銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引1

1、精品 料推薦銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引第一章總則第一條為規(guī)范銀行業(yè)金融機構(gòu)的信息科技外包活動，降低信息科技外包風險，根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法 、中華人民共和國商業(yè)銀行法等法律法規(guī)，制定本指引。第二條在中華人民共和國境內(nèi)設立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū)）農(nóng)村信用社聯(lián)合社適用本指引。銀監(jiān)會監(jiān)管的其他金融機構(gòu)參照本指引執(zhí)行。第三條本指引所稱信息科技外包是指銀行業(yè)金融機構(gòu)將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資源外包等形式。原則上包括以下類型：（一）研發(fā)咨詢類外包：科技管理及科技治理等咨詢設計外包，規(guī)劃、需求、系統(tǒng)

2、開發(fā)、測試外包；1精品 料推薦（二）系統(tǒng)運行維護類外包：包括數(shù)據(jù)中心（災備中心）、機房配套設施、網(wǎng)絡、系統(tǒng)的運維外包，自助設備、 POS機等遠程終端及辦公設備的運維外包；（三）業(yè)務外包中的信息科技活動：市場拓展、業(yè)務操作、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動。第四條本指引所稱關(guān)聯(lián)外包是指服務提供商為銀行業(yè)金融機構(gòu)的母公司或其所屬集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)提供信息科技外包。第五條信息科技外包可能產(chǎn)生如下風險，并導致銀行業(yè)金融機構(gòu)的戰(zhàn)略、聲譽、合規(guī)風險：（一）科技能力喪失：銀行業(yè)金融機構(gòu)過度依賴外部資源導致失去科技控制及創(chuàng)新能力，影響業(yè)務創(chuàng)新與發(fā)展；（二）業(yè)務中斷：支持

3、業(yè)務運營的外包服務無法持續(xù)提供導致業(yè)務中斷；（三）信息泄露：包含客戶信息在內(nèi)的銀行業(yè)金融機構(gòu)非公開數(shù)據(jù)被服務提供商非法獲得或泄露；（四）服務水平下降：由于外包服務質(zhì)量問題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機構(gòu)信息科技服務水平下降。2精品 料推薦第六條本指引所稱機構(gòu)集中度風險是指銀行業(yè)金融機構(gòu)將信息科技外包服務集中交由少量服務提供商承接而產(chǎn)生的風險，該風險可能造成集中性的服務中斷、質(zhì)量下降、安全事件等。第七條本指引所稱同業(yè)托管機構(gòu)是指作為外包服務提供商為其他同行業(yè)金融機構(gòu)提供信息科技外包服務的銀行業(yè)金融機構(gòu)。第八條銀行業(yè)金融機構(gòu)應當將信息科技外包管理納入全面風險管理體系，建立與本機構(gòu)信息科技戰(zhàn)

4、略目標相適應的外包管理體系，控制或降低由于外包而引發(fā)的風險。第九條銀行業(yè)金融機構(gòu)應當建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定期進行外包風險評估，通過服務提供商準入、評價、退出等手段建立及維護符合自身戰(zhàn)略目標的供應商關(guān)系管理策略。第十條銀行業(yè)金融機構(gòu)在實施信息科技外包時應當堅持以下原則：（一）以不妨礙核心能力建設、積極掌握關(guān)鍵技術(shù)為導向；（二）保持外包風險、成本和效益的平衡；（三）強調(diào)外包風險的事前控制，保持管控力度；（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢，持續(xù)改進外包策略和措施。3精品 料推薦第十一條銀行業(yè)金融機構(gòu)在實施信息科技外包時，不得將信息科技管理責任外包。第十二條對于不涉及銀行客戶

5、及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保，及通訊線路租用、 支付或清算系統(tǒng)接入等信息科技公共基礎設施服務，銀行業(yè)金融機構(gòu)應當充分評估其信息科技風險，按照本指引第五章要求進行管理。第二章外包管理組織架構(gòu)第十三條銀行業(yè)金融機構(gòu)董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關(guān)職責,明確信息科技外包風險管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風險管理效果。第十四條信息科技外包風險主管部門的主要職責包括：（一）對外包風險進行識別、評估與風險提示；（二）監(jiān)督、評價外包管理工作，并督促外包風險管理的持續(xù)改善；4精品 料推薦（三）向高級管理層定期

6、匯報信息科技外包活動相關(guān)風險管理情況；（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。第十五條銀行業(yè)金融機構(gòu)應當在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團隊，并配備足夠人員履行以下職責：（一）實施信息科技外包戰(zhàn)略；（二）制定并執(zhí)行信息科技外包管理制度與流程；（三）執(zhí)行供應商準入、評價、退出管理，建立并維護供應商關(guān)系管理策略；（四）制定保障外包服務持續(xù)性的應急管理方案，并組織實施定期演練；（五）對外包過程中的各項管理活動進行監(jiān)控及分析，定期向信息科技及外包風險管理主管部門報告外包活動情況。第三章信息科技外包戰(zhàn)略及風險管理第一節(jié)信息科技外包戰(zhàn)略5精品 料推

7、薦第十六條銀行業(yè)金融機構(gòu)應當以提升信息科技隊伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標，基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風險控制能力和風險偏好制定信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設方案、供應商關(guān)系管理策略和外包分級管理策略。第十七條銀行業(yè)金融機構(gòu)應當根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風險管理、內(nèi)部審計及其他有關(guān)信息科技核心競爭力的職能不得外包。第十八條銀行業(yè)金融機構(gòu)應當根據(jù)外包戰(zhàn)略制定資源、能力建設方案，通過補充人員、提升技能、知識轉(zhuǎn)移等方式，有針對性地獲取或提升管理及技術(shù)能力，降低對服務提供商的依賴。第十九條銀行業(yè)金融機構(gòu)應當建立與自

8、身規(guī)模、市場地位相適應的供應商關(guān)系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數(shù)量，實現(xiàn)以下目標： 防范行業(yè)壟斷和機構(gòu)集中度風險，通過引入適當?shù)母偁幵诮档筒少彸杀镜耐瑫r提高服務質(zhì)量，合理管控服務提供商的數(shù)量從而降低風險及管理成本等。第二十條銀行業(yè)金融機構(gòu)可以按照外包服務性質(zhì)和重要性程度對服務提供商進行分級管理，對不同級別的服務提供商采取差異化的管控措施，在有效管理重要風險的前提下降低管理成本。6精品 料推薦第二十一條銀行業(yè)金融機構(gòu)要同母公司或集團公司協(xié)同做好外包服務及服務提供商的管理工作，但應當保持關(guān)聯(lián)外包有關(guān)決策的獨立性，避免因關(guān)聯(lián)關(guān)系而降低外包活動的風險控制水平。第二節(jié)信息科

9、技外包風險管理第二十二條銀行業(yè)金融機構(gòu)信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告。評估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機構(gòu)集中度、服務連續(xù)性、服務質(zhì)量、政策及市場變化對外包服務的影響分析等。第二十三條銀行業(yè)金融機構(gòu)應當對重要的外包服務提供商進行定期的風險評估，保持評估的獨立性。至少在三年內(nèi)覆蓋所有重要的服務提供商。評估內(nèi)容包括：服務提供商合規(guī)情況、服務的執(zhí)行效果等，評估結(jié)果應當作為服務提供商準入及退出的重要依據(jù)。第二十四條銀行業(yè)金融機構(gòu)內(nèi)部審計部門應當定期開展信息科技外包風險管理審計工作，至少每三年對重要的

10、外包服務活動進行一次全面審計。發(fā)生外包風險事件后應當及時開展專項審計。7精品 料推薦第四章信息科技外包管理第一節(jié)外包風險評估及準入第二十五條外包項目立項前，銀行業(yè)金融機構(gòu)應當審慎檢查項目與信息科技外包戰(zhàn)略的一致性，根據(jù)項目內(nèi)容、范圍、性質(zhì)對其進行風險識別和評估，制定相應的風險處置措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。第二十六條銀行業(yè)金融機構(gòu)應當根據(jù)供應商關(guān)系管理策略，結(jié)合風險評估結(jié)果及服務提供商的準入標準，對備選服務提供商進行初步篩選，防范引入高機構(gòu)集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。第二十七條對于外包服務提供商為同業(yè)托管機構(gòu)的

11、情況，銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行管理。8精品 料推薦第二節(jié)服務提供商盡職調(diào)查第二十八條對重要的服務提供商，銀行業(yè)金融機構(gòu)在與其簽訂合同前應當深入開展盡職調(diào)查，必要時可聘請第三方機構(gòu)協(xié)助調(diào)查。第二十九條銀行業(yè)金融機構(gòu)在盡職調(diào)查時應當關(guān)注服務提供商的技術(shù)和行業(yè)經(jīng)驗，包括但不限于：服務能力和支持技術(shù)、服務經(jīng)驗、服務人員技能、市場評價、監(jiān)管評價等。第三十條銀行業(yè)金融機構(gòu)在盡職調(diào)查時應當關(guān)注服務提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。第三十一條銀行業(yè)金融機構(gòu)在盡職調(diào)查時應當關(guān)注服務提供商的持續(xù)經(jīng)營狀況，包括但不限于：從業(yè)時間、市場地位及

12、發(fā)展趨勢、資金的安全性、近期盈利情況等。第三十二條對于關(guān)聯(lián)外包，銀行業(yè)金融機構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對服務提供商的要求，應當在盡職調(diào)查階段詳細分析服務提供商技術(shù)、內(nèi)控和管理水平，確認其有足夠能力實施外包服務、處理突發(fā)事件等。9精品 料推薦第三十三條對于外包服務提供商為同業(yè)托管機構(gòu)的情況，銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行管理。第三節(jié)外包服務合同及要求第三十四條銀行業(yè)金融機構(gòu)在實施外包服務項目前，應當與服務提供商簽訂服務合同。合同應當根據(jù)外包服務需求、風險評估及盡職調(diào)查結(jié)果確定詳細程度和重點。第三十五條銀行業(yè)金融機構(gòu)在合同或協(xié)議中應當明確以下內(nèi)容，包括但不限于：（一）服務范圍、 服務內(nèi)容、 工作

13、時限及安排、 責任分配、 交付物要求以及后續(xù)合作中的相關(guān)限定條件；（二）合規(guī)與內(nèi)控要求，對法律法規(guī)及銀行業(yè)金融機構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報貫徹機制、服務提供商的內(nèi)控措施；（三）服務連續(xù)性要求，服務提供商的服務連續(xù)性管理目標應當滿足銀行業(yè)金融機構(gòu)業(yè)務連續(xù)性目標要求；10精品 料推薦（四）銀行業(yè)金融機構(gòu)監(jiān)控和檢查的權(quán)利、頻率，服務提供商配合其內(nèi)、外部審計機構(gòu)檢查，及配合銀行業(yè)監(jiān)管機構(gòu)檢查的責任；（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和設施的交接處置等過渡期間相關(guān)服務的安排；（六）外

14、包服務過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務提供商使用的內(nèi)容及范圍，對服務提供商使用合法軟、硬件產(chǎn)品的要求；（七）服務要求或服務水平條款，至少應當包括如下內(nèi)容：外包服務的關(guān)鍵要素、服務時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術(shù)支持水平等；（八）爭端解決機制、違約及賠償條款，至少包括如下內(nèi)容：服務質(zhì)量違約、安全違約、知識產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭端的解決機制；（九）報告條款，至少包括常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。第三十六條銀行業(yè)金融機構(gòu)應當在合同或協(xié)議中明確服務提供商在安全和保密方面的責

15、任，以及針對安全及保密要求需采取的具體措施。包括但不限于：（一）禁止服務提供商在合同允許范圍外使用或者披露銀行業(yè)金融機構(gòu)的信息，以防止信息被非授權(quán)使11精品 料推薦用；（二）在合同或協(xié)議中約定服務提供商對銀行客戶信息安全和銀行客戶權(quán)利的保護條款、事故處理方式及違約賠償條款；（三）在合同或協(xié)議中約定服務提供商不得以所服務的銀行業(yè)金融機構(gòu)名義開展活動；（四）服務提供商接觸銀行業(yè)金融機構(gòu)信息時，需滿足安全和保密相關(guān)條款的要求；（五）在發(fā)生銀監(jiān)會規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風險類突發(fā)事件時，服務提供商應及時向銀行業(yè)金融機構(gòu)報告，包括事件的影響以及處置和糾正措施。第

16、三十七條銀行業(yè)金融機構(gòu)應當在合同或協(xié)議中明確要求服務提供商不得將外包服務轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務分包時應當要求：（一）不得將外包服務的主要業(yè)務分包；（二）主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包合同或協(xié)議；（三）主服務提供商對分包商進行監(jiān)控，并對分包商的變更履行通知或報告審批義務。第四節(jié)外包服務安全管理12精品 料推薦第三十八條銀行業(yè)金融機構(gòu)應當制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設施遭受破壞等風險。具體措施包括：（一）對外包人員進行信息安全培訓，提高風險管理意識，確保信息安全管控措施在外包服務過程中

17、有效落實；（二）明確外包活動需要訪問或使用的信息資產(chǎn)，包括場地、辦公設施、計算機、服務器、軟件、數(shù)據(jù)、信息、物理訪問控制設備、 賬號、網(wǎng)絡寬帶、 網(wǎng)絡端口等， 按“必需知道 ” 和“最小授權(quán) ”原則進行訪問授權(quán)；（三）對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描；（四）定期對服務提供商進行安全檢查，獲取服務提供商自評估或第三方評估報告。第三十九條銀行業(yè)金融機構(gòu)對關(guān)聯(lián)外包服務提供商定期進行的安全檢查，不得以服務提供商的自評估替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨立性、客觀性及公正性。第四十條銀行業(yè)金融機構(gòu)應當關(guān)注外包服務引入的新技術(shù)或新應用對現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時完善信息安全

18、管控體系，避免因新技術(shù)或應用的引入而增加額外的信息安全風險。13精品 料推薦第五節(jié)外包服務監(jiān)控與評價第四十一條銀行業(yè)金融機構(gòu)應當對外包服務過程進行持續(xù)監(jiān)控，要求服務提供商建立階段性服務目標及任務，并跟蹤任務的執(zhí)行情況，及時發(fā)現(xiàn)和糾正服務過程中存在的各類異常情況。第四十二條銀行業(yè)金融機構(gòu)應當根據(jù)信息科技外包需求、合同、服務水平協(xié)議等建立明確的服務質(zhì)量監(jiān)控指標，并進行相應監(jiān)控。常見指標包括：（一）信息系統(tǒng)和設備及基礎設施的可用率、設備的開機率；（二）故障次數(shù)、故障解決率、故障的響應時間；（三）服務的次數(shù)、客戶滿意度；（四）各階段業(yè)務需求的及時完成率、程序的缺陷數(shù)、需求變更率；（五）外包人員工作飽和

19、率、外包人員的考核合格率。第四十三條銀行業(yè)金融機構(gòu)應當建立明確的服務目錄、服務水平協(xié)議以及服務水平監(jiān)控評價機制,14精品 料推薦并確保外包服務監(jiān)控基礎數(shù)據(jù)和評價結(jié)果的真實性和完整性，且數(shù)據(jù)至少需保存到服務結(jié)束后一年。第四十四條銀行業(yè)金融機構(gòu)應當對服務提供商的財務、內(nèi)控及安全管理進行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務狀況惡化及內(nèi)部管理混亂等情況，防范外包服務意外終止或服務質(zhì)量的急劇下降。第四十五條銀行業(yè)金融機構(gòu)監(jiān)控到異常情況時，應當及時督促服務提供商采取糾正措施，情節(jié)嚴重的或未及時糾正的，應當約談服務提供商高管人員并限期整改。第四十六條外包服務結(jié)束時，

20、銀行業(yè)金融機構(gòu)應當對服務提供商進行評價，評價結(jié)果應當作為服務提供商準入的重要參考依據(jù)。第四十七條對于關(guān)聯(lián)外包，銀行業(yè)金融機構(gòu)董事會及高級管理層應當推動母公司或所屬集團將外包服務質(zhì)量納入對服務提供商的業(yè)績評價范圍，建立外包服務重大事件問責機制。同時，應當要求服務提供商在其內(nèi)部建立與外包服務水平相關(guān)的績效考核機制。第六節(jié)外包服務中斷與終止15精品 料推薦第四十八條銀行業(yè)金融機構(gòu)應當考慮信息科技外包的引入對業(yè)務連續(xù)性管理的影響，有針對性地完善業(yè)務連續(xù)性管理計劃，包括但不限于：（一）識別出重要業(yè)務所涉及的服務提供商和資源；（二）通過合同、協(xié)議等形式明確要求服務提供商提前準備并維護好相關(guān)資源；（三）對服

21、務提供商業(yè)務連續(xù)性管理進行監(jiān)控，并評價其管理水平；（四）在進行業(yè)務連續(xù)性計劃演練時將相關(guān)的服務提供商納入演練范圍。第四十九條為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機構(gòu)應當事先對業(yè)務連續(xù)性管理造成重大影響的外包服務建立風險控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：（一）在外包服務實施過程中持續(xù)收集服務提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導致服務中斷的情況；（二）與服務提供商事先約定在其服務質(zhì)量不能滿足合同要求的情況下獲取其外包服務資源的優(yōu)先權(quán)；（三）要求服務提供商制定服務中斷相關(guān)的應急處理預案，如提供備份人員；（四）對于涉及重要業(yè)務的外包服務，銀行業(yè)金融機構(gòu)需考慮預先在其內(nèi)部配置相應的人力資源，

22、掌握16精品 料推薦必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。第五十條銀行業(yè)金融機構(gòu)應當針對重要外包服務中斷的場景，擬定相應的應急計劃， 并定期進行演練，考慮因素包括但不限于以下內(nèi)容：（一）事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌姆仗峁┥瘫粍油顺龅?；（二）事件持續(xù)時間和恢復可能性；（三）事件影響范圍和可能的應急措施；（四）服務提供商自行恢復服務的可能性和時間；（五）備選的服務提供商以及外包服務遷移方案；（六）外包服務過渡給銀行業(yè)金融機構(gòu)自行運作的可能性、時效及資源需求。第五十一條對于無法滿足外包服務要求或發(fā)生重

23、大事件的情況，銀行業(yè)金融機構(gòu)應當在充分評估其影響及制定退出計劃的前提下，考慮主動要求服務提供商終止服務，情節(jié)特別嚴重的， 可考慮取消準入資質(zhì)，并報監(jiān)管機構(gòu)申請對其備案。對于關(guān)聯(lián)外包， 銀行業(yè)金融機構(gòu)不得因為關(guān)聯(lián)關(guān)系而影響服務提供商退出機制的17精品 料推薦落實。第五章機構(gòu)集中度風險管理第五十二條銀行業(yè)金融機構(gòu)應當依據(jù)服務提供商所承接外包服務的數(shù)量、金額在本行重要信息科技服務中的占比， 服務提供商所承接外包服務在銀行業(yè)服務市場占比情況，識別具有機構(gòu)集中度特點的外包服務提供商。同時，還應識別服務提供商之間為集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)所產(chǎn)生的機構(gòu)集中度風險。第五十三條銀行業(yè)金融機構(gòu)應當積極采用分

24、散信息科技外包活動、提高自主研發(fā)運行能力等形式，降低機構(gòu)集中度，減少對外包服務提供商的依賴。第五十四條銀行業(yè)金融機構(gòu)應當要求具有機構(gòu)集中度特點的外包服務提供商提供充分的證據(jù)，證明其內(nèi)部控制和管理能力、持續(xù)運營能力等。第五十五條銀行業(yè)金融機構(gòu)應當要求具有機構(gòu)集中度特點的外包服務提供商為銀行業(yè)金融機構(gòu)配備相對獨立的資源，包括服務團隊、場地、系統(tǒng)、設備等；并對資源進行定期檢查，確保資源及時到位。18精品 料推薦第五十六條銀行業(yè)金融機構(gòu)應當要求具有機構(gòu)集中度特點的外包服務提供商在外包服務中斷應急預案中，明確外包服務的優(yōu)先級，并進行服務中斷應急演練，服務提供商應當至少參與服務交接、敏感信息處置等演練過程

25、。第五十七條銀行業(yè)金融機構(gòu)應當特別加強對具有機構(gòu)集中度特點的外包服務提供商的財務、內(nèi)控、安全管理情況的持續(xù)監(jiān)控，建立信息收集機制，及時掌握風險事件情況，防范外包服務意外終止或服務質(zhì)量急劇下降對本機構(gòu)產(chǎn)生大面積影響。第五十八條銀行業(yè)金融機構(gòu)應當對具有機構(gòu)集中度特點的外包服務提供商增強監(jiān)督頻率與力度，必要時可指派專人進行現(xiàn)場監(jiān)督。第五十九條對于具有機構(gòu)集中度特點的外包服務提供商為同業(yè)托管機構(gòu)的情況，銀行業(yè)金融機構(gòu)可參照本節(jié)內(nèi)容對其進行外包管理。第六章跨境及非駐場外包管理19精品 料推薦第一節(jié)跨境外包風險管理第六十條第六十一條跨境外包是指在境外其他國家或地區(qū)實施的信息科技外包服務活動?？缇惩獍哂?/p>

26、本指引前述風險外，還包括由于某一國家或地區(qū)經(jīng)濟、政治、社會變化及事件而產(chǎn)生的國別風險，及由于外包實施場地遠離銀行業(yè)金融機構(gòu)而產(chǎn)生的非駐場風險。第六十二條銀行業(yè)金融機構(gòu)應當充分了解并持續(xù)監(jiān)控服務提供商所在國家或地區(qū)狀況，通過建立業(yè)務連續(xù)性計劃防范跨境外包所帶來的國別風險。第六十三條銀行業(yè)金融機構(gòu)應當關(guān)注國外法律法規(guī)、監(jiān)管要求對其獲取服務提供商外包管理信息可能造成的影響。 實施跨境外包應當以不妨礙銀行業(yè)金融機構(gòu)有效履行外包服務監(jiān)控管理職能及監(jiān)管機構(gòu)延伸檢查為前提。第六十四條銀行業(yè)金融機構(gòu)在選擇跨境外包時，應當明確其所在國家或地區(qū)監(jiān)管當局已與銀監(jiān)會簽訂諒解備忘錄或雙方認可的其他約定。第六十五條銀行業(yè)

27、金融機構(gòu)在選擇跨境外包時，還應當充分審查評估服務提供商保護客戶信息的20精品 料推薦能力，并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包，應當在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開展。第六十六條銀行業(yè)金融機構(gòu)在實施跨境外包時，其合同應當包括法律選擇和司法管轄權(quán)的約定，明確爭議解決時所適用的法律及司法管轄權(quán)，原則上應當要求服務提供商依照中國的法律解決糾紛。第二節(jié)非駐場外包風險管理第六十七條非駐場外包是指服務提供商不在銀行業(yè)金融機構(gòu)現(xiàn)場提供服務的外包形式。由于銀行業(yè)金融機構(gòu)不能對其內(nèi)部控制及風險管理措施進行直接管控，應當在信息安全、知識產(chǎn)權(quán)保護、質(zhì)量監(jiān)控、法律合規(guī)等方面加強對服務提

28、供商的風險管理。第六十八條銀行業(yè)金融機構(gòu)應當建立針對非駐場外包服務的內(nèi)部控制及風險管理要求的最低標準，該標準應當作為選擇服務提供商的最低要求。第六十九條銀行業(yè)金融機構(gòu)應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不21精品 料推薦少于一次，檢查結(jié)果作為外包服務提供商項目考核及準入的重要指標。第七十條銀行業(yè)金融機構(gòu)應當加強對外包服務提供商非駐場外包服務內(nèi)部控制、質(zhì)量管理、 信息安全的有效性評估，評估結(jié)果作為供應商準入的重要依據(jù)。對于高風險的服務提供商，銀行業(yè)金融機構(gòu)應當責令其進行限期整改，對于逾期未改的服務提供商應當暫?；蛉∠浞召Y格。第七十一條對于非駐場外包服務提供商為同業(yè)托管機

29、構(gòu)的情況，銀行業(yè)金融機構(gòu)可以參照本節(jié)內(nèi)容對其進行外包管理， 但同業(yè)托管機構(gòu)須將為其他同行業(yè)金融機構(gòu)提供的信息科技外包服務視同自身信息科技服務的重要組成部分，不得區(qū)別對待，降低對自身提供外包服務的風險管控水平。第七章銀行業(yè)重點外包服務機構(gòu)風險管理要求第七十二條銀行業(yè)重點外包服務機構(gòu)是指集中為銀行業(yè)金融機構(gòu)提供外包服務，同時滿足下述條件，如其外包服務失敗可能導致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務中斷，造成經(jīng)濟損失的機構(gòu)，具體條件如下：22精品 料推薦( 一)承擔集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包服務；或承擔銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務；或承擔銀行業(yè)金融

30、機構(gòu)數(shù)據(jù)中心、災備中心機房及基礎設施外包服務；且上述服務均為非駐場外包服務。( 二)服務的法人銀行業(yè)金融機構(gòu)數(shù)量、服務合同金額占有本服務領域市場份額的三分之一以上；或服務的跨區(qū)域經(jīng)營法人銀行業(yè)金融機構(gòu)數(shù)量達到3 家或以上；或服務的其他類型法人銀行業(yè)金融機構(gòu)數(shù)量達到10 家或以上。第七十三條銀行業(yè)金融機構(gòu)應當根據(jù)監(jiān)管機構(gòu)發(fā)布的銀行業(yè)重點外包服務機構(gòu)風險提示，按照如下要求進行管理：( 一 )銀行業(yè)重點外包服務機構(gòu)應當是中華人民共和國境內(nèi)注冊的獨立法人實體，注冊資本和實收資本不少于 1000 萬，注冊成立時間不少于3 年。( 二 )銀行業(yè)重點外包服務機構(gòu)應當擁有健全的組織架構(gòu)，并針對所提供的外包服務

31、建立有效的風險治理架構(gòu)，至少應當建立由公司高級管理層直接領導、針對銀行業(yè)金融機構(gòu)外包服務的、專職信息科技風險管理團隊，為持續(xù)的外包服務提供保證。23精品 料推薦( 三 )銀行業(yè)重點外包服務機構(gòu)應當建立與所承擔的服務范圍和規(guī)模相適應的服務管理體系，建立完善的信息安全、服務質(zhì)量、服務持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機制，確保管理規(guī)范有效執(zhí)行。( 四 )銀行業(yè)重點外包服務機構(gòu)應當具有足夠的技術(shù)能力、人力資源和設施、環(huán)境，滿足外包服務的質(zhì)量和安全管理要求。銀行業(yè)重點外包服務機構(gòu)承擔的銀行業(yè)金融機構(gòu)外包服務場地應當設置在中國境內(nèi)。第七十四條銀行業(yè)金融機構(gòu)應當要求銀行業(yè)重點外包服務機構(gòu)具有

32、如下相關(guān)領域資質(zhì)認證:( 一 )具有完善的信息安全管理體系、業(yè)務連續(xù)性管理體系，并通過業(yè)界公認較為權(quán)威的信息安全管理和業(yè)務連續(xù)性管理資質(zhì)認證。( 二)具有完善的質(zhì)量管理體系，并通過業(yè)界公認較為權(quán)威的質(zhì)量管理資質(zhì)認證。( 三 )承擔銀行業(yè)金融機構(gòu)數(shù)據(jù)中心、災備中心機房及基礎設施外包服務的銀行業(yè)重點外包服務機構(gòu)，其機房及基礎設施應當達到國家電子計算機機房最高標準。( 四 )承擔集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包服務，或承擔銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務的銀行業(yè)重點外包服務機構(gòu)，應當具有完善的運行服務管理體系，并通過業(yè)界公認較為權(quán)威的運行服務管理資質(zhì)認證。24精品 料

33、推薦第七十五條銀行業(yè)金融機構(gòu)應當在風險管理、審計方面對銀行業(yè)重點外包服務機構(gòu)提出如下要求：( 一 )銀行業(yè)重點外包服務機構(gòu)應當具有信息科技風險的管理體系，有效識別、監(jiān)測、評估和控制風險。銀行業(yè)重點外包服務機構(gòu)應當至少每季度向所服務的銀行業(yè)金融機構(gòu)報送外包風險監(jiān)控報告，針對監(jiān)控發(fā)現(xiàn)的潛在風險或風險事件，及時采取控制或緩釋措施。( 二)銀行業(yè)重點外包服務機構(gòu)應當每年聘請獨立的審計機構(gòu), 對自身外包服務進行風險評估, 年度風險評估報告需報送所服務的銀行業(yè)金融機構(gòu)，并抄送銀監(jiān)會或其派出機構(gòu)。( 三 )銀行業(yè)重點外包服務機構(gòu)應當對其外包服務團隊成員進行背景調(diào)查，確保其過往無不良記錄，且應當與項目成員簽訂

34、保密協(xié)議，并保留至少10 年的法律追訴期。第八章監(jiān)督管理第七十六條銀行業(yè)金融機構(gòu)開展以下信息科技外包服務時, 應當在外包合同簽訂前二十個工作日向銀監(jiān)會或其派出機構(gòu)報告，針對銀行業(yè)金融機構(gòu)信息科技外包風險，銀監(jiān)會及其派出機構(gòu)可以采取風險提示、約25精品 料推薦見談話、監(jiān)管質(zhì)詢等措施。（一） 信息科技工作整體外包；（二） 數(shù)據(jù)中心或災備中心整體外包；（三） 涉及將銀行業(yè)金融機構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務提供商進行分析或處理的信息科技外包；（四） 以非駐場形式實施的、集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包；（五） 關(guān)聯(lián)外包；（六） 涉及跨境的信息科技外包；（七） 其他銀監(jiān)會認為重要的信息科技外包。第七十七條銀行業(yè)金融機構(gòu)信息科技外包活動中發(fā)生如下重大事件時，應當在兩個工作日內(nèi)向銀監(jiān)會或其派出機構(gòu)報告。（一） 銀行業(yè)金融機構(gòu)客戶信息等敏感數(shù)據(jù)泄露；26精品 料推薦（二） 數(shù)據(jù)損毀或者重要業(yè)務運營中斷；（三） 由于不可抗力或服務提供商重大經(jīng)營、財務問題，導致或可能導致多家銀行業(yè)金融機構(gòu)外包服務中斷 ;（四） 其他重大的服務提供商違法違規(guī)事件；（五） 銀監(jiān)會規(guī)定需要報告的其他重大事件。第七十八條銀行業(yè)金融機構(gòu)在開展年度外包風險管理評估工作后，應當將年度風險評估報告報送銀監(jiān)會或其派出機構(gòu)。第七十九條銀監(jiān)會及其派出機構(gòu)對銀行業(yè)金融機構(gòu)信息科技外包工作進行監(jiān)督和檢