XX银行信息科技外包风险管理办法
某银行信息科技关联外包管理办法
xxxx银行信息科技关联外包管理办法第一章总则第一条为规范xxxx银行(以下简称“我行”)信息科技关联外包活动,保障xxxx银行信息系统安全持续稳定运行,降低信息科技关联外包风险,依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》,结合我行实际,特制定本管理办法。
第二条本办法所称关联外包是指外包服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构所提供的信息科技外包服务。
第二章部门及职责第三条xxxx银行信息科技部为我行信息科技关联外包的职能管理部门。
第四条我行信息科技关联外包管理其他涉及的部门包括:关联外包服务使用部门(外包服务直接应用部门)、关联外包审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技关联外包管理部门,其基本职能如下:(一)负责协调和组织关联外包资源,管理关联外包资源台账信息;(二)规范和制定关联外包合同和外包服务水准的基本要求;(三)协助相关部门签定关联外包服务合同、制定关联外包服务水准协议,信息科技部主要负责制定技术指标要求;(四)规范和制定关联外包监控制度、考核评价机制和持续改进办法、组织验收考核;(五)负责定期形成关联外包项目情况报告,提交相关部门及高级管理层;(六)根据xxxx银行审计部门或风险管理部门对关联外包工作的评估、审计以及提出的风险管理意见对信息科技关联外包工作实施优化和改进。
第六条我行关联外包管理其他涉及的部门,其基本职能如下:(一)配合信息科技关联外包管理部门做好关联外包服务商的日常风险信息收集;(二)协助相关部门签定关联外包服务合同、制定关联外包服务水准协议;(三)配合信息科技关联外包管理部门做好对关联外包工作的评估、审计工作。
第三章关联外包管理原则第七条我行在开展关联外包活动采购前,应当在外包合同签订前10个工作日向银保监会或其派出机构报告。
第八条我行在开展关联外包活动时,应遵循独立交易原则,对所有参与外包商需采用统一标准和原则,遵循正常市场交易原则和营业常规,不得违背公平交易原则。
某银行信息科技非驻场外包管理办法
xxxx银行信息科技非驻场外包管理办法第一章总则第一条为规范xxxx银行(以下简称“我行”)信息科技非驻场外包活动,保障我行信息系统安全持续稳定运行,降低信息科技非驻场外包风险,依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》,结合我行实际,特制定本管理办法。
第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务,或外包的关键基础设施和信息系统不在我行产权场所,由我行以租用设施或购买服务资源的方式获得,主要由外包服务商运维的外包方式。
第二章非驻场外包职责管理第三条我行信息科技部是信息科技非驻场外包的职能管理部门。
第四条我行信息科技非驻场外包管理中其他涉及的部门包括:非驻场外包服务使用部门(外包服务直接应用部门)、非驻场外包审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技非驻场外包管理部门,其基本职能如下:(一)负责非驻场外包管理办法的制定、修订和完善。
(二)负责协调和组织非驻场外包资源,管理非驻场外包资源台账信息;(三)负责制定技术指标要求,协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议。
(四)规范和制定非驻场外包监控制度、考核评价机制和持续改进办法、组织验收考核;(五)负责定期形成非驻场外包项目情况报告,提交相关部门及高级管理层审核;(六)根据xxxx银行审计部门或风险管理部门对非驻场外包工作的评估、审计以及提出的风险管理意见对信息科技非驻场外包工作实施优化和改进。
第六条我行非驻场外包管理其他涉及的部门,其基本职能如下:(一)配合信息科技非驻场外包管理部门做好非驻场外包服务商的日常风险信息收集;(二)协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议;(三)配合信息科技非驻场外包管理部门做好对非外包工作的评估、审计工作。
第七条信息科技部外包管理岗是非驻场外包执行的主管岗位,其基本职能如下:(一)负责非驻场外包管理办法的执行,并对办法提出改进建议;(二)负责非驻场外包供应商的尽职调查,提交尽职调查报告;(三)负责非驻场外包供应商信息的定期收集和更新,建立供应商管理台账;(四)负责定期形成非驻场外包项目情况报告;(五)协助审计、风险管理部门对外包供应商进行审计和风险评估。
农商银行信息科技外包管理办法
农商银行信息科技外包管理办法农商银行信息科技外包管理办法第一章总则第一条为规范农商银行信息科技外包工作,提高信息技术服务质量,保障信息安全和业务连续性,制定本办法。
第二条农商银行信息科技外包,是指依托第三方机构提供的专业技术和服务,对信息科技系统的建设、运维、服务和安全进行外包。
第三条农商银行信息科技外包工作应遵循统一规划、分类管理、风险可控、服务可持续、监管有序、安全保障的原则。
第二章外包范围和内容第四条农商银行信息科技外包的范围包括但不限于以下内容:(一)信息系统及设备建设和维护;(二)网络和服务器管理;(三)软件开发和维护;(四)数据中心运维;(五)安全防护和风险管理;(六)业务流程外包等。
第五条农商银行信息科技外包应符合相关法规和监管要求,并按照农商银行的信息技术发展规划进行合理选择。
第六条农商银行信息科技外包应与农商银行总行外包管理部门建立合作关系,按照监管部门的要求,进行合规运营。
第三章外包机构的选择和管理第七条农商银行信息科技外包应选择具有相应资质和经验的专业机构进行合作,并签订详细的合同和协议。
第八条农商银行应建立信息科技外包管理团队,负责对外包机构的选择和绩效评估。
第九条农商银行应对外包机构进行定期的考核和监管,对外包机构的服务质量和合规运营进行评估。
第四章风险控制和安全保障第十条农商银行信息科技外包涉及的风险应进行全面的评估,并制定相应的风险防控措施。
第十一条农商银行应与外包机构共同建立信息安全保障体系,加强对信息安全的监控和防范。
第十二条农商银行应定期对信息科技外包进行风险评估和演练,保障业务连续性和应急响应能力。
第五章监督和绩效评估第十三条农商银行信息科技外包应接受农商银行总行外包管理部门和监管部门的监督和检查。
第十四条农商银行应定期对信息科技外包工作进行绩效评估,对外包合作机构进行考核和奖惩。
第六章附则第十五条农商银行信息科技外包管理办法的解释权归农商银行总行所有。
第十六条本办法自颁布之日起执行,原有农商银行信息科技外包管理办法同时废止。
XX银行信息科技风险管理办法
第一章总则为建立健全信息科技风险管理体系,防范信息科技风险,提高信息科技风险管理水平,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构信息科技外包风险管理指引》等法律法规和监管要求,结合本行实际,制定本办法。
术语释义(一)信息科技。
系指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,包括进行信息科技管理,建立完整的管理组织架构,制定完善的管理制度和流程等。
(二) 信息科技风险。
系指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的操作、法律和声誉等风险。
(三) 信息科技风险管理。
系指通过建立信息科技风险的识别、评估、应对、监测和持续改进的方法和流程,实施具体的风险管控措施,将信息科技风险降低或者控制在适当水平,增强银行核心竞争力和可持续发展能力。
管理原则(一) 协调统一原则。
本行信息科技风险管理充分考虑管理目标与业务发展、成本与效益之间的关系,协调统一确定全行信息科技风险管理策略。
(二)全面覆盖原则。
信息科技风险覆盖到全行各条线、部门、岗位、人员和业务环节,本行全体人员均是信息安全和风险防范工作的参预者和责任人。
(三) 预防优先原则。
本行信息科技风险管理秉承事前预防重于事后控制、日常防控重于应急处理的原则,注重信息科技风险管理工作的主动性与前瞻性,降低风险发生的可能性。
(四)动态管理原则。
根据外部监管要求,本行业务及信息科技发展情况,在发展过程中动态调整、持续优化信息科技风险管理策略和工作机制。
合用范围。
本办法合用于本行各级机构、部门、岗位人员及业务环节。
第二章职责分工本行董事会是本行信息科技风险管理的最高决策机构。
其中,董事会风险管理委员会负责落实董事会信息科技风险管理职责,稽核部负责落实董事会审计监督职责。
银行外包风险管理办法
银行外包风险管理办法银行外包是指银行将自身业务中的某些环节或部分业务委托给专业的第三方服务机构进行处理、管理和运营。
外包业务在一定程度上可以降低银行的成本,提高效率和竞争力。
但银行外包也带来了一定风险,如信息安全风险、服务质量风险、合规风险等。
为了有效管理外包风险,保障银行的安全稳健运营,银行需要建立完善的外包风险管理办法。
一、外包风险管理的基本原则银行应根据实际情况和合规要求,建立外包风险管理制度,明确相应的组织和职责分工,制定规范的外包合同,定期开展风险评估和检查,确保外包活动稳健可控、合规可靠。
1. 风险识别原则。
银行在开展外包活动前应全面了解外包服务机构的资质、信用状况、经验和功能水平等信息,对外包的业务、流程和所有环节进行全面了解,建立相应的外包风险识别机制,及时发现、分析和评价外包风险。
2. 合规原则。
银行在外包过程中应严格遵守相关法律法规和内部规定,明确合同的法律效力和标准,确保符合业务、合规和风险要求,与服务机构共同承担合规风险。
3. 风险管理原则。
银行应建立有效的风险管理机制,制定合理的风险控制措施,确保外包活动的有效运营和风险可控。
4. 监督管理原则。
银行需及时跟踪外包服务机构的业务运营情况,定期进行评估和监督,确保其符合相关要求,严格控制服务过程中出现的风险,保障银行自身利益和声誉。
二、外包风险管理的具体规定1. 外包风险管理制度的建立银行需建立外包风险管理制度,明确组织机构、职责分工、工作流程和内部监管要求。
制定外包风险识别、评估、监测和处置程序,阐明合同的签订、管理和履行要求,确保外包活动符合银行的业务和风险要求。
2. 合规风险控制的要求银行在外包活动中需严格执行法律法规,保障客户信息的安全和服务质量,要求服务机构承担相应责任。
银行应按照规定制定合同的内容和格式,严格审查合同条款,明确法律约束力和申诉机制。
银行应确保服务机构在外包过程中的业务操作符合银行的操作规程和风险要求。
银行保险机构信息科技外包风险监管办法
银行保险机构信息科技外包风险监管办法第一章总则第一条为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。
银保监会及其派出机构监管的其他金融机构参照本办法执行。
第三条本办法所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,按照本办法相关要求进行管理,法律法规另有要求的除外。
第四条银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
第五条银行保险机构在实施信息科技外包时应当坚持以下原则:(一)不得将信息科技管理责任、网络安全主体责任外包;(二)以不妨碍核心能力建设、积极掌握关键技术为导向;(三)保持外包风险、成本和效益的平衡;(四)保障网络和信息安全,加强重要数据和个人信息保护;(五)强调事前控制和事中监督;(六)持续改进外包策略和风险管理措施。
第二章信息科技外包治理第六条银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。
第七条银行保险机构董(理)事会或其授权设立的专业委员会应负责推动建立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策,高级管理层应负责制定信息科技外包战略,明确信息科技外包风险主管部门和信息科技外包执行团队,明确信息科技外包及其风险管理职责,审议信息科技外包管理流程及制度,监控信息科技外包及其风险管理成效。
银行信息科技外包风险管理办法
`大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录第一章总则 (4)第二章外包管理组织架构 (5)第三章信息科技外包战略及风险管理 (6)第一节信息科技外包战略 (6)第二节信息科技外包风险管理 (7)第四章信息科技外包管理 (8)第一节外包风险评估及准入 (8)第二节服务提供商尽职调查 (10)第三节外包服务合同及要求 (10)第四节外包服务安全管理 (12)第五节外包服务监控与评价 (13)第六节外包服务中断与终止 (14)第八章监督管理 (17)第九章附则 (18)第一章总则第一条为规我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第五条我行在实施信息科技外包时,不得将信息科技管理责任外包。
XX银行信息科技外包风险管理办法
XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。
第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。
第三条本行外包管理原则包括:(一)自主可控原则。
信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。
(二)协调统一原则。
符合科技风险管理策略,保持外包风险、成本和效益的平衡。
(三)预防优先原则。
审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。
(四)动态优化原则。
根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。
第四条本办法适用于本行与信息科技相关外包活动的管理。
第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。
第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。
第七条董事会承担信息科技外包管理的最终责任。
主要职责包括:(一)审议批准信息科技外包战略;(二)审议批准外包管理基本制度;(三)审议批准本机构的外包范围及相关安排;(四)定期审阅本机构外包活动相关报告;(五)银监会信息科技外包风险监管指引要求的其它工作。
第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。
主要职责包括:(一)制定外包战略发展规划;(二)确定外包业务的范围及相关安排;(三)确定科技外包管理团队职责,并对其行为进行有效监督;(四)定期审阅本行外包活动相关报告;(五)指导内部审计部门独立开展外包审计工作;(六)董事会确定的其它职责。
第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。
第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。
第三条本行外包管理原则包括:(一)自主可控原则。
信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。
(二)协调统一原则。
符合科技风险管理策略,保持外包风险、成本和效益的平衡。
(三)预防优先原则。
审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。
(四)动态优化原则。
根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。
第四条本办法适用于本行与信息科技相关外包活动的管理。
第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。
第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。
第七条董事会承担信息科技外包管理的最终责任。
主要职责包括:(一)审议批准信息科技外包战略;(二)审议批准外包管理基本制度;(三)审议批准本机构的外包范围及相关安排;(四)定期审阅本机构外包活动相关报告;(五)银监会信息科技外包风险监管指引要求的其它工作。
第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。
主要职责包括:(一)制定外包战略发展规划;(二)确定外包业务的范围及相关安排;(三)确定科技外包管理团队职责,并对其行为进行有效监督;(四)定期审阅本行外包活动相关报告;(五)指导内部审计部门独立开展外包审计工作;(六)董事会确定的其它职责。
第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。
第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。
外包管理执行团队具体负责科技外包项目的执行和管理工作,主要职责包括:(一)信息科技部门实施全行信息科技外包管理战略;执行供应商准入、评价和退出管理;制定保障外包服务连续性的应急管理措施;分析和评估外包存在的潜在风险,制定相应的风险防范措施,监督和管理外包实施过程,定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。
(二)业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作,并参与项目的实施。
(三)计划财务部门是全行信息科技外包项目招投标工作的组织单位,负责科技外包项目的招投标活动的组织协调工作。
(四)法律合规部门负责对信息科技外包项目的合同进行审核,并对信息科技外包项目提供法律方面的指导。
第十一条稽核部负责对信息科技外包服务项目以及外包服务商管理等进行审计。
第三章外包管理战略第十二条本行信息科技外包战略是为提升本行可持续发展能力和核心竞争力,大力推进本行信息化建设,打造先进高效、适应业务发展和市场变化的现代商业银行信息化产品和服务体系。
通过强化平台整合能力和风险控制能力,合理审慎开展信息科技外包活动,降低信息系统建设运营成本,提升本行掌控核心技术和自主开发、自主运维的能力。
第十三条本行信息科技外包服务策略系指外包服务制定的预期目标,以及评判外包服务绩效的标准。
本行外包服务的一般策略如下:(一)成本控制策略。
降低本行信息系统建设和运维的总体成本。
(二)高质高效策略。
提升本行信息科技服务水平、提高工作效率、缩短系统上线时间。
(三)创新变革策略。
促进本行创新、转型发展。
第十四条本行信息科技外包的主要内容包括:(一)科技管理及科技治理的咨询;(二)信息科技系统的规划、设计、需求、开发、测试外包;(三)数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(四)业务外包如市场拓展、业务操作、内部管理、资产处置等外包中涉及到系统开发、运行维护和数据处理等的信息科技活动。
第十五条本行在信息科技活动中不得将信息科技管理责任外包,涉及战略管理、风险管理、安全管理、内部审计职能的业务也不宜外包。
第五章外包风险管理第十六条本行信息科技外包风险评估应关注外包活动的战略风险、声誉风险、合规风险、操作风险、国别风险、机构集中度等风险,并制定应对措施。
第十七条本行信息科技外包风险评估过程应该充分考虑如下因素:(一)是否符合本行战略规划、战略目标和业务需求;(二)本行是否有管理外包关系的能力;(三)是否可能导致本行失去科技控制和创新能力;(四)可能导致业务中断的情况;(五)可能导致信息泄露的情况;(六)是否会导致本行服务水平的降低。
第十九条判断外包服务商具有机构集中度的标准包括:(一)外包服务商所承接外包服务的数量或者金额在本行重要信息科技服务中达到三分之一以上;(二)外包服务商承接外包服务在银行业服务市场占比达到三分之一以上;(三)外包服务商之间为集团子公司、关联公司或附属机构的情况,应将分支机构或关联公司作为统一的整体来计算机构集中度。
第二十条对于具有机构集中度特点的外包服务商,每年应及时向本行报送公司的财务报表、内控与安全管理情况,外包服务商因资质变动、被收购、兼并或破产、资源发生重大损失、出现财务失败等情况时,应及时函告本行。
本行应定期或不定期检查外包风险,必要时可指派专人现场监督。
在有条件的情况下,本行应采取分散信息科技外包活动、提高自主研发运营能力等形式,减少对外包服务商的依赖。
第二十一条涉及跨境外包的活动应遵守以下原则:(一)审慎评估境外国家或地区的经济与政治环境、技术风险以及境外权限的法律和管制风险。
(二)确保国家秘密、商业秘密和客户信息的安全。
(三)选择境外服务提供商时,应明确其所在国家或地区监管当局已与我国银行监管机构签订谅解备忘录。
第二十二条本行应提取必要的风险准备,以应对不可预料的IT外包服务的风险发生。
第二十三条本行应从风险控制、合规要求、可行性、成本效益等方面评估信息科技外包活动,对外包或自主建设两种方案进行分析比较,形成可行性报告。
第六章外包服务商分级管理第二十四条根据外包服务性质和重要程度将外包商划分为重点外包服务商和一般外包服务商。
对不同类型外包服务商的资质、监督、管理等实施不同的管理要求,当涉及敏感信息、商业秘密和客户隐私数据时,应符合国家有关法律法规和监管部门规定。
第二十五条重点外包服务商系指负责本行关键系统、基础设施建设和运维的外包服务商。
如其外包服务失败,可能导致本行大面积数据损毁、丢失、泄露或者信息系统服务中断,造成较大经济损失。
第二十六条一般外包服务商系指其提供的服务对本行影响较小,其外包服务失败影响范围可控,不会产生较大的经济损失。
第二十七条根据监管机构发布的重点外包服务机构风险提示,本行重点外包服务商原则上应符合以下资质要求:(一)在中国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年;(二)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证;(三)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证,拥有有效的检查、监控和考核机制,确保管理规范有效执行;(四)承担本行数据中心、灾备中心机房及基础设施外包服务的重点外包服务商,其机房及基础设施应当达到国家电子计算机机房最高标准;(五)拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应建立由公司高级管理层直接领导、针对本行外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证;(六)应具有足够的技术能力和人力资源;(七)承担本行外包服务的场地应设置在中国境内。
第二十八条外包服务商必须接受本行对外包服务活动的监督。
其中,重点外包服务商须遵循以下要求:(一)至少每季度向本行报送外包风险监控报告,并针对监控发现的潜在风险和风险事件,及时采取控制或缓释措施。
(二)每年聘请独立的审计机构,对自身外包服务进行风险评估,将年度风险报告报送本行。
(三)对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应与项目成员签订保密协议,并保留至少10年的法律追诉期。
第七章外包服务商准入管理第二十九条外包服务商承接本行外包服务,应先成为本行认定的候选外包服务商。
本行建立并维护候选外包服务商清单,在需要引入新的外包服务商时,统一组织资质评审。
第三十条本行应对外包服务商进行充分调查、评估、审查,组织必要的尽职调查,内容包括但不限于:(一)资质证明、行业地位以及对其他银行业金融机构提供服务的情况;(二)技术实力和服务质量;(三)对银行业务的熟悉程度;(四)经营声誉和企业文化;(五)业务连续性及突发事件应对能力;(六)内部控制和管理能力;(七)财务稳健性;(八)是否满足履行监管义务的需要;(九)其设施和能力是否可以补偿潜在的责任;(十)是否接受本行监督其外包有关的操作风险;(十一)如何安排外包变更时的顺利过渡,包括终止合同可能发生的情况;(十二)本行认为重要的其它事项。
第三十一条如果本行认为无法对外包服务商进行以上尽职调查时,可以委托第三方独立机构进行尽职调查。
第三十二条外包活动涉及多个服务提供商时,应对服务提供商进行关联关系调查。
第三十三条外包服务的招标应严格按照本行集中采购管理办法等相关规定执行。
参加招标的外包服务商必须符合招标文件中的资质要求,本行外包活动将遵循公开、公平、公正的原则,从候选的多个外包服务商中进行选择。
第三十四条涉及本行关联机构的关联外包的活动,应保持外包决策的独立性,不能降低对外包服务的相关要求。
第三十五条对于同业托管机构,应关注机构集中度风险,参照本办法第十九条执行。
第八章外包服务合同管理第三十六条本行开展服务外包活动时应与外包服务商签订书面合同或协议,明确双方的权利义务。
合同或协议应包括但不限于以下内容:(一)外包服务范围、服务内容、工作时限与安排、责任分配、验收标准、交付物要求及后续合作中的相关限定条件;(二)合规与内控要求;(三)外包服务的保密性和安全性的安排;(四)外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺;(五)外包服务的审计和检查;(六)外包服务争端的解决机制;(七)合同或协议的变更或终止的过渡安排;(八)担保和损失赔偿以及违约责任;(九)明确知识产权的归属;(十)服务要求与服务水平条款;(十一)报告条款,包括常规报告内容和报告频率、突发事件时的报告路线、报告方式及时限要求。