銀行業金融機構信息科技外包風險監管指引

第一章     總則

 

第一條   為規范銀行業金融機構的信息科技外包活動，降低信息科技外包風險，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規，制定本指引。

第二條   在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、省（自治區）農村信用社聯合社適用本指引。銀監會監管的其他金融機構參照本指引執行。

第三條   本指引所稱信息科技外包是指銀行業金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資源外包等形式。原則上包括以下類型：

（一）研發咨詢類外包：科技管理及科技治理等咨詢設計外包，規劃、需求、系統開發、測試外包；

（二）系統運行維護類外包：包括數據中心（災備中心）、機房配套設施、網絡、系統的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包；

（三）  業務外包中的信息科技活動：市場拓展、業務操作、企業管理、資產處置等外包中的系統開發、運行維護和數據處理活動。

第四條   本指引所稱關聯外包是指服務提供商為銀行業金融機構的母公司或其所屬集團子公司、關聯公司或附屬機構提供信息科技外包。

第五條   信息科技外包可能產生如下風險，并導致銀行業金融機構的戰略、聲譽、合規風險：

（一）科技能力喪失：銀行業金融機構過度依賴外部資源導致失去科技控制及創新能力，影響業務創新與發展；

（二）業務中斷：支持業務運營的外包服務無法持續提供導致業務中斷；

（三）信息泄露：包含客戶信息在內的銀行業金融機構非公開數據被服務提供商非法獲得或泄露；

（四）服務水平下降：由于外包服務質量問題或內外部協作效率低下，使得銀行業金融機構信息科技服務水平下降。

第六條  本指引所稱機構集中度風險是指銀行業金融機構將信息科技外包服務集中交由少量服務提供商承接而產生的風險，該風險可能造成集中性的服務中斷、質量下降、安全事件等。

第七條   本指引所稱同業托管機構是指作為外包服務提供商為其他同行業金融機構提供信息科技外包服務的銀行業金融機構。

第八條   銀行業金融機構應當將信息科技外包管理納入全面風險管理體系，建立與本機構信息科技戰略目標相適應的外包管理體系，控制或降低由于外包而引發的風險。

第九條    銀行業金融機構應當建立信息科技外包管理組織架構，制定外包管理戰略，定期進行外包風險評估，通過服務提供商準入、評價、退出等手段建立及維護符合自身戰略目標的供應商關系管理策略。

第十條   銀行業金融機構在實施信息科技外包時應當堅持以下原則：

（一）  以不妨礙核心能力建設、積極掌握關鍵技術為導向；

（二）保持外包風險、成本和效益的平衡；

（三）強調外包風險的事前控制，保持管控力度；

（四）根據外包管理及技術發展趨勢，持續改進外包策略和措施。

第十一條    銀行業金融機構在實施信息科技外包時，不得將信息科技管理責任外包。

第十二條    對于不涉及銀行客戶及內部信息轉移的信息科技產品采購、維保，及通訊線路租用、支付或清算系統接入等信息科技公共基礎設施服務，銀行業金融機構應當充分評估其信息科技風險，按照本指引第五章要求進行管理。

 

第二章      外包管理組織架構

 

第十三條    銀行業金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門，制定并審批信息科技外包戰略，審議信息科技外包管理流程及制度，督促并監控信息科技外包風險管理效果。

第十四條    信息科技外包風險主管部門的主要職責包括：

（一）對外包風險進行識別、評估與風險提示；

（二）監督、評價外包管理工作，并督促外包風險管理的持續改善；

（三）向高級管理層定期匯報信息科技外包活動相關風險管理情況；

（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。

第十五條    銀行業金融機構應當在信息科技管理部門或信息科技外包活動執行部門內建立信息科技外包管理執行團隊，并配備足夠人員履行以下職責：

（一）實施信息科技外包戰略；

（二）制定并執行信息科技外包管理制度與流程；

（三）執行供應商準入、評價、退出管理，建立并維護供應商關系管理策略；

（四）制定保障外包服務持續性的應急管理方案，并組織實施定期演練；

（五）對外包過程中的各項管理活動進行監控及分析，定期向信息科技及外包風險管理主管部門報告外包活動情況。

 

第三章      信息科技外包戰略及風險管理

 

第一節      信息科技外包戰略

第十六條     銀行業金融機構應當以提升信息科技隊伍能力，提高科技管理及創新水平，掌握信息科技核心技能為目標，基于信息科技戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略，包括：不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。

第十七條   銀行業金融機構應當根據自身信息科技戰略明確不能外包的職能。涉及戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不得外包。

第十八條    銀行業金融機構應當根據外包戰略制定資源、能力建設方案，通過補充人員、提升技能、知識轉移等方式，有針對性地獲取或提升管理及技術能力，降低對服務提供商的依賴。

第十九條    銀行業金融機構應當建立與自身規模、市場地位相適應的供應商關系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數量，實現以下目標：防范行業壟斷和機構集中度風險，通過引入適當的競爭在降低采購成本的同時提高服務質量，合理管控服務提供商的數量從而降低風險及管理成本等。

第二十條    銀行業金融機構可以按照外包服務性質和重要性程度對服務提供商進行分級管理，對不同級別的服務提供商采取差異化的管控措施，在有效管理重要風險的前提下降低管理成本。

第二十一條    銀行業金融機構要同母公司或集團公司協同做好外包服務及服務提供商的管理工作，但應當保持關聯外包有關決策的獨立性，避免因關聯關系而降低外包活動的風險控制水平。

 

第二節      信息科技外包風險管理

第二十二條  銀行業金融機構信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告。評估內容包括：信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。

第二十三條  銀行業金融機構應當對重要的外包服務提供商進行定期的風險評估，保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括：服務提供商合規情況、服務的執行效果等，評估結果應當作為服務提供商準入及退出的重要依據。

第二十四條  銀行業金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應當及時開展專項審計。

 

第四章      信息科技外包管理

 

第一節     外包風險評估及準入

第二十五條  外包項目立項前，銀行業金融機構應當審慎檢查項目與信息科技外包戰略的一致性，根據項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處置措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。

第二十六條  銀行業金融機構應當根據供應商關系管理策略，結合風險評估結果及服務提供商的準入標準，對備選服務提供商進行初步篩選，防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。

第二十七條  對于外包服務提供商為同業托管機構的情況，銀行業金融機構可參照本節內容對其進行管理。

 

第二節       服務提供商盡職調查

第二十八條  對重要的服務提供商，銀行業金融機構在與其簽訂合同前應當深入開展盡職調查，必要時可聘請第三方機構協助調查。

第二十九條  銀行業金融機構在盡職調查時應當關注服務提供商的技術和行業經驗，包括但不限于：服務能力和支持技術、服務經驗、服務人員技能、市場評價、監管評價等。

第三十條    銀行業金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力，包括但不限于：內部控制機制和管理流程的完善程度、內部控制技術和工具等。

第三十一條  銀行業金融機構在盡職調查時應當關注服務提供商的持續經營狀況，包括但不限于：從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。

第三十二條   對于關聯外包，銀行業金融機構不得因關聯關系而降低對服務提供商的要求，應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平，確認其有足夠能力實施外包服務、處理突發事件等。

第三十三條   對于外包服務提供商為同業托管機構的情況，銀行業金融機構可參照本節內容對其進行管理。

 

第三節      外包服務合同及要求 

第三十四條   銀行業金融機構在實施外包服務項目前，應當與服務提供商簽訂服務合同。合同應當根據外包服務需求、風險評估及盡職調查結果確定詳細程度和重點。

第三十五條  銀行業金融機構在合同或協議中應當明確以下內容，包括但不限于：

（一）       服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續合作中的相關限定條件；

（二）   合規與內控要求，對法律法規及銀行業金融機構內部管理制度的遵從要求、監管政策的通報貫徹機制、服務提供商的內控措施；

（三）服務連續性要求，服務提供商的服務連續性管理目標應當滿足銀行業金融機構業務連續性目標要求；

（四）銀行業金融機構監控和檢查的權利、頻率，服務提供商配合其內、外部審計機構檢查，及配合銀行業監管機構檢查的責任；

（五）  政策或環境變化因素等在內的合同變更或終止的觸發條件，外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和設施的交接處置等過渡期間相關服務的安排；

（六）外包服務過程中產生、加工、交互的信息和知識產權的歸屬權以及允許服務提供商使用的內容及范圍，對服務提供商使用合法軟、硬件產品的要求；

（七）服務要求或服務水平條款，至少應當包括如下內容：外包服務的關鍵要素、服務時效和可用性、數據的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等；

（八）爭端解決機制、違約及賠償條款，至少包括如下內容：服務質量違約、安全違約、知識產權違約等，及在各種違約情況下的賠償以及外包爭端的解決機制；

（九）報告條款，至少包括常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。

第三十六條  銀行業金融機構應當在合同或協議中明確服務提供商在安全和保密方面的責任，以及針對安全及保密要求需采取的具體措施。包括但不限于：

（一） 禁止服務提供商在合同允許范圍外使用或者披露銀行業金融機構的信息，以防止信息被非授權使用；

（二）在合同或協議中約定服務提供商對銀行客戶信息安全和銀行客戶權利的保護條款、事故處理方式及違約賠償條款；

（三）在合同或協議中約定服務提供商不得以所服務的銀行業金融機構名義開展活動；

（四）服務提供商接觸銀行業金融機構信息時，需滿足安全和保密相關條款的要求；

（五）在發生銀監會規定的信息科技突發事件，或發生可能引發系統性、區域性銀行業信息科技風險類突發事件時，服務提供商應及時向銀行業金融機構報告，包括事件的影響以及處置和糾正措施。

第三十七條  銀行業金融機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求：

（一）不得將外包服務的主要業務分包；

（二）主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包合同或協議；

（三） 主服務提供商對分包商進行監控，并對分包商的變更履行通知或報告審批義務。

 

第四節     外包服務安全管理

第三十八條  銀行業金融機構應當制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設施遭受破壞等風險。具體措施包括：

（一） 對外包人員進行信息安全培訓，提高風險管理意識，確保信息安全管控措施在外包服務過程中有效落實；

（二）明確外包活動需要訪問或使用的信息資產，包括場地、辦公設施、計算機、服務器、軟件、數據、信息、物理訪問控制設備、賬號、網絡寬帶、網絡端口等，按“必需知道”和“最小授權”原則進行訪問授權；

（三）對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描；

（四）定期對服務提供商進行安全檢查，獲取服務提供商自評估或第三方評估報告。

第三十九條    銀行業金融機構對關聯外包服務提供商定期進行的安全檢查，不得以服務提供商的自評估替代，不得因關聯關系而影響檢查的獨立性、客觀性及公正性。

第四十條    銀行業金融機構應當關注外包服務引入的新技術或新應用對現有治理模式及安全架構的沖擊，及時完善信息安全管控體系，避免因新技術或應用的引入而增加額外的信息安全風險。

 

第五節      外包服務監控與評價

第四十一條   銀行業金融機構應當對外包服務過程進行持續監控，要求服務提供商建立階段性服務目標及任務，并跟蹤任務的執行情況，及時發現和糾正服務過程中存在的各類異常情況。

第四十二條    銀行業金融機構應當根據信息科技外包需求、合同、服務水平協議等建立明確的服務質量監控指標，并進行相應監控。常見指標包括：

（一）信息系統和設備及基礎設施的可用率、設備的開機率；

（二）故障次數、故障解決率、故障的響應時間；

（三）服務的次數、客戶滿意度；

（四）各階段業務需求的及時完成率、程序的缺陷數、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率。

第四十三條    銀行業金融機構應當建立明確的服務目錄、服務水平協議以及服務水平監控評價機制,并確保外包服務監控基礎數據和評價結果的真實性和完整性，且數據至少需保存到服務結束后一年。

第四十四條    銀行業金融機構應當對服務提供商的財務、內控及安全管理進行持續監控，關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。

第四十五條    銀行業金融機構監控到異常情況時，應當及時督促服務提供商采取糾正措施，情節嚴重的或未及時糾正的，應當約談服務提供商高管人員并限期整改。

第四十六條    外包服務結束時，銀行業金融機構應當對服務提供商進行評價，評價結果應當作為服務提供商準入的重要參考依據。

第四十七條    對于關聯外包，銀行業金融機構董事會及高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業績評價范圍，建立外包服務重大事件問責機制。同時，應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。

 

第六節     外包服務中斷與終止

第四十八條     銀行業金融機構應當考慮信息科技外包的引入對業務連續性管理的影響，有針對性地完善業務連續性管理計劃，包括但不限于：

（一）識別出重要業務所涉及的服務提供商和資源；

（二）通過合同、協議等形式明確要求服務提供商提前準備并維護好相關資源；

（三） 對服務提供商業務連續性管理進行監控，并評價其管理水平；

（四）在進行業務連續性計劃演練時將相關的服務提供商納入演練范圍。

第四十九條    為降低外包突發事件的可能性及影響，銀行業金融機構應當事先對業務連續性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施，包括但不限于以下內容：

（一） 在外包服務實施過程中持續收集服務提供商相關信息，盡早發現可能導致服務中斷的情況；

（二）與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優先權；

（三）要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；

（四）對于涉及重要業務的外包服務，銀行業金融機構需考慮預先在其內部配置相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。

第五十條    銀行業金融機構應當針對重要外包服務中斷的場景，擬定相應的應急計劃，并定期進行演練，考慮因素包括但不限于以下內容：

（一）事件場景，如重要人員流失導致服務無法持續，服務提供商主動退出，因資質變更、被收購、兼并或破產等原因導致的服務提供商被動退出等；

（二）事件持續時間和恢復可能性；

（三）事件影響范圍和可能的應急措施；

（四）服務提供商自行恢復服務的可能性和時間；

（五）備選的服務提供商以及外包服務遷移方案；

（六）外包服務過渡給銀行業金融機構自行運作的可能性、時效及資源需求。

第五十一條    對于無法滿足外包服務要求或發生重大事件的情況，銀行業金融機構應當在充分評估其影響及制定退出計劃的前提下，考慮主動要求服務提供商終止服務，情節特別嚴重的，可考慮取消準入資質，并報監管機構申請對其備案。對于關聯外包，銀行業金融機構不得因為關聯關系而影響服務提供商退出機制的落實。

 

第五章            機構集中度風險管理

 

第五十二條  銀行業金融機構應當依據服務提供商所承接外包服務的數量、金額在本行重要信息科技服務中的占比，服務提供商所承接外包服務在銀行業服務市場占比情況，識別具有機構集中度特點的外包服務提供商。同時，還應識別服務提供商之間為集團子公司、關聯公司或附屬機構所產生的機構集中度風險。

第五十三條    銀行業金融機構應當積極采用分散信息科技外包活動、提高自主研發運行能力等形式，降低機構集中度，減少對外包服務提供商的依賴。

第五十四條   銀行業金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據，證明其內部控制和管理能力、持續運營能力等。

第五十五條   銀行業金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業金融機構配備相對獨立的資源，包括服務團隊、場地、系統、設備等；并對資源進行定期檢查，確保資源及時到位。

第五十六條   銀行業金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中，明確外包服務的優先級，并進行服務中斷應急演練，服務提供商應當至少參與服務交接、敏感信息處置等演練過程。

第五十七條   銀行業金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況的持續監控，建立信息收集機制，及時掌握風險事件情況，防范外包服務意外終止或服務質量急劇下降對本機構產生大面積影響。

第五十八條   銀行業金融機構應當對具有機構集中度特點的外包服務提供商增強監督頻率與力度，必要時可指派專人進行現場監督。

第五十九條   對于具有機構集中度特點的外包服務提供商為同業托管機構的情況，銀行業金融機構可參照本節內容對其進行外包管理。

 

第六章      跨境及非駐場外包管理

 

第一節     跨境外包風險管理

第六十條   跨境外包是指在境外其他國家或地區實施的信息科技外包服務活動。

第六十一條    跨境外包除具有本指引前述風險外，還包括由于某一國家或地區經濟、政治、社會變化及事件而產生的國別風險，及由于外包實施場地遠離銀行業金融機構而產生的非駐場風險。

第六十二條   銀行業金融機構應當充分了解并持續監控服務提供商所在國家或地區狀況，通過建立業務連續性計劃防范跨境外包所帶來的國別風險。

第六十三條   銀行業金融機構應當關注國外法律法規、監管要求對其獲取服務提供商外包管理信息可能造成的影響。實施跨境外包應當以不妨礙銀行業金融機構有效履行外包服務監控管理職能及監管機構延伸檢查為前提。

第六十四條    銀行業金融機構在選擇跨境外包時，應當明確其所在國家或地區監管當局已與銀監會簽訂諒解備忘錄或雙方認可的其他約定。

第六十五條    銀行業金融機構在選擇跨境外包時，還應當充分審查評估服務提供商保護客戶信息的能力，并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包，應當在符合監管法規政策并獲得客戶授權的前提下開展。

第六十六條    銀行業金融機構在實施跨境外包時，其合同應當包括法律選擇和司法管轄權的約定，明確爭議解決時所適用的法律及司法管轄權，原則上應當要求服務提供商依照中國的法律解決糾紛。

 

第二節     非駐場外包風險管理

第六十七條    非駐場外包是指服務提供商不在銀行業金融機構現場提供服務的外包形式。由于銀行業金融機構不能對其內部控制及風險管理措施進行直接管控，應當在信息安全、知識產權保護、質量監控、法律合規等方面加強對服務提供商的風險管理。

第六十八條   銀行業金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準，該標準應當作為選擇服務提供商的最低要求。

第六十九條   銀行業金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次，檢查結果作為外包服務提供商項目考核及準入的重要指標。

第七十條   銀行業金融機構應當加強對外包服務提供商非駐場外包服務內部控制、質量管理、信息安全的有效性評估，評估結果作為供應商準入的重要依據。對于高風險的服務提供商，銀行業金融機構應當責令其進行限期整改，對于逾期未改的服務提供商應當暫停或取消其服務資格。

第七十一條         對于非駐場外包服務提供商為同業托管機構的情況，銀行業金融機構可以參照本節內容對其進行外包管理，但同業托管機構須將為其他同行業金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分，不得區別對待，降低對自身提供外包服務的風險管控水平。

 

   第七章     銀行業重點外包服務機構風險管理要求

 

第七十二條     銀行業重點外包服務機構是指集中為銀行業金融機構提供外包服務，同時滿足下述條件，如其外包服務失敗可能導致銀行業大面積數據損毀、丟失、泄露或信息系統服務中斷，造成經濟損失的機構，具體條件如下：

(一)承擔集中存貯客戶數據的業務交易系統外包服務；或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務；或承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務；且上述服務均為非駐場外包服務。

(二) 服務的法人銀行業金融機構數量、服務合同金額占有本服務領域市場份額的三分之一以上；或服務的跨區域經營法人銀行業金融機構數量達到3家或以上；或服務的其他類型法人銀行業金融機構數量達到10家或以上。

第七十三條    銀行業金融機構應當根據監管機構發布的銀行業重點外包服務機構風險提示，按照如下要求進行管理：

(一) 銀行業重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體，注冊資本和實收資本不少于1000萬，注冊成立時間不少于3年。

(二)銀行業重點外包服務機構應當擁有健全的組織架構，并針對所提供的外包服務建立有效的風險治理架構，至少應當建立由公司高級管理層直接領導、針對銀行業金融機構外包服務的、專職信息科技風險管理團隊，為持續的外包服務提供保證。

(三) 銀行業重點外包服務機構應當建立與所承擔的服務范圍和規模相適應的服務管理體系，建立完善的信息安全、服務質量、服務持續性等管理制度體系，擁有有效的檢查、監控和考核機制，確保管理規范有效執行。

(四) 銀行業重點外包服務機構應當具有足夠的技術能力、人力資源和設施、環境，滿足外包服務的質量和安全管理要求。銀行業重點外包服務機構承擔的銀行業金融機構外包服務場地應當設置在中國境內。

第七十四條    銀行業金融機構應當要求銀行業重點外包服務機構具有如下相關領域資質認證:

(一)  具有完善的信息安全管理體系、業務連續性管理體系，并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證。

(二)具有完善的質量管理體系，并通過業界公認較為權威的質量管理資質認證。

(三)承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務的銀行業重點外包服務機構，其機房及基礎設施應當達到國家電子計算機機房最高標準。

(四)承擔集中存貯客戶數據的業務交易系統外包服務，或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務的銀行業重點外包服務機構，應當具有完善的運行服務管理體系，并通過業界公認較為權威的運行服務管理資質認證。

第七十五條         銀行業金融機構應當在風險管理、審計方面對銀行業重點外包服務機構提出如下要求：

(一)銀行業重點外包服務機構應當具有信息科技風險的管理體系，有效識別、監測、評估和控制風險。銀行業重點外包服務機構應當至少每季度向所服務的銀行業金融機構報送外包風險監控報告，針對監控發現的潛在風險或風險事件，及時采取控制或緩釋措施。

(二) 銀行業重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,年度風險評估報告需報送所服務的銀行業金融機構，并抄送銀監會或其派出機構。

(三) 銀行業重點外包服務機構應當對其外包服務團隊成員進行背景調查，確保其過往無不良記錄，且應當與項目成員簽訂保密協議，并保留至少10年的法律追訴期。

 

第八章      監督管理

 

第七十六條  銀行業金融機構開展以下信息科技外包服務時,應當在外包合同簽訂前二十個工作日向銀監會或其派出機構報告，針對銀行業金融機構信息科技外包風險，銀監會及其派出機構可以采取風險提示、約見談話、監管質詢等措施。

（一）信息科技工作整體外包；

（二）數據中心或災備中心整體外包；

（三）涉及將銀行業金融機構客戶資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息科技外包；

（四）以非駐場形式實施的、集中存貯客戶數據的業務交易系統外包；

（五）關聯外包；

（六）涉及跨境的信息科技外包；

（七）其他銀監會認為重要的信息科技外包。

第七十七條  銀行業金融機構信息科技外包活動中發生如下重大事件時，應當在兩個工作日內向銀監會或其派出機構報告。

（一） 銀行業金融機構客戶信息等敏感數據泄露；

（二） 數據損毀或者重要業務運營中斷；

（三） 由于不可抗力或服務提供商重大經營、財務問題，導致或可能導致多家銀行業金融機構外包服務中斷;

（四） 其他重大的服務提供商違法違規事件；

（五） 銀監會規定需要報告的其他重大事件。

第七十八條  銀行業金融機構在開展年度外包風險管理評估工作后，應當將年度風險評估報告報送銀監會或其派出機構。

第七十九條  銀監會及其派出機構對銀行業金融機構信息科技外包工作進行監督和檢查，監督檢查結果納入對銀行業金融機構的監管評級。

第八十條   對于風險較高的信息科技外包服務，銀監會或其派出機構可以要求銀行業金融機構暫緩、中止該類外包服務，直至銀行業金融機構、外包服務提供商有效改正。

第八十一條  銀行業金融機構違反本指引規定的，銀監會或其派出機構可要求其糾正或采取替代方案，并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業金融機構穩健運行、損害存款人和其他客戶合法權益的，依法追究銀行業金融機構管理責任。

第八十二條  銀監會實行銀行業信息科技外包服務活動風險監測機制，定期對銀行業金融機構發布銀行業重點外包服務機構名單和風險提示，防范因高機構集中度外包服務導致的系統性、區域性信息科技風險。

第八十三條    銀監會應當對具有機構集中度特點的銀行業金融機構信息科技外包服務進行重點風險監測、評估，根據需要，可以要求銀行業金融機構與重點外包服務機構會談，就其外包服務活動和風險的重大事項作出說明。

第八十四條  銀監會應當組織銀行業金融機構實地核查銀行業重點外包服務機構承擔的銀行業金融機構信息科技服務活動，原則上每兩年進行一次，也可以委托其他第三方機構審計的形式實施。

第八十五條  銀監會可以根據銀行業金融機構信息科技服務活動風險評估和實地核查結果，對銀行業金融機構發出監管提示，要求其督促銀行業重點外包服務機構對風險問題實施整改。

第八十六條  銀行業重點外包服務機構應當配合銀行業金融機構及銀監會的風險監測和實地核查。

第八十七條  銀監會組織相關銀行業金融機構對銀行業信息科技外包服務提供商建立服務管理記錄，并對其進行風險評估和評級。

第八十八條  服務提供商在外包服務中存在以下情形的，銀監會定期向銀行業發布服務提供商風險預警，公布機構名單、服務信息等，要求銀行業金融機構禁止相關服務提供商承擔銀行業信息科技外包服務，禁止期至少為兩年。外包服務提供商兩年內仍未整改的，延長其禁止期。

（一）違反國家法律、法規和監管政策，情節嚴重的；

（二）竊取、泄露銀行業金融機構敏感信息，情節嚴重的；

（三）因管理過失，多次發生重要信息系統服務中斷或數據損毀、丟失、泄露事件的；

（四）服務質量低下并給多家銀行業金融機構造成損失，多次提示仍未整改的；

（五） 對風險監測和實地檢查發現的問題，逾期仍未整改的；

（六） 存在其他違法違規行為，或發生其他重大信息科技風險事件的。

第八十九條   銀監會負責監督銀行業金融機構對信息科技外包服務提供商實施準入管理。對于存在重大風險的外包活動，銀行業金融機構應當立即評估外包的適當性，對信息科技外包服務提供商進行風險預警提示，要求其進行整改并設定期限；逾期未整改的，禁止其承擔信息科技外包服務。

 

第九章            附則

 

第九十條      本指引由銀監會負責解釋、修訂。

第九十一條  本指引自公布之日起施行。