银行业金融机构信息科技外包风险监管指引-正式发文版 下载本文

第六章 跨境及非驻场外包管理

第一节 跨境外包风险管理

第六十条 跨境外包是指在境外其他国家或地区实施的信息

科技外包服务活动。

第六十一条 跨境外包除具有本指引前述风险外,还包括由于

某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。

第六十二条 银行业金融机构应当充分了解并持续监控服务

提供商所在国家或地区的经济、政治、社会状况,通过建立应急预案、服务持续性计划防范跨境外包所带来的国别风险。

第六十三条 银行业金融机构应当关注国外法律法规、监管要

求对其获取服务提供商外包管理信息可能的影响。实施跨境外包时,不应妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构的延伸检查。

第六十四条 银行业金融机构在选择跨境外包时,应当明确其

所在国家或地区监管当局已与中国银监会签订谅解备忘录或双方认可的其他约定。

第六十五条 银行业金融机构在实施跨境外包时,其合同应当

包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。

17

第六十六条 银行业金融机构在开展跨境外包时,应当充分审

查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应在符合监管法规政策并获得客户授权的前提下开展。

第二节 非驻场外包风险管理

第六十七条 非驻场外包是指服务提供商不在银行业金融机

构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。

第六十八条 银行业金融机构应当建立针对非驻场外包服务

的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。

第六十九条 银行业金融机构应当对重要的非驻场外包服务

进行实地检查。实地检查原则上一年不少于一次,检查结果应作为外包服务提供商项目考核及准入的重要指标。

第七十条 银行业金融机构应当加强对服务商非驻场外包服

务内部控制、质量管理、信息安全的有效性评估,评估结果应作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应责令其进行限期整改,对于逾期未改的服务提供商应暂停或取消其服务资格。

18

第七十一条 对于非驻场外包服务提供商为同业托管机构的

情况,银行业金融机构可参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不应区别对待而降低对自身提供外包服务的风险管控水平。

第七章 银行业重点外包服务机构风险管理要求

第七十二条 银行业重点外包服务机构是指集中为银行业金

融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:

(一) 承担集中存贮客户数据的业务交易系统外包服务;或

承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务;

(二) 服务的法人银行业金融机构数量、服务合同金额占有

本服务领域市场份额的三分之一以上;或服务的国有、股份制法人银行业金融机构数量达到3家或以上;或服务的其它类型法人银行业金融机构数量达到10家或以上。

第七十三条 银行业金融机构应根据监管机构发布的银行业

重点外包服务机构风险提示,按照如下要求进行管理:

19

(一) 银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间应不少于3年。

(二) 银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。

(三) 银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。

(四) 银行业重点外包服务机构应当具有足够的技术能力、人员队伍和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应设臵在中国境内。

第七十四条 银行业金融机构应要求银行业重点外包服务机

构具有如下相关领域资质认证:

(一) 具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二) 具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。

20