《非驻场集中式外包安全评价管理规范-中国银行业监督管理委员会》由会员分享,可在线阅读,更多相关《非驻场集中式外包安全评价管理规范-中国银行业监督管理委员会(4页珍藏版)》请在金锄头文库上搜索。
1、附件1:银行业信息科技非驻场集中式外包服务纳入监管评估 基本条件一、申请将外包服务纳入监管评估的外包服务商应具备以下 条件:(一)为中华人民共和国境内注册的独立法人实体,具有固定的办公场所,软件开发服务类企业注册资本500万(含)以上,其他企业注册资本和实收资本 1000万元(含)以上,注册 成立时间3年(含)以上;(二)具有良好的股权治理结构,并能有效控制外包服务 中的国别风险;(三)公司治理良好,近三年财务经营状况良好;(四)为银行业金融机构提供信息科技外包服务3年(含)以上,且至少为3家(含)以上银行业金融机构提供服务;(五) 社会声誉良好,近两年内未发生因管理失责引发的 达到银行业信息
2、系统突发事件应急管理规范中两起(含)以 上信息系统突发事件、无违规行为和重大案件发生;(六)具有健全的组织架构、有效的风险治理架构和专职 的信息科技风险管理团队,定期开展风险评估和审计工作;(七)具备与所承担服务范围和业务规模相适应的服务管理体系,具有较为完善的服务质量、信息安全、业务连续性、运 行维护等管理体系和资质认证;(八)具有足够的技术能力、人力资源和设施、环境,满 足外包服务的质量和安全管理要求, 承担外包服务的场地应当设 置在中国境内;(九)银行类机构的信息科技监管评级最近连续两年为2级(含)以上;(十)银行业科技外包合作组织会员单位优先。二、除以上条件外,申请机房运营类外包服务纳
3、入监管评估 的外包服务商还应具备以下条件:(一)机房应具有自有产权或长期租赁机房场地 5年(含) 以上且剩余租赁期限不低于 4年(含),机房出租方应为其所出 租机房的所有权人,房屋所有权权属清晰、完整且不存在法律争 议,不存在将机房关键基础设施的运维服务转包或分包的情况;(二)所服务的银行业金融机构与其他机构的基础设施间 具有明确、清晰的边界;(三)机房及基础设施具有根据服务功能划分的独立区 域、差异性访问控制策略和设施;(四)互为备份的不同通信运营商线路经由不同路由节点 接入机房;(五)高低压供配电系统、应急发电系统、不间断电源系统、机房专用空调等基础设施设计具有冗余备份,且为不间断运行;(
4、六)具有专业检测机构对机房的防雷接地、消防等基础 设施安全检测报告或安全资质证明;(七)监控系统较完善,具有对机房环境和基础设施的集 中监控能力,并可审计追溯;(八)机房满足银监会商业银行数据中心监管指引要 求。三、申请应用系统托管类外包服务纳入监管评估的外包服务 商,除满足第一条、第二条(二)至(八)项规定的条件外,还 应具备以下条件:(一)提供外包服务的机房具有自有产权或长期租赁机房 场地5年(含)以上;(二)对重要信息系统拥有自主知识产权或依法取得许可 使用权且许可使用期限不少于外包服务期;(三)计算机和网络等硬件设备满足应用系统安全性、可 靠性和运行效率的需要;(四)具备自主研发及运维
5、能力,配备与服务相适应的研 发管理、运维管理、质量管理、安全管理及客服队伍;(五)所服务的银行业金融机构与其他机构之间的设施、系统物理隔离;对所服务的银行业金融机构间的设施、系统和数据具有明确、清晰的边界,至少满足相互之间逻辑分离的要求;(六)对客户信息等敏感数据的访问、使用、销毁具备有效的安全管理措施,能够保障银行业金融机构对自身数据的访问 和控制能力;(七)具备较完善的系统用户管理和访问控制机制,满足 最小授权的原则,保障信息系统的完整性和可用性;(八)具有集中监控的电子化管理平台,能够满足对基础设施、信息系统和网络运行状况的实时监控和可追溯要求,保障信息系统运行的稳定性和可用性;(九)具备有效的防病毒、防入侵和防攻击措施,能够定 期开展病毒检查、恶意代码检测、漏洞扫描和渗透性测试等安全 活动,及时发现系统脆弱性;(十)具备完善的应急组织体系和业务连续性计划,应急预案覆盖基础设施、网络、系统等重要应急场景,并定期评审、 演练和更新;(十一)具备同城或异地灾备中心,灾备中心机房及基础设 施满足国家电子计算机机房标准, 满足商业银行数据中心监管 指引要求。
