(三) 承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应达到国家电子计算机机房最高标准。
(四) 承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条 银行业金融机构应在风险管理、审计方面对银行
业重点外包服务机构做出如下要求:
(一) 银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二) 银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,年度风险评估报告需报送所服务的银行业金融机构,并抄送银行业监督管理委员会或其派出机构。
(三) 银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无犯罪或其他不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
21
第八章 监督管理
第七十六条 银行业金融机构开展以下信息科技外包服务时,
应在外包合同签订前二十个工作日向中国银监会或其派出机构报告。报告内容见附件《信息科技外包服务报告材料目录》。
(一) 信息科技工作整体外包; (二) 数据中心或灾备中心整体外包;
(三) 涉及将银行业金融机构客户资料、交易数据等敏感
信息交由服务提供商进行分析或处理的信息科技外包;
(四) 以非驻场形式实施的、集中存贮客户数据的业务交
易系统外包;
(五) 关联外包;
(六) 涉及跨境的信息科技外包;
(七) 其他中国银监会认为重要的信息科技外包。 第七十七条 银行业金融机构信息科技外包活动中发生如下
重大事件时,应在两个工作日内向中国银监会或其派出机构报告。
(一) 银行业金融机构客户信息等敏感数据泄露; (二) 数据损毁或者重要业务运营中断;
(三) 由于不可抗力或服务提供商重大经营、财务问题,
导致或可能导致多家银行业金融机构外包服务中断;
22
(四) 其他重大的服务提供商违法违规事件; (五) 中国银监会规定需要报告的其他重大事件。 第七十八条 银行业金融机构在开展年度外包风险管理评估
工作后,应将年度风险评估报告报送中国银监会或其派出机构。报告内容见附件《信息科技外包服务报告材料目录》。
第七十九条 中国银监会及其派出机构对银行业金融机构信
息科技外包工作进行监督和检查,监督检查结果应纳入对银行业金融机构的监管评级。
第八十条 对于风险较高的信息科技外包服务,银监会或其
派出机构可要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条 银行业金融机构违反本指引规定的,中国银监会
或其派出机构可要求银行业金融机构纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,将依法追究银行业金融机构管理责任。
第八十二条 中国银监会实行对银行业信息科技外包服务活
动风险监测机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的行业性、区域性信息科技风险。
第八十三条 中国银监会应对具有机构集中度特点的银行
业金融机构信息科技外包服务活动进行重点风险监测、评估。根
23
据履行职责的需要,中国银监会可要求银行业金融机构与银行业重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条 中国银监会应组织银行业金融机构,实地核查银
行业重点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条 中国银监会可根据银行业金融机构信息科技服
务活动风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条 银行业重点外包服务机构应当配合银行业金融
机构及中国银监会的风险监测和实地核查。发现外包服务中发生可能引发行业性、区域性信息科技风险的突发事件时,应及时向银行业金融机构报告。
第八十七条 中国银监会组织相关银行业金融机构对银行业
信息科技外包服务提供商建立服务管理记录,并对其风险评估和评级。
第八十八条 服务提供商在外包服务中存在以下情形的,中国
银监会将定期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,将延长其禁止期。
24