银行业信息科技非驻场集中式外包服务纳入监管评估基本条件

中国银保监会发布《银行保险机构信息科技外包风险监管办法》文章属性•【公布机关】中国银行保险监督管理委员会,中国银行保险监督管理委员会,中国银行保险监督管理委员会•【公布日期】2022.01.21•【分类】法规、规章解读正文中国银保监会发布《银行保险机构信息科技外包风险监管办法》为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作，中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。

《办法》起草工作坚决贯彻落实中央精神，注重把握以下原则：一是坚持风险为本，在深入分析银行保险机构信息科技外包风险发展态势的基础上，提出针对性的监管要求；二是强化监管力度，在总结银行保险业信息科技监管实践经验的基础上，制定体系化的监管措施；三是对接国际标准，《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。

《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。

一是在总则中明确信息科技外包风险管理的总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。

三是对信息科技外包准入提出监管要求，包括准入前评估、尽职调查、合同等进行了规定，并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。

四是明确信息科技外包监控评价要求，对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。

五是规范信息科技外包风险管理，对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。

中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.07.01•【文号】银监办发[2014]187号•【施行日期】2014.07.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知银监办发[2014]187号各银监局、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：根据《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号，以下简称《指引》），为保护银行业金融机构关键基础设施和信息安全，防范银行业信息科技外包集中度风险，守住不发生系统性、全局性风险的底线，现就加强银行业金融机构信息科技非驻场集中式外包行为监管工作通知如下：一、本通知所称非驻场集中式外包是指外包服务商不在银行业金融机构提供现场服务，或外包的关键基础设施和信息系统不在银行业金融机构产权场所，由银行业金融机构以租用设施或购买服务资源的方式获得，主要由外包服务商运维，并且外包服务商同时为3家（含）以上银行业金融机构或其他机构提供服务的外包方式。

信息科技非驻场集中式外包服务商分为银行类机构和社会类机构两类，银行类机构是指依法设立的由银监会监管的银行业金融机构，其他属于社会类机构。

二、银行业金融机构应当对非驻场集中式外包服务商开展全面、深入的尽职调查，除《指引》要求的尽职调查内容以外，对社会类机构和提供外包服务未满3年的银行类机构应当重点调查如下内容：（一）外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界；（二）外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性；（三）外包服务商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；（四）外包服务商是否拥有或可能拥有业务系统的最高管理权限，外包服务商是否拥有或可能拥有业务系统的访问权限，是否能够浏览、获取客户敏感信息；（五）外包服务商是否有完善的灾难恢复设施和应急管理体系，对关键基础设施和信息系统运行是否有业务连续性安排；（六）外包服务商是否知晓并遵从了银行业相关监管法规要求。

附件1：银行业信息科技非驻场集中式外包服务纳入监管评估基本条件一、申请将外包服务纳入监管评估的外包服务商应具备以下条件：(一) 为中华人民共和国境内注册的独立法人实体,具有固定的办公场所，软件开发服务类企业注册资本500万（含）以上，其他企业注册资本和实收资本1000万元（含）以上，注册成立时间3年（含）以上；(二) 具有良好的股权治理结构，并能有效控制外包服务中的国别风险；(三) 公司治理良好，近三年财务经营状况良好；(四) 为银行业金融机构提供信息科技外包服务3年（含）以上，且至少为3家（含）以上银行业金融机构提供服务；(五) 社会声誉良好，近两年内未发生因管理失责引发的达到《银行业信息系统突发事件应急管理规范》中两起（含）以上信息系统突发事件、无违规行为和重大案件发生；(六) 具有健全的组织架构、有效的风险治理架构和专职的信息科技风险管理团队，定期开展风险评估和审计工作；(七) 具备与所承担服务范围和业务规模相适应的服务管理体系，具有较为完善的服务质量、信息安全、业务连续性、运行维护等管理体系和资质认证；(八) 具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求，承担外包服务的场地应当设置在中国境内；(九) 银行类机构的信息科技监管评级最近连续两年为2级（含）以上；(十) 银行业科技外包合作组织会员单位优先。

二、除以上条件外，申请机房运营类外包服务纳入监管评估的外包服务商还应具备以下条件：(一) 机房应具有自有产权或长期租赁机房场地5年（含）以上且剩余租赁期限不低于4年（含），机房出租方应为其所出租机房的所有权人，房屋所有权权属清晰、完整且不存在法律争议，不存在将机房关键基础设施的运维服务转包或分包的情况；(二) 所服务的银行业金融机构与其他机构的基础设施间具有明确、清晰的边界；(三) 机房及基础设施具有根据服务功能划分的独立区域、差异性访问控制策略和设施；(四) 互为备份的不同通信运营商线路经由不同路由节点接入机房；(五) 高低压供配电系统、应急发电系统、不间断电源系统、机房专用空调等基础设施设计具有冗余备份，且为不间断运行；(六) 具有专业检测机构对机房的防雷接地、消防等基础设施安全检测报告或安全资质证明；(七) 监控系统较完善，具有对机房环境和基础设施的集中监控能力，并可审计追溯；(八) 机房满足银监会《商业银行数据中心监管指引》要求。

xxxx银行信息科技非驻场外包管理办法第一章总则第一条为规范xxxx银行（以下简称“我行”）信息科技非驻场外包活动，保障我行信息系统安全持续稳定运行，降低信息科技非驻场外包风险，依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》，结合我行实际，特制定本管理办法。

第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务，或外包的关键基础设施和信息系统不在我行产权场所，由我行以租用设施或购买服务资源的方式获得，主要由外包服务商运维的外包方式。

第二章非驻场外包职责管理第三条我行信息科技部是信息科技非驻场外包的职能管理部门。

第四条我行信息科技非驻场外包管理中其他涉及的部门包括：非驻场外包服务使用部门（外包服务直接应用部门）、非驻场外包审批部门、风险管理部和审计部等。

第五条我行信息科技部作为信息科技非驻场外包管理部门，其基本职能如下：（一）负责非驻场外包管理办法的制定、修订和完善。

（二）负责协调和组织非驻场外包资源，管理非驻场外包资源台账信息；（三）负责制定技术指标要求，协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议。

（四）规范和制定非驻场外包监控制度、考核评价机制和持续改进办法、组织验收考核；（五）负责定期形成非驻场外包项目情况报告，提交相关部门及高级管理层审核；（六）根据xxxx银行审计部门或风险管理部门对非驻场外包工作的评估、审计以及提出的风险管理意见对信息科技非驻场外包工作实施优化和改进。

第六条我行非驻场外包管理其他涉及的部门，其基本职能如下：（一）配合信息科技非驻场外包管理部门做好非驻场外包服务商的日常风险信息收集；（二）协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议；（三）配合信息科技非驻场外包管理部门做好对非外包工作的评估、审计工作。

第七条信息科技部外包管理岗是非驻场外包执行的主管岗位，其基本职能如下：（一）负责非驻场外包管理办法的执行，并对办法提出改进建议；（二）负责非驻场外包供应商的尽职调查，提交尽职调查报告；（三）负责非驻场外包供应商信息的定期收集和更新，建立供应商管理台账；（四）负责定期形成非驻场外包项目情况报告；（五）协助审计、风险管理部门对外包供应商进行审计和风险评估。

附件3：银行业金融机构信息科技非驻场集中式外包服务监管评估申请材料目录及格式要求一、企业财务经营情况近三年审计后的财务报表，格式如下：二、企业内部管理及风险评估工作开展情况（可用附件）（一）企业组织架构及职责落实情况企业外包服务的组织架构及风险治理架构，包括风险管理、质量管理、运行管理、开发管理、安全管理、业务连续性管理等保障职能设置和部门主要职责以及制度建设和日常工作开展情况。

有关制度和规范要求附加原文。

（二）企业研发投入情况（机房运营服务类不适用）近三年总销售收入、研究开发费用、研发费用占比等。

（三）企业人力资源配备情况各研发人员、运维人员、操作人员、质量管理人员、科技风险管理人员、高管层人员数量及占比，特别说明高管人员的科技从业和教育背景。

（四）企业科研成果情况核心技术能力及获得自主知识产权情况，有证书的附加证书复印件。

（五）专业资质（如有，需提供资质复印件）各类ISO9001、ISO20000、ISO27001、CMMI、系统集成资质、灾备资质等级、涉密资质等与开展非驻场集中式外包业务相关的资质与认证证明。

（六）企业风险评估和审计情况近三年企业内部审计报告、风险评估报告、第三方审计评估报告、银行业金融机构开展的检查报告、银行业科技外包合作组织开展的检查报告等，并提供相应原始报告和电子版复印件（证书或结论部分，含盖章）。

三、企业技术保障能力（可用附件）（一）机房建设基本情况（软件开发服务类不适用）企业的机房建设情况以及机房等级测评情况等方面，包括机房的选址、高低压配电系统、应急发电系统、不间断电源系统、机房专用空调等基础设施设计，机房防雷接地、消防等安全检测报告和安全资质证明、机房的验收测评报告等。

对于机房运营类外包服务和应用系统托管类外包服务，需提供机房产权证复印件或者长期场地租赁合同。

（二）业务连续性管理情况企业的灾备系统的建设情况以及业务连续性测评认证情况，包括机房基础设施、系统、网络等应急预案建设及演练和更新，计算机设备和网络设备部署如何满足应用系统运行可用性和性能，集中监控系统的部署等）。

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》等法律法规，制定本指引。

第二条在中华人民国境设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

商业银行信息科技外包管理制度第一章总则第一条为加强商业银行（以下简称本行）信息科技外包风险管理，依据《商业银行信息科技风险管理指引》（银监发〔2009〕19号）、《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号）及有关文件，制定本制度。

第二条本制度所称信息科技外包是指本行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

包括但不限于以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包。

（二）系统运行维护类外包：包括数据中心（灾备中心）机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包。

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第三条信息科技外包产生的风险10 /11信息科技外包可能产生如下风险，并导致本行的战略、声誉、合规风险：（一）科技能力丧失：过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展。

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断。

（三）信息泄露：包含客户信息在内的非公开数据被服务提供商非法获得或泄露。

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下"使得信息科技服务水平下降。

第四条本制度所称机构集中度风险是指农商行将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

对于不涉及本行客户及内部信息转移的信息科技产品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，本行外包接口部门应充分评估其信息科技风险，按照具有机构集中度特点的外包服务提供商的相关要求进行管理。

第五条信息科技外包管理原则10 /11（一）不得将信息科技管理责任外包。

（二）不能妨碍核心能力建设和掌握关键技术。

中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.12.02•【文号】银监办发[2014]272号•【施行日期】2014.12.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知银监办发[2014]272号各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号），为进一步做好对非驻场集中式外包服务的风险评估，加强监督管理，防范银行业区域性、系统性信息科技风险，现就开展非驻场集中式外包服务监管评估工作有关事项通知如下：一、本通知中监管评估是指根据非驻场集中式外包服务商接受风险监督的主动申请，银监会及其派出机构对非驻场集中式外包服务开展信息科技风险监测、现场核查、评级和处置的过程。

二、村镇银行信息系统交由发起行管理、农村金融机构信息系统交由省级农村信用联社管理、外资银行信息系统交由母行管理的，不纳入本通知监管评估范围。

三、纳入监管评估的非驻场集中式外包服务类型包括：(一)机房运营服务，包括机房基础设施运维，设备运维、虚拟化资源服务等计算机基础设施服务。

(二)应用系统托管服务，包括：1．数据中心（灾备中心）整体运维及系统管理；2．应用系统服务，包括核心银行、电子银行、银行卡、网站、电子商城等业务处理系统开发与运维；3．金融自助设备整体运维，即自助设备(含多媒体终端)产权为外包服务商所有或由外包服务商向第三方租赁，监控、运维管理由外包商独立完成。