(整理)信息科技外包风险监管指引.
银监会《商业银行信息科技风险治理指引》[新版]
![银监会《商业银行信息科技风险治理指引》[新版]](https://img.taocdn.com/s3/m/a2e8907226d3240c844769eae009581b6bd9bde4.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
银行业金融机构信息科技外包风险监管指引
银行业金融机构信息科技外包风险监管指引为了更好地确保银行业和金融机构信息科技外包风险监管的有效性和稳定性,中国银行业监督管理委员会制定了《银行业金融机构信息科技外包风险监管指引》,在银行业和金融机构中广泛实施。
这个指引对银行业和金融机构具有很大的意义和价值。
首先,这个指引通过对外包风险的定义和分类提供了明确的指引和标准。
让银行业和金融机构清晰地识别和对外部服务提供商的风险有一个基础的了解。
这个指引还规定了外包服务的范围、合同、服务要求和细节的规范。
统一了外包服务的标准,减少了金融机构在选择外部服务提供商时的犹豫和担忧。
这有利于金融机构在更安全的情况下选择最适合的外部服务提供商,提高了外部服务质量。
其次,指引规定了银行业和金融机构与外部服务提供商之间的透明度要求。
这有助于银行业和金融机构更加全面地了解安全和风险的状态以及外部服务提供商对信息技术所做的改进和行动。
通过持续监控和数据管理,银行业和金融机构可以识别和识别潜在的风险,及时采取措施,确保业务连续性。
此外,通过这个指引,银行业和金融机构加强了与外部服务提供商的其他合作方之间的信息交流和协调。
针对外部服务提供商遇到的问题,银行业和金融机构提供支持。
通过专业的技能、工具和方法的共享,可以减少外包风险产生的可能性,从而保证外包合作的可行性和有效性。
最后,这个指引重视了持续并适当的风险监控。
银行业和金融机构应始终注意其与外部服务提供商之间的合作情况。
提前做好可能发生的风险监控,针对表现不佳的外部服务提供商及时采取措施。
这不仅有利于及时发现和解决问题,还有助于优化外包流程和控制成本。
总之,《银行业金融机构信息科技外包风险监管指引》是银行业和金融机构信息科技外包风险监管的重要指导文件。
这个指引在金融机构中得到了广泛实施,不仅建立了外包金融业务、提高了金融企业的效率,还有效地控制了金融业务风险的发生。
商业银行信息科技外包服务的风险管理与控制
商业银行信息科技外包服务的风险管理与控制随着信息科技的持续发展和商业银行业务的不断扩张,越来越多的商业银行选择将信息科技外包给第三方服务提供商。
这种外包模式能够帮助商业银行降低成本、提高效率,并专注于核心业务。
与之相对应的是信息科技外包所带来的一系列风险,如数据泄露、运营延误、不良行为等。
为了做好商业银行信息科技外包服务的风险管理与控制,以下是一些必要的措施。
商业银行应该选择可信赖的第三方服务提供商。
商业银行需要对供应商进行充分的背景调查,包括其经验、资质和信誉等。
商业银行还应与供应商签订明确的合同,明确其权责和服务水平等。
在合同中,商业银行可以要求供应商承担相应的责任和风险,如数据泄露和服务中断等。
商业银行还应定期评估供应商的表现,确保其持续符合商业银行的要求。
商业银行需要加强对信息科技外包过程的监控与管理。
商业银行应建立完善的监控系统,包括网络安全检测、异常行为检测和数据备份等。
通过对外包活动进行实时监控,商业银行能够及时发现并处理潜在的风险。
商业银行还应确保其内部团队具备足够的技术能力,能够与第三方服务提供商进行有效的沟通和协作。
只有通过加强对外包过程的监控与管理,商业银行才能及时发现并防范风险。
商业银行还应制定相应的风险管理政策与流程。
商业银行需要制定明确的风险管理政策,明确信息科技外包的风险管理责任和流程。
商业银行还应通过培训和教育等方式提高员工的风险意识和应对能力。
只有员工具备充足的风险管理知识和能力,商业银行才能更好地应对信息科技外包的风险。
商业银行还应建立健全的风险应急预案。
商业银行需要根据可能发生的风险场景,提前制定相应的应急预案。
这包括防范措施、应对流程和责任分工等。
商业银行还应进行定期的风险应急演练,以保证在突发事件发生时能够迅速、有效地应对。
商业银行在进行信息科技外包服务时,需要充分认识并有效管理相应的风险。
通过选择可信赖的供应商、加强监控与管理、制定风险管理政策与流程以及建立健全的风险应急预案,商业银行可以最大程度地降低信息科技外包所带来的风险,实现安全高效的外包服务。
银行业金融机构信息科技外包风险监管指引1
银行业金融机构信息科技外包风险监管指引第一章总则第一条为规银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》等法律法规,制定本指引。
第二条在中华人民国境设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。
银监会监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在的银行业金融机构非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
商业银行信息科技外包风险控制制度
商业银行信息科技外包风险控制制度1. 背景随着科技的进步和发展,商业银行越来越多地将信息科技服务外包给第三方机构。
然而,信息科技外包存在一定的风险,可能对银行的业务运作和客户信息安全造成威胁。
为了有效控制信息科技外包风险,商业银行需要建立相应的风险控制制度。
2. 目标商业银行信息科技外包风险控制制度的主要目标如下:- 确定信息科技外包风险的范围和级别;- 建立风险评估和管控流程;- 规定信息科技外包合作方的选择和管理标准;- 设定信息科技外包合同中应包含的风险控制条款;- 确保信息科技外包过程中的风险可控和可追溯;- 防止信息科技外包过程中的安全漏洞和数据泄露。
3. 内容商业银行信息科技外包风险控制制度应涵盖以下内容:1. 风险评估和管控流程:商业银行应建立风险评估和管控流程,包括风险辨识、风险评估、风险管控、风险监测和风险应对等环节。
2. 信息科技外包合作方选择和管理标准:商业银行应明确信息科技外包合作方的选择和管理标准,包括资质要求、安全保障、服务水平和合作关系管理等方面。
3. 风险控制条款:商业银行在与信息科技外包合作方签订合同时,应包含风险控制条款,规定双方对于风险控制的责任和义务,并明确违约责任和争议解决方式。
4. 风险可控和可追溯:商业银行应确保信息科技外包过程中的风险可控和可追溯,包括建立风险跟踪和风险报告机制,及时发现和处理风险事件。
5. 安全漏洞和数据泄露防控:商业银行应采取必要的措施防止信息科技外包过程中的安全漏洞和数据泄露,包括安全审计、访问控制、数据加密和事件响应等方面。
4. 实施和监督商业银行应将信息科技外包风险控制制度纳入日常运营管理,并设立相关的责任部门进行实施和监督。
定期进行风险评估和内部审查,及时修订和完善制度,确保风险可控。
5. 结论商业银行信息科技外包风险控制制度的建立对于保障银行业务运作和客户信息安全具有重要意义。
商业银行应根据自身情况制定相应的控制措施,并密切关注信息科技外包风险的动态变化,持续改进风险控制制度,提高防范和应对能力。
商业银行信息科技外包服务的风险管理与控制
商业银行信息科技外包服务的风险管理与控制商业银行作为金融行业的重要组成部分,信息科技外包服务已经成为其日常运营中不可或缺的一部分。
而随着信息科技的发展,商业银行外包服务的规模和复杂度也在不断增加,这为银行业务带来了巨大的便利和效率提升的也带来了一定的风险和挑战。
为了有效管理和控制这些风险,商业银行需要进行全面的风险管理和控制,确保外包服务能够顺利进行,同时保障银行的信息安全和业务稳定。
本文将探讨商业银行信息科技外包服务的风险管理与控制。
一、信息科技外包服务的概念和特点信息科技外包服务是指商业银行将部分或全部信息科技业务全部或部分外包给专业的服务提供商,以便获得更灵活、高效和成本可控的信息科技服务。
外包服务可以包括软件开发、系统维护、数据处理、网络管理等各个环节。
信息科技外包服务的特点主要包括以下几点:1. 灵活性:外包服务可以根据银行的实际需求进行灵活定制,不必受限于内部资源和技术能力。
2. 专业性:外包服务提供商通常是专业的信息科技公司,拥有丰富的技术经验和专业知识,可以为商业银行提供更优质的服务。
3. 成本控制:通过外包服务,商业银行可以将信息科技成本控制在可接受的范围内,避免因内部资源不足而造成的额外开支。
4. 高效性:外包服务提供商通常能够提供更高效的技术支持和服务响应,可以大大提升银行的信息科技运营效率。
5. 风险管理:信息科技外包服务可以将一部分信息科技风险外包给专业服务提供商,减轻银行自身的风险负担。
尽管信息科技外包服务为商业银行带来了诸多便利和优势,但在实际运营过程中也存在一定的风险和挑战。
商业银行信息科技外包服务的风险主要包括以下几个方面:1. 信息安全风险:商业银行向外包服务提供商提供了大量敏感信息和数据,一旦这些数据泄露或遭受攻击,将给银行带来严重的信息安全风险。
2. 业务连续性风险:外包服务提供商的技术故障或服务中断可能导致商业银行的业务中断,对银行的业务稳定性和客户信任造成严重影响。
商业银行信息科技外包服务的风险管理与控制
商业银行信息科技外包服务的风险管理与控制随着信息科技的不断发展和银行业务的日益复杂,商业银行开始越来越依赖于外部信息科技外包服务来支持其日常运营和业务发展。
虽然信息科技外包服务为商业银行提供了诸多便利,但也伴随着一系列风险。
风险管理与控制是商业银行信息科技外包服务中非常重要的一环。
本文将重点讨论商业银行信息科技外包服务的风险,并介绍相应的管理与控制措施。
商业银行信息科技外包服务的风险主要包括以下几点:1. 数据安全风险:商业银行信息科技外包服务涉及大量的客户信息和交易数据,一旦数据泄露或被篡改,将会给银行和客户带来巨大的损失。
2. 服务可用性风险:信息科技外包服务提供商的系统故障或服务中断可能导致银行的业务受到影响,甚至造成客户无法正常使用银行服务。
3. 合规与监管风险:外包服务提供商可能存在合规与监管方面的不合规行为,从而给银行带来法律风险和声誉风险。
4. 人员变动风险:外包服务提供商的员工流动性大,一旦关键技术人员离职或转岗,可能会影响到服务的稳定性和可持续性。
5. 供应商风险:外包服务提供商的财务状况、信誉度和服务水平等方面存在一定的风险,可能对商业银行的业务产生影响。
在面对这些风险时,商业银行需要采取一系列的风险管理与控制措施来加以管控。
商业银行应当对外包服务提供商进行严格的评估和审查,包括对其财务状况、信息安全体系、服务水平、合规能力等方面进行全面评估。
商业银行与外包服务提供商应当建立完善的合同和服务协议,明确双方的权利和义务,包括信息安全、服务水平、风险分担、监管合规等方面的内容。
商业银行需要建立健全的信息科技外包服务风险管理体系,包括完善的风险管理政策、组织结构、流程和工具等。
商业银行应当加强对外包服务提供商的监控和评估,定期进行第三方审计和核查,及时发现和解决存在的风险问题。
商业银行还需要建立应急预案和危机管理机制,及时应对外包服务中可能发生的突发风险事件,最大程度地减少损失和影响。
银行信息科技外包风险管理方案
银行信息科技外包风险管理方案首先很高兴能回答您的问题。
然后我来简单说一下银行信息科技外包风险管理方案,该方案主要针对银行在将部分信息技术服务或项目外包给第三方时可能出现的风险,采取一系列管理措施来降低和控制这些风险。
以下是一份简化版的风险管理方案:一、风险识别与评估1. 明确外包范围:首先确定要外包的信息科技服务内容,评估哪些环节可能产生风险,如数据安全、服务质量、法律合规、业务连续性等。
2. 外包商资质审查:对潜在外包服务商进行全面评估,包括但不限于公司的规模、信誉、技术水平、财务状况、信息安全认证等。
3. 风险因素分析:深入分析外包过程中可能面临的技术风险、操作风险、法律风险、声誉风险、市场风险等。
二、风险防控措施1. 合同约束:与外包商签订详尽的外包服务合同,明确双方责任义务,特别是关于数据保密、知识产权、服务水平协议(SLA)、违约赔偿等方面。
2. 服务监控:建立严格的服务质量和进度监控机制,确保外包服务按质按时完成,同时对外包商的操作进行实时或定期审计。
3. 数据安全管控:在外包过程中实施严格的数据加密、访问权限控制、数据备份和恢复等措施,防止敏感信息泄露。
4. 应急预案:制定完备的业务连续性计划和灾难恢复方案,以应对可能由于外包服务商故障导致的银行信息系统中断风险。
5. 法律法规遵从:确保外包服务遵守国家法律法规及监管政策,定期开展合规审查,对外包服务商进行法律知识培训。
三、风险监督与改进1. 建立风险报告制度:要求外包服务商定期提交工作报告、风险评估报告等,银行内部设立专门的外包风险管理团队负责监控和评估。
2. 持续改进:根据内外部审计结果和日常监控数据,不断调整和完善外包管理策略,促使外包服务商不断提升服务质量和技术能力。
3. 退出机制:设定清晰的外包服务终止条款和紧急替换方案,确保在出现重大风险事件时,银行有能力迅速切换服务提供商,保障业务不受严重影响。
希望我的回答能帮到你。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。
银监会监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条银行业金融机构在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章外包管理组织架构第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条信息科技外包风险主管部门的主要职责包括:(一)对外包风险进行识别、评估与风险提示;(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:(一)实施信息科技外包战略;(二)制定并执行信息科技外包管理制度与流程;(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
第三章信息科技外包战略及风险管理第一节信息科技外包战略第十六条银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条银行业金融机构应当根据自身信息科技战略明确不能外包的职能。
涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。
第十八条银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。
通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节信息科技外包风险管理第二十二条银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。
评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。
至少在三年内覆盖所有重要的服务提供商。
评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。
发生外包风险事件后应当及时开展专项审计。
第四章信息科技外包管理第一节外包风险评估及准入第二十五条外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处置措施,不因外包活动的引入而增加整体剩余风险。
重大外包项目应向董事会、高管层报告。
第二十六条银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节服务提供商尽职调查第二十八条对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
第二十九条银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包服务、处理突发事件等。
第三十三条对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节外包服务合同及要求第三十四条银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。
合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排;(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。
包括但不限于:(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处置和纠正措施。