中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知
银行运营业务外包管理办法
银行运营业务外包管理办法第一章总则第一条为规范运营业务外包管理,指导各行积极稳妥开展运营业务外包,根据《银行业金融机构外包风险管理指引》、《银行运营体系建设纲要》及其他法律法规、规章制度,制定本办法。
第二条运营业务外包是指将运营业务进行流程分解或集约化运作,将非核心业务或简单、重复的操作环节,委托给外部服务供应商(以下简称外包服务商)进行处理的行为。
第三条开展运营业务外包的目标是降低成本、提高效率、解决临时性人员不足,以提升我行核心竞争力。
各行应根据上述目标,在审慎决策的前提下,积极稳妥地开展运营业务外包。
降低成本。
运营业务外包所产生的成本,应低于本行自行运营的成本。
外包成本包括签订合同时的直接成本,以及外包服务商的选择成本、业务监控、业务移交、内部人力、文化协同、协议管理、关系维护等成本。
提升效率。
外包服务商专注于特定业务领域的专业化管理和操作,有利于提升服务质量和作业效率,我行可专注于核心业务发展,提升核心竞争力。
解决临时性人员不足。
伴随运营管理体系建设进程,大量业务处理向后台中心集中,难以及时配足操作人员的分行,可通过外包方式弥补临时性人员不足。
第四条各行应按照“风险可控、严格审批、职责跟进、规范管理”的原则开展运营业务外包。
风险可控。
各级行应将运营业务外包纳入风险管控体系,综合采用制度约束、岗位制约、系统控制、监督检查等手段,将风险控制在可接受的水平。
严格审批。
各级行应根据本办法规定的分级审批制度,按照各类外包业务的审批层级和权限,严格审批,做好准入控制。
职责跟进。
各级行业务管理、安全保卫等部门应根据各自职责,做好运营业务外包的日常管理和风险控制,对外包业务持续开展业务指导和检查监督工作。
规范管理。
各级行应通过制度建设、系统建设、人员管理、考核评价、监督检查等方式,严格规范运营业务外包管理。
第五条本办法适用于所有开展运营业务外包的机构。
第二章外包模式和范围第六条外包模式(-)驻场式。
驻场式外包指工作场地、设备机具等主要由我行提供,外包服务商负责组织一定数量的操作团队,配备相应的管理人员,进驻我行场地开展外包服务。
商业银行信息科技外包管理制度
商业银行信息科技外包管理制度
第一章总则
第一条为加强商业银行(以下简称本行)信息科技外包风险管理,依据《商业银行信息科技风险管理指引》(银监发〔2009〕19号)、《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)及有关文件,制定本制度。
第二条本制度所称信息科技外包是指本行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括但不限于以下类型:
(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包。
(二)系统运行维护类外包:包括数据中心(灾备中心)机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包。
(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条信息科技外包产生的风险
10 / 11。
捷德中国黄石工厂成功通过银监会外包服务监管评估
捷德中国黄石工厂成功通过银监会外包服务监管评估
佚名
【期刊名称】《数字印刷》
【年(卷),期】2016(000)004
【摘要】2015年底,捷德(中国)信息科技有限公司继去年6月份获得“银联卡产品质量管理认证”不久,其所属黄石分公司宣布收到银监会“银行业金融机构信息科技非驻场集中式外包服务评估”的通过批复,这标志捷德在提供银行卡预制卡,以及借记卡和贷记卡的个人化业务领域已通过国家最高级行业监管机构的资质认证。
【总页数】1页(P63-63)
【正文语种】中文
【中图分类】F272
【相关文献】
1.捷德万达推出耐高温磁条双界面卡——专访黄石捷德万达金卡有限公司总工程师张汉清先生 [J], 张桥
2.山东省金融工作办公室山东省财政厅中国人民银行济南分行中国银监会山东监管局中国证监会山东监管局中国保监会山东监管局关于进一步加强农村金融服务支持“三农”发展的通知 [J], ;
3.山东省金融工作办公室山东省发展和改革委员会山东省经济和信息化委员会山东省财政厅山东省商务厅山东省工商行政管理局中国人民银行济南分行中国银
监会山东监管局中国银监会青岛监管局关于印发《山东省融资性担保公司管理暂
行办法》的通知 [J], ;
4.中国人民银行商务部银监会证监会保监会外汇局关于金融支持服务外包
产业发展的若干意见 [J],
5.黄石捷德万达金卡入围中国银行卡片供应商 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
商业银行信息科技外包服务的风险管理与控制
商业银行信息科技外包服务的风险管理与控制摘要:近年来越来越多的商业银行倾向于采用信息科技外包服务快速提高自身IT能力,我国各地的中小银行便属于其中代表,这主要是由于信息科技外包服务可快速响应商业银行的业务需求并具备资源配置优化、成本节约优势,但是同时也带来了一系列的外包风险,基于此,本文简单分析了商业银行信息科技外包服务面临的风险,并结合实践提出了风险管控路径,希望由此能够为相关业内人士带来一定启发。
关键词:商业银行信息科技外包服务风险管理随着全球化浪潮的不断推进,信息科技外包服务的应用已经成为商业银行维持自身竞争力的重要手段之一,但在笔者的实际工作和调研中发现,现阶段我国商业银行信息科技外包服务存在着人员、技术能力、质量、安全等一系列风险,而为了较好应对这类风险,正是本文围绕商业银行信息科技外包服务的风险管理与控制开展具体研究的原因所在。
一、商业银行信息科技外包服务面临的风险(一)人员风险人员风险主要源于商业银行信息科技外包服务中的人员外包,这里的人员外包指的是承包方参与的开发、测试、运维、运营,人员外包以商业银行为主、承包方人员参与。
以商业银行软件测试为例,人员外包往往面临着人员流动性较大问题,测试团队的整体工作能力、整体氛围均会因此受到影响,测试质量不稳定问题自然很容易因此出现。
现阶段我国信息科技外包服务行业竞争激烈,外包服务人员频繁跳槽情况也较为常见,外包服务人员管理难度也因此大幅提升。
值得注意的是,商业银行信息科技外包服务中的人员外包还可能面临管理人员技能风险,这一风险的出现主要是由于管理人员需要深入了解业务并具备相应技能,且同时还需要负责与外包服务商的沟通、外包服务人员的日常管理,由此才能够较好把控风险并掌握进度,相关管理人员因此受到的挑战必须得到重视。
值得注意的是,商业银行信息科技外包服务中的人员外包还面临着信息泄露风险,如部分商业银行因人员匮乏存在重要岗位外包情况,这使得外包人员可能接触到生产数据,客户敏感信息因此出现的泄露必须得到关注。
商业银行信息科技监管评级定量和定性标准-精选版
信息科技风险(Information Technology Risk(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
计算机:银行保险机构信息科技外包融合监管,行业规范及集中程度有望进一步提升
行业报告 | 行业点评 请务必阅读正文之后的信息披露和免责申明 1 计算机 证券研究报告
2020年11月18日 投资评级 行业评级 强于大市(维持评级) 上次评级 强于大市
作者 沈海兵 分析师
SAC执业证书编号:S1110517030001 ********************
资料来源:贝格数据 相关报告 1 《计算机-行业研究周报:周观点:“造车新势力”背后,汽车软件厂商的模式飞跃》 2020-11-15 2 《计算机-行业研究周报:如果拜登当选,对计算机行业意味着什么?》 2020-11-08 3 《计算机-行业点评:政策加速,重卡车联网市场有望启动》 2020-11-04
行业走势图 银行保险机构信息科技外包融合监管,行业规范及集中程度有望进一步提升
事件: 近期,银保监会完成了《银行保险机构信息科技外包风险监管办法(征求意见稿)》(下文简称“《办法》”)的起草工作,目前正在业内征求意见中。
点评: 在银行保险机构信息科技外包范围扩大、外包形式趋于多样、外包活动风险频发的背景下,银保监会《办法》的起草是对银行业保险业信息科技外包风险纳入统一监管的重要举措。
此前,银行业信息科技外包业务管理多以2013年印发的《银行业金融机构信息科技外包风险监管指引》为依据,保险业信息科技管理业务多以2011年印发的《保险公司信息系统安全管理指引》为依据。由于保险业此前没有专门针对信息科技外包风险的管理办法,我们认为本次《办法》的起草对保险业信息科技外包服务商的影响更大。
与2013年《银行业金融机构信息科技外包风险监管指引》相比,本次《办法》:
1、 细化信息科技外包治理组织架构,并对各级组织的职责给出明确定义。此举要求银行保险机构建立覆盖董(理)事会、高管层、信息科技外包风险主管部门及执行团队的组织架构,自上而下明确各级权责。
2、 明确了重要外包的范围。此前文件仅要求对服务提供商进行分级管理,而本次《办法》不仅对重要外包活动进行定义、使其区别于一般外包,还对重要外包的准入、风险管理、监督管理等方面提出明确要求。
银行外包安全评估
银行外包安全评估
银行外包安全评估是一种评估银行外包服务提供商的安全措施和实践的过程。
它旨在确保外包服务提供商能够提供足够的安全保障,以保护银行的敏感信息和业务资产。
银行外包安全评估通常包括以下几个方面:
1. 安全政策和程序:评估外包服务提供商是否有明确的安全政策和程序,以确保数据和资产的安全。
这包括对访问控制、身份验证、数据加密和备份等方面的评估。
2. 网络安全:评估外包服务提供商的网络安全措施,包括防火墙、入侵检测系统、反病毒软件等。
还需要评估其网络监控和事件响应能力。
3. 物理安全:评估外包服务提供商的数据中心和设施的物理安全措施,包括对门禁控制、监控系统、紧急应急计划等方面的评估。
4. 数据保护和隐私:评估外包服务提供商的数据保护和隐私保护措施,包括对敏感数据的加密和隔离、数据访问控制和隐私政策等方面的评估。
5. 供应商的安全认证和合规性:评估外包服务提供商是否通过了相关的安全认证,如ISO 27001认证,以及是否符合相关的法规和合规要求。
6. 业务连续性计划:评估外包服务提供商的业务连续性计划,包括对备份和恢复策略、灾难恢复测试等方面的评估。
通过对外包服务提供商的安全措施进行评估,银行可以确保其在外包过程中的数据和资产的安全性,并选择符合其安全标准的合适供应商。
2.附件1 重要信息科技外包监管报告材料模板
炒粉干粉的制作过程作文
厨房里传来“滋滋”的声音,啊,是炒粉干开始了!
这大米选得真好,粒粒都亮晶晶的,像珍珠一样。
泡一泡、磨一磨、蒸一蒸,就变成了薄薄的粉皮,真神奇!
哎呀,火开得正旺,猪油都化开了,好香啊!赶紧扔点葱花、蒜末和辣椒丝进去,瞬间香味扑鼻。
这就是炒粉干的秘密武器,少了哪个都不行!
粉干下锅了,噼里啪啦的,像是在跳舞。
翻啊翻,炒啊炒,粉干变得越来越软,吸满了那些香味,简直让人垂涎三尺!
好啦好啦,出锅啦!金黄黄的,看着就让人流口水。
吃一口,哇,简直是人间美味!这不仅仅是炒粉干,还是满满的回忆和家的味道啊!
就这样,一盘香喷喷的炒粉干诞生了!简单又好吃,真是让人欲罢不能。
下次还要再做,太好吃了!。
商业银行信息科技监管评级定量和定性标准
【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】*100%
(四)信息安全管理
1
(1)是否建立信息安全管理体系。
(2)信息安全管理体系的完整性。
(3)电子银行信息安全管理体系的完整性。
评分原则:(1)考察是否建立合理的信息安全管理组织架构及制度体系。
(2)信息科技内部是否有岗位制约机制,如信息科技运行与系统开发和维护的分离等.
(3)是否有容量规划,重要信息系统性能和容量设置是否恰当,性能和容量变更机制是否合理。
(4)考察重要信息系统服务可用率(定量).
【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止服务时间】/【计划提供服务总时间】*100%
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(
1
是否建立清晰、合理的信息科技外包管理组织架构,是否制定外包战略.
评分原则:(1)考察是否建立清晰的外包管理组织架构;是否明确高管层、信息科技外包管理主管部门和执行部门的风险管理职责;信息科技外包风险管理部门和审计部门是否定期开展信息科技外包风险管理的评估和审计工作。
(2)是否制定与自身规模、市场地位相适应的外包战略;是否有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。
(2)考察信息科技内审工作独立性和汇报路线的合理性。
银行信息科技外包服务应急管理办法
xx银行信息科技外包服务应急管理办法xx总技〔xx〕43号附件1,xx年11月19日印发第一章总则第一条为有效防范重要信息科技外包服务中断产生的风险,促进本行信息系统安全、持续、稳健运行,根据银监会《商业银行信息科技风险管理指引》的有关规定,制定本办法。
第二条本办法适用于xx银行全行的信息科技外包项目。
第二章组织与职责第三条风险管理部在外包服务应急管理中的主要职责包括:负责牵头组织对重要信息科技外包项目的外包服务商失效、异常退出等重大缺失进行风险评估。
第四条稽核监察部负责对重要信息科技外包应急管理的执行演练进行内部审计。
第五条科技部项目(外包)管理办公室,主要职责包括:(一)牵头对外包项目按重要性进行分级;(二)建立外包项目应急预案模板;(三)组织制定各重要信息科技外包项目的应急预案;(四)组织重要外包项目应急预案演练。
第三章外包项目应急管理第六条外包商选择时,应充分考虑外包商的管理能力和行业地位、财务稳健性、经营声誉、技术实力和服务质量、突发事件的应对能力、行业熟悉度等,重点应关注外包商应对突发事件的能力。
第七条签订外包合同时,项目经理应要求外包服务商提供外包服务连续性计划,外包合同中应该明确外包服务商应该提供的业务连续性保障水平,以及提供相关资源的承诺。
第八条项目(外包)管理办公室收集信息科技外包项目和信息,按系统重要性进行分级,分级标准参考《xx银行信息科技项目管理办法》中第3条甲、乙、丙类和关于重大项目的定义并结合系统数据重要性进行分类:(一)甲类项目是指资源投入规模大、技术复杂度高、由总行决策的年度重点工作的项目或者为符合监管等要求必须开展的外包项目。
(二)乙类项目是指资源投入规模较大、技术复杂度较高、商业价值较大的外包项目。
(三)丙类项目是指资源投入规模小、技术复杂度低、风险小的变更维护类项目。
丙类项目的IT人力资源投入一般在30人天以下。
以上三类项目中预算投资规模超过500万元(含)或风险影响程度为重大级的计算机应用开发项目列为重大项目,形成外包服务项目管理台账。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.12.02•【文号】银监办发[2014]272号•【施行日期】2014.12.02•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知银监办发[2014]272号各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号),为进一步做好对非驻场集中式外包服务的风险评估,加强监督管理,防范银行业区域性、系统性信息科技风险,现就开展非驻场集中式外包服务监管评估工作有关事项通知如下:一、本通知中监管评估是指根据非驻场集中式外包服务商接受风险监督的主动申请,银监会及其派出机构对非驻场集中式外包服务开展信息科技风险监测、现场核查、评级和处置的过程。
二、村镇银行信息系统交由发起行管理、农村金融机构信息系统交由省级农村信用联社管理、外资银行信息系统交由母行管理的,不纳入本通知监管评估范围。
三、纳入监管评估的非驻场集中式外包服务类型包括:(一) 机房运营服务,包括机房基础设施运维,设备运维、虚拟化资源服务等计算机基础设施服务。
(二) 应用系统托管服务,包括:1.数据中心(灾备中心)整体运维及系统管理;2.应用系统服务,包括核心银行、电子银行、银行卡、网站、电子商城等业务处理系统开发与运维;3.金融自助设备整体运维,即自助设备(含多媒体终端)产权为外包服务商所有或由外包服务商向第三方租赁,监控、运维管理由外包商独立完成。
(三) 数据分析与处理服务,包括涉及客户数据的电子化信息处理业务文档、影像、票据等录入、扫描与处理,以及远程数据备份、存储与分析,银行卡制卡等。
(四) 软件开发服务,包括非驻场的集中式外包开发、系统测试外包。
其它信息科技外包服务可参照非驻场集中式外包服务进行监管评估管理。
四、银行业金融机构开展非驻场集中式外包服务时,应当加强尽职调查、风险评估和审慎决策,承担外包服务的全部风险管理责任。
五、银行业金融机构应按照《银行业金融机构国别风险管理指引》要求,充分识别服务提供商提供的外包服务国别风险,计提相应风险准备金,确保该类国别风险处于较低水平。
对于中资比例低于50%(含)的服务提供商,应严格管理,加强风险评估、监测,并向银监会及其派出机构报告。
六、根据银行业区域性、系统性外包风险防控的需要,银监会及派出机构组织银行业、第三方专业技术力量,实施对非驻场集中式外包服务活动及服务商的监管评估。
七、外包服务商可自愿提出申请,经银监会审核达到附件1所列条件的,将其非驻场集中式外包服务纳入监管评估。
对于委托第三方监管评估过程中产生的费用由外包服务商承担。
八、申请纳入监管评估的非驻场集中式外包服务商应签署《外包服务商履行义务承诺书》,履行下述义务:(一) 遵从银监会信息科技监管政策、规范要求;(二) 向银监会或其派出机构及时报送与其所开展的银行业信息科技外包服务相关的重大活动及风险信息;(三) 配合银监会及其派出机构对其所开展的银行业信息科技外包服务的风险监测、现场核查和信息科技风险事件处置;(四) 按照银监会要求,完成自查和问题整改,防范信息科技风险;(五) 配合所服务的银行业金融机构对其信息科技外包风险开展检查和评估;(六) 发生外包服务突发事件时,按照银监会有关要求,向银行业金融机构和银监会及其派出机构报告。
九、跨省(自治区、直辖市)提供服务的外包服务商应向银监会信息科技监管部门提出纳入监管评估的申请,其他外包服务商向所服务的银行业金融机构所在地银监局提出申请,监管评估申请材料按照附件2、3的要求提交。
十、银监会或其派出机构对外包服务商提交的申请资料初审通过后,委托经认可的、公立的第三方评估机构,对外包服务商的技术保障、风险控制能力进行技术测评。
同时,银监会或其派出机构对外包服务商进行现场调查,调查可组织银行业科技外包联合监管平台成员单位、其他银行业金融机构和外部技术专家实施。
十一、综合技术测评和现场调查结果,对审核通过的非驻场集中式外包服务,银监会向外包服务商正式复函确认其纳入监管评估,明确外包服务名称、外包服务类型、监管评估有效期等。
银监会派出机构审核通过的外包服务,应向银监会报备。
十二、银监会定期向银行业金融机构发布纳入监管评估的非驻场集中式外包服务名单,并在银监会官方网站公布。
十三、银监会对纳入监管评估的非驻场集中式外包服务实行分类管理,包括A、B、C三个类别。
(一) A类服务:服务对象覆盖全国范围内各类银行业金融机构,服务机构数量没有规模约束;(二) B类服务:服务对象包括除全国性商业银行之外的银行业金融机构,服务机构总数原则上不超过30家,或服务对象是非银行金融机构,服务机构数量没有规模约束;(三) C类服务:服务对象包括资产规模1000亿元以下的城市商业银行、农村中小金融机构(包括农村商业银行、农村合作银行、农村信用社及村镇银行)及其他非银行金融机构,且服务范围不超过2个省(自治区、直辖市,含),服务机构总数原则上不超过10家。
十四、纳入监管评估的非驻场集中式外包服务,其外包服务商发生以下变更时,应当在变更后一个月内向银监会或其派出机构报告:(一) 企业名称、注册地、法人、主要投资人变更,重大的组织架构调整、财务变化;(二) 减少纳入监管评估的外包服务业务种类;(三) 软件开发服务类外包的服务场所变更。
十五、因服务的银行业金融机构对象变化导致外包服务监管评估隶属关系变化时,外包服务商应向银监局报告,同时抄送银监会,由银监会审核并调整负责监管评估的银监局。
十六、纳入监管评估的非驻场集中式外包服务,其外包服务商新增外包服务业务种类或提高服务类别等级时,应向银监会或其派出机构重新提交监管评估申请;注册资本金中资比例低至50%以下时,外包服务商应向银监会或其派出机构报告;对于国别风险较高的,由银监会取消其纳入监管评估的资格。
十七、纳入监管评估的机房运营和应用系统托管类外包的服务场所变更、符合《银行业金融机构重要信息系统投产及变更管理办法》中应用系统基础架构发生重大变化、重大的基础设施和信息系统升级的,外包服务商应提前30个工作日向银监会或其派出机构报告。
十八、纳入监管评估的非驻场集中式外包服务,其外包服务商应于每年12月31日前向银监会或其派出机构报送如下信息:(一) 本年度为银行业金融机构提供的非驻场集中式外包服务合同的履约情况;(二) 本年度对银行业金融机构非驻场集中式外包服务的工作报告,包括服务内容、服务规模、合同完成情况、服务水平与质量控制,风险制度规范、风险管控机制、基础设施和信息系统的建设、升级情况,下年度外包服务工作安排;(三) 本年度对非驻场集中式外包的风险自评估报告,包括内、外部审计或第三方机构风险评估报告。
十九、发生如下事件时,纳入监管评估的外包服务商应当立即向银监会或其派出机构报告:(一) 银行业金融机构的客户信息等敏感数据泄露;(二) 银行业金融机构的数据损毁或者重要业务运营中断,达到《银行业信息系统突发事件应急管理规范》中突发事件的报告级别;(三) 由于不可抗力或发生重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;(四) 违法违规事件。
二十、银监会或其派出机构每两年对纳入监管评估的非驻场集中式外包服务活动进行现场核查,遇有突发事件或重大风险问题发生时应立即开展现场核查和风险处置。
核查可以银监会组织银行业科技外包联合监管平台、委托银行业金融机构或第三方评估、外部审计的形式开展。
对于服务质量稳定、连续两次监管评估无重大风险问题的外包服务商,下次监管评估可免予现场核查。
二十一、银监会或其派出机构对纳入监管评估的非驻场集中式外包服务进行风险评级评价,于次年2月10日前形成年度监管评估报告,由银监会统一向银行业公布。
二十二、对监管评估中发现的问题,银行业金融机构应督促外包服务商完成整改。
对管控不力、风险隐患突出的外包服务商,由银监会在银行业内警示通报,银行业金融机构应当审慎安排与其外包合作。
二十三、外包服务商存在以下情形的,由银监会取消其服务纳入监管评估的资格,且五年内不接受其外包服务纳入监管评估的申请:(一) 违反国家法律、法规和监管政策;(二) 未履行接受监管评估的承诺和义务,多次提示仍未整改;(三) 窃取、泄露银行业金融机构敏感信息;(四) 因管理过失,连续两年发生重要信息系统服务中断或数据损毁、丢失、泄露事件,按照《银行业信息系统突发事件应急管理规范》两起(含)以上达到重大级别或三起(含)以上达到较大级别;(五) 服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改;(六) 现场核查发现问题逾期仍未整改的;(七) 因管理过失或服务质量低下被三家(含)以上银行业金融机构投诉;(八) 存在非法经营或其他违法、违规行为。
二十四、银行业金融机构应逐步终止与被取消监管评估资格的外包服务商间的合作;终止外包服务合同时,应做好数据接收工作。
二十五、银行业金融机构应当参照非驻场集中式外包服务监管评估要求,加强对未纳入监管评估的非驻场集中式外包服务的风险管理,深入开展尽职调查,建立全面的外包服务质量、风险监测指标和风险管理程序,应至少每两年进行一次现场的风险评估并向银监会或其派出机构报告。
二十六、对未纳入监管评估的非驻场集中式外包服务,银监会及其派出机构应当加强对银行业金融机构的监督,每年进行抽查或现场检查,检查结果纳入对银行业金融机构的信息科技监管评级。
因外包管理不力,发生重要信息系统服务中断或数据损毁、丢失等事件的,或监管检查发现有较大风险的,应降低银行业金融机构信息科技监管评级级别并追究责任。
二十七、对因管理过失导致外包服务活动危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的外包服务商,银监会及其派出机构应督促银行业金融机构要求外包服务商承担赔偿责任。
自本文印发之日起,银监会及其派出机构开始受理非驻场集中式外包的监管评估申请。
请各银行业金融机构将此文发送行内所有外包服务商。
联系电话:************联系邮箱:*************.cn。