中国银行业监督管理委员会时间:2021.01.01创作:欧阳美银监发[2013]5号中国银监会关于印发银行业金融机构信息科技外包风险监 管指引的通知 各银监局,各政策性银行、国有商业银行、股份制商业银行、 金融资产管理公司,邮储银行,各省级农村信用联社,银监会 直接监管的信托公司、企业集团财务公司、金融租赁公司: 现将《银行业金融机构信息科技外包风险监管指引》印发 给你们,请遵照执行2013 年 2 月 16 日 银行业金融机构信息科技外包风险监管指引 第一章 总则第一条 为规范银行业金融机构的信息科技外包活动,降 低信息科技外包风险,根据《中华人民共和国银行业监督管理 法》、《中华人民共和国商业银行法》等法律法规,制定本指 引第二条 在中华人民共和国境内设立的政策性银行、商业 银行、农村合作银行、省(自治区)农村信用社联合社适用本 指引银监会监管的其他金融机构参照本指引执行第三条 本指引所称信息科技外包是指银行业金融机构将 原本由自身负责处理的信息科技活动委托给服务提供商进行处 理的行为,包含项目外包、人力资源外包等形式原则上包括 以下类型:(一) 研发咨询类外包:科技管理及科技治理等咨询 设计外包,规划、需求、系统开发、测试外包;(二) 系统运行维护类外包:包括数据中心(灾备中 心)、机房配套设施、网络、系统的运维外包,自助设备、 POS 机等远程终端及办公设备的运维外包;(三) 业务外包中的信息科技活动:市场拓展、业务 操作、企业管理、资产处置等外包中的系统开发、运行维护和 数据处理活动。
第四条 本指引所称关联外包是指服务提供商为银行业金 融机构的母公司或其所属集团子公司、关联公司或附属机构提 供信息科技外包第五条 信息科技外包可能产生如下风险,并导致银行业 金融机构的战略、声誉、合规风险:(一) 科技能力丧失:银行业金融机构过度依赖外部 资源导致失去科技控制及创新能力,影响业务创新与发展;(二) 业务中断:支持业务运营的外包服务无法持续 提供导致业务中断;(三) 信息泄露:包含客户信息在内的银行业金融机 构非公开数据被服务提供商非法获得或泄露;(四) 服务水平下降:由于外包服务质量问题或内外 部协作效率低下,使得银行业金融机构信息科技服务水平下 降第六条 本指引所称机构集中度风险是指银行业金融机构 将信息科技外包服务集中交由少量服务提供商承接而产生的风 险,该风险可能造成集中性的服务中断、质量下降、安全事件 等第七条 本指引所称同业托管机构是指作为外包服务提供 商为其他同行业金融机构提供信息科技外包服务的银行业金融 机构第八条 银行业金融机构应当将信息科技外包管理纳入全 面风险管理体系,建立与本机构信息科技战略目标相适应的外 包管理体系,控制或降低由于外包而引发的风险。
第九条 银行业金融机构应当建立信息科技外包管理组织 架构,制定外包管理战略,定期进行外包风险评估,通过服务 提供商准入、评价、退出等手段建立及维护符合自身战略目标 的供应商关系管理策略第十条 银行业金融机构在实施信息科技外包时应当坚持 以下原则:(一) 以不妨碍核心能力建设、积极掌握关键技术为导向;(二) 保持外包风险、成本和效益的平衡;(三) 强调外包风险的事前控制,保持管控力度;(四) 根据外包管理及技术发展趋势,持续改进外包 策略和措施第十一条 银行业金融机构在实施信息科技外包时,不得 将信息科技管理责任外包第十二条 对于不涉及银行客户及内部信息转移的信息科 技产品采购、维保,及通讯线路租用、支付或清算系统接入等 信息科技公共基础设施服务,银行业金融机构应当充分评估其 信息科技风险,按照本指引第五章要求进行管理第二章 外包管理组织架构第十三条 银行业金融机构董事会及高级管理层应当严格 落实信息科技外包风险管理的相关职责 , 明确信息科技外包风 险管理的主管部门,制定并审批信息科技外包战略,审议信息 科技外包管理流程及制度,督促并监控信息科技外包风险管理 效果第十四条 信息科技外包风险主管部门的主要职责包括:(一)对外包风险进行识别、评估与风险提示;(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;(三)向高级管理层定期汇报信息科技外包活动相关风险管理情况;(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第十五条 银行业金融机构应当在信息科技管理部门或信 息科技外包活动执行部门内建立信息科技外包管理执行团队, 并配备足够人员履行以下职责:(一) 实施信息科技外包战略;(二) 制定并执行信息科技外包管理制度与流程;(三) 执行供应商准入、评价、退出管理,建立并维 护供应商关系管理策略;(四) 制定保障外包服务持续性的应急管理方案,并 组织实施定期演练;(五) 对外包过程中的各项管理活动进行监控及分 析,定期向信息科技及外包风险管理主管部门报告外包活动情 况第三章 信息科技外包战略及风险管理第一节 信息科技外包战略第十六条 银行业金融机构应当以提升信息科技队伍能 力,提高科技管理及创新水平,掌握信息科技核心技能为目 标,基于信息科技战略、外包市场环境、自身风险控制能力和 风险偏好制定信息科技外包战略,包括:不能外包的职能、资 源能力建设方案、供应商关系管理策略和外包分级管理策略第十七条 银行业金融机构应当根据自身信息科技战略明 确不能外包的职能涉及战略管理、风险管理、内部审计及其 他有关信息科技核心竞争力的职能不得外包第十八条 银行业金融机构应当根据外包战略制定资源、 能力建设方案,通过补充人员、提升技能、知识转移等方式, 有针对性地获取或提升管理及技术能力,降低对服务提供商的 依赖。
第十九条 银行业金融机构应当建立与自身规模、市场地 位相适应的供应商关系管理策略通过准入和退出机制合理管 控各类高风险服务提供商的数量,实现以下目标:防范行业垄 断和机构集中度风险,通过引入适当的竞争在降低采购成本的 同时提高服务质量,合理管控服务提供商的数量从而降低风险 及管理成本等第二十条 银行业金融机构可以按照外包服务性质和重要 性程度对服务提供商进行分级管理,对不同级别的服务提供商 采取差异化的管控措施,在有效管理重要风险的前提下降低管 理成本第二十一条 银行业金融机构要同母公司或集团公司协 同做好外包服务及服务提供商的管理工作,但应当保持关联外 包有关决策的独立性,避免因关联关系而降低外包活动的风险 控制水平第二节 信息科技外包风险管理第二十二条 银行业金融机构信息科技外包风险管理部 门应当至少每年开展一次全面的外包风险管理评估,保持评估 的独立性,并向高级管理层提交评估报告评估内容包括:信 息科技外包战略执行情况、外包信息安全、机构集中度、服务 连续性、服务质量、政策及市场变化对外包服务的影响分析 等第二十三条 银行业金融机构应当对重要的外包服务提 供商进行定期的风险评估,保持评估的独立性。
至少在三年内 覆盖所有重要的服务提供商评估内容包括:服务提供商合规 情况、服务的执行效果等,评估结果应当作为服务提供商准入 及退出的重要依据第二十四条 银行业金融机构内部审计部门应当定期开 展信息科技外包风险管理审计工作,至少每三年对重要的外包 服务活动进行一次全面审计发生外包风险事件后应当及时开 展专项审计第四章 信息科技外包管理第一节 外包风险评估及准入第二十五条 外包项目立项前,银行业金融机构应当审 慎检查项目与信息科技外包战略的一致性,根据项目内容、范 围、性质对其进行风险识别和评估,制定相应的风险处置措 施,不因外包活动的引入而增加整体剩余风险重大外包项目 应向董事会、高管层报告第二十六条 银行业金融机构应当根据供应商关系管理 策略,结合风险评估结果及服务提供商的准入标准,对备选服 务提供商进行初步筛选,防范引入高机构集中度风险特点的服 务提供商、或引入增加整体风险的服务提供商第二十七条 对于外包服务提供商为同业托管机构的情 况,银行业金融机构可参照本节内容对其进行管理第二节 服务提供商尽职调查第二十八条 对重要的服务提供商,银行业金融机构在 与其签订合同前应当深入开展尽职调查,必要时可聘请第三方 机构协助调查。
第二十九条 银行业金融机构在尽职调查时应当关注服 务提供商的技术和行业经验,包括但不限于:服务能力和支持 技术、服务经验、服务人员技能、市场评价、监管评价等第三十条 银行业金融机构在尽职调查时应当关注服务提 供商的内部控制和管理能力,包括但不限于:内部控制机制和 管理流程的完善程度、内部控制技术和工具等第三十一条 银行业金融机构在尽职调查时应当关注服 务提供商的持续经营状况,包括但不限于:从业时间、市场地 位及发展趋势、资金的安全性、近期盈利情况等第三十二条 对于关联外包,银行业金融机构不得因关 联关系而降低对服务提供商的要求,应当在尽职调查阶段详细 分析服务提供商技术、内控和管理水平,确认其有足够能力实 施外包服务、处理突发事件等第三十三条 对于外包服务提供商为同业托管机构的情 况,银行业金融机构可参照本节内容对其进行管理第三节 外包服务合同及要求第三十四条 银行业金融机构在实施外包服务项目前, 应当与服务提供商签订服务合同合同应当根据外包服务需 求、风险评估及尽职调查结果确定详细程度和重点第三十五条 银行业金融机构在合同或协议中应当明确 以下内容,包括但不限于:(一) 服务范围、服务内容、工作时限及安排、责任 分配、交付物要求以及后续合作中的相关限定条件;(二) 合规与内控要求,对法律法规及银行业金融机 构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务 提供商的内控措施;(三) 服务连续性要求,服务提供商的服务连续性管 理目标应当满足银行业金融机构业务连续性目标要求;(四) 银行业金融机构监控和检查的权利、频率,服 务提供商配合其内、外部审计机构检查,及配合银行业监管机 构检查的责任;(五) 政策或环境变化因素等在内的合同变更或终止 的触发条件,外包服务提供商在过渡期间应该履行的主要职责 及合同变更或终止的过渡安排,包括信息、资料和设施的交接 处置等过渡期间相关服务的安排;(六) 外包服务过程中产生、加工、交互的信息和知 识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;(七) 服务要求或服务水平条款,至少应当包括如下 内容:外包服务的关键要素、服务时效和可用性、数据的机密 性和完整性要求、变更的控制、安全标准的遵守情况、技术支 持水平等;(八) 争端解决机制、违约及赔偿条款,至少包括如 下内容:服务质量违约、安全违约、知识产权违约等,及在各 种违约情况下的赔偿以及外包争端的解决机制;(九) 报告条款,至少包括常规报告内容和报告频 度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确 服务提供商在安全和保密方面的责任,以及针对安全及保密要 求需采取的具体措施包括但不限于:(一) 禁止服务提供商在合同允许范围外使用或者披 露银行业金融机构的信息,以防止信息被非授权使用;(二) 在合同或协议中约定服务提供商对银行客户信 息安全和银行客户权利的保护条款、事故处理方式及违约赔偿 条款;(三) 在合同或协议中约定服务提供商不得以所服务 的银行业金融机构名义开展活动;(四) 服务提供商接触银行业金融机构信息时,需满 足安全和保密相关条款的要求;(五) 在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告。