银行业金融机构信息科技外包风险监管指引1
银监会《商业银行信息科技风险治理指引》[新版]
![银监会《商业银行信息科技风险治理指引》[新版]](https://img.taocdn.com/s3/m/a2e8907226d3240c844769eae009581b6bd9bde4.png)
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
银监会《商业银行信息科技风险管理指引》
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章信息科技治理第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。
第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。
(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。
评估信息科技及其风险管理工作的总体效果和效率。
(三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知
中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.07.01•【文号】银监办发[2014]187号•【施行日期】2014.07.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知银监办发[2014]187号各银监局、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:根据《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号,以下简称《指引》),为保护银行业金融机构关键基础设施和信息安全,防范银行业信息科技外包集中度风险,守住不发生系统性、全局性风险的底线,现就加强银行业金融机构信息科技非驻场集中式外包行为监管工作通知如下:一、本通知所称非驻场集中式外包是指外包服务商不在银行业金融机构提供现场服务,或外包的关键基础设施和信息系统不在银行业金融机构产权场所,由银行业金融机构以租用设施或购买服务资源的方式获得,主要由外包服务商运维,并且外包服务商同时为3家(含)以上银行业金融机构或其他机构提供服务的外包方式。
信息科技非驻场集中式外包服务商分为银行类机构和社会类机构两类,银行类机构是指依法设立的由银监会监管的银行业金融机构,其他属于社会类机构。
二、银行业金融机构应当对非驻场集中式外包服务商开展全面、深入的尽职调查,除《指引》要求的尽职调查内容以外,对社会类机构和提供外包服务未满3年的银行类机构应当重点调查如下内容:(一)外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界;(二)外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性;(三)外包服务商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限;(四)外包服务商是否拥有或可能拥有业务系统的最高管理权限,外包服务商是否拥有或可能拥有业务系统的访问权限,是否能够浏览、获取客户敏感信息;(五)外包服务商是否有完善的灾难恢复设施和应急管理体系,对关键基础设施和信息系统运行是否有业务连续性安排;(六)外包服务商是否知晓并遵从了银行业相关监管法规要求。
银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引LEKIBM standardization office【IBM5AB- LEKIBMK08- LEKIBM2C】银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
银行业金融机构信息科技外包风险监管指引
银行业金融机构信息科技外包风险监管指引为了更好地确保银行业和金融机构信息科技外包风险监管的有效性和稳定性,中国银行业监督管理委员会制定了《银行业金融机构信息科技外包风险监管指引》,在银行业和金融机构中广泛实施。
这个指引对银行业和金融机构具有很大的意义和价值。
首先,这个指引通过对外包风险的定义和分类提供了明确的指引和标准。
让银行业和金融机构清晰地识别和对外部服务提供商的风险有一个基础的了解。
这个指引还规定了外包服务的范围、合同、服务要求和细节的规范。
统一了外包服务的标准,减少了金融机构在选择外部服务提供商时的犹豫和担忧。
这有利于金融机构在更安全的情况下选择最适合的外部服务提供商,提高了外部服务质量。
其次,指引规定了银行业和金融机构与外部服务提供商之间的透明度要求。
这有助于银行业和金融机构更加全面地了解安全和风险的状态以及外部服务提供商对信息技术所做的改进和行动。
通过持续监控和数据管理,银行业和金融机构可以识别和识别潜在的风险,及时采取措施,确保业务连续性。
此外,通过这个指引,银行业和金融机构加强了与外部服务提供商的其他合作方之间的信息交流和协调。
针对外部服务提供商遇到的问题,银行业和金融机构提供支持。
通过专业的技能、工具和方法的共享,可以减少外包风险产生的可能性,从而保证外包合作的可行性和有效性。
最后,这个指引重视了持续并适当的风险监控。
银行业和金融机构应始终注意其与外部服务提供商之间的合作情况。
提前做好可能发生的风险监控,针对表现不佳的外部服务提供商及时采取措施。
这不仅有利于及时发现和解决问题,还有助于优化外包流程和控制成本。
总之,《银行业金融机构信息科技外包风险监管指引》是银行业和金融机构信息科技外包风险监管的重要指导文件。
这个指引在金融机构中得到了广泛实施,不仅建立了外包金融业务、提高了金融企业的效率,还有效地控制了金融业务风险的发生。
银行业金融机构信息科技外包风险监管指引1
银行业金融机构信息科技外包风险监管指引第一章总则第一条为规银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》等法律法规,制定本指引。
第二条在中华人民国境设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。
银监会监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在的银行业金融机构非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或外部协作效率低下,使得银行业金融机构信息科技服务水平下降。
第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
(风险管理)银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
银保监 银行业金融机构外包风险管理指引
银行业金融机构外包风险管理指引一、引言外包在当前的金融行业中越来越常见。
银行业金融机构为了降低成本、提高效率和专注核心业务,将一些非核心业务外包给第三方服务提供商。
然而,外包也带来了一定的风险。
因此,银保监发布了银行业金融机构外包风险管理指引,以帮助银行业金融机构有效管理外包风险。
二、风险管理框架2.1 风险识别和评估在外包风险管理中,首先需要进行风险识别和评估的工作。
这包括确定外包业务的关键性和战略性、评估外包服务提供商的实力和信誉、分析外包业务的风险因素等。
通过全面的风险评估,可以准确地识别外包风险的来源和影响。
2.2 合同管理外包合同是管理外包风险的重要工具。
合同应明确双方的权责和义务,明确外包服务提供商应履行的标准和要求,并规定违约责任和补偿措施。
同时,合同还应考虑灵活性和变更管理,以应对外部环境的变化。
2.3 监督与合规银行业金融机构应建立有效的监督和合规机制,确保外包服务提供商按照合同约定履行职责和义务,并符合相关法律法规和监管要求。
监督与合规包括对外包服务提供商的定期检查和评估,以及建立风险预警和应急管理机制。
2.4 退出机制外包业务存在风险,银行业金融机构应制定相应的退出机制。
退出机制包括业务转移和供应商替换等措施,以应对外包合作关系出现问题或终止的情况。
退出机制的制定需要考虑合同约定、业务连续性和安全性等因素。
三、具体指引3.1 风险识别和评估1.确定外包业务的关键性和战略性,分析外包风险的可能影响和后果。
2.评估外包服务提供商的经营状况、管理能力和信誉情况。
3.分析外包业务的风险因素,包括合规风险、安全风险和操作风险等。
3.2 合同管理1.确定外包合同的标的、范围、期限和可变性,并明确双方的权责和义务。
2.规定外包服务提供商的服务标准和绩效考核指标。
3.明确合同约定的违约责任和补偿机制。
3.3 监督与合规1.建立外包服务提供商定期报告制度,监督其经营状况和合规情况。
2.定期对外包服务提供商进行检查和评估,发现问题及时采取纠正措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。
银监会监管的其他金融机构参照本指引执行。
第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:30(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。
第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:(一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科30技服务水平下降。
第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。
第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。
第十条银行业金融机构在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;30(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第十一条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。
第二章外包管理组织架构第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。
第十四条信息科技外包风险主管部门的主要职责包括:30(一)对外包风险进行识别、评估与风险提示;(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:(一)实施信息科技外包战略;(二)制定并执行信息科技外包管理制度与流程;(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;(四)制定保障外包服务持续性的应急管理方案,并组织实施定期演练;(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理主管部门报告外包活动情况。
30第三章信息科技外包战略及风险管理第一节信息科技外包战略第十六条银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。
第十七条银行业金融机构应当根据自身信息科技战略明确不能外包的职能。
涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。
第十八条银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
第十九条银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。
30通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。
第二十条银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第二十一条银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持关联外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。
第二节信息科技外包风险管理第二十二条银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。
评估内容包括:信息科技外包战略执行情况、外包信30息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第二十三条银行业金融机构应当对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。
至少在三年内覆盖所有重要的服务提供商。
评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第二十四条银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。
发生外包风险事件后应当及时开展专项审计。
第四章信息科技外包管理第一节外包风险评估及准入第二十五条外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据30项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处置措施,不因外包活动的引入而增加整体剩余风险。
重大外包项目应向董事会、高管层报告。
第二十六条银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。
第二十七条对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第二节服务提供商尽职调查第二十八条对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
30第二十九条银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
第三十条银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。
第三十一条银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包服务、处理突发事件等。
第三十三条对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。
第三节外包服务合同及要求30第三十四条银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。
合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该30履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排;(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。
包括但不限于:(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理30方式及违约赔偿条款;(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;(五)在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处置和纠正措施。