǔn) 次 Q0032 未在測(cè)試環(huán)境中進(jìn)行驗(yàn)證 的變更數(shù)
請(qǐng)統(tǒng)計(jì)最近12個(gè)月內(nèi)未在測(cè)試環(huán) 境中進(jìn)行驗(yàn)證的變更數(shù),以驗(yàn)證記 錄為準(zhǔn) 次
6.信息系統(tǒng)運(yùn)行 Q0033 系統(tǒng)運(yùn)行、維護(hù)、開(kāi)發(fā)人員 的崗位相互完全分離且不 存在兼崗
以崗位清單和崗位職責(zé)定義為準(zhǔn)□是□否 N/A Q0034 為所有關(guān)鍵崗位配備規(guī)范、準(zhǔn)確的操作手冊(cè)以指導(dǎo)運(yùn) 行人員操作
以操作手冊(cè)為準(zhǔn)□是□否 N/A Q0035 運(yùn)行人員對(duì)生產(chǎn)系統(tǒng)的操 作由獨(dú)立人員復(fù)核
若運(yùn)行人員對(duì)生產(chǎn)系統(tǒng)的操作有 獨(dú)立人員復(fù)合,請(qǐng)回答是 □是□否 N/A Q0036 運(yùn)行人員對(duì)生產(chǎn)系統(tǒng)的任 何操作保留操作記錄
以操作記錄文檔和記錄方法說(shuō)明 為準(zhǔn)
□是□否 N/A Q0037 對(duì)數(shù)據(jù)庫(kù)均通過(guò)菜單、數(shù)據(jù) 流操作
若所有對(duì)數(shù)據(jù)庫(kù)的操作均通過(guò)菜 單、數(shù)據(jù)流,而非直接操作數(shù)據(jù)庫(kù),請(qǐng)回答是 □是□否 N/A Q0038 批處理過(guò)程有專人監(jiān)控,記 錄操作及執(zhí)行情況,并處理 異常事件
若批處理過(guò)程有專人監(jiān)控,記錄操 作及執(zhí)行情況,并處理異常事件,請(qǐng)回答是 □是□否 N/A Q0039 利用實(shí)時(shí)監(jiān)控工具對(duì)系統(tǒng) 運(yùn)行環(huán)境、重要信息系統(tǒng)運(yùn) 行狀況等進(jìn)行監(jiān)控
以監(jiān)控系統(tǒng)相關(guān)文檔為準(zhǔn)□是□否 N/A Q0040 實(shí)時(shí)監(jiān)控工具具有自動(dòng)4 納預(yù) 警功
第二篇:銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)
銀監(jiān)發(fā)[2013]5號(hào)
中國(guó)銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)信息科技外
包風(fēng)險(xiǎn)監(jiān)管指引的通知
各銀監(jiān)局,各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司,郵儲(chǔ)銀行,各省級(jí)農(nóng)村信用聯(lián)社,銀監(jiān)會(huì)直接監(jiān)管的信托公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司:
現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》印發(fā)給你們,請(qǐng)遵照?qǐng)?zhí)行。
2013年2月16日
銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引
第一章 總則
第一條
為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng),降低信息科技外包風(fēng)險(xiǎn),根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》等法律法規(guī),制定本指引。
第二條
在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社適用本指引。銀監(jiān)會(huì)監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。第三條
本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為,包含項(xiàng)目外包、人力資源外包等形式。原則上包括以下類型:
(一)研發(fā)咨詢類外包:科技管理及科技治理等咨詢?cè)O(shè)計(jì)外包,規(guī)劃、需求、系統(tǒng)開(kāi)發(fā)、測(cè)試外包;
(二)系統(tǒng)運(yùn)行維護(hù)類外包:包括數(shù)據(jù)中心(災(zāi)備中心)、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包,自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包;
(三)業(yè)務(wù)外包中的信息科技活動(dòng):市場(chǎng)拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。
第四條
本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)提供信息科技外包。
第五條
信息科技外包可能產(chǎn)生如下風(fēng)險(xiǎn),并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn):
(一)科技能力喪失:銀行業(yè)金融機(jī)構(gòu)過(guò)度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展;
(二)業(yè)務(wù)中斷:支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無(wú)法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷;
(三)信息泄露:包含客戶信息在內(nèi)的銀行業(yè)金融機(jī)構(gòu)非公開(kāi)數(shù)據(jù)被服務(wù)提供商非法獲得或泄露;
(四)服務(wù)水平下降:由于外包服務(wù)質(zhì)量問(wèn)題或內(nèi)外部協(xié)作效率低下,使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。
第六條
本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn),該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。
第七條
本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。
第八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系,建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系,控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。
第九條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu),制定外包管理戰(zhàn)略,定期進(jìn)行外包風(fēng)險(xiǎn)評(píng)估,通過(guò)服務(wù)提供商準(zhǔn)入、評(píng)價(jià)、退出等手段建立及維護(hù)符合自身戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。
第十條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則:
(一)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;
(二)保持外包風(fēng)險(xiǎn)、成本和效益的平衡;
(三)強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制,保持管控力度;
(四)根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì),持續(xù)改進(jìn)外包策略和措施。
第十一條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí),不得將信息科技管理責(zé)任外包。
第十二條
對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購(gòu)、維保,及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn),按照本指引第五章要求進(jìn)行管理。
第二章 外包管理組織架構(gòu)
第十三條
銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險(xiǎn)管理的主管部門,制定并審批信息科技外包戰(zhàn)略,審議信息科技外包管理流程及制度,督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。
第十四條
信息科技外包風(fēng)險(xiǎn)主管部門的主要職責(zé)包括:
(一)對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示;
(二)監(jiān)督、評(píng)價(jià)外包管理工作,并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善;
(三)向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)管理情況;
(四)董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。
第十五條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì),并配備足夠人員履行以下職責(zé):
(一)實(shí)施信息科技外包戰(zhàn)略;
(二)制定并執(zhí)行信息科技外包管理制度與流程;
(三)執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理,建立并維護(hù)供應(yīng)商關(guān)系管理策略;
(四)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并組織實(shí)施定期演練;
(五)對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析,定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門報(bào)告外包活動(dòng)情況。
第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理
第一節(jié) 信息科技外包戰(zhàn)略
第十六條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力,提高科技管理及創(chuàng)新水平,掌握信息科技核心技能為目標(biāo),基于信息科技戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略,包括:不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略。
第十七條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不得外包。第十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案,通過(guò)補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式,有針對(duì)性地獲取或提升管理及技術(shù)能力,降低對(duì)服務(wù)提供商的依賴。
第十九條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場(chǎng)地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。通過(guò)準(zhǔn)入和退出機(jī)制合理管控各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量,實(shí)現(xiàn)以下目標(biāo):防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn),通過(guò)引入適當(dāng)?shù)母?jìng)爭(zhēng)在降低采購(gòu)成本的同時(shí)提高服務(wù)質(zhì)量,合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。
第二十條
銀行業(yè)金融機(jī)構(gòu)可以按照外包服務(wù)性質(zhì)和重要性程度對(duì)服務(wù)提供商進(jìn)行分級(jí)管理,對(duì)不同級(jí)別的服務(wù)提供商采取差異化的管控措施,在有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。
第二十一條
銀行業(yè)金融機(jī)構(gòu)要同母公司或集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作,但應(yīng)當(dāng)保持關(guān)聯(lián)外包有關(guān)決策的獨(dú)立性,避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平。
第二節(jié) 信息科技外包風(fēng)險(xiǎn)管理
第二十二條
銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理部門應(yīng)當(dāng)至少每年開(kāi)展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估,保持評(píng)估的獨(dú)立性,并向高級(jí)管理層提交評(píng)估報(bào)告。評(píng)估內(nèi)容包括:信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場(chǎng)變化對(duì)外包服務(wù)的影響分析等。
第二十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估,保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評(píng)估內(nèi)容包括:服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等,評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。
第二十四條
銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開(kāi)展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作,至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開(kāi)展專項(xiàng)審計(jì)。
第四章 信息科技外包管理
第一節(jié) 外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入
第二十五條
外包項(xiàng)目立項(xiàng)前,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性,根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估,制定相應(yīng)的風(fēng)險(xiǎn)處臵措施,不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。
第二十六條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略,結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對(duì)備選服務(wù)提供商進(jìn)行初步篩選,防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。
第二十七條
對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。
第二節(jié) 服務(wù)提供商盡職調(diào)查
第二十八條
對(duì)重要的服務(wù)提供商,銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開(kāi)展盡職調(diào)查,必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。
第二十九條
銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn),包括但不限于:服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等。
第三十條
銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力,包括但不限于:內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。
第三十一條
銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況,包括但不限于:從業(yè)時(shí)間、市場(chǎng)地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。
第三十二條
對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對(duì)服務(wù)提供商的要求,應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平,確認(rèn)其有足夠能力實(shí)施外包
服務(wù)、處理突發(fā)事件等。
第三十三條
對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。
第三節(jié) 外包服務(wù)合同及要求
第三十四條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前,應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及盡職調(diào)查結(jié)果確定詳細(xì)程度和重點(diǎn)。
第三十五條
銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:
(一)服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件;
(二)合規(guī)與內(nèi)控要求,對(duì)法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施;
(三)服務(wù)連續(xù)性要求,服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求;
(四)銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)利、頻率,服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查,及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任;
(五)政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件,外包服務(wù)提供商在過(guò)渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過(guò)渡安排,包括信息、資料和設(shè)施的交接處臵等過(guò)渡期間相關(guān)服務(wù)的安排;
(六)外包服務(wù)過(guò)程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求;
(七)服務(wù)要求或服務(wù)水平條款,至少應(yīng)當(dāng)包括如下內(nèi)容:外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等;
(八)爭(zhēng)端解決機(jī)制、違約及賠償條款,至少包括如下內(nèi)容:服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等,及在各種違約情況下的賠償以及外包爭(zhēng)端的解決機(jī)制;
(九)報(bào)告條款,至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。
第三十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任,以及針對(duì)安全及保密要求需采取的具體措施。包括但不限于:
(一)禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息,以防止信息被非授權(quán)使用;
(二)在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款;
(三)在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開(kāi)展活動(dòng);
(四)服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí),需滿足安全和保密相關(guān)條款的要求;
(五)在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件,或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類突發(fā)事件時(shí),服務(wù)提供商應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告,包括事件的影響以及處臵
和糾正措施。
第三十七條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求:
(一)不得將外包服務(wù)的主要業(yè)務(wù)分包;
(二)主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé),確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議;
(三)主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控,并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。
第四節(jié) 外包服務(wù)安全管理
第三十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施,防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。具體措施包括:
(一)對(duì)外包人員進(jìn)行信息安全培訓(xùn),提高風(fēng)險(xiǎn)管理意識(shí),確保信息安全管控措施在外包服務(wù)過(guò)程中有效落實(shí);
(二)明確外包活動(dòng)需要訪問(wèn)或使用的信息資產(chǎn),包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問(wèn)控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等,按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問(wèn)授權(quán);
(三)對(duì)重要或核心的信息系統(tǒng)開(kāi)發(fā)交付物進(jìn)行源代碼檢查和安全掃描;
(四)定期對(duì)服務(wù)提供商進(jìn)行安全檢查,獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。
第三十九條
銀行業(yè)金融機(jī)構(gòu)對(duì)關(guān)聯(lián)外包服務(wù)提供商定期進(jìn)行的安全檢查,不得以服務(wù)提供商的自評(píng)估替代,不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。
第四十條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊,及時(shí)完善信息安全管控體系,避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。
第五節(jié) 外包服務(wù)監(jiān)控與評(píng)價(jià)
第四十一條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控,要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù),并跟蹤任務(wù)的執(zhí)行情況,及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類異常情況。
第四十二條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo),并進(jìn)行相應(yīng)監(jiān)控。常見(jiàn)指標(biāo)包括:
(一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開(kāi)機(jī)率;
(二)故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間;
(三)服務(wù)的次數(shù)、客戶滿意度;
(四)各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性,且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。
第四十四條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。
第四十五條
銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時(shí),應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施,情節(jié)嚴(yán)重的或未及時(shí)糾正的,應(yīng)當(dāng)約談服務(wù)提供商高管人員并限期整改。
第四十六條
外包服務(wù)結(jié)束時(shí),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià),評(píng)價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。
第四十七條
對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)推動(dòng)母公司或所屬集團(tuán)將外包服務(wù)質(zhì)量納入對(duì)服務(wù)提供商的業(yè)績(jī)?cè)u(píng)價(jià)范圍,建立外包服務(wù)重大事件問(wèn)責(zé)機(jī)制。同時(shí),應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績(jī)效考核機(jī)制。
第六節(jié) 外包服務(wù)中斷與終止
第四十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對(duì)業(yè)務(wù)連續(xù)性管理的影響,有針對(duì)性地完善業(yè)務(wù)連續(xù)性管理計(jì)劃,包括但不限于:
(一)識(shí)別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源;
(二)通過(guò)合同、協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源;
(三)對(duì)服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控,并評(píng)價(jià)其管理水平;
(四)在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相關(guān)的服務(wù)提供商納入演練范圍。
第四十九條
為降低外包突發(fā)事件的可能性及影響,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施,包括但不限于以下內(nèi)容:
(一)在外包服務(wù)實(shí)施過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況;
(二)與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán);
(三)要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案,如提供備份人員;
(四)對(duì)于涉及重要業(yè)務(wù)的外包服務(wù),銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。
第五十條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景,擬定相應(yīng)的應(yīng)急計(jì)劃,并定期進(jìn)行演練,考慮因素包括但不限于以下內(nèi)容:
(一)事件場(chǎng)景,如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù),服務(wù)提供商主動(dòng)退出,因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等;
(二)事件持續(xù)時(shí)間和恢復(fù)可能性;
(三)事件影響范圍和可能的應(yīng)急措施;
(四)服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間;
(五)備選的服務(wù)提供商以及外包服務(wù)遷移方案;
(六)外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。
第五十一條
對(duì)于無(wú)法滿足外包服務(wù)要求或發(fā)生重大事件的情況,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下,考慮主動(dòng)要求服務(wù)提供商終止服務(wù),情節(jié)特別嚴(yán)重的,可考慮取消準(zhǔn)入資質(zhì),并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實(shí)。
第五章 機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理
第五十二條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比,服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場(chǎng)占比情況,識(shí)別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。同時(shí),還應(yīng)識(shí)別服務(wù)提供商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)所產(chǎn)生的機(jī)構(gòu)集中度風(fēng)險(xiǎn)。
第五十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式,降低機(jī)構(gòu)集中度,減少對(duì)外包服務(wù)提供商的依賴。
第五十四條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù),證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營(yíng)能力等。
第五十五條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對(duì)獨(dú)立的資源,包括服務(wù)團(tuán)隊(duì)、場(chǎng)地、系統(tǒng)、設(shè)備等;并對(duì)資源進(jìn)行定期檢查,確保資源及時(shí)到位。
第五十六條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中,明確外包服務(wù)的優(yōu)先級(jí),并進(jìn)行服務(wù)中斷應(yīng)急演練,服務(wù)提供商應(yīng)當(dāng)至少參與服務(wù)交接、敏感信息處臵等演練過(guò)程。
第五十七條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況的持續(xù)監(jiān)控,建立信息收集機(jī)制,及時(shí)掌握風(fēng)險(xiǎn)事件情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對(duì)本機(jī)構(gòu)產(chǎn)生大面積影響。
第五十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度,必要時(shí)可指派專人進(jìn)行現(xiàn)場(chǎng)監(jiān)督。
第五十九條
對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理。
第六章 跨境及非駐場(chǎng)外包管理
第一節(jié) 跨境外包風(fēng)險(xiǎn)管理
第六十條
跨境外包是指在境外其他國(guó)家或地區(qū)實(shí)施的信息科技外包服務(wù)活動(dòng)。
第六十一條
跨境外包除具有本指引前述風(fēng)險(xiǎn)外,還包括由于某一國(guó)家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國(guó)別風(fēng)險(xiǎn),及由于外包實(shí)施場(chǎng)地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場(chǎng)風(fēng)險(xiǎn)。
第六十二條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國(guó)家或地區(qū)狀況,通過(guò)建立業(yè)務(wù)連續(xù)性計(jì)劃防范跨境外包所帶來(lái)的國(guó)別風(fēng)險(xiǎn)。
第六十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國(guó)外法律法規(guī)、監(jiān)管要求對(duì)其獲取服務(wù)提供商外包管理信息可能造成的影響。實(shí)施跨境外包應(yīng)當(dāng)以不妨礙銀行業(yè)金融機(jī)構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)延伸檢查為前提。
第六十四條
銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí),應(yīng)當(dāng)明確其所在國(guó)家或地區(qū)監(jiān)管當(dāng)局已與銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。
第六十五條
銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí),還應(yīng)當(dāng)充分審查評(píng)估服務(wù)提供商保護(hù)客戶信息的能力,并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包,應(yīng)當(dāng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開(kāi)展。
第六十六條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施跨境外包時(shí),其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定,明確爭(zhēng)議解決時(shí)所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國(guó)的法律解決糾紛。
第二節(jié) 非駐場(chǎng)外包風(fēng)險(xiǎn)管理
第六十七條
非駐場(chǎng)外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場(chǎng)提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)構(gòu)不能對(duì)其內(nèi)部控制及風(fēng)險(xiǎn)管理措施進(jìn)行直接管控,應(yīng)當(dāng)在信息安全、知識(shí)產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控、法律合規(guī)等方面加強(qiáng)對(duì)服務(wù)提供商的風(fēng)險(xiǎn)管理。
第六十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對(duì)非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn),該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。
第六十九條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查。實(shí)地檢查原則上一年不少于一次,檢查結(jié)果作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。
第七十條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)外包服務(wù)提供商非駐場(chǎng)外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評(píng)估,評(píng)估結(jié)果作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對(duì)于高風(fēng)險(xiǎn)的服務(wù)提供商,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)責(zé)令其進(jìn)行限期整改,對(duì)于逾期未改的服務(wù)提供商應(yīng)當(dāng)暫停或取消其服務(wù)資格。
第七十一條
對(duì)于非駐場(chǎng)外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可以參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理,但同業(yè)托管機(jī)構(gòu)須將為其他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分,不得區(qū)別對(duì)待,降低對(duì)自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平。
第七章 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求
第七十二條
銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù),同時(shí)滿足下述條件,如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷,造成經(jīng)濟(jì)損失的機(jī)構(gòu),具體條件如下:
(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù);或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù);或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù);且上述服務(wù)均為非駐場(chǎng)外包服務(wù)。
(二)服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場(chǎng)份額的三分之一以上;或服務(wù)的跨區(qū)域經(jīng)營(yíng)法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上;或服務(wù)的其他類型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。
第七十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示,按照如下要求進(jìn)行管理:
(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人實(shí)體,注冊(cè)資本和實(shí)收資本不少于1000萬(wàn),注冊(cè)成立時(shí)間不少于3年。
(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu),并針對(duì)所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu),至少應(yīng)當(dāng)建立由公司高級(jí)管理層直接領(lǐng)導(dǎo)、針對(duì)銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì),為持續(xù)的外包服務(wù)提供保證。
(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系,建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系,擁有有效的檢查、監(jiān)控和考核機(jī)制,確保管理規(guī)范有效執(zhí)行。
(四)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境,滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場(chǎng)地應(yīng)當(dāng)設(shè)臵在中國(guó)境內(nèi)。第七十四條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證:(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系,并通過(guò)業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。
(二)具有完善的質(zhì)量管理體系,并通過(guò)業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。
(三)承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu),其機(jī)房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達(dá)到國(guó)家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)。
(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù),或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu),應(yīng)當(dāng)具有完善的運(yùn)行服務(wù)管理體系,并通過(guò)業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。
第七十五條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在風(fēng)險(xiǎn)管理、審計(jì)方面對(duì)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)提出如下要求:
(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系,有效識(shí)別、監(jiān)測(cè)、評(píng)估和控制風(fēng)險(xiǎn)。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告,針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件,及時(shí)采取控制或緩釋措施。
(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)每年聘請(qǐng)獨(dú)立的審計(jì)機(jī)構(gòu),對(duì)自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估報(bào)告需報(bào)送所服務(wù)的銀行業(yè)金融機(jī)構(gòu),并抄送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。
(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查,確保其過(guò)往無(wú)不良記錄,且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議,并保留至少10年的法律追訴期。
第八章 監(jiān)督管理
第七十六條
銀行業(yè)金融機(jī)構(gòu)開(kāi)展以下信息科技外包服務(wù)時(shí),應(yīng)當(dāng)在外包合同簽訂前二十個(gè)工作日向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,針對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn),銀監(jiān)會(huì)及其派出機(jī)構(gòu)可以采取風(fēng)險(xiǎn)提示、約見(jiàn)談話、監(jiān)管質(zhì)詢等措施。
(一)信息科技工作整體外包;
(二)數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包;
(三)涉及將銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包;
(四)以非駐場(chǎng)形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包;
(五)關(guān)聯(lián)外包;
(六)涉及跨境的信息科技外包;
(七)其他銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。
第七十七條
銀行業(yè)金融機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生如下重大事件時(shí),應(yīng)當(dāng)在兩個(gè)工作日內(nèi)向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
(一)銀行業(yè)金融機(jī)構(gòu)客戶信息等敏感數(shù)據(jù)泄露;
(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷;
(三)由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問(wèn)題,導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷;
(四)其他重大的服務(wù)提供商違法違規(guī)事件;
(五)銀監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。
第七十八條
銀行業(yè)金融機(jī)構(gòu)在開(kāi)展外包風(fēng)險(xiǎn)管理評(píng)估工作后,應(yīng)當(dāng)將風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。
第七十九條
銀監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查,監(jiān)督檢查結(jié)果納入對(duì)銀行業(yè)金融機(jī)構(gòu)的監(jiān)管評(píng)級(jí)。
第八十條
對(duì)于風(fēng)險(xiǎn)較高的信息科技外包服務(wù),銀監(jiān)會(huì)或其派出機(jī)構(gòu)可以要求銀行業(yè)金融機(jī)構(gòu)暫緩、中止該類外包服務(wù),直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。
第八十一條
銀行業(yè)金融機(jī)構(gòu)違反本指引規(guī)定的,銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求其糾正或采取替代方案,并視情況予以問(wèn)責(zé)。因管理過(guò)失導(dǎo)致外包活動(dòng)嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運(yùn)行、損害存款人和其他客戶合法權(quán)益的,依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。
第八十二條
銀監(jiān)會(huì)實(shí)行銀行業(yè)信息科技外包服務(wù)活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制,定期對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)布銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)名單和風(fēng)險(xiǎn)提示,防范因高機(jī)構(gòu)集中度外包服務(wù)導(dǎo)致的系統(tǒng)性、區(qū)域性信息科技風(fēng)險(xiǎn)。第八十三條
銀監(jiān)會(huì)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的銀行業(yè)金融機(jī)構(gòu)信息科技外包服務(wù)進(jìn)行重點(diǎn)風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估,根據(jù)需要,可以要求銀行業(yè)金融機(jī)構(gòu)與重點(diǎn)外包服務(wù)機(jī)構(gòu)會(huì)談,就其外包服務(wù)活動(dòng)和風(fēng)險(xiǎn)的重大事項(xiàng)作出說(shuō)明。
第八十四條
銀監(jiān)會(huì)應(yīng)當(dāng)組織銀行業(yè)金融機(jī)構(gòu)實(shí)地核查銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng),原則上每?jī)赡赀M(jìn)行一次,也可以委托其他第三方機(jī)構(gòu)審計(jì)的形式實(shí)施。
第八十五條
銀監(jiān)會(huì)可以根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)風(fēng)險(xiǎn)評(píng)估和實(shí)地核查結(jié)果,對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示,要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)問(wèn)題實(shí)施整改。
第八十六條
銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機(jī)構(gòu)及銀監(jiān)會(huì)的風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地核查。
第八十七條
銀監(jiān)會(huì)組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對(duì)銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄,并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)。
第八十八條
服務(wù)提供商在外包服務(wù)中存在以下情形的,銀監(jiān)會(huì)定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險(xiǎn)預(yù)警,公布機(jī)構(gòu)名單、服務(wù)信息等,要求銀行業(yè)金融機(jī)構(gòu)禁止相關(guān)服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù),禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的,延長(zhǎng)其禁止期。
(一)違反國(guó)家法律、法規(guī)和監(jiān)管政策,情節(jié)嚴(yán)重的;
(二)竊取、泄露銀行業(yè)金融機(jī)構(gòu)敏感信息,情節(jié)嚴(yán)重的;
(三)因管理過(guò)失,多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件的;
(四)服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機(jī)構(gòu)造成損失,多次提示仍未整改的;
(五)對(duì)風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地檢查發(fā)現(xiàn)的問(wèn)題,逾期仍未整改的;
(六)存在其他違法違規(guī)行為,或發(fā)生其他重大信息科技風(fēng)險(xiǎn)事件的。
第八十九條
銀監(jiān)會(huì)負(fù)責(zé)監(jiān)督銀行業(yè)金融機(jī)構(gòu)對(duì)信息科技外包服務(wù)提供商實(shí)施準(zhǔn)入管理。對(duì)于存在重大風(fēng)險(xiǎn)的外包活動(dòng),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)立即評(píng)估外包的適當(dāng)性,對(duì)信息科技外包服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)預(yù)警提示,要求其進(jìn)行整改并設(shè)定期限;逾期未整改的,禁止其承擔(dān)信息科技外包服務(wù)。
第九章 附則
第九十條
本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第九十一條
本指引自公布之日起施行。
第三篇:銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管現(xiàn)場(chǎng)檢查手冊(cè)
前 言
信息科技已經(jīng)成為銀行業(yè)金融機(jī)構(gòu)實(shí)現(xiàn)經(jīng)營(yíng)戰(zhàn)略和業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ)平臺(tái)以及金融創(chuàng)新的 重要手段。銀行業(yè)對(duì)信息科技的高度依賴,決定了信息系統(tǒng)的安全性、可靠性和有效性對(duì)維 系整個(gè)銀行業(yè)的安全和金融體系的穩(wěn)定具有至關(guān)重要的作用。
銀監(jiān)會(huì)黨委對(duì)信息科技風(fēng)險(xiǎn)監(jiān)管工作高度重視,劉明康主席多次召開(kāi)專項(xiàng)工作會(huì)議并做 出重要批示和指示,明確要求著力推進(jìn)信息科技風(fēng)險(xiǎn)監(jiān)管。銀監(jiān)會(huì)堅(jiān)持貫徹“管法人、管風(fēng)險(xiǎn)、管內(nèi)控、提高透明度”的監(jiān)管理念,把信息科技風(fēng)險(xiǎn)納入銀行總體風(fēng)險(xiǎn)監(jiān)管框架,切實(shí)加強(qiáng)制 度建設(shè)和風(fēng)險(xiǎn)監(jiān)控,確保銀行業(yè)信息系統(tǒng)安全穩(wěn)定。
在目前信息技術(shù)革新日新月異、金融業(yè)務(wù)不斷創(chuàng)新、銀行對(duì)信息科技依賴性越來(lái)越大的 新形勢(shì)下,銀監(jiān)會(huì)堅(jiān)持“風(fēng)險(xiǎn)為本”的監(jiān)管原則,提出了信息科技風(fēng)險(xiǎn)功能性監(jiān)管的新思路,突出“制度先行”,完善監(jiān)管框架,借鑒和吸收國(guó)際先進(jìn)標(biāo)準(zhǔn)及業(yè)界最佳實(shí)踐,不斷豐富信息 科技風(fēng)險(xiǎn)監(jiān)管方式方法,制定了一系列的監(jiān)管規(guī)范,結(jié)合奧運(yùn)保障開(kāi)展現(xiàn)場(chǎng)檢查,并針對(duì)性 地發(fā)出有關(guān)風(fēng)險(xiǎn)提示,建立非現(xiàn)場(chǎng)監(jiān)管體系和監(jiān)管評(píng)級(jí)體系,從而構(gòu)建了信息科技風(fēng)險(xiǎn)監(jiān)管 的基礎(chǔ)框架,全面展開(kāi)信息科技風(fēng)險(xiǎn)的監(jiān)管工作。
按照郭利根副主席提出的“集成資源,形成信息科技風(fēng)險(xiǎn)監(jiān)管合力”和“搞好規(guī)劃,全面加 強(qiáng)信息科技風(fēng)險(xiǎn)監(jiān)管制度建設(shè)”要求,銀監(jiān)會(huì)強(qiáng)化機(jī)制建設(shè)、優(yōu)化資源配置,整合科技人力資 源,集中全國(guó)銀監(jiān)會(huì)系統(tǒng)科技骨干力量,在北京成立了信息科技監(jiān)管“專項(xiàng)工作組”,又在上 海、深圳兩地分別成立信息科技風(fēng)險(xiǎn)監(jiān)管工作室,按照統(tǒng)一調(diào)度、統(tǒng)一指揮、統(tǒng)一培訓(xùn)的工 作原則,制度建設(shè)、奧運(yùn)保障、現(xiàn)場(chǎng)檢查、非現(xiàn)場(chǎng)監(jiān)管及監(jiān)管評(píng)級(jí)五線并舉,形成了矩陣式 的監(jiān)管工作模式,快速鍛煉了一支能戰(zhàn)會(huì)戰(zhàn)、能夠擔(dān)當(dāng)重任的信息科技風(fēng)險(xiǎn)專業(yè)化監(jiān)管隊(duì)伍。
《手冊(cè)》的編寫得到了各方的大力支持。上海、湖北、安徽、山東、山西、江蘇、江西、河南、內(nèi)蒙古、黑龍江、青島、福建、河北、寧夏、遼寧、吉林、浙江、四川、深圳、廣東、天津、重慶、大連、云南、貴州銀監(jiān)局派出精銳技術(shù)骨干,參加《手冊(cè)》編寫工作;銀監(jiān)會(huì) 各部門與各銀監(jiān)局提出了許多寶貴意見(jiàn);上海銀監(jiān)局為編寫工作提供了大量支持和保障工作。整個(gè)《手冊(cè)》內(nèi)容融合了銀監(jiān)系統(tǒng)內(nèi)信息科技人員的經(jīng)驗(yàn)和智慧,匯聚了銀監(jiān)會(huì)各部門與各 銀監(jiān)局的寶貴意見(jiàn)和建議,應(yīng)屬于銀監(jiān)會(huì)系統(tǒng)及科技人員共同努力的成果和結(jié)晶。在此,向 所有參與工作的單位和個(gè)人致以誠(chéng)摯的謝意!
編寫人員
林 麗 朱永揚(yáng) 懌衛(wèi)飛 李 丹 駱絮飛 鄒 偉 房世暉
崔維琪 朱 斌 馮業(yè)偉 葉 照 喬昱瑞 紀(jì)奀 武 齊興利
吳瑞麟 陳宏宇
譚 楊 李 鵬 張 偉 周嘉弘 史文明 李海波
張惠芳 郝海峰 何 禹 包 龍
李曉東 楊中華 靖雪晶 殷有超 陸 陽(yáng) 崔 晨 懌美東
陸 翔 盛于南 懌殿南
陳云龍
游 琨
劉 楠
目 錄
第一部分 概述.............................................2
1.銀行信息科技風(fēng)險(xiǎn)及其監(jiān)管...............................2
1.1 銀行信息科技風(fēng)險(xiǎn)................................................................2 1.2 銀行信息科技風(fēng)險(xiǎn)特點(diǎn)............................................................2
1.3 風(fēng)險(xiǎn)成因分析....................................................................3
1.4 信息科技風(fēng)險(xiǎn)監(jiān)管意義............................................................4 2.現(xiàn)場(chǎng)檢查一般流程.......................................5
2.1 現(xiàn)場(chǎng)檢查準(zhǔn)備階段................................................................5 2.2 現(xiàn)場(chǎng)檢查實(shí)施階段................................................................7
2.3 現(xiàn)場(chǎng)檢查后續(xù)階段................................................................8 3.常用檢查方法...........................................9 第二部分 科技管理.......................................11 4.科技治理..............................................11
4.1 董事會(huì)及高管層.................................................................11 檢查項(xiàng) 1 :董事會(huì)和高級(jí)管理層............................................................................................11
4.2 信息科技工作的管理機(jī)構(gòu).........................................................12
檢查項(xiàng) 1 :全行信息科技工作的管理機(jī)構(gòu).............................................................................12
4.3 信息科技部門...................................................................13
檢查項(xiàng) 1 :信息科技部門.......................................................................................................13
4.4 信息科技戰(zhàn)略規(guī)劃...............................................................15
檢查項(xiàng) 1 :信息科技戰(zhàn)略規(guī)劃................................................................................................15
4.5 信息科技風(fēng)險(xiǎn)管理部門...........................................................15
檢查項(xiàng) 1 :信息科技風(fēng)險(xiǎn)管理部門........................................................................................15
4.6 信息科技風(fēng)險(xiǎn)審計(jì)...............................................................16
檢查項(xiàng) 1 :信息科技風(fēng)險(xiǎn)審計(jì)機(jī)制........................................................................................16
4.7 知識(shí)產(chǎn)權(quán)保護(hù)...................................................................17
檢查項(xiàng) 1 :敉識(shí)產(chǎn)權(quán)制度.......................................................................................................17
4.8 信息披露.......................................................................17
檢查項(xiàng) 1 :信息披露..............................................................................................................17 5.連續(xù)性管理............................................18
5.1 信息系統(tǒng)連續(xù)性組織.............................................................18 檢查項(xiàng) 1:系統(tǒng)連續(xù)性管理組織..............................................................................................18 檢查項(xiàng) 2:系統(tǒng)連續(xù)性管理組織職責(zé)......................................................................................19 檢查項(xiàng) 3:系統(tǒng)連續(xù)性計(jì)劃編制、維護(hù)...................................................................................20 檢查項(xiàng) 4:系統(tǒng)連續(xù)性計(jì)劃編制、維護(hù)職責(zé)...........................................................................20 檢查項(xiàng) 5:系統(tǒng)連續(xù)性計(jì)劃執(zhí)行組織......................................................................................20 檢查項(xiàng) 6:系統(tǒng)連續(xù)性計(jì)劃執(zhí)行組織職責(zé)...............................................................................21 檢查項(xiàng) 7:人員變動(dòng)管理.........................................................................................................22 5.2 信息系統(tǒng)連續(xù)性計(jì)劃.............................................................22 檢查項(xiàng) 1:系統(tǒng)連續(xù)性計(jì)劃.....................................................................................................22 檢查項(xiàng) 2:測(cè)試及持續(xù)更新.....................................................................................................24 檢查項(xiàng) 3:信息系統(tǒng)連續(xù)性計(jì)劃管理......................................................................................25 檢查項(xiàng) 4:系統(tǒng)連續(xù)性計(jì)劃培訓(xùn)..............................................................................................25 檢查項(xiàng) 5:系統(tǒng)連續(xù)性計(jì)劃審計(jì)..............................................................................................25 6.應(yīng)急管理..............................................26
6.1 應(yīng)急組織.......................................................................26 檢查項(xiàng) 1:應(yīng)急管理團(tuán)隊(duì).........................................................................................................26 檢查項(xiàng) 2:應(yīng)急管理職責(zé).........................................................................................................27 檢查項(xiàng) 3:應(yīng)急管理制度.........................................................................................................27 6.2 應(yīng)急預(yù)案.......................................................................27
檢查項(xiàng) 1:應(yīng)急預(yù)案制訂.........................................................................................................27
檢查項(xiàng) 2:應(yīng)急預(yù)案內(nèi)容.........................................................................................................28
檢查項(xiàng) 3:應(yīng)急預(yù)案更新.........................................................................................................29 檢查項(xiàng) 4:外包服務(wù)應(yīng)急.........................................................................................................29 檢查項(xiàng) 5:應(yīng)急培訓(xùn)................................................................................................................29 6.3 應(yīng)急演練.......................................................................30 檢查項(xiàng) 1:應(yīng)急演練前............................................................................................................30 檢查項(xiàng) 2:應(yīng)急演練過(guò)程.........................................................................................................30 檢查項(xiàng) 3:應(yīng)急演練后............................................................................................................30 6.4 應(yīng)急響應(yīng).......................................................................31 檢查項(xiàng) 1:應(yīng)急響應(yīng)流程.........................................................................................................31 檢查項(xiàng) 3:應(yīng)急事件報(bào)告.........................................................................................................32 檢查項(xiàng) 4:與第三方溝通.........................................................................................................32 檢查項(xiàng) 5 :向新聞媒體通報(bào)制度............................................................................................32 檢查項(xiàng) 6:應(yīng)急處置總結(jié).........................................................................................................33 6.5 應(yīng)急保障.......................................................................33 檢查項(xiàng) 1:人員保障................................................................................................................33 檢查項(xiàng) 2:物質(zhì)保障................................................................................................................33 檢查項(xiàng) 3:技術(shù)保障................................................................................................................34 檢查項(xiàng) 4:溝通保障................................................................................................................34 6.6 持續(xù)改進(jìn).......................................................................34 檢查項(xiàng) 1:應(yīng)急事件評(píng)估、改進(jìn)..............................................................................................34 檢查項(xiàng) 2:應(yīng)急響應(yīng)評(píng)估.........................................................................................................35 檢查項(xiàng) 3:應(yīng)急管理評(píng)估.........................................................................................................35 檢查項(xiàng) 4:納入全面風(fēng)險(xiǎn)管理機(jī)制..........................................................................................35 7.信息系統(tǒng)安全管理......................................35
7.1 安全管理組織...................................................................36 檢查項(xiàng) 1:管理目標(biāo)................................................................................................................36
檢查項(xiàng) 2:人員風(fēng)險(xiǎn)................................................................................................................36
7.2 安全管理制度...................................................................37 檢查項(xiàng) 1:規(guī)章制度................................................................................................................37 檢查項(xiàng) 2:制度合規(guī)................................................................................................................38 查項(xiàng) 3:制度執(zhí)行....................................................................................................................38 檢查項(xiàng) 4:宣傳和教育培訓(xùn).....................................................................................................39 檢查項(xiàng) 5:事件響應(yīng)和處理.....................................................................................................39 8.外包管理..............................................40
8.1 服務(wù)外包管理制度...............................................................40 檢查項(xiàng) 1:服務(wù)外包管理制度.................................................................................................40 檢查項(xiàng) 2:對(duì)重要外包項(xiàng)目評(píng)估..............................................................................................41 檢查項(xiàng) 3:外包安全保密措施.................................................................................................41 8.2 服務(wù)外包管理風(fēng)險(xiǎn)評(píng)估...........................................................41 檢查項(xiàng) 1:對(duì)服務(wù)外包商評(píng)估.................................................................................................41 檢查項(xiàng) 2:對(duì)服務(wù)外包商審查.................................................................................................42 8.3 服務(wù)外包審批...................................................................42
檢查項(xiàng) 1:服務(wù)外包審批流程.................................................................................................42
8.4 服務(wù)外包應(yīng)急響應(yīng)...............................................................42 檢查項(xiàng) 1:服務(wù)外包應(yīng)急計(jì)劃.................................................................................................42 檢查項(xiàng) 2:服務(wù)外包商聯(lián)絡(luò)機(jī)制..............................................................................................43 檢查項(xiàng) 3:服務(wù)外包應(yīng)急演練.................................................................................................43 8.5 外包合同.......................................................................43 檢查項(xiàng) 1:外包合同................................................................................................................43 檢查項(xiàng) 2:服務(wù)外包商訪問(wèn)權(quán)限..............................................................................................44 檢查項(xiàng) 3:外包服務(wù)法律風(fēng)險(xiǎn).................................................................................................44 8.6 服務(wù)外包文檔的完備性...........................................................45
檢查項(xiàng) 1:服務(wù)外包文檔.........................................................................................................45
第四篇:銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管報(bào)告
探索銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管框架
銀行業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管概述
信息科技風(fēng)險(xiǎn)是隨著信息科技技術(shù)廣泛應(yīng)用而新生的詞匯,最早出現(xiàn)在上世紀(jì)九十年代,目前業(yè)界對(duì)此缺乏統(tǒng)一的定義。中國(guó)銀監(jiān)會(huì)定義的信息科技風(fēng)險(xiǎn)是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中,由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。
2001年巴塞爾新資本協(xié)議草案明確了銀行業(yè)資本監(jiān)管的發(fā)展趨勢(shì),即將資本要求與銀行風(fēng)險(xiǎn)管理緊密相連。新資本協(xié)議以監(jiān)管當(dāng)局對(duì)資本計(jì)量的要求為基礎(chǔ),通過(guò)約束銀行資本,達(dá)到控制行業(yè)規(guī)模和風(fēng)險(xiǎn)的目的。在新資本協(xié)議關(guān)注的三大風(fēng)險(xiǎn)中,信息科技風(fēng)險(xiǎn)被默認(rèn)為操作風(fēng)險(xiǎn)的一部分,未對(duì)信息科技風(fēng)險(xiǎn)的管理提出具體要求。
信息科技穩(wěn)定運(yùn)行是銀行業(yè)務(wù)正常經(jīng)營(yíng)的基本條件,銀行數(shù)據(jù)集中造成了風(fēng)險(xiǎn)的高度集中,科技風(fēng)險(xiǎn)成為唯一能使銀行瞬間癱瘓的風(fēng)險(xiǎn)。信息科技風(fēng)險(xiǎn)具有區(qū)別于其他操作風(fēng)險(xiǎn)的特殊性:一是風(fēng)險(xiǎn)因素復(fù)雜,大量使用外包和新技術(shù)使得風(fēng)險(xiǎn)控制的復(fù)雜度大幅提高;二是由于管理因素、技術(shù)因素多重作用,導(dǎo)致偶發(fā)性和不確定性突出;三是信息科技一般不直接造成經(jīng)濟(jì)損失,其造成的間接損失難以計(jì)量;四是單個(gè)信息系統(tǒng)可影響多個(gè)業(yè)務(wù),影響范圍廣且具有不確定性。
科技風(fēng)險(xiǎn)與操作風(fēng)險(xiǎn)當(dāng)前處在不同的發(fā)展階段,其管理理論、管理方法等方面有著一定的差異性。在管理體系方面,信息科技風(fēng)險(xiǎn)管理的理論已進(jìn)入風(fēng)險(xiǎn)導(dǎo)向的科技風(fēng)險(xiǎn)管理階段,但以風(fēng)險(xiǎn)為導(dǎo)向的識(shí)別、監(jiān)測(cè)、計(jì)量方面尚不成體系;在管理方法方面,信息科技風(fēng)險(xiǎn)的特殊性在于產(chǎn)品和技術(shù)層面的風(fēng)險(xiǎn)也是其重要風(fēng)險(xiǎn)因素;在損失特點(diǎn)方面,信息科技風(fēng)險(xiǎn)通常不產(chǎn)生直接的風(fēng)險(xiǎn)損失,這決定了通常情況下科技風(fēng)險(xiǎn)損失往往難以使用貨幣金額方式進(jìn)行表示;在風(fēng)險(xiǎn)計(jì)量方面,目前尚缺乏有效計(jì)量信息科技風(fēng)險(xiǎn)資本的方法。
當(dāng)前銀行業(yè)大多將信息科技風(fēng)險(xiǎn)作為操作風(fēng)險(xiǎn)的一部分,納入銀行全面風(fēng)險(xiǎn)管理體系。但是,隨著行業(yè)發(fā)展和技術(shù)進(jìn)步,在操作風(fēng)險(xiǎn)模式下管理信息科技風(fēng)險(xiǎn)也存在一定的困難:一是目前的操作風(fēng)險(xiǎn)管理方法中對(duì)科技風(fēng)險(xiǎn)的管理方法涉及較少,難以兼顧到信息科技風(fēng)險(xiǎn)的專業(yè)技術(shù)特性,難以實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的有效管理 ;二是風(fēng)險(xiǎn)監(jiān)管資本計(jì)量未能充分考慮信息科技風(fēng)險(xiǎn)因素,信息科技風(fēng)險(xiǎn)造成的損失及其相應(yīng)的監(jiān)管資本計(jì)量存在困難。基于科技風(fēng)險(xiǎn)特點(diǎn)及其作為操作風(fēng)險(xiǎn)一部分進(jìn)行管理遇到的問(wèn)題,將信息科技風(fēng)險(xiǎn)從操作風(fēng)險(xiǎn)中拆分并獨(dú)立管理,能更有效的管理信息科技風(fēng)險(xiǎn)。
信息科技風(fēng)險(xiǎn)應(yīng)被視為一種獨(dú)立的、重要的風(fēng)險(xiǎn)類型被單獨(dú)管理,與操作風(fēng)險(xiǎn)的管理分開(kāi);應(yīng)根據(jù)信息科技損失的特點(diǎn)設(shè)計(jì)與操作風(fēng)險(xiǎn)標(biāo)準(zhǔn)法和高級(jí)法匹配的計(jì)量模型,體現(xiàn)信息科技風(fēng)險(xiǎn)對(duì)銀行資本的影響和敏感性。
銀行業(yè)信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)
在實(shí)施“風(fēng)險(xiǎn)為本”的監(jiān)管框架中,需要探索建立一套可量化、相對(duì)簡(jiǎn)單、可動(dòng)態(tài)監(jiān)測(cè)的核心監(jiān)管指標(biāo)體系,來(lái)動(dòng)態(tài)監(jiān)測(cè)信息科技風(fēng)險(xiǎn)狀況,直觀評(píng)估銀行信息科技風(fēng)險(xiǎn)的管理水平。
核心監(jiān)管指標(biāo)作為監(jiān)管機(jī)構(gòu)識(shí)別和預(yù)警銀行風(fēng)險(xiǎn)的重要手段和方法,對(duì)健全內(nèi)部風(fēng)險(xiǎn)制衡機(jī)制,完善風(fēng)險(xiǎn)管理政策和流程,優(yōu)化風(fēng)險(xiǎn)計(jì)量工具,進(jìn)行有效的風(fēng)險(xiǎn)控制起到了積極的促進(jìn)作用。信息科技風(fēng)險(xiǎn)核心監(jiān)管指標(biāo)可以分為兩類,一類是結(jié)果性指標(biāo),另一類是過(guò)程性指標(biāo)。結(jié)果性指標(biāo)是以目標(biāo)為導(dǎo)向,對(duì)已經(jīng)發(fā)生的科技風(fēng)險(xiǎn)事件和信息安全事件進(jìn)行統(tǒng)計(jì)后建立的量化指標(biāo),其反映的是風(fēng)險(xiǎn)狀況和發(fā)展趨勢(shì)。過(guò)程性指標(biāo)主要反映銀行風(fēng)險(xiǎn)控制和管理能力。這樣兩類指標(biāo)相互補(bǔ)充,起到全面評(píng)估機(jī)構(gòu)風(fēng)險(xiǎn)水平的目的。
信息科技風(fēng)險(xiǎn)監(jiān)管具體目標(biāo)包括業(yè)務(wù)連續(xù)性、信息安全、公眾滿意度以及合法合規(guī)。從信息科技風(fēng)險(xiǎn)監(jiān)管目標(biāo)出發(fā),可逐層分解出系統(tǒng)可利用率、業(yè)務(wù)量等指標(biāo),它們相對(duì)簡(jiǎn)單、直觀、容易測(cè)算和計(jì)量,可以成為結(jié)果性指標(biāo)。另外一類是過(guò)程性指標(biāo),這類指標(biāo)基于當(dāng)前銀行業(yè)信息科技管理最佳實(shí)踐,對(duì)信息科技的每個(gè)領(lǐng)域都能夠起關(guān)鍵控制作用。監(jiān)管指標(biāo)一方面可以用來(lái)監(jiān)測(cè)銀行業(yè)整體風(fēng)險(xiǎn)狀況,評(píng)估銀行業(yè)風(fēng)險(xiǎn)水平,同時(shí)也可以與監(jiān)管手段相結(jié)合,提高信息科技風(fēng)險(xiǎn)監(jiān)管水平。
銀行業(yè)信息科技風(fēng)險(xiǎn)資本計(jì)量
信息科技風(fēng)險(xiǎn)是巴塞爾新資本協(xié)議全面風(fēng)險(xiǎn)計(jì)量框架中的組成部分,科技風(fēng)險(xiǎn)資本計(jì)量是科技風(fēng)險(xiǎn)管理的重要手段。
計(jì)量信息科技風(fēng)險(xiǎn)可以借鑒當(dāng)前相對(duì)成熟的操作風(fēng)險(xiǎn)的計(jì)量方法。但是,直接用操作風(fēng)險(xiǎn)計(jì)量方法計(jì)量信息科技風(fēng)險(xiǎn)存在挑戰(zhàn),主要表現(xiàn)如下:一是信息科技風(fēng)險(xiǎn)與總收入、業(yè)務(wù)交易量、客戶數(shù)或業(yè)務(wù)交易金額等指標(biāo)的關(guān)聯(lián)并不密切;二是大部分信息科技風(fēng)險(xiǎn)的損失不是顯性的,除少數(shù)信息科技風(fēng)險(xiǎn)事件(如引發(fā)客戶索賠、延誤罰息)有“直接損失”外,大部分信息科技風(fēng)險(xiǎn)事件的影響體現(xiàn)為業(yè)務(wù)中斷、聲譽(yù)受損等“間接損失”;三是信息科技風(fēng)險(xiǎn)損失數(shù)據(jù)相對(duì)較少,極端嚴(yán)重事件的數(shù)據(jù)更少,計(jì)量 “尾部風(fēng)險(xiǎn)”面臨挑戰(zhàn)。
基于高級(jí)法的計(jì)量思路是在操作風(fēng)險(xiǎn)的統(tǒng)一計(jì)量框架下對(duì)信息科技風(fēng)險(xiǎn)這一類型單獨(dú)計(jì)量,可將信息風(fēng)險(xiǎn)損失定義為金額損失和時(shí)間損失兩個(gè)維度,建立時(shí)間與金額的轉(zhuǎn)換關(guān)系,擬合頻率分布和嚴(yán)重度分布,之后整合為總損失分布,根據(jù)置信度確定未來(lái)一定時(shí)期內(nèi)的非預(yù)期損失,最后用內(nèi)部衡量法進(jìn)行調(diào)整得出計(jì)量結(jié)果。將科技風(fēng)險(xiǎn)持續(xù)時(shí)間轉(zhuǎn)換為間接損失金額有兩種方法,分別為解析法和映射法。解析法是考量信息系統(tǒng)對(duì)銀行利潤(rùn)貢獻(xiàn)度,即某個(gè)信息系統(tǒng)單位時(shí)間對(duì)銀行產(chǎn)生的利潤(rùn),根據(jù)系統(tǒng)中斷時(shí)間、影響范圍、系統(tǒng)重要性進(jìn)行計(jì)算,得出信息科技風(fēng)險(xiǎn)事件的間接損失。映射法是根據(jù)影響范圍和系統(tǒng)重要程度將影響時(shí)間加權(quán)計(jì)算轉(zhuǎn)化為“標(biāo)準(zhǔn)”的影響時(shí)間,然后建立標(biāo)準(zhǔn)影響時(shí)間與損失金額之間的映射關(guān)系,從而確定損失。
未來(lái),隨著信息技術(shù)的飛速發(fā)展,銀行業(yè)對(duì)信息科技的依賴越來(lái)越大,云計(jì)算、物聯(lián)網(wǎng)等新技術(shù)既加快了銀行創(chuàng)新發(fā)展,對(duì)信息科技風(fēng)險(xiǎn)管理提出了更高的要求;快速變化的外部環(huán)境,開(kāi)放的互聯(lián)網(wǎng)環(huán)境,技術(shù)類企業(yè)、第三方平臺(tái)等非金融機(jī)構(gòu)與銀行業(yè)的業(yè)務(wù)服務(wù)不斷融合等,所有這些都使得信息科技風(fēng)險(xiǎn)管理與監(jiān)管面臨著更加現(xiàn)實(shí)的挑戰(zhàn),需要我們不斷地思考和研究,提高信息科技風(fēng)險(xiǎn)管理能力。
(本文是中國(guó)金融四十人論壇內(nèi)部課題《銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)監(jiān)管研究》的報(bào)告簡(jiǎn)本,課題得到中國(guó)金融四十人論壇立項(xiàng)資助并組織專家評(píng)審)
第五篇:銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引-正式發(fā)文版
銀行業(yè)金融機(jī)構(gòu)
信息科技外包風(fēng)險(xiǎn)監(jiān)管指引
第一章 總則
第一條
為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng),降低信息科技外包引發(fā)的風(fēng)險(xiǎn),保持信息科技核心能力,促進(jìn)銀行業(yè)信息科技健康有序發(fā)展,根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》等法律法規(guī),制定本指引。
第二條
在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社適用本指引。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì))監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。
第三條
本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為,包含項(xiàng)目外包、人力資源外包等形式,原則上包括以下類型:
(一)研發(fā)咨詢類外包:科技管理及IT治理等咨詢?cè)O(shè)計(jì)外包,規(guī)劃、需求、系統(tǒng)開(kāi)發(fā)、測(cè)試外包;
(二)系統(tǒng)運(yùn)行維護(hù)類外包:包括數(shù)據(jù)中心(災(zāi)備中心)、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包,自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包;
(三)業(yè)務(wù)外包中的信息科技活動(dòng):市場(chǎng)拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng);
第四條
本指引所稱關(guān)聯(lián)外包指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)的信息科技外包。
第五條
信息科技的外包可能產(chǎn)生如下風(fēng)險(xiǎn),并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn):
(一)科技能力喪失:銀行業(yè)金融機(jī)構(gòu)過(guò)度依賴外部資源導(dǎo)致失去科技創(chuàng)新及控制能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展;
(二)業(yè)務(wù)中斷:支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無(wú)法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷;
(三)信息泄露:包含客戶信息在內(nèi)的銀行非公開(kāi)數(shù)據(jù)被服務(wù)提供商非法獲得或泄露;
(四)服務(wù)水平下降:由于外包服務(wù)質(zhì)量問(wèn)題或內(nèi)外部協(xié)作效率低下,使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。
第六條
本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn),該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。
第七條
本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。
第八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全 2 面風(fēng)險(xiǎn)管理體系,建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系,控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。
第九條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu),制定外包管理戰(zhàn)略,定期進(jìn)行外包風(fēng)險(xiǎn)評(píng)估,通過(guò)服務(wù)提供商準(zhǔn)入、評(píng)價(jià)、退出等手段建立及維護(hù)符合其戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。
第十條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則:
(四)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;
(五)保持外包風(fēng)險(xiǎn)、成本和效益的平衡;
(六)強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制,保持管控力度;
(七)根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì),持續(xù)改進(jìn)外包策略和措施。
第十一條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí),不得將其信息科技管理責(zé)任外包。
第十二條
對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購(gòu)、維保,及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn),按照本指引第五章要求進(jìn)行管理。
第二章 外包管理組織架構(gòu)
第十三條
銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險(xiǎn)管理的主管部門,制定并審批信息科技外包戰(zhàn)略,審議信息科技外包管理流程及制度,督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。
第十四條
信息科技外包風(fēng)險(xiǎn)主管部門主要職責(zé)包括:
(一)對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示;
(二)監(jiān)督、評(píng)價(jià)外包管理工作,并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善;
(三)向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)開(kāi)展相關(guān)風(fēng)險(xiǎn)管理情況;
(四)董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。
第十五條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì),并配備足夠人員履行以下職責(zé):
(一)實(shí)施信息科技外包戰(zhàn)略;
(二)制定并執(zhí)行信息科技外包管理制度與流程;
(三)執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理,建立并維護(hù)供應(yīng)商關(guān)系管理策略;
(四)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并組織 4 實(shí)施定期演練;
(五)對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析,定期向信息科技及外包風(fēng)險(xiǎn)管理的主管部門報(bào)告外包活動(dòng)情況。
第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理
第一節(jié) 信息科技外包戰(zhàn)略
第十六條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力,提高科技管理及創(chuàng)新水平,掌握信息科技核心技能為目標(biāo)。基于信息科技戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定其信息科技外包戰(zhàn)略,包括:不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略。
第十七條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身的信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不應(yīng)外包。
第十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案,通過(guò)補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式,有針對(duì)性地獲取或提升管理及技術(shù)能力,降低對(duì)服務(wù)提供商的依賴。
第十九條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場(chǎng)地位相適應(yīng)的供應(yīng)商關(guān)系管理策略,通過(guò)準(zhǔn)入和退出機(jī)制控制各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量,實(shí)現(xiàn)以下目標(biāo):防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn),通過(guò)引入適當(dāng)?shù)母?jìng)爭(zhēng)在降低采購(gòu)成本的同時(shí)提高服務(wù) 5 質(zhì)量,合理控制服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。
第二十條
銀行業(yè)金融機(jī)構(gòu)可按照外包服務(wù)性質(zhì)和重要性程度對(duì)服務(wù)提供商進(jìn)行分級(jí)管理,對(duì)不同級(jí)別的服務(wù)提供商采取嚴(yán)格程度差異化的管控措施,從而達(dá)到有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。
第二十一條
對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)保持外包有關(guān)決策的獨(dú)立性,要求其母公司或其所屬的集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作,避免因關(guān)聯(lián)關(guān)系而降低銀行業(yè)金融機(jī)構(gòu)對(duì)外包活動(dòng)的風(fēng)險(xiǎn)控制水平。
第二節(jié) 信息科技外包風(fēng)險(xiǎn)管理
第二十二條
銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)主管部門應(yīng)當(dāng)至少每年開(kāi)展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估,保持評(píng)估的獨(dú)立性,并向高級(jí)管理層提交評(píng)估報(bào)告。評(píng)估內(nèi)容包括:信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場(chǎng)變化對(duì)外包服務(wù)的影響分析等。
第二十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期風(fēng)險(xiǎn)評(píng)估,保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評(píng)估內(nèi)容包括:服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等,評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。
第二十四條
銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開(kāi)展信 6 息科技外包風(fēng)險(xiǎn)管理審計(jì)工作,至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)及時(shí)開(kāi)展專項(xiàng)審計(jì)。
第四章 信息科技外包管理
第一節(jié)
外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入
第二十五條
外包項(xiàng)目立項(xiàng)前,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性,應(yīng)當(dāng)根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估,制定相應(yīng)的風(fēng)險(xiǎn)處臵措施,不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。
第二十六條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略,結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對(duì)備選服務(wù)提供商進(jìn)行初步篩選,防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。
第二十七條
對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。
第二節(jié)
服務(wù)提供商盡職調(diào)查
第二十八條
對(duì)重要的服務(wù)提供商,銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開(kāi)展盡職調(diào)查,必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。
第二十九條
銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn),包括但不限于:服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等。
第三十條
銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力,包括但不限于:內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。
第三十一條
銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況,包括但不限于:從業(yè)時(shí)間、市場(chǎng)地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。
第三十二條
對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對(duì)服務(wù)提供商的要求,應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平,確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等。
第三十三條
對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。
第三節(jié) 外包服務(wù)合同及要求
第三十四條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前,應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及盡職調(diào)查結(jié)果確定其詳細(xì)程度和重點(diǎn)。
第三十五條
銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:
(一)服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件;
(二)合規(guī)與內(nèi)控要求,對(duì)法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施;
(三)服務(wù)連續(xù)性要求,服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求;
(四)銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)力、頻率,服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查,及配合銀行業(yè)金融機(jī)構(gòu)接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)檢查的責(zé)任;
(五)政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件,外包服務(wù)提供商在過(guò)渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過(guò)渡安排,包括信息、資料和設(shè)施的交接處臵等過(guò)渡期間相關(guān)服務(wù)的安排;
(六)外包服務(wù)過(guò)程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求;
(七)服務(wù)要求或服務(wù)水平條款,至少應(yīng)包括如下內(nèi)容:外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等;
(八)爭(zhēng)端解決機(jī)制、違約及賠償條款,至少包括如下內(nèi)容:服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等,及在各種違約情況下的賠償以及外包爭(zhēng)端的解決機(jī)制;
(九)報(bào)告條款,至少包括如下內(nèi)容:常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。
第三十六條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任,以及針對(duì)安全及保密要求需采取的具體措施,包括但不限于:
(一)禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息,以防止信息被非授權(quán)的使用;
(二)在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)力的保護(hù)條款、事故處理方式及違約賠償條款;
(三)在合同或協(xié)議中約定服務(wù)提供商不得以所提供服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開(kāi)展活動(dòng);
(四)服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí),需滿足安全和保密相關(guān)條款的要求;
(五)服務(wù)提供商在其發(fā)生信息安全事件時(shí)必須及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告事件的影響以及處臵和糾正措施。
第三十七條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求:
(一)不得將外包服務(wù)的主要業(yè)務(wù)分包;
(二)主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé),確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議;
(三)主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控,并對(duì)分包商的變 10 更履行通知或報(bào)告審批義務(wù)。
第四節(jié) 外包服務(wù)安全管理
第三十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施,防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn),具體措施包括:
(一)對(duì)外包人員進(jìn)行信息安全培訓(xùn),提高風(fēng)險(xiǎn)管理意識(shí),確保信息安全管控措施在外包服務(wù)過(guò)程中有效落實(shí);
(二)明確外包活動(dòng)需要訪問(wèn)或使用的信息資產(chǎn),包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問(wèn)控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等,按“必需知道“和“最小授權(quán)”原則進(jìn)行訪問(wèn)授權(quán);
(三)對(duì)重要或核心的信息系統(tǒng)開(kāi)發(fā)交付物進(jìn)行源代碼檢查和安全掃描;
(四)定期對(duì)服務(wù)提供商進(jìn)行安全檢查,獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。
第三十九條
銀行業(yè)金融機(jī)構(gòu)在對(duì)關(guān)聯(lián)外包的服務(wù)提供商進(jìn)行定期安全檢查時(shí),不得以服務(wù)提供商的自評(píng)估來(lái)替代,不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。
第四十條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊,及時(shí)完善信息安全管控體系,避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。
第五節(jié) 外包服務(wù)監(jiān)控與評(píng)價(jià)
第四十一條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控,要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù),并跟蹤任務(wù)的執(zhí)行情況,及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類異常情況。
第四十二條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技的外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo),并進(jìn)行相應(yīng)的監(jiān)控。常見(jiàn)指標(biāo)包括:
(一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開(kāi)機(jī)率;
(二)故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間;
(三)服務(wù)的次數(shù)、客戶滿意度;
(四)各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄,服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性,且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。
第四十四條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員 12 流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。
第四十五條
銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時(shí),應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施,情節(jié)嚴(yán)重的或未及時(shí)糾正的,應(yīng)約談服務(wù)提供商高管人員并限期整改。
第四十六條
外包服務(wù)結(jié)束時(shí),銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià),評(píng)價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。
第四十七條
對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)推動(dòng)母公司或其所屬集團(tuán)將外包服務(wù)質(zhì)量納入對(duì)服務(wù)提供商的業(yè)績(jī)?cè)u(píng)價(jià)范圍,建立外包服務(wù)重大事件問(wèn)責(zé)機(jī)制。同時(shí),應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績(jī)效考核機(jī)制。
第六節(jié) 外包服務(wù)中斷與終止
第四十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對(duì)業(yè)務(wù)連續(xù)性管理的影響,有針對(duì)性的完善業(yè)務(wù)連續(xù)性管理計(jì)劃,包括但不限于:
(一)識(shí)別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源;
(二)通過(guò)合同協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源;
(三)對(duì)服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控,并評(píng)價(jià)其 13 管理水平;
(四)在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相關(guān)的服務(wù)提供商納入演練范圍。
第四十九條
為降低外包突發(fā)事件的可能性及影響,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施,包括但不限于以下內(nèi)容:
(一)在外包服務(wù)實(shí)施的過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況;
(二)與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán);
(三)要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案,如提供備份人員;
(四)對(duì)于涉及重要業(yè)務(wù)的外包服務(wù),銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。
第五十條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景,擬定相應(yīng)的應(yīng)急計(jì)劃,并定期進(jìn)行演練,應(yīng)考慮的因素包括但不限于以下內(nèi)容:
(一)事件場(chǎng)景,如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù),服務(wù)提供商主動(dòng)退出,因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等;
(二)事件持續(xù)時(shí)間和恢復(fù)可能性;
(三)事件影響范圍和可能的應(yīng)急措施;
(四)服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間;
(五)備選的服務(wù)提供商以及外包服務(wù)遷移方案;
(六)外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。
第五十一條
對(duì)于無(wú)法滿足外包服務(wù)要求或發(fā)生重大事件的情況,銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下,考慮主動(dòng)要求服務(wù)提供商終止服務(wù),情節(jié)特別嚴(yán)重的,可考慮取消準(zhǔn)入資質(zhì),并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。對(duì)于關(guān)聯(lián)外包,銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實(shí)。
第五章 機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理
第五十二條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比,服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場(chǎng)占比情況,識(shí)別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。同時(shí),還應(yīng)識(shí)別服務(wù)提供商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)所產(chǎn)生的機(jī)構(gòu)集中度風(fēng)險(xiǎn)。
第五十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式,降低機(jī)構(gòu)集中度,減少對(duì)外包服務(wù)提供商的依賴。
第五十四條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù),證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營(yíng)能力等。
第五十五條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對(duì)獨(dú)立的資源,包括服務(wù)團(tuán)隊(duì)、場(chǎng)地、系統(tǒng)、設(shè)備等;并對(duì)資源進(jìn)行定期檢查,確保資源及時(shí)到位。
第五十六條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中,明確外包服務(wù)的優(yōu)先級(jí),并進(jìn)行服務(wù)中斷應(yīng)急演練,服務(wù)提供商應(yīng)至少參與服務(wù)交接、敏感信息處臵等演練過(guò)程。
第五十七條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況持續(xù)監(jiān)控,建立信息收集機(jī)制,及時(shí)掌握風(fēng)險(xiǎn)事件情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對(duì)本機(jī)構(gòu)產(chǎn)生大面積影響。
第五十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度,必要時(shí)可指派專人進(jìn)行現(xiàn)場(chǎng)監(jiān)督。
第五十九條
對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理。
第六章 跨境及非駐場(chǎng)外包管理
第一節(jié) 跨境外包風(fēng)險(xiǎn)管理
第六十條
跨境外包是指在境外其他國(guó)家或地區(qū)實(shí)施的信息科技外包服務(wù)活動(dòng)。
第六十一條
跨境外包除具有本指引前述風(fēng)險(xiǎn)外,還包括由于某一國(guó)家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國(guó)別風(fēng)險(xiǎn),及由于外包實(shí)施場(chǎng)地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場(chǎng)風(fēng)險(xiǎn)。
第六十二條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國(guó)家或地區(qū)的經(jīng)濟(jì)、政治、社會(huì)狀況,通過(guò)建立應(yīng)急預(yù)案、服務(wù)持續(xù)性計(jì)劃防范跨境外包所帶來(lái)的國(guó)別風(fēng)險(xiǎn)。
第六十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國(guó)外法律法規(guī)、監(jiān)管要求對(duì)其獲取服務(wù)提供商外包管理信息可能的影響。實(shí)施跨境外包時(shí),不應(yīng)妨礙銀行業(yè)金融機(jī)構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)的延伸檢查。
第六十四條
銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí),應(yīng)當(dāng)明確其所在國(guó)家或地區(qū)監(jiān)管當(dāng)局已與中國(guó)銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。
第六十五條
銀行業(yè)金融機(jī)構(gòu)在實(shí)施跨境外包時(shí),其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定,明確爭(zhēng)議解決時(shí)所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國(guó)的法律解決糾紛。
第六十六條
銀行業(yè)金融機(jī)構(gòu)在開(kāi)展跨境外包時(shí),應(yīng)當(dāng)充分審查評(píng)估服務(wù)提供商保護(hù)客戶信息的能力,并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包,應(yīng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開(kāi)展。
第二節(jié) 非駐場(chǎng)外包風(fēng)險(xiǎn)管理
第六十七條
非駐場(chǎng)外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場(chǎng)提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)構(gòu)不能對(duì)其內(nèi)部控制及風(fēng)險(xiǎn)管理措施進(jìn)行直接管控,應(yīng)當(dāng)在信息安全、知識(shí)產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控、法律合規(guī)等方面加強(qiáng)對(duì)服務(wù)提供商的風(fēng)險(xiǎn)管理。
第六十八條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對(duì)非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn),該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。
第六十九條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查。實(shí)地檢查原則上一年不少于一次,檢查結(jié)果應(yīng)作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。
第七十條
銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)服務(wù)商非駐場(chǎng)外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評(píng)估,評(píng)估結(jié)果應(yīng)作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對(duì)于高風(fēng)險(xiǎn)的服務(wù)提供商,銀行業(yè)金融機(jī)構(gòu)應(yīng)責(zé)令其進(jìn)行限期整改,對(duì)于逾期未改的服務(wù)提供商應(yīng)暫停或取消其服務(wù)資格。
第七十一條
對(duì)于非駐場(chǎng)外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理,但同業(yè)托管機(jī)構(gòu)須將為其他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分,不應(yīng)區(qū)別對(duì)待而降低對(duì)自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平。
第七章 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求
第七十二條
銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù),同時(shí)滿足下述條件,如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷,造成經(jīng)濟(jì)損失的機(jī)構(gòu),具體條件如下:
(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù);或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù);或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù);且上述服務(wù)均為非駐場(chǎng)外包服務(wù);
(二)服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場(chǎng)份額的三分之一以上;或服務(wù)的國(guó)有、股份制法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上;或服務(wù)的其它類型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。
第七十三條
銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示,按照如下要求進(jìn)行管理:
19(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人實(shí)體,注冊(cè)資本和實(shí)收資本不少于1000萬(wàn),注冊(cè)成立時(shí)間應(yīng)不少于3年。
(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu),并針對(duì)所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu),至少應(yīng)當(dāng)建立由公司高級(jí)管理層直接領(lǐng)導(dǎo)、針對(duì)銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì),為持續(xù)的外包服務(wù)提供保證。
(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系,建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系,擁有有效的檢查、監(jiān)控和考核機(jī)制,確保管理規(guī)范有效執(zhí)行。
(四)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人員隊(duì)伍和設(shè)施、環(huán)境,滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場(chǎng)地應(yīng)設(shè)臵在中國(guó)境內(nèi)。
第七十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)要求銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證:(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系,并通過(guò)業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。
(二)具有完善的質(zhì)量管理體系,并通過(guò)業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。
20(三)承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu),其機(jī)房及基礎(chǔ)設(shè)施應(yīng)達(dá)到國(guó)家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)。
(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù),或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu),應(yīng)具有完善的運(yùn)行服務(wù)管理體系,并通過(guò)業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。
第七十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)在風(fēng)險(xiǎn)管理、審計(jì)方面對(duì)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)做出如下要求:
(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系,有效識(shí)別、監(jiān)測(cè)、評(píng)估和控制風(fēng)險(xiǎn)。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告,針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件,及時(shí)采取控制或緩釋措施。
(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)每年聘請(qǐng)獨(dú)立的審計(jì)機(jī)構(gòu),對(duì)自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估報(bào)告需報(bào)送所服務(wù)的銀行業(yè)金融機(jī)構(gòu),并抄送銀行業(yè)監(jiān)督管理委員會(huì)或其派出機(jī)構(gòu)。
(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查,確保其過(guò)往無(wú)犯罪或其他不良記錄,且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議,并保留至少10年的法律追訴期。
第八章 監(jiān)督管理
第七十六條
銀行業(yè)金融機(jī)構(gòu)開(kāi)展以下信息科技外包服務(wù)時(shí),應(yīng)在外包合同簽訂前二十個(gè)工作日向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。報(bào)告內(nèi)容見(jiàn)附件《信息科技外包服務(wù)報(bào)告材料目錄》。
(一)信息科技工作整體外包;
(二)數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包;
(三)涉及將銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包;
(四)以非駐場(chǎng)形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包;
(五)關(guān)聯(lián)外包;
(六)涉及跨境的信息科技外包;
(七)其他中國(guó)銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。第七十七條
銀行業(yè)金融機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生如下重大事件時(shí),應(yīng)在兩個(gè)工作日內(nèi)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
(一)銀行業(yè)金融機(jī)構(gòu)客戶信息等敏感數(shù)據(jù)泄露;
(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷;
(三)由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問(wèn)題,導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷;22
(四)其他重大的服務(wù)提供商違法違規(guī)事件;
(五)中國(guó)銀監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。第七十八條
銀行業(yè)金融機(jī)構(gòu)在開(kāi)展外包風(fēng)險(xiǎn)管理評(píng)估工作后,應(yīng)將風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)送中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)。報(bào)告內(nèi)容見(jiàn)附件《信息科技外包服務(wù)報(bào)告材料目錄》。
第七十九條
中國(guó)銀監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查,監(jiān)督檢查結(jié)果應(yīng)納入對(duì)銀行業(yè)金融機(jī)構(gòu)的監(jiān)管評(píng)級(jí)。
第八十條
對(duì)于風(fēng)險(xiǎn)較高的信息科技外包服務(wù),銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求銀行業(yè)金融機(jī)構(gòu)暫緩、中止該類外包服務(wù),直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。
第八十一條
銀行業(yè)金融機(jī)構(gòu)違反本指引規(guī)定的,中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求銀行業(yè)金融機(jī)構(gòu)糾正或采取替代方案,并視情況予以問(wèn)責(zé)。因管理過(guò)失導(dǎo)致外包活動(dòng)嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運(yùn)行、損害存款人和其他客戶合法權(quán)益的,將依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。
第八十二條
中國(guó)銀監(jiān)會(huì)實(shí)行對(duì)銀行業(yè)信息科技外包服務(wù)活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制,定期對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)布銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)名單和風(fēng)險(xiǎn)提示,防范因高機(jī)構(gòu)集中度外包服務(wù)導(dǎo)致的行業(yè)性、區(qū)域性信息科技風(fēng)險(xiǎn)。
第八十三條
中國(guó)銀監(jiān)會(huì)應(yīng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的銀行業(yè)金融機(jī)構(gòu)信息科技外包服務(wù)活動(dòng)進(jìn)行重點(diǎn)風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估。根 23 據(jù)履行職責(zé)的需要,中國(guó)銀監(jiān)會(huì)可要求銀行業(yè)金融機(jī)構(gòu)與銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)會(huì)談,就其外包服務(wù)活動(dòng)和風(fēng)險(xiǎn)的重大事項(xiàng)作出說(shuō)明。
第八十四條
中國(guó)銀監(jiān)會(huì)應(yīng)組織銀行業(yè)金融機(jī)構(gòu),實(shí)地核查銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng),原則上每?jī)赡赀M(jìn)行一次,也可以委托其他第三方機(jī)構(gòu)審計(jì)的形式實(shí)施。
第八十五條
中國(guó)銀監(jiān)會(huì)可根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)風(fēng)險(xiǎn)評(píng)估和實(shí)地核查結(jié)果,對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示,要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)問(wèn)題實(shí)施整改。
第八十六條
銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機(jī)構(gòu)及中國(guó)銀監(jiān)會(huì)的風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地核查。發(fā)現(xiàn)外包服務(wù)中發(fā)生可能引發(fā)行業(yè)性、區(qū)域性信息科技風(fēng)險(xiǎn)的突發(fā)事件時(shí),應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告。
第八十七條
中國(guó)銀監(jiān)會(huì)組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對(duì)銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄,并對(duì)其風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)。
第八十八條
服務(wù)提供商在外包服務(wù)中存在以下情形的,中國(guó)銀監(jiān)會(huì)將定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險(xiǎn)預(yù)警,公布機(jī)構(gòu)名單、服務(wù)信息等,要求銀行業(yè)金融機(jī)構(gòu)禁止服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù),禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的,將延長(zhǎng)其禁止期。
(一)違反國(guó)家法律、法規(guī)和監(jiān)管政策,情節(jié)嚴(yán)重的;
(二)竊取、泄露銀行業(yè)金融機(jī)構(gòu)敏感信息,情節(jié)嚴(yán)重的;
(三)因管理過(guò)失,多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件;
(四)服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機(jī)構(gòu)造成損失,多次提示仍未整改;
(五)對(duì)風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地檢查發(fā)現(xiàn)的問(wèn)題,逾期仍未整改;
(六)存在其他違法違規(guī)行為,或發(fā)生其它重大信息科技風(fēng)險(xiǎn)事件。
第八十九條
中國(guó)銀監(jiān)會(huì)將監(jiān)督銀行業(yè)金融機(jī)構(gòu)實(shí)施對(duì)信息科技外包服務(wù)提供商的準(zhǔn)入及“黑名單”管理。對(duì)于存在重大風(fēng)險(xiǎn)的外包活動(dòng),銀行業(yè)金融機(jī)構(gòu)應(yīng)立即評(píng)估外包的適當(dāng)性,對(duì)擬進(jìn)入“黑名單”的信息科技外包服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)預(yù)警提示,要求其進(jìn)行整改并設(shè)定期限。逾期未整改的,將進(jìn)入“黑名單”。
第九章 附則
第九十條
本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第九十一條
本指引自發(fā)布之日起施行。
附錄 《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》信息科技外包服務(wù)監(jiān)管報(bào)告材料目錄
一、信息科技外包監(jiān)管報(bào)告材料
(一)外包服務(wù)基本情況,包括:
1.外包服務(wù)名稱;
2.外包服務(wù)類型:研發(fā)咨詢類、系統(tǒng)運(yùn)行維護(hù)類、業(yè)務(wù)外包中的信息科技活動(dòng)等; 3.外包服務(wù)的主要內(nèi)容;
4.實(shí)施方式:駐場(chǎng)外包、非駐場(chǎng)外包;
5.影響的業(yè)務(wù)類型:渠道管理類、客戶管理類、產(chǎn)品管理類、財(cái)務(wù)管理類、決策支持類、共享支持類等; 6.外包服務(wù)起止時(shí)間。
(二)服務(wù)提供商基本情況,包括:
1.服務(wù)提供商全稱、國(guó)別; 2.盡職調(diào)查報(bào)告; 3.法人代表; 4.注冊(cè)資本; 5.上級(jí)機(jī)構(gòu)/母機(jī)構(gòu); 6.成立時(shí)間; 7.企業(yè)性質(zhì);
(三)中國(guó)銀監(jiān)會(huì)規(guī)定的其他材料。
二、信息科技外包情況報(bào)送材料
(一)銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)評(píng)估報(bào)告;
(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)評(píng)估報(bào)告;
(三)本內(nèi)正在執(zhí)行或終止的重要信息科技外包服務(wù)情況,包括:
1.外包服務(wù)名稱;
2.外包服務(wù)重大事件情況; 3.外包服務(wù)變更情況;
4.本期終止的,還應(yīng)當(dāng)提供外包服務(wù)評(píng)價(jià)。
(四)中國(guó)銀監(jiān)會(huì)規(guī)定的其他材料。
點(diǎn)擊咨詢 