银行业金融机构信息科技外包风险监管指引-正式发文版 下载本文

交付物要求以及后续合作中的相关限定条件;

(二) 合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;

(三) 服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;

(四) 银行业金融机构监控和检查的权力、频率,服务提供商配合其内、外部审计机构检查,及配合银行业金融机构接受银行业监督管理机构检查的责任;

(五) 政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;

(六) 外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;

(七) 服务要求或服务水平条款,至少应包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;

(八) 争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;

9

(九) 报告条款,至少包括如下内容:常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十六条 银行业金融机构应当在合同或协议中明确服务

提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施,包括但不限于:

(一) 禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权的使用;

(二) 在合同或协议中约定服务提供商对银行客户信息安全和银行客户权力的保护条款、事故处理方式及违约赔偿条款;

(三) 在合同或协议中约定服务提供商不得以所提供服务的银行业金融机构名义开展活动;

(四) 服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;

(五) 服务提供商在其发生信息安全事件时必须及时向银行业金融机构报告事件的影响以及处臵和纠正措施。

第三十七条 银行业金融机构应当在合同或协议中明确要求

服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:

(一) 不得将外包服务的主要业务分包;

(二) 主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;

(三) 主服务提供商对分包商进行监控,并对分包商的变

10

更履行通知或报告审批义务。

第四节 外包服务安全管理

第三十八条 银行业金融机构应当制定和落实信息安全管控

措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险,具体措施包括: (一) 对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;

(二) 明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道“和“最小授权”原则进行访问授权;

(三) 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;

(四) 定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。

第三十九条 银行业金融机构在对关联外包的服务提供商进

行定期安全检查时,不得以服务提供商的自评估来替代,不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条 银行业金融机构应当关注外包服务引入的新技术

或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。

11

第五节 外包服务监控与评价

第四十一条 银行业金融机构应当对外包服务过程进行持

续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。

第四十二条 银行业金融机构应当根据信息科技的外包需

求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应的监控。常见指标包括:

(一) 信息系统和设备及基础设施的可用率、设备的开机率;

(二) 故障次数、故障解决率、故障的响应时间; (三) 服务的次数、客户满意度;

(四) 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;

(五) 外包人员工作饱和率、外包人员的考核合格率。

第四十三条 银行业金融机构应当建立明确的服务目录,

服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。

第四十四条 银行业金融机构应当对服务提供商的财务、

内控及安全管理进行持续监控,关注其因破产、兼并、关键人员

12