銀保監辦發(fā)〔2021〕141號《中國銀保監會(huì )辦公廳關(guān)于印發(fā)銀行保險機構信息科技外包風(fēng)險監管辦法的通知》

中國銀保監會(huì )辦公廳關(guān)于印發(fā)銀行保險機構信息科技外包風(fēng)險監管辦法的通知





銀保監辦發(fā)〔2021〕141號

各銀保監局，各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷(xiāo)銀行、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、理財公司，各保險集團（控股）公司、保險公司、保險資產(chǎn)管理公司、養老金管理公司、保險專(zhuān)業(yè)中介機構：

為進(jìn)一步加強銀行保險機構信息科技外包風(fēng)險監管，促進(jìn)銀行保險機構提升信息科技外包風(fēng)險管控能力，銀保監會(huì )制定了《銀行保險機構信息科技外包風(fēng)險監管辦法》，現予印發(fā)，請遵照執行。





 

中國銀保監會(huì )辦公廳

2021年12月30日
 

銀行保險機構信息科技外包風(fēng)險監管辦法

第一章　總則

第一條  為規范銀行保險機構的信息科技外包活動(dòng)，加強信息科技外包風(fēng)險管控，根據《中華人民共和國銀行業(yè)監督管理法》《中華人民共和國商業(yè)銀行法》《中華人民共和國保險法》《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》等法律法規，制定本辦法。

第二條  在中華人民共和國境內設立的政策性銀行、商業(yè)銀行、農村合作銀行、?。ㄗ灾螀^）農村信用社聯(lián)合社，保險集團（控股）公司、保險公司、保險資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監會(huì )及其派出機構監管的其他金融機構參照本辦法執行。

第三條  本辦法所適用的信息科技外包，是指銀行保險機構將原本由自身負責處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為。

銀行保險機構與其他第三方合作當中涉及銀行保險機構重要數據和客戶(hù)個(gè)人信息處理的信息科技活動(dòng)，按照本辦法相關(guān)要求進(jìn)行管理，法律法規另有要求的除外。

第四條  銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風(fēng)險納入全面風(fēng)險管理體系，有效控制由于外包而引發(fā)的風(fēng)險。

第五條  銀行保險機構在實(shí)施信息科技外包時(shí)應當堅持以下原則：

（一）不得將信息科技管理責任、網(wǎng)絡(luò )安全主體責任外包；

（二）以不妨礙核心能力建設、積極掌握關(guān)鍵技術(shù)為導向；

（三）保持外包風(fēng)險、成本和效益的平衡；

（四）保障網(wǎng)絡(luò )和信息安全，加強重要數據和個(gè)人信息保護；

（五）強調事前控制和事中監督；

（六）持續改進(jìn)外包策略和風(fēng)險管理措施。


 

第二章　信息科技外包治理
 

第六條  銀行保險機構應建立覆蓋董（理）事會(huì )、高管層、信息科技外包風(fēng)險主管部門(mén)、信息科技外包執行團隊的信息科技外包及風(fēng)險管理組織架構，明確相應層級的職責，確保信息科技外包治理架構權責清晰、運轉高效、制衡充分。

第七條  銀行保險機構董（理）事會(huì )或其授權設立的專(zhuān)業(yè)委員會(huì )應負責推動(dòng)建立信息科技外包及其風(fēng)險管理體系、審批信息科技外包戰略、審議重大外包決策，高級管理層應負責制定信息科技外包戰略，明確信息科技外包風(fēng)險主管部門(mén)和信息科技外包執行團隊，明確信息科技外包及其風(fēng)險管理職責，審議信息科技外包管理流程及制度，監控信息科技外包及其風(fēng)險管理成效。

第八條  銀行保險機構應指定信息科技外包風(fēng)險主管部門(mén)，該部門(mén)主要職責包括：

（一）根據機構總體風(fēng)險政策和外包戰略，制定信息科技外包風(fēng)險管理策略、制度和流程；

（二）統籌信息科技外包風(fēng)險的識別、評估、監測、預警、報告及處置工作；

（三）制定保障外包服務(wù)持續性的應急管理方案，并定期組織實(shí)施演練；

（四）監督、評價(jià)外包執行團隊的管理工作，并督促外包風(fēng)險管理的持續改善；

（五）向董（理）事會(huì )（或其專(zhuān)門(mén)委員會(huì )）或高級管理層匯報信息科技外包相關(guān)風(fēng)險及管理情況。

第九條  銀行保險機構應在信息科技管理部門(mén)或信息科技外包活動(dòng)執行部門(mén)內部建立信息科技外包執行團隊，并配備足夠的具有相應能力和經(jīng)驗的人員履行以下職責：

（一）落實(shí)信息科技外包戰略；

（二）執行信息科技外包管理制度與流程；

（三）執行服務(wù)提供商準入、盡職調查、服務(wù)評價(jià)和退出管理工作，建立并維護服務(wù)提供商關(guān)系管理策略；

（四）持續監測外包服務(wù)的水平和質(zhì)量，及時(shí)處理服務(wù)提供商出現的相關(guān)違規和用戶(hù)投訴；

（五）對外包過(guò)程中的關(guān)鍵管理活動(dòng)進(jìn)行監控及分析，定期與信息科技外包風(fēng)險主管部門(mén)溝通外包活動(dòng)及有關(guān)風(fēng)險情況。

第十條  銀行保險機構應當基于機構的業(yè)務(wù)戰略、信息科技戰略、總體外包戰略、外包市場(chǎng)環(huán)境、自身風(fēng)險控制能力和風(fēng)險偏好制定信息科技外包戰略，包括但不限于：外包原則和策略、不能外包的職能、資源能力建設方案等。

第十一條  銀行保險機構應當明確不能外包的信息科技職能。涉及信息科技戰略管理、信息科技風(fēng)險管理、信息科技內部審計及其他有關(guān)信息科技核心競爭力的職能不得外包。

第十二條  銀行保險機構應當建立信息科技外包活動(dòng)分類(lèi)管理機制，針對不同類(lèi)型的外包活動(dòng)建立相應的管理和風(fēng)控策略。信息科技外包原則上劃分為咨詢(xún)規劃類(lèi)、開(kāi)發(fā)測試類(lèi)、運行維護類(lèi)、安全服務(wù)類(lèi)、業(yè)務(wù)支持類(lèi)等類(lèi)別。

第十三條 銀行保險機構應對信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行分級管理，對重要外包和一般外包采取差異化管控措施。下列信息科技外包活動(dòng)原則上屬于重要外包：

（一）信息科技工作整體外包，僅保留必要的管理團隊和核心職能；

（二）數據中心（機房）整體外包；

（三）涉及基礎設施和信息系統整體架構發(fā)生重大變化的信息科技外包；

（四）核心業(yè)務(wù)系統開(kāi)發(fā)測試和運行維護的整體外包；

（五）信息科技戰略規劃（含中長(cháng)期規劃）咨詢(xún)外包；

（六）安全運營(yíng)的整體外包；

（七）涉及集中存儲或處理銀行保險機構重要數據和客戶(hù)個(gè)人敏感信息的外包；

（八）直接影響實(shí)時(shí)服務(wù)、影響賬務(wù)準確性的重要信息系統外包；

（九）其它對機構業(yè)務(wù)運營(yíng)具有重要影響的外包。

第十四條  銀行保險機構應考慮重要外包終止的可能性，并制定退出策略。退出策略應至少明確：

（一）可能造成外包終止的情形；

（二）外包終止的業(yè)務(wù)影響分析；

（三）終止交接安排。


 

第三章　信息科技外包準入

第十五條  銀行保險機構應當充分評估擬開(kāi)展的信息科技外包活動(dòng)與信息科技外包戰略的一致性，充分評估擬開(kāi)展的信息科技外包活動(dòng)相關(guān)風(fēng)險，就是否實(shí)施外包作出審慎決策。重要外包應至少向高管層報告并經(jīng)過(guò)審批。

第十六條  銀行保險機構應根據信息科技外包戰略，結合風(fēng)險評估情況，明確服務(wù)提供商的準入標準，對備選服務(wù)提供商進(jìn)行篩選，審慎引入集中度風(fēng)險較高或增加機構整體風(fēng)險的服務(wù)提供商。

第十七條  銀行保險機構應在簽訂合同前，對重要外包的備選服務(wù)提供商深入開(kāi)展盡職調查，必要時(shí)可聘請第三方機構協(xié)助調查。在服務(wù)提供商經(jīng)營(yíng)狀況未發(fā)生重大變化的前提下，盡職調查結果原則上一年內有效。盡職調查應包括但不限于：

（一）服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗，人員及能力；

（二）服務(wù)提供商的內部控制和管理能力；

（三）服務(wù)提供商的網(wǎng)絡(luò )和信息安全保障能力；

（四）服務(wù)提供商的持續經(jīng)營(yíng)狀況；

（五）服務(wù)提供商及其母公司或實(shí)際控制人遵守國家和銀保監會(huì )相關(guān)法律法規要求的情況；

（六）服務(wù)提供商過(guò)往配合銀行保險機構審計、評估、檢查及監管機構監督檢查情況；

（七）服務(wù)提供商與銀行保險機構的關(guān)聯(lián)性。

第十八條  對于符合重要外包條件的非駐場(chǎng)外包，應當進(jìn)一步重點(diǎn)調查如下內容：

（一）服務(wù)提供商對銀行保險機構與其他機構的設施、系統和數據是否有明確、清晰的邊界；

（二）服務(wù)提供商是否有管理制度和技術(shù)措施保障銀行保險機構數據的完整性和保密性；

（三）服務(wù)提供商對涉及銀行保險機構的服務(wù)器、存儲、網(wǎng)絡(luò )設備、操作系統、數據庫、中間件等軟硬件基礎設施是否具有最高訪(fǎng)問(wèn)權限；

（四）服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統的最高管理權限或訪(fǎng)問(wèn)權限，是否能夠瀏覽、獲取重要數據或客戶(hù)個(gè)人敏感信息；

（五）服務(wù)提供商是否有完善的災難恢復設施和應急管理體系，是否有業(yè)務(wù)連續性安排；

（六）服務(wù)提供商是否存在不正當競爭或規避監管的情形。

第十九條  銀行保險機構在選擇跨境外包時(shí)，應當充分評估服務(wù)提供商所在國家或地區的政治、經(jīng)濟、社會(huì )、法律、文化等經(jīng)營(yíng)環(huán)境。涉及信息跨境存儲、處理和分析的，應遵守我國有關(guān)法律法規的規定。

第二十條  對于關(guān)聯(lián)外包和同業(yè)外包，銀行保險機構不得降低對服務(wù)提供商的要求，嚴格防范利益沖突和利益輸送。

第二十一條  銀行保險機構在信息科技外包合同或協(xié)議中應當明確以下內容，包括但不限于：

（一）服務(wù)范圍、服務(wù)內容、服務(wù)要求、工作時(shí)限及安排、責任分配、交付物要求以及后續合作中的相關(guān)限定條件，服務(wù)質(zhì)量考核評價(jià)約定。

（二）合規、內控及風(fēng)險管理要求，對法律法規及銀行保險機構內部管理制度的遵守要求，監管政策的通報貫徹機制。

（三）服務(wù)持續性要求，服務(wù)提供商的服務(wù)持續性管理目標應當滿(mǎn)足銀行保險機構業(yè)務(wù)連續性目標要求。

（四）銀行保險機構對服務(wù)提供商進(jìn)行風(fēng)險評估、監測、檢查和審計的權利，及服務(wù)提供商承諾接受銀保監會(huì )對其所承擔的銀行保險機構外包服務(wù)的監督檢查。

（五）合同變更或終止的觸發(fā)條件，合同變更或終止的過(guò)渡安排。

（六）外包活動(dòng)中相關(guān)信息和知識產(chǎn)權的歸屬權以及允許服務(wù)提供商使用的內容及范圍，對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求。

（七）資源保障條款。

（八）安全保密和消費者權益保護約定，包括但不限于：禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行保險機構的信息，服務(wù)提供商不得將銀行保險機構數據以任何形式轉移、挪用或謀取外包合同約定以外的利益。

（九）爭端解決機制、違約及賠償條款，跨境外包應明確爭議解決時(shí)所適用的法律及司法管轄權，原則上應當選擇中國仲裁機構、中國法院管轄，適用中國法律解決糾紛。

（十）報告條款，至少包括常規報告內容和報告頻度、突發(fā)事件時(shí)的報告路線(xiàn)、報告方式及時(shí)限要求。

第二十二條  銀行保險機構應當在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉包或變相轉包。在涉及外包服務(wù)分包時(shí)應當要求：

（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；

（二）主服務(wù)提供商對服務(wù)水平負總責，確保分包服務(wù)提供商能夠嚴格遵守外包合同或協(xié)議；

（三）主服務(wù)提供商對分包服務(wù)提供商進(jìn)行監控，并對分包服務(wù)提供商的變更履行通知或報告審批義務(wù)。

 

第四章　信息科技外包監控評價(jià)

第二十三條  銀行保險機構應當對外包服務(wù)過(guò)程進(jìn)行持續監控，及時(shí)發(fā)現和糾正服務(wù)過(guò)程中存在的各類(lèi)異常情況。

第二十四條  銀行保險機構應當建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監控評價(jià)機制，確保相關(guān)監控信息和評價(jià)結果的真實(shí)性和完整性，且數據至少保存到服務(wù)結束后三年。

第二十五條  銀行保險機構應當對信息科技外包服務(wù)建立服務(wù)效能和質(zhì)量監控指標，并進(jìn)行相應監控。常見(jiàn)指標包括：

（一）信息系統和設備及基礎設施的可用率；

（二）故障次數、故障解決率、故障的響應時(shí)間、故障的解決時(shí)間；

（三）服務(wù)的次數、客戶(hù)滿(mǎn)意度；

（四）業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率；

（六）網(wǎng)絡(luò )和信息安全指標、業(yè)務(wù)連續性指標。

第二十六條  銀行保險機構應當對服務(wù)提供商的財務(wù)、內控及安全管理進(jìn)行持續監控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

第二十七條  銀行保險機構監控到信息科技外包服務(wù)出現異常情況時(shí)，應當及時(shí)督促服務(wù)提供商采取糾正措施；情節嚴重或未及時(shí)糾正的，應當及時(shí)約談服務(wù)提供商高管人員并限期整改。對于逾期未整改的服務(wù)提供商，應當暫?；蛉∠浞?wù)資格，并向銀保監會(huì )或其派出機構報告。

第二十八條  對于關(guān)聯(lián)外包，銀行保險機構董（理）事會(huì )和高級管理層應當推動(dòng)母公司或所屬集團將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績(jì)評價(jià)范圍，建立外包服務(wù)重大事件問(wèn)責機制。

第二十九條  銀行保險機構應在信息科技外包服務(wù)到期前，就是否繼續外包進(jìn)行評估決策。外包服務(wù)結束時(shí)，銀行保險機構應對服務(wù)提供商進(jìn)行評價(jià)，評價(jià)結果作為服務(wù)提供商后續準入的重要參考依據。對具有持續性特點(diǎn)的外包服務(wù)，銀行保險機構終止外包或更換服務(wù)提供商前，應制定周密的退出和交接計劃。


 

第五章　信息科技外包風(fēng)險管理
 

第三十條  銀行保險機構應建立并持續完善風(fēng)險管理制度和流程，充分識別并評估信息科技外包可能產(chǎn)生的風(fēng)險，包括但不限于：

（一）科技能力喪失。過(guò)度依賴(lài)外包導致失去科技控制及創(chuàng )新能力，影響業(yè)務(wù)創(chuàng )新與發(fā)展。

（二）業(yè)務(wù)中斷。支持業(yè)務(wù)運營(yíng)的外包服務(wù)無(wú)法持續提供導致業(yè)務(wù)中斷。

（三）數據泄露、丟失和篡改。因服務(wù)提供商的不當行為或其服務(wù)的信息系統遭受網(wǎng)絡(luò )攻擊，導致銀行保險機構重要數據或客戶(hù)個(gè)人信息泄露、丟失和篡改。

（四）資金損失。因服務(wù)提供商的不當行為或其服務(wù)的信息系統遭受網(wǎng)絡(luò )攻擊，導致銀行保險機構客戶(hù)資金被盜取。

（五）服務(wù)水平下降。由于外包服務(wù)質(zhì)量問(wèn)題或內外部協(xié)作效率低下，使得信息科技服務(wù)水平下降。

（六）可能導致的戰略、聲譽(yù)、合規等其他風(fēng)險。

第三十一條  針對可能給業(yè)務(wù)連續性管理造成重大影響的重要外包服務(wù)，銀行保險機構應當事先建立風(fēng)險控制、緩釋或轉移措施，包括但不限于：

（一）事先制定退出策略和供應鏈安全保障方案，并在外包服務(wù)實(shí)施過(guò)程中持續收集服務(wù)提供商相關(guān)信息，盡早發(fā)現可能導致服務(wù)中斷或服務(wù)質(zhì)量下降的情況；

（二）明確措施和方法，在服務(wù)提供商服務(wù)質(zhì)量不能滿(mǎn)足合同要求的情況下，保障獲取其外包服務(wù)資源的優(yōu)先權；

（三）要求服務(wù)提供商提供必要的應急和災備資源保障，制定應急處理預案并在預案中明確為銀行保險機構提供應急響應和恢復的優(yōu)先級，原則上應為最高級；

（四）組織服務(wù)提供商參與應急計劃編制和應急演練，至少每年在綜合性演練或專(zhuān)項演練中納入一個(gè)或多個(gè)服務(wù)提供商開(kāi)展一次相關(guān)演練；

（五）考慮預先在銀行保險機構內部配置相應的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

第三十二條  銀行保險機構應當制定和落實(shí)網(wǎng)絡(luò )和信息安全管理措施，包括但不限于：

（一）對服務(wù)提供商和外包人員進(jìn)行網(wǎng)絡(luò )和信息安全教育或培訓，增強網(wǎng)絡(luò )和信息安全意識，服務(wù)提供商應與銀行保險機構簽訂安全保密協(xié)議，外包人員應簽署安全保密承諾書(shū)；

（二）明確外包活動(dòng)需要訪(fǎng)問(wèn)或使用的信息資產(chǎn)，按“必需知道”和“最小授權”原則進(jìn)行訪(fǎng)問(wèn)授權，嚴格管控遠程維護行為；

（三）對信息系統開(kāi)發(fā)交付物（含擁有知識產(chǎn)權的源代碼）進(jìn)行安全掃描和檢查；

（四）對客戶(hù)信息、源代碼和文檔等敏感信息采取嚴格管控措施，對敏感信息泄露風(fēng)險進(jìn)行持續監測；

（五）對服務(wù)提供商所提供的模型、算法及相關(guān)信息系統加強管理，確保模型和算法遵循可解釋、可驗證、透明、公平的原則；

（六）定期對外包活動(dòng)進(jìn)行網(wǎng)絡(luò )和信息安全評估。

第三十三條  銀行保險機構應識別對本機構具有集中度風(fēng)險的外包服務(wù)及其提供商，積極采用分散外包活動(dòng)、注重外包項目知識產(chǎn)權保護、提高自身研發(fā)運維能力、儲備潛在替代服務(wù)提供商等手段，減少對個(gè)別外包服務(wù)提供商的依賴(lài)，降低集中度風(fēng)險。

第三十四條  銀行保險機構應當對符合重要外包標準的非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查，原則上每三年覆蓋所有重要的非駐場(chǎng)外包服務(wù)。對具有行業(yè)集中度性質(zhì)的服務(wù)提供商，銀行保險機構可采取聯(lián)合檢查、委托檢查等形式，減少重復性工作，減輕服務(wù)提供商的檢查負擔。

第三十五條  銀行保險機構每年應當至少開(kāi)展一次全面的信息科技外包風(fēng)險管理評估，并向董（理）事會(huì )或高級管理層提交評估報告。

第三十六條  銀行保險機構應當開(kāi)展信息科技外包及其風(fēng)險管理的審計工作，定期對信息科技外包活動(dòng)進(jìn)行審計，至少每三年覆蓋所有重要外包。發(fā)生重大外包風(fēng)險事件后應當及時(shí)開(kāi)展專(zhuān)項審計。銀行保險機構應承擔內部審計職能和責任，內部審計項目可委托母公司或同一集團下屬子公司實(shí)施，或聘請獨立第三方實(shí)施。


 

第六章　監督管理

第三十七條  銀行保險機構開(kāi)展以下信息科技外包活動(dòng)時(shí)，應當在外包合同簽訂前二十個(gè)工作日向銀保監會(huì )或其派出機構的信息科技監管部門(mén)報告（目錄見(jiàn)附件）：

（一）信息科技工作整體外包；

（二）數據中心（機房）整體外包；

（三）涉及基礎設施和信息系統整體架構發(fā)生重大變化的外包；

（四）信息科技戰略規劃（含中長(cháng)期規劃）咨詢(xún)外包；

（五）符合重要外包條件的非駐場(chǎng)外包、關(guān)聯(lián)外包和跨境外包；

（六）其他銀保監會(huì )認為重要的信息科技外包。

第三十八條  銀行保險機構信息科技外包活動(dòng)中發(fā)生以下重大風(fēng)險事件時(shí)，應當按照相關(guān)突發(fā)事件監管報告要求，向銀保監會(huì )或其派出機構報告：

（一）銀行保險機構重要數據或客戶(hù)個(gè)人信息泄露；

（二）數據損毀或者重要業(yè)務(wù)運營(yíng)中斷；

（三）由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財務(wù)問(wèn)題，導致或可能導致多家銀行保險機構外包服務(wù)中斷;

（四）重要外包服務(wù)非正常中斷、終止或其服務(wù)提供商非正常退出；

（五）因服務(wù)提供商不當行為或其服務(wù)的信息系統遭受網(wǎng)絡(luò )攻擊或其他原因，造成銀行保險機構客戶(hù)重大資金損失；

（六）發(fā)現重大的服務(wù)提供商違法違規事件；

（七）銀保監會(huì )規定需要報告的其他重大事件。

相關(guān)突發(fā)事件報告要求中沒(méi)有規定的，在24小時(shí)內向銀保監會(huì )或其派出機構報告。

第三十九條  銀保監會(huì )及其派出機構對銀行保險機構信息科技外包風(fēng)險進(jìn)行獨立評估，對銀行保險機構信息科技外包工作進(jìn)行監督和檢查，并納入監管綜合評價(jià)體系。對于檢查發(fā)現涉嫌違法事項的有關(guān)單位和個(gè)人，依照相關(guān)法律規定實(shí)施延伸檢查。

第四十條  銀保監會(huì )及其派出機構持續監測銀行業(yè)保險業(yè)信息科技外包風(fēng)險狀況，建立行業(yè)和區域集中度風(fēng)險監測與核查機制，對重大或共性風(fēng)險及時(shí)向行業(yè)發(fā)布風(fēng)險提示，積極防范因信息科技外包可能引發(fā)的區域性、系統性風(fēng)險。根據風(fēng)險狀況，銀保監會(huì )及其派出機構可以要求銀行保險機構與服務(wù)提供商會(huì )談，就其外包服務(wù)和風(fēng)險相關(guān)的重大事項作出說(shuō)明。

第四十一條  銀保監會(huì )及其派出機構可組織或責令銀行保險機構對承擔銀行保險機構信息科技外包服務(wù)的服務(wù)提供商進(jìn)行現場(chǎng)核查，也可由銀行保險機構委托其他第三方機構以審計的形式實(shí)施。銀保監會(huì )建立信息共享機制，及時(shí)向行業(yè)通報現場(chǎng)核查情況。

第四十二條  對于經(jīng)監管評估、監督檢查或現場(chǎng)核查風(fēng)險較高的信息科技外包服務(wù)，銀保監會(huì )及其派出機構可以對銀行保險機構采取風(fēng)險提示、約見(jiàn)談話(huà)、監管質(zhì)詢(xún)、要求暫緩和停止相關(guān)外包活動(dòng)等措施。對具有重大違法違規情形的服務(wù)提供商，銀保監會(huì )可通報行業(yè)，必要時(shí)將有關(guān)情況移交司法機關(guān)。

第四十三條  銀行保險機構違反本辦法要求的，銀保監會(huì )及其派出機構依法予以糾正，并視情況予以問(wèn)責或處罰。


 

第七章　附則

第四十四條  本辦法所稱(chēng)關(guān)聯(lián)外包，是指銀行保險機構的母公司或其所屬集團子公司、關(guān)聯(lián)公司或附屬機構作為服務(wù)提供商，為其提供信息科技外包服務(wù)的行為。

同業(yè)外包，是指依法設立的由銀保監會(huì )監管的銀行保險機構為其他同行業(yè)金融機構提供外包服務(wù)的行為。

跨境外包，是指服務(wù)提供商在境外其他國家或地區實(shí)施信息科技外包服務(wù)的行為。

非駐場(chǎng)外包，是指服務(wù)提供商不在銀行保險機構場(chǎng)所提供服務(wù)的外包形式。

重要數據，包括但不限于客戶(hù)資料、交易數據、商業(yè)秘密等，參見(jiàn)國家法律法規和國家標準對重要數據的相關(guān)定義。

客戶(hù)個(gè)人信息和敏感信息，參見(jiàn)國家法律法規和國家標準對個(gè)人信息的相關(guān)定義。

第四十五條  本辦法由銀保監會(huì )負責解釋和修訂。

第四十六條  本辦法自公布之日起施行。《銀行業(yè)金融機構信息科技外包風(fēng)險監管指引》（銀監發(fā)〔2013〕5號）、《中國銀監會(huì )辦公廳關(guān)于加強銀行業(yè)金融機構信息科技非駐場(chǎng)集中式外包風(fēng)險管理的通知》（銀監辦發(fā)〔2014〕187號）、《中國銀監會(huì )辦公廳關(guān)于開(kāi)展銀行業(yè)金融機構信息科技非駐場(chǎng)集中式外包監管評估工作的通知》（銀監辦發(fā)〔2014〕272號）同時(shí)廢止。



附件：

1.銀行保險機構信息科技外包監管報告材料目錄

2.信息科技外包服務(wù)類(lèi)型參考




 

銀行保險機構信息科技外包監管報告材料目錄

一、外包服務(wù)基本情況，包括：

1. 外包服務(wù)名稱(chēng)；

2. 外包服務(wù)類(lèi)型：咨詢(xún)規劃類(lèi)、開(kāi)發(fā)測試類(lèi)、運行維護類(lèi)、安全服務(wù)類(lèi)、業(yè)務(wù)支持類(lèi)等；

3. 外包服務(wù)的主要內容；

4. 實(shí)施方式：駐場(chǎng)外包、非駐場(chǎng)外包；

5. 影響的業(yè)務(wù)類(lèi)型：渠道管理類(lèi)、客戶(hù)管理類(lèi)、產(chǎn)品管理類(lèi)、財務(wù)管理類(lèi)、決策支持類(lèi)、共享支持類(lèi)等；

6. 外包服務(wù)起止時(shí)間。

二、服務(wù)提供商基本情況，包括：

1. 服務(wù)提供商全稱(chēng)、國別；

2. 盡職調查報告；

3. 法人代表；

4. 注冊資本；

5. 上級機構/母機構；

6. 成立時(shí)間；

7. 企業(yè)性質(zhì)；

8. 統一社會(huì )信用代碼。

三、外包風(fēng)險評估報告。

銀保監會(huì )規定的其他材料。



 

信息科技外包服務(wù)類(lèi)型參考

咨詢(xún)規劃類(lèi)。包括但不限于：信息科技戰略規劃（含中長(cháng)期規劃）咨詢(xún)，數據中心（機房）整體建設咨詢(xún)和規劃，信息科技治理（含數據治理）、信息科技風(fēng)險管理體系、信息安全管理體系、業(yè)務(wù)連續性管理體系等管理類(lèi)咨詢(xún)和規劃，重要信息系統架構和建設相關(guān)的咨詢(xún)和規劃，新興技術(shù)應用咨詢(xún)和規劃。

開(kāi)發(fā)測試類(lèi)。包括但不限于：軟硬件開(kāi)發(fā)和測試外包（含人力外包），軟件即服務(wù)形式的外包。

運行維護類(lèi)。包括但不限于：數據中心（機房）物理環(huán)境的托管或運行維護，軟硬件基礎設施托管或運行維護，應用系統運行維護，電子機具運行維護，終端等辦公設備的運行維護，以及涉及以上運行維護的人力外包。

安全服務(wù)類(lèi)。包括但不限于：安全運營(yíng)服務(wù)，安全加固服務(wù)，安全設備運行維護，安全日志處理與分析，安全測試服務(wù)，密鑰管理及運行維護，數據安全服務(wù)，以及涉及以上服務(wù)的人力外包。

業(yè)務(wù)支持類(lèi)。包括但不限于：市場(chǎng)拓展、業(yè)務(wù)運營(yíng)（集中作業(yè)、呼叫中心等）、企業(yè)管理、資產(chǎn)處置、數據處理、數據利用等業(yè)務(wù)外包或第三方合作當中涉及銀行保險機構的重要數據或客戶(hù)個(gè)人信息處理的信息科技活動(dòng)，法律法規另有要求的除外。

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/doc/126550.html

本文關(guān)鍵詞： 銀保監辦發(fā), 中國銀保監會(huì ), 辦公廳, 銀行, 保險, 機構, 信息, 科技, 外包, 風(fēng)險, 監管, 辦法, 通知