抽搐一进一出gif120秒试看,中国大陆一级国产av片,国产日韩网站,婷婷六月丁,欧美悠悠久久黄片,色综合天天综合网国产成人网,91破解版在线|亚洲

中國企業(yè)報集團主管主辦

中國企業(yè)信息交流平臺

微博 微信

中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知

2022-01-25 15:18 來源: 次閱讀
 
中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知

中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知

銀保監(jiān)辦發(fā)〔2021〕141號

各銀保監(jiān)局,各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷銀行、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、理財公司,各保險集團(控股)公司、保險公司、保險資產(chǎn)管理公司、養(yǎng)老金管理公司、保險專業(yè)中介機構(gòu):

  為進一步加強銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管,促進銀行保險機構(gòu)提升信息科技外包風(fēng)險管控能力,銀保監(jiān)會制定了《銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》,現(xiàn)予印發(fā),請遵照執(zhí)行。

  中國銀保監(jiān)會辦公廳

  2021年12月30日

  銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法

  第一章 總則

  第一條? 為規(guī)范銀行保險機構(gòu)的信息科技外包活動,加強信息科技外包風(fēng)險管控,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》《中華人民共和國商業(yè)銀行法》《中華人民共和國保險法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī),制定本辦法。

  第二條? 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社,保險集團(控股)公司、保險公司、保險資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監(jiān)會及其派出機構(gòu)監(jiān)管的其他金融機構(gòu)參照本辦法執(zhí)行。

  第三條? 本辦法所適用的信息科技外包,是指銀行保險機構(gòu)將原本由自身負責(zé)處理的信息科技活動委托給服務(wù)提供商進行處理的行為。

  銀行保險機構(gòu)與其他第三方合作當(dāng)中涉及銀行保險機構(gòu)重要數(shù)據(jù)和客戶個人信息處理的信息科技活動,按照本辦法相關(guān)要求進行管理,法律法規(guī)另有要求的除外。

  第四條? 銀行保險機構(gòu)應(yīng)當(dāng)建立與本機構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系,將信息科技外包風(fēng)險納入全面風(fēng)險管理體系,有效控制由于外包而引發(fā)的風(fēng)險。

  第五條? 銀行保險機構(gòu)在實施信息科技外包時應(yīng)當(dāng)堅持以下原則:

  (一)不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包;

  (二)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;

  (三)保持外包風(fēng)險、成本和效益的平衡;

  (四)保障網(wǎng)絡(luò)和信息安全,加強重要數(shù)據(jù)和個人信息保護;

  (五)強調(diào)事前控制和事中監(jiān)督;

  (六)持續(xù)改進外包策略和風(fēng)險管理措施。

  第二章 信息科技外包治理

  第六條? 銀行保險機構(gòu)應(yīng)建立覆蓋董(理)事會、高管層、信息科技外包風(fēng)險主管部門、信息科技外包執(zhí)行團隊的信息科技外包及風(fēng)險管理組織架構(gòu),明確相應(yīng)層級的職責(zé),確保信息科技外包治理架構(gòu)權(quán)責(zé)清晰、運轉(zhuǎn)高效、制衡充分。

  第七條? 銀行保險機構(gòu)董(理)事會或其授權(quán)設(shè)立的專業(yè)委員會應(yīng)負責(zé)推動建立信息科技外包及其風(fēng)險管理體系、審批信息科技外包戰(zhàn)略、審議重大外包決策,高級管理層應(yīng)負責(zé)制定信息科技外包戰(zhàn)略,明確信息科技外包風(fēng)險主管部門和信息科技外包執(zhí)行團隊,明確信息科技外包及其風(fēng)險管理職責(zé),審議信息科技外包管理流程及制度,監(jiān)控信息科技外包及其風(fēng)險管理成效。

  第八條? 銀行保險機構(gòu)應(yīng)指定信息科技外包風(fēng)險主管部門,該部門主要職責(zé)包括:

  (一)根據(jù)機構(gòu)總體風(fēng)險政策和外包戰(zhàn)略,制定信息科技外包風(fēng)險管理策略、制度和流程;

  (二)統(tǒng)籌信息科技外包風(fēng)險的識別、評估、監(jiān)測、預(yù)警、報告及處置工作;

  (三)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并定期組織實施演練;

  (四)監(jiān)督、評價外包執(zhí)行團隊的管理工作,并督促外包風(fēng)險管理的持續(xù)改善;

  (五)向董(理)事會(或其專門委員會)或高級管理層匯報信息科技外包相關(guān)風(fēng)險及管理情況。

  第九條? 銀行保險機構(gòu)應(yīng)在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)部建立信息科技外包執(zhí)行團隊,并配備足夠的具有相應(yīng)能力和經(jīng)驗的人員履行以下職責(zé):

  (一)落實信息科技外包戰(zhàn)略;

  (二)執(zhí)行信息科技外包管理制度與流程;

  (三)執(zhí)行服務(wù)提供商準(zhǔn)入、盡職調(diào)查、服務(wù)評價和退出管理工作,建立并維護服務(wù)提供商關(guān)系管理策略;

  (四)持續(xù)監(jiān)測外包服務(wù)的水平和質(zhì)量,及時處理服務(wù)提供商出現(xiàn)的相關(guān)違規(guī)和用戶投訴;

  (五)對外包過程中的關(guān)鍵管理活動進行監(jiān)控及分析,定期與信息科技外包風(fēng)險主管部門溝通外包活動及有關(guān)風(fēng)險情況。

  第十條? 銀行保險機構(gòu)應(yīng)當(dāng)基于機構(gòu)的業(yè)務(wù)戰(zhàn)略、信息科技戰(zhàn)略、總體外包戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力和風(fēng)險偏好制定信息科技外包戰(zhàn)略,包括但不限于:外包原則和策略、不能外包的職能、資源能力建設(shè)方案等。

  第十一條? 銀行保險機構(gòu)應(yīng)當(dāng)明確不能外包的信息科技職能。涉及信息科技戰(zhàn)略管理、信息科技風(fēng)險管理、信息科技內(nèi)部審計及其他有關(guān)信息科技核心競爭力的職能不得外包。

  第十二條? 銀行保險機構(gòu)應(yīng)當(dāng)建立信息科技外包活動分類管理機制,針對不同類型的外包活動建立相應(yīng)的管理和風(fēng)控策略。信息科技外包原則上劃分為咨詢規(guī)劃類、開發(fā)測試類、運行維護類、安全服務(wù)類、業(yè)務(wù)支持類等類別。

  第十三條 銀行保險機構(gòu)應(yīng)對信息科技外包活動及相關(guān)服務(wù)提供商進行分級管理,對重要外包和一般外包采取差異化管控措施。下列信息科技外包活動原則上屬于重要外包:

  (一)信息科技工作整體外包,僅保留必要的管理團隊和核心職能;

  (二)數(shù)據(jù)中心(機房)整體外包;

  (三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的信息科技外包;

  (四)核心業(yè)務(wù)系統(tǒng)開發(fā)測試和運行維護的整體外包;

  (五)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;

  (六)安全運營的整體外包;

  (七)涉及集中存儲或處理銀行保險機構(gòu)重要數(shù)據(jù)和客戶個人敏感信息的外包;

  (八)直接影響實時服務(wù)、影響賬務(wù)準(zhǔn)確性的重要信息系統(tǒng)外包;

  (九)其它對機構(gòu)業(yè)務(wù)運營具有重要影響的外包。

  第十四條? 銀行保險機構(gòu)應(yīng)考慮重要外包終止的可能性,并制定退出策略。退出策略應(yīng)至少明確:

  (一)可能造成外包終止的情形;

  (二)外包終止的業(yè)務(wù)影響分析;

  (三)終止交接安排。

  第三章 信息科技外包準(zhǔn)入

  第十五條? 銀行保險機構(gòu)應(yīng)當(dāng)充分評估擬開展的信息科技外包活動與信息科技外包戰(zhàn)略的一致性,充分評估擬開展的信息科技外包活動相關(guān)風(fēng)險,就是否實施外包作出審慎決策。重要外包應(yīng)至少向高管層報告并經(jīng)過審批。

  第十六條? 銀行保險機構(gòu)應(yīng)根據(jù)信息科技外包戰(zhàn)略,結(jié)合風(fēng)險評估情況,明確服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對備選服務(wù)提供商進行篩選,審慎引入集中度風(fēng)險較高或增加機構(gòu)整體風(fēng)險的服務(wù)提供商。

  第十七條? 銀行保險機構(gòu)應(yīng)在簽訂合同前,對重要外包的備選服務(wù)提供商深入開展盡職調(diào)查,必要時可聘請第三方機構(gòu)協(xié)助調(diào)查。在服務(wù)提供商經(jīng)營狀況未發(fā)生重大變化的前提下,盡職調(diào)查結(jié)果原則上一年內(nèi)有效。盡職調(diào)查應(yīng)包括但不限于:

  (一)服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗,人員及能力;

  (二)服務(wù)提供商的內(nèi)部控制和管理能力;

  (三)服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力;

  (四)服務(wù)提供商的持續(xù)經(jīng)營狀況;

  (五)服務(wù)提供商及其母公司或?qū)嶋H控制人遵守國家和銀保監(jiān)會相關(guān)法律法規(guī)要求的情況;

  (六)服務(wù)提供商過往配合銀行保險機構(gòu)審計、評估、檢查及監(jiān)管機構(gòu)監(jiān)督檢查情況;

  (七)服務(wù)提供商與銀行保險機構(gòu)的關(guān)聯(lián)性。

  第十八條? 對于符合重要外包條件的非駐場外包,應(yīng)當(dāng)進一步重點調(diào)查如下內(nèi)容:

  (一)服務(wù)提供商對銀行保險機構(gòu)與其他機構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界;

  (二)服務(wù)提供商是否有管理制度和技術(shù)措施保障銀行保險機構(gòu)數(shù)據(jù)的完整性和保密性;

  (三)服務(wù)提供商對涉及銀行保險機構(gòu)的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪問權(quán)限;

  (四)服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限或訪問權(quán)限,是否能夠瀏覽、獲取重要數(shù)據(jù)或客戶個人敏感信息;

  (五)服務(wù)提供商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系,是否有業(yè)務(wù)連續(xù)性安排;

  (六)服務(wù)提供商是否存在不正當(dāng)競爭或規(guī)避監(jiān)管的情形。

  第十九條? 銀行保險機構(gòu)在選擇跨境外包時,應(yīng)當(dāng)充分評估服務(wù)提供商所在國家或地區(qū)的政治、經(jīng)濟、社會、法律、文化等經(jīng)營環(huán)境。涉及信息跨境存儲、處理和分析的,應(yīng)遵守我國有關(guān)法律法規(guī)的規(guī)定。

  第二十條? 對于關(guān)聯(lián)外包和同業(yè)外包,銀行保險機構(gòu)不得降低對服務(wù)提供商的要求,嚴(yán)格防范利益沖突和利益輸送。

  第二十一條? 銀行保險機構(gòu)在信息科技外包合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:

  (一)服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)要求、工作時限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件,服務(wù)質(zhì)量考核評價約定。

  (二)合規(guī)、內(nèi)控及風(fēng)險管理要求,對法律法規(guī)及銀行保險機構(gòu)內(nèi)部管理制度的遵守要求,監(jiān)管政策的通報貫徹機制。

  (三)服務(wù)持續(xù)性要求,服務(wù)提供商的服務(wù)持續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行保險機構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求。

  (四)銀行保險機構(gòu)對服務(wù)提供商進行風(fēng)險評估、監(jiān)測、檢查和審計的權(quán)利,及服務(wù)提供商承諾接受銀保監(jiān)會對其所承擔(dān)的銀行保險機構(gòu)外包服務(wù)的監(jiān)督檢查。

  (五)合同變更或終止的觸發(fā)條件,合同變更或終止的過渡安排。

  (六)外包活動中相關(guān)信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求。

  (七)資源保障條款。

  (八)安全保密和消費者權(quán)益保護約定,包括但不限于:禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行保險機構(gòu)的信息,服務(wù)提供商不得將銀行保險機構(gòu)數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或謀取外包合同約定以外的利益。

  (九)爭端解決機制、違約及賠償條款,跨境外包應(yīng)明確爭議解決時所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)選擇中國仲裁機構(gòu)、中國法院管轄,適用中國法律解決糾紛。

  (十)報告條款,至少包括常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。

  第二十二條? 銀行保險機構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包或變相轉(zhuǎn)包。在涉及外包服務(wù)分包時應(yīng)當(dāng)要求:

  (一)不得將外包服務(wù)的主要業(yè)務(wù)分包;

  (二)主服務(wù)提供商對服務(wù)水平負總責(zé),確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議;

  (三)主服務(wù)提供商對分包服務(wù)提供商進行監(jiān)控,并對分包服務(wù)提供商的變更履行通知或報告審批義務(wù)。

  第四章 信息科技外包監(jiān)控評價

  第二十三條? 銀行保險機構(gòu)應(yīng)當(dāng)對外包服務(wù)過程進行持續(xù)監(jiān)控,及時發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。

  第二十四條? 銀行保險機構(gòu)應(yīng)當(dāng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評價機制,確保相關(guān)監(jiān)控信息和評價結(jié)果的真實性和完整性,且數(shù)據(jù)至少保存到服務(wù)結(jié)束后三年。

  第二十五條? 銀行保險機構(gòu)應(yīng)當(dāng)對信息科技外包服務(wù)建立服務(wù)效能和質(zhì)量監(jiān)控指標(biāo),并進行相應(yīng)監(jiān)控。常見指標(biāo)包括:

  (一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率;

  (二)故障次數(shù)、故障解決率、故障的響應(yīng)時間、故障的解決時間;

  (三)服務(wù)的次數(shù)、客戶滿意度;

  (四)業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率;

  (五)外包人員工作飽和率、外包人員的考核合格率;

  (六)網(wǎng)絡(luò)和信息安全指標(biāo)、業(yè)務(wù)連續(xù)性指標(biāo)。

  第二十六條? 銀行保險機構(gòu)應(yīng)當(dāng)對服務(wù)提供商的財務(wù)、內(nèi)控及安全管理進行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

  第二十七條? 銀行保險機構(gòu)監(jiān)控到信息科技外包服務(wù)出現(xiàn)異常情況時,應(yīng)當(dāng)及時督促服務(wù)提供商采取糾正措施;情節(jié)嚴(yán)重或未及時糾正的,應(yīng)當(dāng)及時約談服務(wù)提供商高管人員并限期整改。對于逾期未整改的服務(wù)提供商,應(yīng)當(dāng)暫停或取消其服務(wù)資格,并向銀保監(jiān)會或其派出機構(gòu)報告。

  第二十八條? 對于關(guān)聯(lián)外包,銀行保險機構(gòu)董(理)事會和高級管理層應(yīng)當(dāng)推動母公司或所屬集團將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績評價范圍,建立外包服務(wù)重大事件問責(zé)機制。

  第二十九條? 銀行保險機構(gòu)應(yīng)在信息科技外包服務(wù)到期前,就是否繼續(xù)外包進行評估決策。外包服務(wù)結(jié)束時,銀行保險機構(gòu)應(yīng)對服務(wù)提供商進行評價,評價結(jié)果作為服務(wù)提供商后續(xù)準(zhǔn)入的重要參考依據(jù)。對具有持續(xù)性特點的外包服務(wù),銀行保險機構(gòu)終止外包或更換服務(wù)提供商前,應(yīng)制定周密的退出和交接計劃。

  第五章 信息科技外包風(fēng)險管理

  第三十條? 銀行保險機構(gòu)應(yīng)建立并持續(xù)完善風(fēng)險管理制度和流程,充分識別并評估信息科技外包可能產(chǎn)生的風(fēng)險,包括但不限于:

  (一)科技能力喪失。過度依賴外包導(dǎo)致失去科技控制及創(chuàng)新能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展。

  (二)業(yè)務(wù)中斷。支持業(yè)務(wù)運營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷。

  (三)數(shù)據(jù)泄露、丟失和篡改。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致銀行保險機構(gòu)重要數(shù)據(jù)或客戶個人信息泄露、丟失和篡改。

  (四)資金損失。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致銀行保險機構(gòu)客戶資金被盜取。

  (五)服務(wù)水平下降。由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下,使得信息科技服務(wù)水平下降。

  (六)可能導(dǎo)致的戰(zhàn)略、聲譽、合規(guī)等其他風(fēng)險。

  第三十一條? 針對可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù),銀行保險機構(gòu)應(yīng)當(dāng)事先建立風(fēng)險控制、緩釋或轉(zhuǎn)移措施,包括但不限于:

  (一)事先制定退出策略和供應(yīng)鏈安全保障方案,并在外包服務(wù)實施過程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷或服務(wù)質(zhì)量下降的情況;

  (二)明確措施和方法,在服務(wù)提供商服務(wù)質(zhì)量不能滿足合同要求的情況下,保障獲取其外包服務(wù)資源的優(yōu)先權(quán);

  (三)要求服務(wù)提供商提供必要的應(yīng)急和災(zāi)備資源保障,制定應(yīng)急處理預(yù)案并在預(yù)案中明確為銀行保險機構(gòu)提供應(yīng)急響應(yīng)和恢復(fù)的優(yōu)先級,原則上應(yīng)為最高級;

  (四)組織服務(wù)提供商參與應(yīng)急計劃編制和應(yīng)急演練,至少每年在綜合性演練或?qū)m椦菥氈屑{入一個或多個服務(wù)提供商開展一次相關(guān)演練;

  (五)考慮預(yù)先在銀行保險機構(gòu)內(nèi)部配置相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

  第三十二條? 銀行保險機構(gòu)應(yīng)當(dāng)制定和落實網(wǎng)絡(luò)和信息安全管理措施,包括但不限于:

  (一)對服務(wù)提供商和外包人員進行網(wǎng)絡(luò)和信息安全教育或培訓(xùn),增強網(wǎng)絡(luò)和信息安全意識,服務(wù)提供商應(yīng)與銀行保險機構(gòu)簽訂安全保密協(xié)議,外包人員應(yīng)簽署安全保密承諾書;

  (二)明確外包活動需要訪問或使用的信息資產(chǎn),按“必需知道”和“最小授權(quán)”原則進行訪問授權(quán),嚴(yán)格管控遠程維護行為;

  (三)對信息系統(tǒng)開發(fā)交付物(含擁有知識產(chǎn)權(quán)的源代碼)進行安全掃描和檢查;

  (四)對客戶信息、源代碼和文檔等敏感信息采取嚴(yán)格管控措施,對敏感信息泄露風(fēng)險進行持續(xù)監(jiān)測;

  (五)對服務(wù)提供商所提供的模型、算法及相關(guān)信息系統(tǒng)加強管理,確保模型和算法遵循可解釋、可驗證、透明、公平的原則;

  (六)定期對外包活動進行網(wǎng)絡(luò)和信息安全評估。

  第三十三條? 銀行保險機構(gòu)應(yīng)識別對本機構(gòu)具有集中度風(fēng)險的外包服務(wù)及其提供商,積極采用分散外包活動、注重外包項目知識產(chǎn)權(quán)保護、提高自身研發(fā)運維能力、儲備潛在替代服務(wù)提供商等手段,減少對個別外包服務(wù)提供商的依賴,降低集中度風(fēng)險。

  第三十四條? 銀行保險機構(gòu)應(yīng)當(dāng)對符合重要外包標(biāo)準(zhǔn)的非駐場外包服務(wù)進行實地檢查,原則上每三年覆蓋所有重要的非駐場外包服務(wù)。對具有行業(yè)集中度性質(zhì)的服務(wù)提供商,銀行保險機構(gòu)可采取聯(lián)合檢查、委托檢查等形式,減少重復(fù)性工作,減輕服務(wù)提供商的檢查負擔(dān)。

  第三十五條? 銀行保險機構(gòu)每年應(yīng)當(dāng)至少開展一次全面的信息科技外包風(fēng)險管理評估,并向董(理)事會或高級管理層提交評估報告。

  第三十六條? 銀行保險機構(gòu)應(yīng)當(dāng)開展信息科技外包及其風(fēng)險管理的審計工作,定期對信息科技外包活動進行審計,至少每三年覆蓋所有重要外包。發(fā)生重大外包風(fēng)險事件后應(yīng)當(dāng)及時開展專項審計。銀行保險機構(gòu)應(yīng)承擔(dān)內(nèi)部審計職能和責(zé)任,內(nèi)部審計項目可委托母公司或同一集團下屬子公司實施,或聘請獨立第三方實施。

  第六章 監(jiān)督管理

  第三十七條? 銀行保險機構(gòu)開展以下信息科技外包活動時,應(yīng)當(dāng)在外包合同簽訂前二十個工作日向銀保監(jiān)會或其派出機構(gòu)的信息科技監(jiān)管部門報告(目錄見附件):

  (一)信息科技工作整體外包;

  (二)數(shù)據(jù)中心(機房)整體外包;

  (三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的外包;

  (四)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;

  (五)符合重要外包條件的非駐場外包、關(guān)聯(lián)外包和跨境外包;

  (六)其他銀保監(jiān)會認為重要的信息科技外包。

  第三十八條? 銀行保險機構(gòu)信息科技外包活動中發(fā)生以下重大風(fēng)險事件時,應(yīng)當(dāng)按照相關(guān)突發(fā)事件監(jiān)管報告要求,向銀保監(jiān)會或其派出機構(gòu)報告:

  (一)銀行保險機構(gòu)重要數(shù)據(jù)或客戶個人信息泄露;

  (二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運營中斷;

  (三)由于不可抗力或服務(wù)提供商重大經(jīng)營、財務(wù)問題,導(dǎo)致或可能導(dǎo)致多家銀行保險機構(gòu)外包服務(wù)中斷;

  (四)重要外包服務(wù)非正常中斷、終止或其服務(wù)提供商非正常退出;

  (五)因服務(wù)提供商不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊或其他原因,造成銀行保險機構(gòu)客戶重大資金損失;

  (六)發(fā)現(xiàn)重大的服務(wù)提供商違法違規(guī)事件;

  (七)銀保監(jiān)會規(guī)定需要報告的其他重大事件。

  相關(guān)突發(fā)事件報告要求中沒有規(guī)定的,在24小時內(nèi)向銀保監(jiān)會或其派出機構(gòu)報告。

  第三十九條? 銀保監(jiān)會及其派出機構(gòu)對銀行保險機構(gòu)信息科技外包風(fēng)險進行獨立評估,對銀行保險機構(gòu)信息科技外包工作進行監(jiān)督和檢查,并納入監(jiān)管綜合評價體系。對于檢查發(fā)現(xiàn)涉嫌違法事項的有關(guān)單位和個人,依照相關(guān)法律規(guī)定實施延伸檢查。

  第四十條? 銀保監(jiān)會及其派出機構(gòu)持續(xù)監(jiān)測銀行業(yè)保險業(yè)信息科技外包風(fēng)險狀況,建立行業(yè)和區(qū)域集中度風(fēng)險監(jiān)測與核查機制,對重大或共性風(fēng)險及時向行業(yè)發(fā)布風(fēng)險提示,積極防范因信息科技外包可能引發(fā)的區(qū)域性、系統(tǒng)性風(fēng)險。根據(jù)風(fēng)險狀況,銀保監(jiān)會及其派出機構(gòu)可以要求銀行保險機構(gòu)與服務(wù)提供商會談,就其外包服務(wù)和風(fēng)險相關(guān)的重大事項作出說明。

  第四十一條? 銀保監(jiān)會及其派出機構(gòu)可組織或責(zé)令銀行保險機構(gòu)對承擔(dān)銀行保險機構(gòu)信息科技外包服務(wù)的服務(wù)提供商進行現(xiàn)場核查,也可由銀行保險機構(gòu)委托其他第三方機構(gòu)以審計的形式實施。銀保監(jiān)會建立信息共享機制,及時向行業(yè)通報現(xiàn)場核查情況。

  第四十二條? 對于經(jīng)監(jiān)管評估、監(jiān)督檢查或現(xiàn)場核查風(fēng)險較高的信息科技外包服務(wù),銀保監(jiān)會及其派出機構(gòu)可以對銀行保險機構(gòu)采取風(fēng)險提示、約見談話、監(jiān)管質(zhì)詢、要求暫緩和停止相關(guān)外包活動等措施。對具有重大違法違規(guī)情形的服務(wù)提供商,銀保監(jiān)會可通報行業(yè),必要時將有關(guān)情況移交司法機關(guān)。

  第四十三條? 銀行保險機構(gòu)違反本辦法要求的,銀保監(jiān)會及其派出機構(gòu)依法予以糾正,并視情況予以問責(zé)或處罰。

  第七章 附則

  第四十四條? 本辦法所稱關(guān)聯(lián)外包,是指銀行保險機構(gòu)的母公司或其所屬集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)作為服務(wù)提供商,為其提供信息科技外包服務(wù)的行為。

  同業(yè)外包,是指依法設(shè)立的由銀保監(jiān)會監(jiān)管的銀行保險機構(gòu)為其他同行業(yè)金融機構(gòu)提供外包服務(wù)的行為。

  跨境外包,是指服務(wù)提供商在境外其他國家或地區(qū)實施信息科技外包服務(wù)的行為。

  非駐場外包,是指服務(wù)提供商不在銀行保險機構(gòu)場所提供服務(wù)的外包形式。

  重要數(shù)據(jù),包括但不限于客戶資料、交易數(shù)據(jù)、商業(yè)秘密等,參見國家法律法規(guī)和國家標(biāo)準(zhǔn)對重要數(shù)據(jù)的相關(guān)定義。

  客戶個人信息和敏感信息,參見國家法律法規(guī)和國家標(biāo)準(zhǔn)對個人信息的相關(guān)定義。

  第四十五條? 本辦法由銀保監(jiān)會負責(zé)解釋和修訂。

  第四十六條? 本辦法自公布之日起施行?!躲y行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引》(銀監(jiān)發(fā)〔2013〕5號)、《中國銀監(jiān)會辦公廳關(guān)于加強銀行業(yè)金融機構(gòu)信息科技非駐場集中式外包風(fēng)險管理的通知》(銀監(jiān)辦發(fā)〔2014〕187號)、《中國銀監(jiān)會辦公廳關(guān)于開展銀行業(yè)金融機構(gòu)信息科技非駐場集中式外包監(jiān)管評估工作的通知》(銀監(jiān)辦發(fā)〔2014〕272號)同時廢止。

  附件:

  1.銀行保險機構(gòu)信息科技外包監(jiān)管報告材料目錄

  2.信息科技外包服務(wù)類型參考

  附件1

  銀行保險機構(gòu)信息科技外包監(jiān)管報告

  材料目錄

  一、外包服務(wù)基本情況,包括:

  1. 外包服務(wù)名稱;

  2. 外包服務(wù)類型:咨詢規(guī)劃類、開發(fā)測試類、運行維護類、安全服務(wù)類、業(yè)務(wù)支持類等;

  3. 外包服務(wù)的主要內(nèi)容;

  4. 實施方式:駐場外包、非駐場外包;

  5. 影響的業(yè)務(wù)類型:渠道管理類、客戶管理類、產(chǎn)品管理類、財務(wù)管理類、決策支持類、共享支持類等;

  6. 外包服務(wù)起止時間。

  二、服務(wù)提供商基本情況,包括:

  1. 服務(wù)提供商全稱、國別;

  2. 盡職調(diào)查報告;

  3. 法人代表;

  4. 注冊資本;

  5. 上級機構(gòu)/母機構(gòu);

  6. 成立時間;

  7. 企業(yè)性質(zhì);

  8. 統(tǒng)一社會信用代碼。

  三、外包風(fēng)險評估報告。

  銀保監(jiān)會規(guī)定的其他材料。

  附件2

  信息科技外包服務(wù)類型參考

  咨詢規(guī)劃類。包括但不限于:信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢,數(shù)據(jù)中心(機房)整體建設(shè)咨詢和規(guī)劃,信息科技治理(含數(shù)據(jù)治理)、信息科技風(fēng)險管理體系、信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系等管理類咨詢和規(guī)劃,重要信息系統(tǒng)架構(gòu)和建設(shè)相關(guān)的咨詢和規(guī)劃,新興技術(shù)應(yīng)用咨詢和規(guī)劃。

  開發(fā)測試類。包括但不限于:軟硬件開發(fā)和測試外包(含人力外包),軟件即服務(wù)形式的外包。

  運行維護類。包括但不限于:數(shù)據(jù)中心(機房)物理環(huán)境的托管或運行維護,軟硬件基礎(chǔ)設(shè)施托管或運行維護,應(yīng)用系統(tǒng)運行維護,電子機具運行維護,終端等辦公設(shè)備的運行維護,以及涉及以上運行維護的人力外包。

  安全服務(wù)類。包括但不限于:安全運營服務(wù),安全加固服務(wù),安全設(shè)備運行維護,安全日志處理與分析,安全測試服務(wù),密鑰管理及運行維護,數(shù)據(jù)安全服務(wù),以及涉及以上服務(wù)的人力外包。

  業(yè)務(wù)支持類。包括但不限于:市場拓展、業(yè)務(wù)運營(集中作業(yè)、呼叫中心等)、企業(yè)管理、資產(chǎn)處置、數(shù)據(jù)處理、數(shù)據(jù)利用等業(yè)務(wù)外包或第三方合作當(dāng)中涉及銀行保險機構(gòu)的重要數(shù)據(jù)或客戶個人信息處理的信息科技活動,法律法規(guī)另有要求的除外。


點贊()
上一條:中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知2022-01-25
下一條:沒有了

相關(guān)稿件

中國銀保監(jiān)會辦公廳關(guān)于印發(fā)非銀行金融機構(gòu)行政許可事項申請材料目錄及格式要求的通知 2021-07-20
中國銀保監(jiān)會關(guān)于印發(fā)銀行保險機構(gòu)消費者權(quán)益保護監(jiān)管評價辦法的通知 2021-07-22
中國銀保監(jiān)會關(guān)于印發(fā)銀行保險機構(gòu)大股東行為監(jiān)管辦法(試行)的通知 2021-10-20
中國銀保監(jiān)會辦公廳關(guān)于精簡保險資產(chǎn)管理公司監(jiān)管報告事項的通知 2021-12-28
中國銀保監(jiān)會辦公廳關(guān)于進一步規(guī)范保險機構(gòu)互聯(lián)網(wǎng)人身保險業(yè)務(wù)有關(guān)事項的通知 2021-10-26
國務(wù)院國有資產(chǎn)管理委員會 中國企業(yè)聯(lián)合會 中國企業(yè)報 中國社會經(jīng)濟網(wǎng) 中國國際電子商務(wù)網(wǎng) 新浪財經(jīng) 鳳凰財經(jīng) 中國報告基地 企業(yè)社會責(zé)任中國網(wǎng) 杭州網(wǎng) 中國產(chǎn)經(jīng)新聞網(wǎng) 環(huán)球企業(yè)家 華北新聞網(wǎng) 和諧中國網(wǎng) 天機網(wǎng) 中貿(mào)網(wǎng) 湖南經(jīng)濟新聞網(wǎng) 翼牛網(wǎng) 東莞二手房 中國經(jīng)濟網(wǎng) 中國企業(yè)網(wǎng)黃金展位頻道 硅谷網(wǎng) 東方經(jīng)濟網(wǎng) 華訊財經(jīng) 網(wǎng)站目錄 全景網(wǎng) 中南網(wǎng) 美通社 大佳網(wǎng) 火爆網(wǎng) 跨考研招網(wǎng) 當(dāng)代金融家雜志 借貸撮合網(wǎng) 大公財經(jīng) 誠搜網(wǎng) 中國鋼鐵現(xiàn)貨網(wǎng) 證券之星 融易在線 2014世界杯 中華魂網(wǎng) 納稅人俱樂部 慧業(yè)網(wǎng) 商界網(wǎng) 品牌家 中國國資報道 金融界 中國農(nóng)業(yè)新聞網(wǎng) 中國招商聯(lián)盟 和訊股票 經(jīng)濟網(wǎng) 中國數(shù)據(jù)分析行業(yè)網(wǎng) 中國報道網(wǎng) 九州新聞網(wǎng) 投資界 北京科技創(chuàng)新企業(yè)誠信聯(lián)盟網(wǎng) 中國白銀網(wǎng) 炣燃科技 中企媒資網(wǎng) 中國石油化工集團 中國保利集團公司 東風(fēng)汽車公司 中國化工集團公司 中國電信集團公司 華為技術(shù)有限公司 廈門銀鷺食品有限公司 中國恒天集團有限公司 濱州東方地毯集團有限公司 大唐電信科技股份有限公司 中國誠通控股集團有限公司 喜來健醫(yī)療器械有限公司 中國能源建設(shè)股份有限公司 內(nèi)蒙古伊利實業(yè)集團股份有限公司 中國移動通信集團公司 中國化工集團公司 貴州茅臺酒股份有限公司