信息科技外包风险监管指引 下载本文

第六十五条 银行业金融机构在选择跨境外包时,还应当充分审

查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。

第六十六条 银行业金融机构在实施跨境外包时,其合同应当包

括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。

第二节 非驻场外包风险管理

第六十七条 非驻场外包是指服务提供商不在银行业金融机构

现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。

第六十八条 银行业金融机构应当建立针对非驻场外包服务的

内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。

第六十九条 银行业金融机构应当对重要的非驻场外包服务进

行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。

第七十条 银行业金融机构应当加强对外包服务提供商非驻场

外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。

第七十一条 对于非驻场外包服务提供商为同业托管机构的情

况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的

风险管控水平。

第七章 银行业重点外包服务机构风险管理要求

第七十二条 银行业重点外包服务机构是指集中为银行业金融

机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:

(一) 承担集中存贮客户数据的业务交易系统外包服务;或承担银

行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。

(二) 服务的法人银行业金融机构数量、服务合同金额占有本服务

领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。

第七十三条 银行业金融机构应当根据监管机构发布的银行业

重点外包服务机构风险提示,按照如下要求进行管理:

(一) 银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。

(二) 银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。

(三) 银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。

(四) 银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。

第七十四条 银行业金融机构应当要求银行业重点外包服务机

构具有如下相关领域资质认证:

(一) 具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二) 具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。

(三) 承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。

(四) 承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。

第七十五条 银行业金融机构应当在风险管理、审计方面对银行

业重点外包服务机构提出如下要求:

(一) 银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。

(二) 银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,年度风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。

(三) 银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。

第八章 监督管理

第七十六条 银行业金融机构开展以下信息科技外包服务时,应当

在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。

(一) 信息科技工作整体外包; (二) 数据中心或灾备中心整体外包; (三) 涉及将银行业金融机构客户资料、交易数据等敏感信息交由

服务提供商进行分析或处理的信息科技外包;

(四) 以非驻场形式实施的、集中存贮客户数据的业务交易系统外

包;

(五) 关联外包; (六) 涉及跨境的信息科技外包; (七) 其他银监会认为重要的信息科技外包。 第七十七条 银行业金融机构信息科技外包活动中发生如下重大

事件时,应当在两个工作日内向银监会或其派出机构报告。

(一) 银行业金融机构客户信息等敏感数据泄露; (二) 数据损毁或者重要业务运营中断; (三) 由于不可抗力或服务提供商重大经营、财务问题,导致或可

能导致多家银行业金融机构外包服务中断;

(四) 其他重大的服务提供商违法违规事件; (五) 银监会规定需要报告的其他重大事件。 第七十八条 银行业金融机构在开展年度外包风险管理评估工作

后,应当将年度风险评估报告报送银监会或其派出机构。

第七十九条 银监会及其派出机构对银行业金融机构信息科技外

包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。