银行业金融机构信息科技外包风险监管指引1 下载本文

(五) 在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处置和纠正措施。

第三十七条 银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转

包。在涉及外包服务分包时应当要求:

(一) 不得将外包服务的主要业务分包;

(二) 主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议; (三) 主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。

第四节 外包服务安全管理

第三十八条 银行业金融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信

息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:

(一) 对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有

效落实;

(二) 明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;

(三) 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;

(四) 定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。

第三十九条

银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自

评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条

银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的

冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。

第五节 外包服务监控与评价

第四十一条

银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务

目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。

第四十二条

银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务

质量监控指标,并进行相应监控。常见指标包括:

(一) 信息系统和设备及基础设施的可用率、设备的开机率; (二) 故障次数、故障解决率、故障的响应时间; (三) 服务的次数、客户满意度;

(四) 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率; (五) 外包人员工作饱和率、外包人员的考核合格率。

第四十三条

银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,

并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。

第四十四条

银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因

破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外

包服务意外终止或服务质量的急剧下降。

第四十五条

银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严

重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。

第四十六条

外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服

务提供商准入的重要参考依据。

第四十七条

对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外

包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。

第六节 外包服务中断与终止

第四十八条

银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性地