第一篇:銀行業 農信社 計算機 信息科技外包管理辦法
附件
農村信用社聯合社
信息科技外包管理辦法(試行)
第一章 總則
第一條 為了規范 省農村信用社聯合社(以下簡稱“省聯社”)的外包活動,保障省聯社信息系統安全持續穩定運行,依據銀監會頒布的《商業銀行信息科技風險管理指引》和《銀行業金融機構外包風險管理指引》,以及國家有關法律法規,制定本辦法。
第二條 本辦法中的信息科技外包(以下簡稱“外包”)是指省聯社將某些信息系統項目委托給服務提供商進行處理的行為。
第三條 外包應以滿足需求、保證質量、提高效率、風險可控、成本可控為基本原則。
第四條 省聯社信息科技的戰略管理、核心管理以及內部審計等職能不宜外包。
第二章 組織架構及職責
第五條 省聯社外包管理的組織架構包括理事會、高級管理層及外包管理部門,其中外包管理部門主要包括省聯社銀信金融
2統一組織,原則上每年評審一次,特殊情況可根據實際需要安排評審。
第十二條 參加資質評審的外包服務商必須滿足省聯社招標文件中要求的資質,不符合資質要求的外包服務商不準參與外包服務,并嚴格按照《 省農村信用社聯合社電子設備項目采購管理辦法》規定的流程確定外包服務商。
第十三條 開展外包服務商資質評審前必須對服務提供商進行盡職調查,并形成盡職調查報告。對外包服務商的盡職調查主要包括以下內容:
(一)管理能力和行業地位;
(二)財務穩健性;
(三)經營聲譽和企業文化;
(四)技術實力和服務質量;
(五)突發事件應對能力;
(六)對銀行業的熟悉程度;
(七)對其他銀行業金融機構提供服務的情況;
(八)省聯社認為重要的其他事項。
如果外包活動涉及多個服務提供商時,應當對這些服務提供商進行關聯關系的調查。
第四章 外包合同
第十四條 省聯社開展信息科技外包活動時與外包服務商簽訂書面合同或協議,明確雙方的權利義務。合同或協議應當包括但不限于以下內容:
(一)外包服務的范圍和標準;
(二)外包服務的保密性和安全性的安排;
(三)外包服務的業務連續性的安排以及外包服務商提供專屬資源的承諾;
(四)外包服務的審計和檢查;
(五)外包爭端的解決機制;
(六)合同或協議變更或終止的過渡安排;
(七)擔保和損失賠償以及違約責任。
第十五條 簽訂外包合同時外包服務提供商須承諾以下事項:
(一)定期通報外包活動的有關事項;
(二)及時通報外包活動的突發性事件;
(三)配合省聯社接受銀行業監督管理機構的檢查;
(四)保障客戶信息的安全性,當客戶信息不安全或客戶權利受到影響時,省聯社有權隨時終止外包合同;
(五)遵守省聯社有關信息科技風險管理制度和流程;
(六)第三方供應商出現問題時,保證軟硬件持續可用的相關措施;
(七)不得以省聯社的名義開展活動;
(八)省聯社認為應當承諾的其他事項。
第十六條 對于數據中心的重要基礎設施、重要信息系統的
6書面材料正式報告監管部門。
第六章 外包人員管理
第二十三條 外包服務商需要明確一名項目經理(或項目負責人)負責協調項目相關重要事項。
第二十四條 省聯社對于外包人員的管理方式以管理外包服務商項目經理為主,也可以根據實際需要直接管理和調配外包人員。
第二十五條 外包人員在省聯社服務期間,應嚴格遵守省聯社作息考勤制度以及其他工作規范。
第二十六條 信息技術部負責對外包人員使用環境和權限配置管理,對使用環境中的系統權限、文件讀寫權限必須嚴格控制,以滿足工作需要為前提,遵循權限最小化原則,不得授予與工作無關的權限。
第二十七條 對于向外包人員提供省聯社內部資料必須嚴格審核,嚴禁未經授權提供。
第二十八條 信息技術部如發現外包人員違反有關規定和規章制度,須立即制止并糾正,多次違反情節嚴重的,有權停止其省聯社的一切活動,并通知其所在的外包服務商。造成損失的,由外包服務商負責賠償。
第二十九條 信息技術部對其使用的外包人員的工作飽滿度負責,應及時制訂和適時調整外包人員工作計劃,經常檢查、督促外包人員工作。
第三十條 對由于工作調整無須再使用的外包人員,信息技術部應及時確認其使用省聯社的資源已全部退還。
第七章 外包交付物驗收
第三十一條 外包人員應按時交付服務工作成果,信息技術部應及時組織人員進行驗收。
第三十二條 開發類外包人員的交付物必須經過在測試環境下的嚴格測試,驗收合格后才可以投產試用。
第三十三條 對于外包交付物驗收不合格的,應要求外包服務商重新提供產品,并重新組織驗收,直到驗收通過,并納入外包服務商考核評價過程。
第三十四條 由于外包服務商原因導致未按計劃完成或完成項目質量不高,并造成一定影響的,作為不良合作記錄登記,對未完成服務由外包服務商繼續完成,并不再追加任何費用。
第八章 外包交付物管理
第三十五條 對于外包人員提交的源代碼,須經信息技術部人員審核編譯。所產生的執行程序,須經省聯社相關人員測試通
1011-
第二篇:銀行業金融機構信息科技外包風險監管指引
中國銀行業監督管理委員會
銀監發[2013]5號
中國銀監會關于印發銀行業金融機構信息科技外
包風險監管指引的通知
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行、金融資產管理公司,郵儲銀行,各省級農村信用聯社,銀監會直接監管的信托公司、企業集團財務公司、金融租賃公司:
現將《銀行業金融機構信息科技外包風險監管指引》印發給你們,請遵照執行。
2013年2月16日
銀行業金融機構信息科技外包風險監管指引
第一章 總則
第一條
為規范銀行業金融機構的信息科技外包活動,降低信息科技外包風險,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,制定本指引。
第二條
在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、省(自治區)農村信用社聯合社適用本指引。銀監會監管的其他金融機構參照本指引執行。第三條
本指引所稱信息科技外包是指銀行業金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為,包含項目外包、人力資源外包等形式。原則上包括以下類型:
(一)研發咨詢類外包:科技管理及科技治理等咨詢設計外包,規劃、需求、系統開發、測試外包;
(二)系統運行維護類外包:包括數據中心(災備中心)、機房配套設施、網絡、系統的運維外包,自助設備、POS機等遠程終端及辦公設備的運維外包;
(三)業務外包中的信息科技活動:市場拓展、業務操作、企業管理、資產處臵等外包中的系統開發、運行維護和數據處理活動。
第四條
本指引所稱關聯外包是指服務提供商為銀行業金融機構的母公司或其所屬集團子公司、關聯公司或附屬機構提供信息科技外包。
第五條
信息科技外包可能產生如下風險,并導致銀行業金融機構的戰略、聲譽、合規風險:
(一)科技能力喪失:銀行業金融機構過度依賴外部資源導致失去科技控制及創新能力,影響業務創新與發展;
(二)業務中斷:支持業務運營的外包服務無法持續提供導致業務中斷;
(三)信息泄露:包含客戶信息在內的銀行業金融機構非公開數據被服務提供商非法獲得或泄露;
(四)服務水平下降:由于外包服務質量問題或內外部協作效率低下,使得銀行業金融機構信息科技服務水平下降。
第六條
本指引所稱機構集中度風險是指銀行業金融機構將信息科技外包服務集中交由少量服務提供商承接而產生的風險,該風險可能造成集中性的服務中斷、質量下降、安全事件等。
第七條
本指引所稱同業托管機構是指作為外包服務提供商為其他同行業金融機構提供信息科技外包服務的銀行業金融機構。
第八條
銀行業金融機構應當將信息科技外包管理納入全面風險管理體系,建立與本機構信息科技戰略目標相適應的外包管理體系,控制或降低由于外包而引發的風險。
第九條
銀行業金融機構應當建立信息科技外包管理組織架構,制定外包管理戰略,定期進行外包風險評估,通過服務提供商準入、評價、退出等手段建立及維護符合自身戰略目標的供應商關系管理策略。
第十條
銀行業金融機構在實施信息科技外包時應當堅持以下原則:
(一)以不妨礙核心能力建設、積極掌握關鍵技術為導向;
(二)保持外包風險、成本和效益的平衡;
(三)強調外包風險的事前控制,保持管控力度;
(四)根據外包管理及技術發展趨勢,持續改進外包策略和措施。
第十一條
銀行業金融機構在實施信息科技外包時,不得將信息科技管理責任外包。
第十二條
對于不涉及銀行客戶及內部信息轉移的信息科技產品采購、維保,及通訊線路租用、支付或清算系統接入等信息科技公共基礎設施服務,銀行業金融機構應當充分評估其信息科技風險,按照本指引第五章要求進行管理。
第二章 外包管理組織架構
第十三條
銀行業金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門,制定并審批信息科技外包戰略,審議信息科技外包管理流程及制度,督促并監控信息科技外包風險管理效果。
第十四條
信息科技外包風險主管部門的主要職責包括:
(一)對外包風險進行識別、評估與風險提示;
(二)監督、評價外包管理工作,并督促外包風險管理的持續改善;
(三)向高級管理層定期匯報信息科技外包活動相關風險管理情況;
(四)董事會或高級管理層確定的其他信息科技外包風險管理職責。
第十五條
銀行業金融機構應當在信息科技管理部門或信息科技外包活動執行部門內建立信息科技外包管理執行團隊,并配備足夠人員履行以下職責:
(一)實施信息科技外包戰略;
(二)制定并執行信息科技外包管理制度與流程;
(三)執行供應商準入、評價、退出管理,建立并維護供應商關系管理策略;
(四)制定保障外包服務持續性的應急管理方案,并組織實施定期演練;
(五)對外包過程中的各項管理活動進行監控及分析,定期向信息科技及外包風險管理主管部門報告外包活動情況。
第三章 信息科技外包戰略及風險管理
第一節 信息科技外包戰略
第十六條
銀行業金融機構應當以提升信息科技隊伍能力,提高科技管理及創新水平,掌握信息科技核心技能為目標,基于信息科技戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略,包括:不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。
第十七條
銀行業金融機構應當根據自身信息科技戰略明確不能外包的職能。涉及戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不得外包。第十八條
銀行業金融機構應當根據外包戰略制定資源、能力建設方案,通過補充人員、提升技能、知識轉移等方式,有針對性地獲取或提升管理及技術能力,降低對服務提供商的依賴。
第十九條
銀行業金融機構應當建立與自身規模、市場地位相適應的供應商關系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數量,實現以下目標:防范行業壟斷和機構集中度風險,通過引入適當的競爭在降低采購成本的同時提高服務質量,合理管控服務提供商的數量從而降低風險及管理成本等。
第二十條
銀行業金融機構可以按照外包服務性質和重要性程度對服務提供商進行分級管理,對不同級別的服務提供商采取差異化的管控措施,在有效管理重要風險的前提下降低管理成本。
第二十一條
銀行業金融機構要同母公司或集團公司協同做好外包服務及服務提供商的管理工作,但應當保持關聯外包有關決策的獨立性,避免因關聯關系而降低外包活動的風險控制水平。
第二節 信息科技外包風險管理
第二十二條
銀行業金融機構信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估,保持評估的獨立性,并向高級管理層提交評估報告。評估內容包括:信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。
第二十三條
銀行業金融機構應當對重要的外包服務提供商進行定期的風險評估,保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括:服務提供商合規情況、服務的執行效果等,評估結果應當作為服務提供商準入及退出的重要依據。
第二十四條
銀行業金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作,至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應當及時開展專項審計。
第四章 信息科技外包管理
第一節 外包風險評估及準入
第二十五條
外包項目立項前,銀行業金融機構應當審慎檢查項目與信息科技外包戰略的一致性,根據項目內容、范圍、性質對其進行風險識別和評估,制定相應的風險處臵措施,不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。
第二十六條
銀行業金融機構應當根據供應商關系管理策略,結合風險評估結果及服務提供商的準入標準,對備選服務提供商進行初步篩選,防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。
第二十七條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第二節 服務提供商盡職調查
第二十八條
對重要的服務提供商,銀行業金融機構在與其簽訂合同前應當深入開展盡職調查,必要時可聘請第三方機構協助調查。
第二十九條
銀行業金融機構在盡職調查時應當關注服務提供商的技術和行業經驗,包括但不限于:服務能力和支持技術、服務經驗、服務人員技能、市場評價、監管評價等。
第三十條
銀行業金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力,包括但不限于:內部控制機制和管理流程的完善程度、內部控制技術和工具等。
第三十一條
銀行業金融機構在盡職調查時應當關注服務提供商的持續經營狀況,包括但不限于:從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。
第三十二條
對于關聯外包,銀行業金融機構不得因關聯關系而降低對服務提供商的要求,應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平,確認其有足夠能力實施外包
服務、處理突發事件等。
第三十三條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第三節 外包服務合同及要求
第三十四條
銀行業金融機構在實施外包服務項目前,應當與服務提供商簽訂服務合同。合同應當根據外包服務需求、風險評估及盡職調查結果確定詳細程度和重點。
第三十五條
銀行業金融機構在合同或協議中應當明確以下內容,包括但不限于:
(一)服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續合作中的相關限定條件;
(二)合規與內控要求,對法律法規及銀行業金融機構內部管理制度的遵從要求、監管政策的通報貫徹機制、服務提供商的內控措施;
(三)服務連續性要求,服務提供商的服務連續性管理目標應當滿足銀行業金融機構業務連續性目標要求;
(四)銀行業金融機構監控和檢查的權利、頻率,服務提供商配合其內、外部審計機構檢查,及配合銀行業監管機構檢查的責任;
(五)政策或環境變化因素等在內的合同變更或終止的觸發條件,外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排,包括信息、資料和設施的交接處臵等過渡期間相關服務的安排;
(六)外包服務過程中產生、加工、交互的信息和知識產權的歸屬權以及允許服務提供商使用的內容及范圍,對服務提供商使用合法軟、硬件產品的要求;
(七)服務要求或服務水平條款,至少應當包括如下內容:外包服務的關鍵要素、服務時效和可用性、數據的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等;
(八)爭端解決機制、違約及賠償條款,至少包括如下內容:服務質量違約、安全違約、知識產權違約等,及在各種違約情況下的賠償以及外包爭端的解決機制;
(九)報告條款,至少包括常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。
第三十六條 銀行業金融機構應當在合同或協議中明確服務提供商在安全和保密方面的責任,以及針對安全及保密要求需采取的具體措施。包括但不限于:
(一)禁止服務提供商在合同允許范圍外使用或者披露銀行業金融機構的信息,以防止信息被非授權使用;
(二)在合同或協議中約定服務提供商對銀行客戶信息安全和銀行客戶權利的保護條款、事故處理方式及違約賠償條款;
(三)在合同或協議中約定服務提供商不得以所服務的銀行業金融機構名義開展活動;
(四)服務提供商接觸銀行業金融機構信息時,需滿足安全和保密相關條款的要求;
(五)在發生銀監會規定的信息科技突發事件,或發生可能引發系統性、區域性銀行業信息科技風險類突發事件時,服務提供商應及時向銀行業金融機構報告,包括事件的影響以及處臵
和糾正措施。
第三十七條
銀行業金融機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求:
(一)不得將外包服務的主要業務分包;
(二)主服務提供商對服務水平負總責,確保分包服務提供商能夠嚴格遵守外包合同或協議;
(三)主服務提供商對分包商進行監控,并對分包商的變更履行通知或報告審批義務。
第四節 外包服務安全管理
第三十八條
銀行業金融機構應當制定和落實信息安全管控措施,防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設施遭受破壞等風險。具體措施包括:
(一)對外包人員進行信息安全培訓,提高風險管理意識,確保信息安全管控措施在外包服務過程中有效落實;
(二)明確外包活動需要訪問或使用的信息資產,包括場地、辦公設施、計算機、服務器、軟件、數據、信息、物理訪問控制設備、賬號、網絡寬帶、網絡端口等,按“必需知道”和“最小授權”原則進行訪問授權;
(三)對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描;
(四)定期對服務提供商進行安全檢查,獲取服務提供商自評估或第三方評估報告。
第三十九條
銀行業金融機構對關聯外包服務提供商定期進行的安全檢查,不得以服務提供商的自評估替代,不得因關聯關系而影響檢查的獨立性、客觀性及公正性。
第四十條
銀行業金融機構應當關注外包服務引入的新技術或新應用對現有治理模式及安全架構的沖擊,及時完善信息安全管控體系,避免因新技術或應用的引入而增加額外的信息安全風險。
第五節 外包服務監控與評價
第四十一條
銀行業金融機構應當對外包服務過程進行持續監控,要求服務提供商建立階段性服務目標及任務,并跟蹤任務的執行情況,及時發現和糾正服務過程中存在的各類異常情況。
第四十二條
銀行業金融機構應當根據信息科技外包需求、合同、服務水平協議等建立明確的服務質量監控指標,并進行相應監控。常見指標包括:
(一)信息系統和設備及基礎設施的可用率、設備的開機率;
(二)故障次數、故障解決率、故障的響應時間;
(三)服務的次數、客戶滿意度;
(四)各階段業務需求的及時完成率、程序的缺陷數、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業金融機構應當建立明確的服務目錄、服務水平協議以及服務水平監控評價機制,并確保外包服務監控基礎數據和評價結果的真實性和完整性,且數據至少需保存到服務結束后一年。
第四十四條
銀行業金融機構應當對服務提供商的財務、內控及安全管理進行持續監控,關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況,防范外包服務意外終止或服務質量的急劇下降。
第四十五條
銀行業金融機構監控到異常情況時,應當及時督促服務提供商采取糾正措施,情節嚴重的或未及時糾正的,應當約談服務提供商高管人員并限期整改。
第四十六條
外包服務結束時,銀行業金融機構應當對服務提供商進行評價,評價結果應當作為服務提供商準入的重要參考依據。
第四十七條
對于關聯外包,銀行業金融機構董事會及高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業績評價范圍,建立外包服務重大事件問責機制。同時,應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。
第六節 外包服務中斷與終止
第四十八條
銀行業金融機構應當考慮信息科技外包的引入對業務連續性管理的影響,有針對性地完善業務連續性管理計劃,包括但不限于:
(一)識別出重要業務所涉及的服務提供商和資源;
(二)通過合同、協議等形式明確要求服務提供商提前準備并維護好相關資源;
(三)對服務提供商業務連續性管理進行監控,并評價其管理水平;
(四)在進行業務連續性計劃演練時將相關的服務提供商納入演練范圍。
第四十九條
為降低外包突發事件的可能性及影響,銀行業金融機構應當事先對業務連續性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施,包括但不限于以下內容:
(一)在外包服務實施過程中持續收集服務提供商相關信息,盡早發現可能導致服務中斷的情況;
(二)與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優先權;
(三)要求服務提供商制定服務中斷相關的應急處理預案,如提供備份人員;
(四)對于涉及重要業務的外包服務,銀行業金融機構需考慮預先在其內部配臵相應的人力資源,掌握必要的技能,以在外包服務中斷期間自行維持最低限度的服務能力。
第五十條
銀行業金融機構應當針對重要外包服務中斷的場景,擬定相應的應急計劃,并定期進行演練,考慮因素包括但不限于以下內容:
(一)事件場景,如重要人員流失導致服務無法持續,服務提供商主動退出,因資質變更、被收購、兼并或破產等原因導致的服務提供商被動退出等;
(二)事件持續時間和恢復可能性;
(三)事件影響范圍和可能的應急措施;
(四)服務提供商自行恢復服務的可能性和時間;
(五)備選的服務提供商以及外包服務遷移方案;
(六)外包服務過渡給銀行業金融機構自行運作的可能性、時效及資源需求。
第五十一條
對于無法滿足外包服務要求或發生重大事件的情況,銀行業金融機構應當在充分評估其影響及制定退出計劃的前提下,考慮主動要求服務提供商終止服務,情節特別嚴重的,可考慮取消準入資質,并報監管機構申請對其備案。對于關聯外包,銀行業金融機構不得因為關聯關系而影響服務提供商退出機制的落實。
第五章 機構集中度風險管理
第五十二條
銀行業金融機構應當依據服務提供商所承接外包服務的數量、金額在本行重要信息科技服務中的占比,服務提供商所承接外包服務在銀行業服務市場占比情況,識別具有機構集中度特點的外包服務提供商。同時,還應識別服務提供商之間為集團子公司、關聯公司或附屬機構所產生的機構集中度風險。
第五十三條
銀行業金融機構應當積極采用分散信息科技外包活動、提高自主研發運行能力等形式,降低機構集中度,減少對外包服務提供商的依賴。
第五十四條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據,證明其內部控制和管理能力、持續運營能力等。
第五十五條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業金融機構配備相對獨立的資源,包括服務團隊、場地、系統、設備等;并對資源進行定期檢查,確保資源及時到位。
第五十六條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中,明確外包服務的優先級,并進行服務中斷應急演練,服務提供商應當至少參與服務交接、敏感信息處臵等演練過程。
第五十七條
銀行業金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況的持續監控,建立信息收集機制,及時掌握風險事件情況,防范外包服務意外終止或服務質量急劇下降對本機構產生大面積影響。
第五十八條
銀行業金融機構應當對具有機構集中度特點的外包服務提供商增強監督頻率與力度,必要時可指派專人進行現場監督。
第五十九條
對于具有機構集中度特點的外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行外包管理。
第六章 跨境及非駐場外包管理
第一節 跨境外包風險管理
第六十條
跨境外包是指在境外其他國家或地區實施的信息科技外包服務活動。
第六十一條
跨境外包除具有本指引前述風險外,還包括由于某一國家或地區經濟、政治、社會變化及事件而產生的國別風險,及由于外包實施場地遠離銀行業金融機構而產生的非駐場風險。
第六十二條
銀行業金融機構應當充分了解并持續監控服務提供商所在國家或地區狀況,通過建立業務連續性計劃防范跨境外包所帶來的國別風險。
第六十三條
銀行業金融機構應當關注國外法律法規、監管要求對其獲取服務提供商外包管理信息可能造成的影響。實施跨境外包應當以不妨礙銀行業金融機構有效履行外包服務監控管理職能及監管機構延伸檢查為前提。
第六十四條
銀行業金融機構在選擇跨境外包時,應當明確其所在國家或地區監管當局已與銀監會簽訂諒解備忘錄或雙方認可的其他約定。
第六十五條
銀行業金融機構在選擇跨境外包時,還應當充分審查評估服務提供商保護客戶信息的能力,并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包,應當在符合監管法規政策并獲得客戶授權的前提下開展。
第六十六條
銀行業金融機構在實施跨境外包時,其合同應當包括法律選擇和司法管轄權的約定,明確爭議解決時所適用的法律及司法管轄權,原則上應當要求服務提供商依照中國的法律解決糾紛。
第二節 非駐場外包風險管理
第六十七條
非駐場外包是指服務提供商不在銀行業金融機構現場提供服務的外包形式。由于銀行業金融機構不能對其內部控制及風險管理措施進行直接管控,應當在信息安全、知識產權保護、質量監控、法律合規等方面加強對服務提供商的風險管理。
第六十八條
銀行業金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準,該標準應當作為選擇服務提供商的最低要求。
第六十九條
銀行業金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次,檢查結果作為外包服務提供商項目考核及準入的重要指標。
第七十條
銀行業金融機構應當加強對外包服務提供商非駐場外包服務內部控制、質量管理、信息安全的有效性評估,評估結果作為供應商準入的重要依據。對于高風險的服務提供商,銀行業金融機構應當責令其進行限期整改,對于逾期未改的服務提供商應當暫停或取消其服務資格。
第七十一條
對于非駐場外包服務提供商為同業托管機構的情況,銀行業金融機構可以參照本節內容對其進行外包管理,但同業托管機構須將為其他同行業金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分,不得區別對待,降低對自身提供外包服務的風險管控水平。
第七章 銀行業重點外包服務機構風險管理要求
第七十二條
銀行業重點外包服務機構是指集中為銀行業金融機構提供外包服務,同時滿足下述條件,如其外包服務失敗可能導致銀行業大面積數據損毀、丟失、泄露或信息系統服務中斷,造成經濟損失的機構,具體條件如下:
(一)承擔集中存貯客戶數據的業務交易系統外包服務;或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務;或承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務;且上述服務均為非駐場外包服務。
(二)服務的法人銀行業金融機構數量、服務合同金額占有本服務領域市場份額的三分之一以上;或服務的跨區域經營法人銀行業金融機構數量達到3家或以上;或服務的其他類型法人銀行業金融機構數量達到10家或以上。
第七十三條 銀行業金融機構應當根據監管機構發布的銀行業重點外包服務機構風險提示,按照如下要求進行管理:
(一)銀行業重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體,注冊資本和實收資本不少于1000萬,注冊成立時間不少于3年。
(二)銀行業重點外包服務機構應當擁有健全的組織架構,并針對所提供的外包服務建立有效的風險治理架構,至少應當建立由公司高級管理層直接領導、針對銀行業金融機構外包服務的、專職信息科技風險管理團隊,為持續的外包服務提供保證。
(三)銀行業重點外包服務機構應當建立與所承擔的服務范圍和規模相適應的服務管理體系,建立完善的信息安全、服務質量、服務持續性等管理制度體系,擁有有效的檢查、監控和考核機制,確保管理規范有效執行。
(四)銀行業重點外包服務機構應當具有足夠的技術能力、人力資源和設施、環境,滿足外包服務的質量和安全管理要求。銀行業重點外包服務機構承擔的銀行業金融機構外包服務場地應當設臵在中國境內。第七十四條
銀行業金融機構應當要求銀行業重點外包服務機構具有如下相關領域資質認證:(一)具有完善的信息安全管理體系、業務連續性管理體系,并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證。
(二)具有完善的質量管理體系,并通過業界公認較為權威的質量管理資質認證。
(三)承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務的銀行業重點外包服務機構,其機房及基礎設施應當達到國家電子計算機機房最高標準。
(四)承擔集中存貯客戶數據的業務交易系統外包服務,或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務的銀行業重點外包服務機構,應當具有完善的運行服務管理體系,并通過業界公認較為權威的運行服務管理資質認證。
第七十五條
銀行業金融機構應當在風險管理、審計方面對銀行業重點外包服務機構提出如下要求:
(一)銀行業重點外包服務機構應當具有信息科技風險的管理體系,有效識別、監測、評估和控制風險。銀行業重點外包服務機構應當至少每季度向所服務的銀行業金融機構報送外包風險監控報告,針對監控發現的潛在風險或風險事件,及時采取控制或緩釋措施。
(二)銀行業重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,風險評估報告需報送所服務的銀行業金融機構,并抄送銀監會或其派出機構。
(三)銀行業重點外包服務機構應當對其外包服務團隊成員進行背景調查,確保其過往無不良記錄,且應當與項目成員簽訂保密協議,并保留至少10年的法律追訴期。
第八章 監督管理
第七十六條
銀行業金融機構開展以下信息科技外包服務時,應當在外包合同簽訂前二十個工作日向銀監會或其派出機構報告,針對銀行業金融機構信息科技外包風險,銀監會及其派出機構可以采取風險提示、約見談話、監管質詢等措施。
(一)信息科技工作整體外包;
(二)數據中心或災備中心整體外包;
(三)涉及將銀行業金融機構客戶資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息科技外包;
(四)以非駐場形式實施的、集中存貯客戶數據的業務交易系統外包;
(五)關聯外包;
(六)涉及跨境的信息科技外包;
(七)其他銀監會認為重要的信息科技外包。
第七十七條
銀行業金融機構信息科技外包活動中發生如下重大事件時,應當在兩個工作日內向銀監會或其派出機構報告。
(一)銀行業金融機構客戶信息等敏感數據泄露;
(二)數據損毀或者重要業務運營中斷;
(三)由于不可抗力或服務提供商重大經營、財務問題,導致或可能導致多家銀行業金融機構外包服務中斷;
(四)其他重大的服務提供商違法違規事件;
(五)銀監會規定需要報告的其他重大事件。
第七十八條
銀行業金融機構在開展外包風險管理評估工作后,應當將風險評估報告報送銀監會或其派出機構。
第七十九條
銀監會及其派出機構對銀行業金融機構信息科技外包工作進行監督和檢查,監督檢查結果納入對銀行業金融機構的監管評級。
第八十條
對于風險較高的信息科技外包服務,銀監會或其派出機構可以要求銀行業金融機構暫緩、中止該類外包服務,直至銀行業金融機構、外包服務提供商有效改正。
第八十一條
銀行業金融機構違反本指引規定的,銀監會或其派出機構可要求其糾正或采取替代方案,并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業金融機構穩健運行、損害存款人和其他客戶合法權益的,依法追究銀行業金融機構管理責任。
第八十二條
銀監會實行銀行業信息科技外包服務活動風險監測機制,定期對銀行業金融機構發布銀行業重點外包服務機構名單和風險提示,防范因高機構集中度外包服務導致的系統性、區域性信息科技風險。第八十三條
銀監會應當對具有機構集中度特點的銀行業金融機構信息科技外包服務進行重點風險監測、評估,根據需要,可以要求銀行業金融機構與重點外包服務機構會談,就其外包服務活動和風險的重大事項作出說明。
第八十四條
銀監會應當組織銀行業金融機構實地核查銀行業重點外包服務機構承擔的銀行業金融機構信息科技服務活動,原則上每兩年進行一次,也可以委托其他第三方機構審計的形式實施。
第八十五條
銀監會可以根據銀行業金融機構信息科技服務活動風險評估和實地核查結果,對銀行業金融機構發出監管提示,要求其督促銀行業重點外包服務機構對風險問題實施整改。
第八十六條
銀行業重點外包服務機構應當配合銀行業金融機構及銀監會的風險監測和實地核查。
第八十七條
銀監會組織相關銀行業金融機構對銀行業信息科技外包服務提供商建立服務管理記錄,并對其進行風險評估和評級。
第八十八條
服務提供商在外包服務中存在以下情形的,銀監會定期向銀行業發布服務提供商風險預警,公布機構名單、服務信息等,要求銀行業金融機構禁止相關服務提供商承擔銀行業信息科技外包服務,禁止期至少為兩年。外包服務提供商兩年內仍未整改的,延長其禁止期。
(一)違反國家法律、法規和監管政策,情節嚴重的;
(二)竊取、泄露銀行業金融機構敏感信息,情節嚴重的;
(三)因管理過失,多次發生重要信息系統服務中斷或數據損毀、丟失、泄露事件的;
(四)服務質量低下并給多家銀行業金融機構造成損失,多次提示仍未整改的;
(五)對風險監測和實地檢查發現的問題,逾期仍未整改的;
(六)存在其他違法違規行為,或發生其他重大信息科技風險事件的。
第八十九條
銀監會負責監督銀行業金融機構對信息科技外包服務提供商實施準入管理。對于存在重大風險的外包活動,銀行業金融機構應當立即評估外包的適當性,對信息科技外包服務提供商進行風險預警提示,要求其進行整改并設定期限;逾期未整改的,禁止其承擔信息科技外包服務。
第九章 附則
第九十條
本指引由銀監會負責解釋、修訂。第九十一條
本指引自公布之日起施行。
第三篇:銀行業金融機構信息科技外包風險監管指引-正式發文版
銀行業金融機構
信息科技外包風險監管指引
第一章 總則
第一條
為規范銀行業金融機構的信息科技外包活動,降低信息科技外包引發的風險,保持信息科技核心能力,促進銀行業信息科技健康有序發展,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,制定本指引。
第二條
在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、省(自治區)農村信用社聯合社適用本指引。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本指引執行。
第三條
本指引所稱信息科技外包是指銀行業金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為,包含項目外包、人力資源外包等形式,原則上包括以下類型:
(一)研發咨詢類外包:科技管理及IT治理等咨詢設計外包,規劃、需求、系統開發、測試外包;
(二)系統運行維護類外包:包括數據中心(災備中心)、機房配套設施、網絡、系統的運維外包,自助設備、POS機等遠程終端及辦公設備的運維外包;
(三)業務外包中的信息科技活動:市場拓展、業務操作、企業管理、資產處臵等外包中的系統開發、運行維護和數據處理活動;
第四條
本指引所稱關聯外包指服務提供商為銀行業金融機構的母公司或其所屬集團子公司、關聯公司或附屬機構的信息科技外包。
第五條
信息科技的外包可能產生如下風險,并導致銀行業金融機構的戰略、聲譽、合規風險:
(一)科技能力喪失:銀行業金融機構過度依賴外部資源導致失去科技創新及控制能力,影響業務創新與發展;
(二)業務中斷:支持業務運營的外包服務無法持續提供導致業務中斷;
(三)信息泄露:包含客戶信息在內的銀行非公開數據被服務提供商非法獲得或泄露;
(四)服務水平下降:由于外包服務質量問題或內外部協作效率低下,使得銀行業金融機構信息科技服務水平下降。
第六條
本指引所稱機構集中度風險是指銀行業金融機構將信息科技外包服務集中交由少量服務提供商承接而產生的風險,該風險可能造成集中性的服務中斷、質量下降、安全事件等。
第七條
本指引所稱同業托管機構是指作為外包服務提供商為其他同行業金融機構提供信息科技外包服務的銀行業金融機構。
第八條
銀行業金融機構應當將信息科技外包管理納入全 2 面風險管理體系,建立與本機構信息科技戰略目標相適應的外包管理體系,控制或降低由于外包而引發的風險。
第九條
銀行業金融機構應當建立信息科技外包管理組織架構,制定外包管理戰略,定期進行外包風險評估,通過服務提供商準入、評價、退出等手段建立及維護符合其戰略目標的供應商關系管理策略。
第十條
銀行業金融機構在實施信息科技外包時應當堅持以下原則:
(四)以不妨礙核心能力建設、積極掌握關鍵技術為導向;
(五)保持外包風險、成本和效益的平衡;
(六)強調外包風險的事前控制,保持管控力度;
(七)根據外包管理及技術發展趨勢,持續改進外包策略和措施。
第十一條
銀行業金融機構在實施信息科技外包時,不得將其信息科技管理責任外包。
第十二條
對于不涉及銀行客戶及內部信息轉移的信息科技產品采購、維保,及通訊線路租用、支付或清算系統接入等信息科技公共基礎設施服務,銀行業金融機構應當充分評估其信息科技風險,按照本指引第五章要求進行管理。
第二章 外包管理組織架構
第十三條
銀行業金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門,制定并審批信息科技外包戰略,審議信息科技外包管理流程及制度,督促并監控信息科技外包風險管理效果。
第十四條
信息科技外包風險主管部門主要職責包括:
(一)對外包風險進行識別、評估與風險提示;
(二)監督、評價外包管理工作,并督促外包風險管理的持續改善;
(三)向高級管理層定期匯報信息科技外包活動開展相關風險管理情況;
(四)董事會或高級管理層確定的其他信息科技外包風險管理職責。
第十五條
銀行業金融機構應當在信息科技管理部門或信息科技外包活動執行部門內建立信息科技外包管理執行團隊,并配備足夠人員履行以下職責:
(一)實施信息科技外包戰略;
(二)制定并執行信息科技外包管理制度與流程;
(三)執行供應商準入、評價、退出管理,建立并維護供應商關系管理策略;
(四)制定保障外包服務持續性的應急管理方案,并組織 4 實施定期演練;
(五)對外包過程中的各項管理活動進行監控及分析,定期向信息科技及外包風險管理的主管部門報告外包活動情況。
第三章 信息科技外包戰略及風險管理
第一節 信息科技外包戰略
第十六條
銀行業金融機構應當以提升信息科技隊伍能力,提高科技管理及創新水平,掌握信息科技核心技能為目標。基于信息科技戰略、外包市場環境、自身風險控制能力和風險偏好制定其信息科技外包戰略,包括:不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。
第十七條
銀行業金融機構應當根據自身的信息科技戰略明確不能外包的職能。涉及戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不應外包。
第十八條
銀行業金融機構應當根據外包戰略制定資源、能力建設方案,通過補充人員、提升技能、知識轉移等方式,有針對性地獲取或提升管理及技術能力,降低對服務提供商的依賴。
第十九條
銀行業金融機構應當建立與自身規模、市場地位相適應的供應商關系管理策略,通過準入和退出機制控制各類高風險服務提供商的數量,實現以下目標:防范行業壟斷和機構集中度風險,通過引入適當的競爭在降低采購成本的同時提高服務 5 質量,合理控制服務提供商的數量從而降低風險及管理成本等。
第二十條
銀行業金融機構可按照外包服務性質和重要性程度對服務提供商進行分級管理,對不同級別的服務提供商采取嚴格程度差異化的管控措施,從而達到有效管理重要風險的前提下降低管理成本。
第二十一條
對于關聯外包,銀行業金融機構應當保持外包有關決策的獨立性,要求其母公司或其所屬的集團公司協同做好外包服務及服務提供商的管理工作,避免因關聯關系而降低銀行業金融機構對外包活動的風險控制水平。
第二節 信息科技外包風險管理
第二十二條
銀行業金融機構信息科技外包風險主管部門應當至少每年開展一次全面的外包風險管理評估,保持評估的獨立性,并向高級管理層提交評估報告。評估內容包括:信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。
第二十三條
銀行業金融機構應當對重要的外包服務提供商進行定期風險評估,保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括:服務提供商合規情況、服務的執行效果等,評估結果應當作為服務提供商準入及退出的重要依據。
第二十四條
銀行業金融機構內部審計部門應當定期開展信 6 息科技外包風險管理審計工作,至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應及時開展專項審計。
第四章 信息科技外包管理
第一節
外包風險評估及準入
第二十五條
外包項目立項前,銀行業金融機構應當審慎檢查項目與信息科技外包戰略的一致性,應當根據項目內容、范圍、性質對其進行風險識別和評估,制定相應的風險處臵措施,不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。
第二十六條
銀行業金融機構應當根據供應商關系管理策略,結合風險評估結果及服務提供商的準入標準,對備選服務提供商進行初步篩選,防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。
第二十七條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第二節
服務提供商盡職調查
第二十八條
對重要的服務提供商,銀行業金融機構在與其簽訂合同前應當深入開展盡職調查,必要時可聘請第三方機構協助調查。
第二十九條
銀行業金融機構在盡職調查時應當關注服務提供商的技術和行業經驗,包括但不限于:服務能力和支持技術、服務經驗、服務人員技能、市場評價、監管評價等。
第三十條
銀行業金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力,包括但不限于:內部控制機制和管理流程的完善程度、內部控制技術和工具等。
第三十一條
銀行業金融機構在盡職調查時應當關注服務提供商的持續經營狀況,包括但不限于:從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。
第三十二條
對于關聯外包,銀行業金融機構不得因關聯關系而降低對服務提供商的要求,應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平,確認其有足夠能力實施外包服務、處理突發事件等。
第三十三條
對于外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行管理。
第三節 外包服務合同及要求
第三十四條
銀行業金融機構在實施外包服務項目前,應當與服務提供商簽訂服務合同。合同應當根據外包服務需求、風險評估及盡職調查結果確定其詳細程度和重點。
第三十五條
銀行業金融機構在合同或協議中應當明確以下內容,包括但不限于:
(一)服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續合作中的相關限定條件;
(二)合規與內控要求,對法律法規及銀行業金融機構內部管理制度的遵從要求、監管政策的通報貫徹機制、服務提供商的內控措施;
(三)服務連續性要求,服務提供商的服務連續性管理目標應當滿足銀行業金融機構業務連續性目標要求;
(四)銀行業金融機構監控和檢查的權力、頻率,服務提供商配合其內、外部審計機構檢查,及配合銀行業金融機構接受銀行業監督管理機構檢查的責任;
(五)政策或環境變化因素等在內的合同變更或終止的觸發條件,外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排,包括信息、資料和設施的交接處臵等過渡期間相關服務的安排;
(六)外包服務過程中產生、加工、交互的信息和知識產權的歸屬權以及允許服務提供商使用的內容及范圍,對服務提供商使用合法軟、硬件產品的要求;
(七)服務要求或服務水平條款,至少應包括如下內容:外包服務的關鍵要素、服務時效和可用性、數據的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等;
(八)爭端解決機制、違約及賠償條款,至少包括如下內容:服務質量違約、安全違約、知識產權違約等,及在各種違約情況下的賠償以及外包爭端的解決機制;
(九)報告條款,至少包括如下內容:常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。
第三十六條
銀行業金融機構應當在合同或協議中明確服務提供商在安全和保密方面的責任,以及針對安全及保密要求需采取的具體措施,包括但不限于:
(一)禁止服務提供商在合同允許范圍外使用或者披露銀行業金融機構的信息,以防止信息被非授權的使用;
(二)在合同或協議中約定服務提供商對銀行客戶信息安全和銀行客戶權力的保護條款、事故處理方式及違約賠償條款;
(三)在合同或協議中約定服務提供商不得以所提供服務的銀行業金融機構名義開展活動;
(四)服務提供商接觸銀行業金融機構信息時,需滿足安全和保密相關條款的要求;
(五)服務提供商在其發生信息安全事件時必須及時向銀行業金融機構報告事件的影響以及處臵和糾正措施。
第三十七條
銀行業金融機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求:
(一)不得將外包服務的主要業務分包;
(二)主服務提供商對服務水平負總責,確保分包服務提供商能夠嚴格遵守外包合同或協議;
(三)主服務提供商對分包商進行監控,并對分包商的變 10 更履行通知或報告審批義務。
第四節 外包服務安全管理
第三十八條
銀行業金融機構應當制定和落實信息安全管控措施,防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設施遭受破壞等風險,具體措施包括:
(一)對外包人員進行信息安全培訓,提高風險管理意識,確保信息安全管控措施在外包服務過程中有效落實;
(二)明確外包活動需要訪問或使用的信息資產,包括場地、辦公設施、計算機、服務器、軟件、數據、信息、物理訪問控制設備、賬號、網絡寬帶、網絡端口等,按“必需知道“和“最小授權”原則進行訪問授權;
(三)對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描;
(四)定期對服務提供商進行安全檢查,獲取服務提供商自評估或第三方評估報告。
第三十九條
銀行業金融機構在對關聯外包的服務提供商進行定期安全檢查時,不得以服務提供商的自評估來替代,不得因關聯關系而影響檢查的獨立性、客觀性及公正性。
第四十條
銀行業金融機構應當關注外包服務引入的新技術或新應用對現有治理模式及安全架構的沖擊,及時完善信息安全管控體系,避免因新技術或應用的引入而增加額外的信息安全風險。
第五節 外包服務監控與評價
第四十一條
銀行業金融機構應當對外包服務過程進行持續監控,要求服務提供商建立階段性服務目標及任務,并跟蹤任務的執行情況,及時發現和糾正服務過程中存在的各類異常情況。
第四十二條
銀行業金融機構應當根據信息科技的外包需求、合同、服務水平協議等建立明確的服務質量監控指標,并進行相應的監控。常見指標包括:
(一)信息系統和設備及基礎設施的可用率、設備的開機率;
(二)故障次數、故障解決率、故障的響應時間;
(三)服務的次數、客戶滿意度;
(四)各階段業務需求的及時完成率、程序的缺陷數、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率。
第四十三條
銀行業金融機構應當建立明確的服務目錄,服務水平協議以及服務水平監控評價機制,并確保外包服務監控基礎數據和評價結果的真實性和完整性,且數據至少需保存到服務結束后一年。
第四十四條
銀行業金融機構應當對服務提供商的財務、內控及安全管理進行持續監控,關注其因破產、兼并、關鍵人員 12 流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況,防范外包服務意外終止或服務質量的急劇下降。
第四十五條
銀行業金融機構監控到異常情況時,應當及時督促服務提供商采取糾正措施,情節嚴重的或未及時糾正的,應約談服務提供商高管人員并限期整改。
第四十六條
外包服務結束時,銀行業金融機構應當對服務提供商進行評價,評價結果應當作為服務提供商準入的重要參考依據。
第四十七條
對于關聯外包,銀行業金融機構董事會及高級管理層應當推動母公司或其所屬集團將外包服務質量納入對服務提供商的業績評價范圍,建立外包服務重大事件問責機制。同時,應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。
第六節 外包服務中斷與終止
第四十八條
銀行業金融機構應當考慮信息科技外包的引入對業務連續性管理的影響,有針對性的完善業務連續性管理計劃,包括但不限于:
(一)識別出重要業務所涉及的服務提供商和資源;
(二)通過合同協議等形式明確要求服務提供商提前準備并維護好相關資源;
(三)對服務提供商業務連續性管理進行監控,并評價其 13 管理水平;
(四)在進行業務連續性計劃演練時將相關的服務提供商納入演練范圍。
第四十九條
為降低外包突發事件的可能性及影響,銀行業金融機構應當事先對業務連續性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施,包括但不限于以下內容:
(一)在外包服務實施的過程中持續收集服務提供商相關信息,盡早發現可能導致服務中斷的情況;
(二)與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優先權;
(三)要求服務提供商制定服務中斷相關的應急處理預案,如提供備份人員;
(四)對于涉及重要業務的外包服務,銀行業金融機構需考慮預先在其內部配臵相應的人力資源,掌握必要的技能,以在外包服務中斷期間自行維持最低限度的服務能力。
第五十條
銀行業金融機構應當針對重要外包服務中斷的場景,擬定相應的應急計劃,并定期進行演練,應考慮的因素包括但不限于以下內容:
(一)事件場景,如重要人員流失導致服務無法持續,服務提供商主動退出,因資質變更、被收購、兼并或破產等原因導致的服務提供商被動退出等;
(二)事件持續時間和恢復可能性;
(三)事件影響范圍和可能的應急措施;
(四)服務提供商自行恢復服務的可能性和時間;
(五)備選的服務提供商以及外包服務遷移方案;
(六)外包服務過渡給銀行業金融機構自行運作的可能性、時效及資源需求。
第五十一條
對于無法滿足外包服務要求或發生重大事件的情況,銀行業金融機構應當在充分評估其影響及制定退出計劃的前提下,考慮主動要求服務提供商終止服務,情節特別嚴重的,可考慮取消準入資質,并報監管機構申請對其備案。對于關聯外包,銀行業金融機構不得因為關聯關系而影響服務提供商退出機制的落實。
第五章 機構集中度風險管理
第五十二條
銀行業金融機構應當依據服務提供商所承接外包服務的數量、金額在本行重要信息科技服務中的占比,服務提供商所承接外包服務在銀行業服務市場占比情況,識別具有機構集中度特點的外包服務提供商。同時,還應識別服務提供商之間為集團子公司、關聯公司或附屬機構所產生的機構集中度風險。
第五十三條
銀行業金融機構應當積極采用分散信息科技外包活動、提高自主研發運行能力等形式,降低機構集中度,減少對外包服務提供商的依賴。
第五十四條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據,證明其內部控制和管理能力、持續運營能力等。
第五十五條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業金融機構配備相對獨立的資源,包括服務團隊、場地、系統、設備等;并對資源進行定期檢查,確保資源及時到位。
第五十六條
銀行業金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中,明確外包服務的優先級,并進行服務中斷應急演練,服務提供商應至少參與服務交接、敏感信息處臵等演練過程。
第五十七條
銀行業金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況持續監控,建立信息收集機制,及時掌握風險事件情況,防范外包服務意外終止或服務質量急劇下降對本機構產生大面積影響。
第五十八條
銀行業金融機構應當對具有機構集中度特點的外包服務提供商增強監督頻率與力度,必要時可指派專人進行現場監督。
第五十九條
對于具有機構集中度特點的外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行外包管理。
第六章 跨境及非駐場外包管理
第一節 跨境外包風險管理
第六十條
跨境外包是指在境外其他國家或地區實施的信息科技外包服務活動。
第六十一條
跨境外包除具有本指引前述風險外,還包括由于某一國家或地區經濟、政治、社會變化及事件而產生的國別風險,及由于外包實施場地遠離銀行業金融機構而產生的非駐場風險。
第六十二條
銀行業金融機構應當充分了解并持續監控服務提供商所在國家或地區的經濟、政治、社會狀況,通過建立應急預案、服務持續性計劃防范跨境外包所帶來的國別風險。
第六十三條
銀行業金融機構應當關注國外法律法規、監管要求對其獲取服務提供商外包管理信息可能的影響。實施跨境外包時,不應妨礙銀行業金融機構有效履行外包服務監控管理職能及監管機構的延伸檢查。
第六十四條
銀行業金融機構在選擇跨境外包時,應當明確其所在國家或地區監管當局已與中國銀監會簽訂諒解備忘錄或雙方認可的其他約定。
第六十五條
銀行業金融機構在實施跨境外包時,其合同應當包括法律選擇和司法管轄權的約定,明確爭議解決時所適用的法律及司法管轄權,原則上應當要求服務提供商依照中國的法律解決糾紛。
第六十六條
銀行業金融機構在開展跨境外包時,應當充分審查評估服務提供商保護客戶信息的能力,并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包,應在符合監管法規政策并獲得客戶授權的前提下開展。
第二節 非駐場外包風險管理
第六十七條
非駐場外包是指服務提供商不在銀行業金融機構現場提供服務的外包形式。由于銀行業金融機構不能對其內部控制及風險管理措施進行直接管控,應當在信息安全、知識產權保護、質量監控、法律合規等方面加強對服務提供商的風險管理。
第六十八條
銀行業金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準,該標準應當作為選擇服務提供商的最低要求。
第六十九條
銀行業金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次,檢查結果應作為外包服務提供商項目考核及準入的重要指標。
第七十條
銀行業金融機構應當加強對服務商非駐場外包服務內部控制、質量管理、信息安全的有效性評估,評估結果應作為供應商準入的重要依據。對于高風險的服務提供商,銀行業金融機構應責令其進行限期整改,對于逾期未改的服務提供商應暫停或取消其服務資格。
第七十一條
對于非駐場外包服務提供商為同業托管機構的情況,銀行業金融機構可參照本節內容對其進行外包管理,但同業托管機構須將為其他同行業金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分,不應區別對待而降低對自身提供外包服務的風險管控水平。
第七章 銀行業重點外包服務機構風險管理要求
第七十二條
銀行業重點外包服務機構是指集中為銀行業金融機構提供外包服務,同時滿足下述條件,如其外包服務失敗可能導致銀行業大面積數據損毀、丟失、泄露或信息系統服務中斷,造成經濟損失的機構,具體條件如下:
(一)承擔集中存貯客戶數據的業務交易系統外包服務;或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務;或承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務;且上述服務均為非駐場外包服務;
(二)服務的法人銀行業金融機構數量、服務合同金額占有本服務領域市場份額的三分之一以上;或服務的國有、股份制法人銀行業金融機構數量達到3家或以上;或服務的其它類型法人銀行業金融機構數量達到10家或以上。
第七十三條
銀行業金融機構應根據監管機構發布的銀行業重點外包服務機構風險提示,按照如下要求進行管理:
19(一)銀行業重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體,注冊資本和實收資本不少于1000萬,注冊成立時間應不少于3年。
(二)銀行業重點外包服務機構應當擁有健全的組織架構,并針對所提供的外包服務建立有效的風險治理架構,至少應當建立由公司高級管理層直接領導、針對銀行業金融機構外包服務的、專職信息科技風險管理團隊,為持續的外包服務提供保證。
(三)銀行業重點外包服務機構應當建立與所承擔的服務范圍和規模相適應的服務管理體系,建立完善的信息安全、服務質量、服務持續性等管理制度體系,擁有有效的檢查、監控和考核機制,確保管理規范有效執行。
(四)銀行業重點外包服務機構應當具有足夠的技術能力、人員隊伍和設施、環境,滿足外包服務的質量和安全管理要求。銀行業重點外包服務機構承擔的銀行業金融機構外包服務場地應設臵在中國境內。
第七十四條 銀行業金融機構應要求銀行業重點外包服務機構具有如下相關領域資質認證:(一)具有完善的信息安全管理體系、業務連續性管理體系,并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證。
(二)具有完善的質量管理體系,并通過業界公認較為權威的質量管理資質認證。
20(三)承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務的銀行業重點外包服務機構,其機房及基礎設施應達到國家電子計算機機房最高標準。
(四)承擔集中存貯客戶數據的業務交易系統外包服務,或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務的銀行業重點外包服務機構,應具有完善的運行服務管理體系,并通過業界公認較為權威的運行服務管理資質認證。
第七十五條 銀行業金融機構應在風險管理、審計方面對銀行業重點外包服務機構做出如下要求:
(一)銀行業重點外包服務機構應當具有信息科技風險的管理體系,有效識別、監測、評估和控制風險。銀行業重點外包服務機構應至少每季度向所服務的銀行業金融機構報送外包風險監控報告,針對監控發現的潛在風險或風險事件,及時采取控制或緩釋措施。
(二)銀行業重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,風險評估報告需報送所服務的銀行業金融機構,并抄送銀行業監督管理委員會或其派出機構。
(三)銀行業重點外包服務機構應當對其外包服務團隊成員進行背景調查,確保其過往無犯罪或其他不良記錄,且應當與項目成員簽訂保密協議,并保留至少10年的法律追訴期。
第八章 監督管理
第七十六條
銀行業金融機構開展以下信息科技外包服務時,應在外包合同簽訂前二十個工作日向中國銀監會或其派出機構報告。報告內容見附件《信息科技外包服務報告材料目錄》。
(一)信息科技工作整體外包;
(二)數據中心或災備中心整體外包;
(三)涉及將銀行業金融機構客戶資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息科技外包;
(四)以非駐場形式實施的、集中存貯客戶數據的業務交易系統外包;
(五)關聯外包;
(六)涉及跨境的信息科技外包;
(七)其他中國銀監會認為重要的信息科技外包。第七十七條
銀行業金融機構信息科技外包活動中發生如下重大事件時,應在兩個工作日內向中國銀監會或其派出機構報告。
(一)銀行業金融機構客戶信息等敏感數據泄露;
(二)數據損毀或者重要業務運營中斷;
(三)由于不可抗力或服務提供商重大經營、財務問題,導致或可能導致多家銀行業金融機構外包服務中斷;22
(四)其他重大的服務提供商違法違規事件;
(五)中國銀監會規定需要報告的其他重大事件。第七十八條
銀行業金融機構在開展外包風險管理評估工作后,應將風險評估報告報送中國銀監會或其派出機構。報告內容見附件《信息科技外包服務報告材料目錄》。
第七十九條
中國銀監會及其派出機構對銀行業金融機構信息科技外包工作進行監督和檢查,監督檢查結果應納入對銀行業金融機構的監管評級。
第八十條
對于風險較高的信息科技外包服務,銀監會或其派出機構可要求銀行業金融機構暫緩、中止該類外包服務,直至銀行業金融機構、外包服務提供商有效改正。
第八十一條
銀行業金融機構違反本指引規定的,中國銀監會或其派出機構可要求銀行業金融機構糾正或采取替代方案,并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業金融機構穩健運行、損害存款人和其他客戶合法權益的,將依法追究銀行業金融機構管理責任。
第八十二條
中國銀監會實行對銀行業信息科技外包服務活動風險監測機制,定期對銀行業金融機構發布銀行業重點外包服務機構名單和風險提示,防范因高機構集中度外包服務導致的行業性、區域性信息科技風險。
第八十三條
中國銀監會應對具有機構集中度特點的銀行業金融機構信息科技外包服務活動進行重點風險監測、評估。根 23 據履行職責的需要,中國銀監會可要求銀行業金融機構與銀行業重點外包服務機構會談,就其外包服務活動和風險的重大事項作出說明。
第八十四條
中國銀監會應組織銀行業金融機構,實地核查銀行業重點外包服務機構承擔的銀行業金融機構信息科技服務活動,原則上每兩年進行一次,也可以委托其他第三方機構審計的形式實施。
第八十五條
中國銀監會可根據銀行業金融機構信息科技服務活動風險評估和實地核查結果,對銀行業金融機構發出監管提示,要求其督促銀行業重點外包服務機構對風險問題實施整改。
第八十六條
銀行業重點外包服務機構應當配合銀行業金融機構及中國銀監會的風險監測和實地核查。發現外包服務中發生可能引發行業性、區域性信息科技風險的突發事件時,應及時向銀行業金融機構報告。
第八十七條
中國銀監會組織相關銀行業金融機構對銀行業信息科技外包服務提供商建立服務管理記錄,并對其風險評估和評級。
第八十八條
服務提供商在外包服務中存在以下情形的,中國銀監會將定期向銀行業發布服務提供商風險預警,公布機構名單、服務信息等,要求銀行業金融機構禁止服務提供商承擔銀行業信息科技外包服務,禁止期至少為兩年。外包服務提供商兩年內仍未整改的,將延長其禁止期。
(一)違反國家法律、法規和監管政策,情節嚴重的;
(二)竊取、泄露銀行業金融機構敏感信息,情節嚴重的;
(三)因管理過失,多次發生重要信息系統服務中斷或數據損毀、丟失、泄露事件;
(四)服務質量低下并給多家銀行業金融機構造成損失,多次提示仍未整改;
(五)對風險監測和實地檢查發現的問題,逾期仍未整改;
(六)存在其他違法違規行為,或發生其它重大信息科技風險事件。
第八十九條
中國銀監會將監督銀行業金融機構實施對信息科技外包服務提供商的準入及“黑名單”管理。對于存在重大風險的外包活動,銀行業金融機構應立即評估外包的適當性,對擬進入“黑名單”的信息科技外包服務提供商進行風險預警提示,要求其進行整改并設定期限。逾期未整改的,將進入“黑名單”。
第九章 附則
第九十條
本指引由中國銀監會負責解釋、修訂。第九十一條
本指引自發布之日起施行。
附錄 《銀行業金融機構信息科技外包風險監管指引》信息科技外包服務監管報告材料目錄
一、信息科技外包監管報告材料
(一)外包服務基本情況,包括:
1.外包服務名稱;
2.外包服務類型:研發咨詢類、系統運行維護類、業務外包中的信息科技活動等; 3.外包服務的主要內容;
4.實施方式:駐場外包、非駐場外包;
5.影響的業務類型:渠道管理類、客戶管理類、產品管理類、財務管理類、決策支持類、共享支持類等; 6.外包服務起止時間。
(二)服務提供商基本情況,包括:
1.服務提供商全稱、國別; 2.盡職調查報告; 3.法人代表; 4.注冊資本; 5.上級機構/母機構; 6.成立時間; 7.企業性質;
(三)中國銀監會規定的其他材料。
二、信息科技外包情況報送材料
(一)銀行業金融機構外包風險評估報告;
(二)銀行業重點外包服務機構風險評估報告;
(三)本內正在執行或終止的重要信息科技外包服務情況,包括:
1.外包服務名稱;
2.外包服務重大事件情況; 3.外包服務變更情況;
4.本期終止的,還應當提供外包服務評價。
(四)中國銀監會規定的其他材料。
第四篇:銀行業信息科技風險監管報告
探索銀行業信息科技風險監管框架
銀行業信息科技風險監管概述
信息科技風險是隨著信息科技技術廣泛應用而新生的詞匯,最早出現在上世紀九十年代,目前業界對此缺乏統一的定義。中國銀監會定義的信息科技風險是指信息科技在商業銀行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。
2001年巴塞爾新資本協議草案明確了銀行業資本監管的發展趨勢,即將資本要求與銀行風險管理緊密相連。新資本協議以監管當局對資本計量的要求為基礎,通過約束銀行資本,達到控制行業規模和風險的目的。在新資本協議關注的三大風險中,信息科技風險被默認為操作風險的一部分,未對信息科技風險的管理提出具體要求。
信息科技穩定運行是銀行業務正常經營的基本條件,銀行數據集中造成了風險的高度集中,科技風險成為唯一能使銀行瞬間癱瘓的風險。信息科技風險具有區別于其他操作風險的特殊性:一是風險因素復雜,大量使用外包和新技術使得風險控制的復雜度大幅提高;二是由于管理因素、技術因素多重作用,導致偶發性和不確定性突出;三是信息科技一般不直接造成經濟損失,其造成的間接損失難以計量;四是單個信息系統可影響多個業務,影響范圍廣且具有不確定性。
科技風險與操作風險當前處在不同的發展階段,其管理理論、管理方法等方面有著一定的差異性。在管理體系方面,信息科技風險管理的理論已進入風險導向的科技風險管理階段,但以風險為導向的識別、監測、計量方面尚不成體系;在管理方法方面,信息科技風險的特殊性在于產品和技術層面的風險也是其重要風險因素;在損失特點方面,信息科技風險通常不產生直接的風險損失,這決定了通常情況下科技風險損失往往難以使用貨幣金額方式進行表示;在風險計量方面,目前尚缺乏有效計量信息科技風險資本的方法。
當前銀行業大多將信息科技風險作為操作風險的一部分,納入銀行全面風險管理體系。但是,隨著行業發展和技術進步,在操作風險模式下管理信息科技風險也存在一定的困難:一是目前的操作風險管理方法中對科技風險的管理方法涉及較少,難以兼顧到信息科技風險的專業技術特性,難以實現對信息科技風險的有效管理 ;二是風險監管資本計量未能充分考慮信息科技風險因素,信息科技風險造成的損失及其相應的監管資本計量存在困難。基于科技風險特點及其作為操作風險一部分進行管理遇到的問題,將信息科技風險從操作風險中拆分并獨立管理,能更有效的管理信息科技風險。
信息科技風險應被視為一種獨立的、重要的風險類型被單獨管理,與操作風險的管理分開;應根據信息科技損失的特點設計與操作風險標準法和高級法匹配的計量模型,體現信息科技風險對銀行資本的影響和敏感性。
銀行業信息科技風險核心監管指標
在實施“風險為本”的監管框架中,需要探索建立一套可量化、相對簡單、可動態監測的核心監管指標體系,來動態監測信息科技風險狀況,直觀評估銀行信息科技風險的管理水平。
核心監管指標作為監管機構識別和預警銀行風險的重要手段和方法,對健全內部風險制衡機制,完善風險管理政策和流程,優化風險計量工具,進行有效的風險控制起到了積極的促進作用。信息科技風險核心監管指標可以分為兩類,一類是結果性指標,另一類是過程性指標。結果性指標是以目標為導向,對已經發生的科技風險事件和信息安全事件進行統計后建立的量化指標,其反映的是風險狀況和發展趨勢。過程性指標主要反映銀行風險控制和管理能力。這樣兩類指標相互補充,起到全面評估機構風險水平的目的。
信息科技風險監管具體目標包括業務連續性、信息安全、公眾滿意度以及合法合規。從信息科技風險監管目標出發,可逐層分解出系統可利用率、業務量等指標,它們相對簡單、直觀、容易測算和計量,可以成為結果性指標。另外一類是過程性指標,這類指標基于當前銀行業信息科技管理最佳實踐,對信息科技的每個領域都能夠起關鍵控制作用。監管指標一方面可以用來監測銀行業整體風險狀況,評估銀行業風險水平,同時也可以與監管手段相結合,提高信息科技風險監管水平。
銀行業信息科技風險資本計量
信息科技風險是巴塞爾新資本協議全面風險計量框架中的組成部分,科技風險資本計量是科技風險管理的重要手段。
計量信息科技風險可以借鑒當前相對成熟的操作風險的計量方法。但是,直接用操作風險計量方法計量信息科技風險存在挑戰,主要表現如下:一是信息科技風險與總收入、業務交易量、客戶數或業務交易金額等指標的關聯并不密切;二是大部分信息科技風險的損失不是顯性的,除少數信息科技風險事件(如引發客戶索賠、延誤罰息)有“直接損失”外,大部分信息科技風險事件的影響體現為業務中斷、聲譽受損等“間接損失”;三是信息科技風險損失數據相對較少,極端嚴重事件的數據更少,計量 “尾部風險”面臨挑戰。
基于高級法的計量思路是在操作風險的統一計量框架下對信息科技風險這一類型單獨計量,可將信息風險損失定義為金額損失和時間損失兩個維度,建立時間與金額的轉換關系,擬合頻率分布和嚴重度分布,之后整合為總損失分布,根據置信度確定未來一定時期內的非預期損失,最后用內部衡量法進行調整得出計量結果。將科技風險持續時間轉換為間接損失金額有兩種方法,分別為解析法和映射法。解析法是考量信息系統對銀行利潤貢獻度,即某個信息系統單位時間對銀行產生的利潤,根據系統中斷時間、影響范圍、系統重要性進行計算,得出信息科技風險事件的間接損失。映射法是根據影響范圍和系統重要程度將影響時間加權計算轉化為“標準”的影響時間,然后建立標準影響時間與損失金額之間的映射關系,從而確定損失。
未來,隨著信息技術的飛速發展,銀行業對信息科技的依賴越來越大,云計算、物聯網等新技術既加快了銀行創新發展,對信息科技風險管理提出了更高的要求;快速變化的外部環境,開放的互聯網環境,技術類企業、第三方平臺等非金融機構與銀行業的業務服務不斷融合等,所有這些都使得信息科技風險管理與監管面臨著更加現實的挑戰,需要我們不斷地思考和研究,提高信息科技風險管理能力。
(本文是中國金融四十人論壇內部課題《銀行業金融機構信息科技風險監管研究》的報告簡本,課題得到中國金融四十人論壇立項資助并組織專家評審)
第五篇:銀行業信息科技非駐場集中式外包服務納入監管評估基本條件
附件1:
銀行業信息科技非駐場集中式外包服務納入監管評估
基本條件
一、申請將外包服務納入監管評估的外包服務商應具備以下條件:
(一)為中華人民共和國境內注冊的獨立法人實體,具有固定的辦公場所,軟件開發服務類企業注冊資本500萬(含)以上,其他企業注冊資本和實收資本1000萬元(含)以上,注冊成立時間3年(含)以上;
(二)具有良好的股權治理結構,并能有效控制外包服務中的國別風險;
(三)公司治理良好,近三年財務經營狀況良好;(四)為銀行業金融機構提供信息科技外包服務3年(含)以上,且至少為3家(含)以上銀行業金融機構提供服務;
(五)社會聲譽良好,近兩年內未發生因管理失責引發的達到《銀行業信息系統突發事件應急管理規范》中兩起(含)以上信息系統突發事件、無違規行為和重大案件發生;
(六)具有健全的組織架構、有效的風險治理架構和專職的信息科技風險管理團隊,定期開展風險評估和審計工作;
(七)具備與所承擔服務范圍和業務規模相適應的服務管 理體系,具有較為完善的服務質量、信息安全、業務連續性、運行維護等管理體系和資質認證;
(八)具有足夠的技術能力、人力資源和設施、環境,滿足外包服務的質量和安全管理要求,承擔外包服務的場地應當設置在中國境內;
(九)銀行類機構的信息科技監管評級最近連續兩年為2級(含)以上;
(十)銀行業科技外包合作組織會員單位優先。
二、除以上條件外,申請機房運營類外包服務納入監管評估的外包服務商還應具備以下條件:
(一)機房應具有自有產權或長期租賃機房場地5年(含)以上且剩余租賃期限不低于4年(含),機房出租方應為其所出租機房的所有權人,房屋所有權權屬清晰、完整且不存在法律爭議,不存在將機房關鍵基礎設施的運維服務轉包或分包的情況;
(二)所服務的銀行業金融機構與其他機構的基礎設施間具有明確、清晰的邊界;
(三)機房及基礎設施具有根據服務功能劃分的獨立區域、差異性訪問控制策略和設施;
(四)互為備份的不同通信運營商線路經由不同路由節點接入機房;
(五)高低壓供配電系統、應急發電系統、不間斷電源系統、機房專用空調等基礎設施設計具有冗余備份,且為不間斷運 行;
(六)具有專業檢測機構對機房的防雷接地、消防等基礎設施安全檢測報告或安全資質證明;
(七)監控系統較完善,具有對機房環境和基礎設施的集中監控能力,并可審計追溯;
(八)機房滿足銀監會《商業銀行數據中心監管指引》要求。
三、申請應用系統托管類外包服務納入監管評估的外包服務商,除滿足第一條、第二條
(二)至
(八)項規定的條件外,還應具備以下條件:
(一)提供外包服務的機房具有自有產權或長期租賃機房場地5年(含)以上;
(二)對重要信息系統擁有自主知識產權或依法取得許可使用權且許可使用期限不少于外包服務期;
(三)計算機和網絡等硬件設備滿足應用系統安全性、可靠性和運行效率的需要;
(四)具備自主研發及運維能力,配備與服務相適應的研發管理、運維管理、質量管理、安全管理及客服隊伍;
(五)所服務的銀行業金融機構與其他機構之間的設施、系統物理隔離;對所服務的銀行業金融機構間的設施、系統和數據具有明確、清晰的邊界,至少滿足相互之間邏輯分離的要求;
(六)對客戶信息等敏感數據的訪問、使用、銷毀具備有 效的安全管理措施,能夠保障銀行業金融機構對自身數據的訪問和控制能力;
(七)具備較完善的系統用戶管理和訪問控制機制,滿足最小授權的原則,保障信息系統的完整性和可用性;
(八)具有集中監控的電子化管理平臺,能夠滿足對基礎設施、信息系統和網絡運行狀況的實時監控和可追溯要求,保障信息系統運行的穩定性和可用性;
(九)具備有效的防病毒、防入侵和防攻擊措施,能夠定期開展病毒檢查、惡意代碼檢測、漏洞掃描和滲透性測試等安全活動,及時發現系統脆弱性;
(十)具備完善的應急組織體系和業務連續性計劃,應急預案覆蓋基礎設施、網絡、系統等重要應急場景,并定期評審、演練和更新;
(十一)具備同城或異地災備中心,災備中心機房及基礎設施滿足國家電子計算機機房標準,滿足《商業銀行數據中心監管指引》要求。
點擊咨詢 