中國銀保監(jiān)會辦公廳關(guān)于印發(fā)銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知
銀保監(jiān)辦發(fā)〔2021〕141號
各銀保監(jiān)局,各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷銀行、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、理財公司,各保險集團(控股)公司、保險公司、保險資產(chǎn)管理公司、養(yǎng)老金管理公司、保險專業(yè)中介機構(gòu):
為進一步加強銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管,促進銀行保險機構(gòu)提升信息科技外包風(fēng)險管控能力,銀保監(jiān)會制定了《銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》,現(xiàn)予印發(fā),請遵照執(zhí)行。
中國銀保監(jiān)會辦公廳
2021年12月30日
銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法
第一章 總則
第一條? 為規(guī)范銀行保險機構(gòu)的信息科技外包活動,加強信息科技外包風(fēng)險管控,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》《中華人民共和國商業(yè)銀行法》《中華人民共和國保險法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī),制定本辦法。
第二條? 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社,保險集團(控股)公司、保險公司、保險資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監(jiān)會及其派出機構(gòu)監(jiān)管的其他金融機構(gòu)參照本辦法執(zhí)行。
第三條? 本辦法所適用的信息科技外包,是指銀行保險機構(gòu)將原本由自身負責(zé)處理的信息科技活動委托給服務(wù)提供商進行處理的行為。
銀行保險機構(gòu)與其他第三方合作當(dāng)中涉及銀行保險機構(gòu)重要數(shù)據(jù)和客戶個人信息處理的信息科技活動,按照本辦法相關(guān)要求進行管理,法律法規(guī)另有要求的除外。
第四條? 銀行保險機構(gòu)應(yīng)當(dāng)建立與本機構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系,將信息科技外包風(fēng)險納入全面風(fēng)險管理體系,有效控制由于外包而引發(fā)的風(fēng)險。
第五條? 銀行保險機構(gòu)在實施信息科技外包時應(yīng)當(dāng)堅持以下原則:
(一)不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包;
(二)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;
(三)保持外包風(fēng)險、成本和效益的平衡;
(四)保障網(wǎng)絡(luò)和信息安全,加強重要數(shù)據(jù)和個人信息保護;
(五)強調(diào)事前控制和事中監(jiān)督;
(六)持續(xù)改進外包策略和風(fēng)險管理措施。
第二章 信息科技外包治理
第六條? 銀行保險機構(gòu)應(yīng)建立覆蓋董(理)事會、高管層、信息科技外包風(fēng)險主管部門、信息科技外包執(zhí)行團隊的信息科技外包及風(fēng)險管理組織架構(gòu),明確相應(yīng)層級的職責(zé),確保信息科技外包治理架構(gòu)權(quán)責(zé)清晰、運轉(zhuǎn)高效、制衡充分。
第七條? 銀行保險機構(gòu)董(理)事會或其授權(quán)設(shè)立的專業(yè)委員會應(yīng)負責(zé)推動建立信息科技外包及其風(fēng)險管理體系、審批信息科技外包戰(zhàn)略、審議重大外包決策,高級管理層應(yīng)負責(zé)制定信息科技外包戰(zhàn)略,明確信息科技外包風(fēng)險主管部門和信息科技外包執(zhí)行團隊,明確信息科技外包及其風(fēng)險管理職責(zé),審議信息科技外包管理流程及制度,監(jiān)控信息科技外包及其風(fēng)險管理成效。
第八條? 銀行保險機構(gòu)應(yīng)指定信息科技外包風(fēng)險主管部門,該部門主要職責(zé)包括:
(一)根據(jù)機構(gòu)總體風(fēng)險政策和外包戰(zhàn)略,制定信息科技外包風(fēng)險管理策略、制度和流程;
(二)統(tǒng)籌信息科技外包風(fēng)險的識別、評估、監(jiān)測、預(yù)警、報告及處置工作;
(三)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并定期組織實施演練;
(四)監(jiān)督、評價外包執(zhí)行團隊的管理工作,并督促外包風(fēng)險管理的持續(xù)改善;
(五)向董(理)事會(或其專門委員會)或高級管理層匯報信息科技外包相關(guān)風(fēng)險及管理情況。
第九條? 銀行保險機構(gòu)應(yīng)在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)部建立信息科技外包執(zhí)行團隊,并配備足夠的具有相應(yīng)能力和經(jīng)驗的人員履行以下職責(zé):
(一)落實信息科技外包戰(zhàn)略;
(二)執(zhí)行信息科技外包管理制度與流程;
(三)執(zhí)行服務(wù)提供商準(zhǔn)入、盡職調(diào)查、服務(wù)評價和退出管理工作,建立并維護服務(wù)提供商關(guān)系管理策略;
(四)持續(xù)監(jiān)測外包服務(wù)的水平和質(zhì)量,及時處理服務(wù)提供商出現(xiàn)的相關(guān)違規(guī)和用戶投訴;
(五)對外包過程中的關(guān)鍵管理活動進行監(jiān)控及分析,定期與信息科技外包風(fēng)險主管部門溝通外包活動及有關(guān)風(fēng)險情況。
第十條? 銀行保險機構(gòu)應(yīng)當(dāng)基于機構(gòu)的業(yè)務(wù)戰(zhàn)略、信息科技戰(zhàn)略、總體外包戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力和風(fēng)險偏好制定信息科技外包戰(zhàn)略,包括但不限于:外包原則和策略、不能外包的職能、資源能力建設(shè)方案等。
第十一條? 銀行保險機構(gòu)應(yīng)當(dāng)明確不能外包的信息科技職能。涉及信息科技戰(zhàn)略管理、信息科技風(fēng)險管理、信息科技內(nèi)部審計及其他有關(guān)信息科技核心競爭力的職能不得外包。
第十二條? 銀行保險機構(gòu)應(yīng)當(dāng)建立信息科技外包活動分類管理機制,針對不同類型的外包活動建立相應(yīng)的管理和風(fēng)控策略。信息科技外包原則上劃分為咨詢規(guī)劃類、開發(fā)測試類、運行維護類、安全服務(wù)類、業(yè)務(wù)支持類等類別。
第十三條 銀行保險機構(gòu)應(yīng)對信息科技外包活動及相關(guān)服務(wù)提供商進行分級管理,對重要外包和一般外包采取差異化管控措施。下列信息科技外包活動原則上屬于重要外包:
(一)信息科技工作整體外包,僅保留必要的管理團隊和核心職能;
(二)數(shù)據(jù)中心(機房)整體外包;
(三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的信息科技外包;
(四)核心業(yè)務(wù)系統(tǒng)開發(fā)測試和運行維護的整體外包;
(五)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;
(六)安全運營的整體外包;
(七)涉及集中存儲或處理銀行保險機構(gòu)重要數(shù)據(jù)和客戶個人敏感信息的外包;
(八)直接影響實時服務(wù)、影響賬務(wù)準(zhǔn)確性的重要信息系統(tǒng)外包;
(九)其它對機構(gòu)業(yè)務(wù)運營具有重要影響的外包。
第十四條? 銀行保險機構(gòu)應(yīng)考慮重要外包終止的可能性,并制定退出策略。退出策略應(yīng)至少明確:
(一)可能造成外包終止的情形;
(二)外包終止的業(yè)務(wù)影響分析;
(三)終止交接安排。
第三章 信息科技外包準(zhǔn)入
第十五條? 銀行保險機構(gòu)應(yīng)當(dāng)充分評估擬開展的信息科技外包活動與信息科技外包戰(zhàn)略的一致性,充分評估擬開展的信息科技外包活動相關(guān)風(fēng)險,就是否實施外包作出審慎決策。重要外包應(yīng)至少向高管層報告并經(jīng)過審批。
第十六條? 銀行保險機構(gòu)應(yīng)根據(jù)信息科技外包戰(zhàn)略,結(jié)合風(fēng)險評估情況,明確服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對備選服務(wù)提供商進行篩選,審慎引入集中度風(fēng)險較高或增加機構(gòu)整體風(fēng)險的服務(wù)提供商。
第十七條? 銀行保險機構(gòu)應(yīng)在簽訂合同前,對重要外包的備選服務(wù)提供商深入開展盡職調(diào)查,必要時可聘請第三方機構(gòu)協(xié)助調(diào)查。在服務(wù)提供商經(jīng)營狀況未發(fā)生重大變化的前提下,盡職調(diào)查結(jié)果原則上一年內(nèi)有效。盡職調(diào)查應(yīng)包括但不限于:
(一)服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗,人員及能力;
(二)服務(wù)提供商的內(nèi)部控制和管理能力;
(三)服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力;
(四)服務(wù)提供商的持續(xù)經(jīng)營狀況;
(五)服務(wù)提供商及其母公司或?qū)嶋H控制人遵守國家和銀保監(jiān)會相關(guān)法律法規(guī)要求的情況;
(六)服務(wù)提供商過往配合銀行保險機構(gòu)審計、評估、檢查及監(jiān)管機構(gòu)監(jiān)督檢查情況;
(七)服務(wù)提供商與銀行保險機構(gòu)的關(guān)聯(lián)性。
第十八條? 對于符合重要外包條件的非駐場外包,應(yīng)當(dāng)進一步重點調(diào)查如下內(nèi)容:
(一)服務(wù)提供商對銀行保險機構(gòu)與其他機構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界;
(二)服務(wù)提供商是否有管理制度和技術(shù)措施保障銀行保險機構(gòu)數(shù)據(jù)的完整性和保密性;
(三)服務(wù)提供商對涉及銀行保險機構(gòu)的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪問權(quán)限;
(四)服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限或訪問權(quán)限,是否能夠瀏覽、獲取重要數(shù)據(jù)或客戶個人敏感信息;
(五)服務(wù)提供商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系,是否有業(yè)務(wù)連續(xù)性安排;
(六)服務(wù)提供商是否存在不正當(dāng)競爭或規(guī)避監(jiān)管的情形。
第十九條? 銀行保險機構(gòu)在選擇跨境外包時,應(yīng)當(dāng)充分評估服務(wù)提供商所在國家或地區(qū)的政治、經(jīng)濟、社會、法律、文化等經(jīng)營環(huán)境。涉及信息跨境存儲、處理和分析的,應(yīng)遵守我國有關(guān)法律法規(guī)的規(guī)定。
第二十條? 對于關(guān)聯(lián)外包和同業(yè)外包,銀行保險機構(gòu)不得降低對服務(wù)提供商的要求,嚴(yán)格防范利益沖突和利益輸送。
第二十一條? 銀行保險機構(gòu)在信息科技外包合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:
(一)服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)要求、工作時限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件,服務(wù)質(zhì)量考核評價約定。
(二)合規(guī)、內(nèi)控及風(fēng)險管理要求,對法律法規(guī)及銀行保險機構(gòu)內(nèi)部管理制度的遵守要求,監(jiān)管政策的通報貫徹機制。
(三)服務(wù)持續(xù)性要求,服務(wù)提供商的服務(wù)持續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行保險機構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求。
(四)銀行保險機構(gòu)對服務(wù)提供商進行風(fēng)險評估、監(jiān)測、檢查和審計的權(quán)利,及服務(wù)提供商承諾接受銀保監(jiān)會對其所承擔(dān)的銀行保險機構(gòu)外包服務(wù)的監(jiān)督檢查。
(五)合同變更或終止的觸發(fā)條件,合同變更或終止的過渡安排。
(六)外包活動中相關(guān)信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求。
(七)資源保障條款。
(八)安全保密和消費者權(quán)益保護約定,包括但不限于:禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行保險機構(gòu)的信息,服務(wù)提供商不得將銀行保險機構(gòu)數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或謀取外包合同約定以外的利益。
(九)爭端解決機制、違約及賠償條款,跨境外包應(yīng)明確爭議解決時所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)選擇中國仲裁機構(gòu)、中國法院管轄,適用中國法律解決糾紛。
(十)報告條款,至少包括常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。
第二十二條? 銀行保險機構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包或變相轉(zhuǎn)包。在涉及外包服務(wù)分包時應(yīng)當(dāng)要求:
(一)不得將外包服務(wù)的主要業(yè)務(wù)分包;
(二)主服務(wù)提供商對服務(wù)水平負總責(zé),確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議;
(三)主服務(wù)提供商對分包服務(wù)提供商進行監(jiān)控,并對分包服務(wù)提供商的變更履行通知或報告審批義務(wù)。
第四章 信息科技外包監(jiān)控評價
第二十三條? 銀行保險機構(gòu)應(yīng)當(dāng)對外包服務(wù)過程進行持續(xù)監(jiān)控,及時發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。
第二十四條? 銀行保險機構(gòu)應(yīng)當(dāng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評價機制,確保相關(guān)監(jiān)控信息和評價結(jié)果的真實性和完整性,且數(shù)據(jù)至少保存到服務(wù)結(jié)束后三年。
第二十五條? 銀行保險機構(gòu)應(yīng)當(dāng)對信息科技外包服務(wù)建立服務(wù)效能和質(zhì)量監(jiān)控指標(biāo),并進行相應(yīng)監(jiān)控。常見指標(biāo)包括:
(一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率;
(二)故障次數(shù)、故障解決率、故障的響應(yīng)時間、故障的解決時間;
(三)服務(wù)的次數(shù)、客戶滿意度;
(四)業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率;
(五)外包人員工作飽和率、外包人員的考核合格率;
(六)網(wǎng)絡(luò)和信息安全指標(biāo)、業(yè)務(wù)連續(xù)性指標(biāo)。
第二十六條? 銀行保險機構(gòu)應(yīng)當(dāng)對服務(wù)提供商的財務(wù)、內(nèi)控及安全管理進行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。
第二十七條? 銀行保險機構(gòu)監(jiān)控到信息科技外包服務(wù)出現(xiàn)異常情況時,應(yīng)當(dāng)及時督促服務(wù)提供商采取糾正措施;情節(jié)嚴(yán)重或未及時糾正的,應(yīng)當(dāng)及時約談服務(wù)提供商高管人員并限期整改。對于逾期未整改的服務(wù)提供商,應(yīng)當(dāng)暫停或取消其服務(wù)資格,并向銀保監(jiān)會或其派出機構(gòu)報告。
第二十八條? 對于關(guān)聯(lián)外包,銀行保險機構(gòu)董(理)事會和高級管理層應(yīng)當(dāng)推動母公司或所屬集團將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績評價范圍,建立外包服務(wù)重大事件問責(zé)機制。
第二十九條? 銀行保險機構(gòu)應(yīng)在信息科技外包服務(wù)到期前,就是否繼續(xù)外包進行評估決策。外包服務(wù)結(jié)束時,銀行保險機構(gòu)應(yīng)對服務(wù)提供商進行評價,評價結(jié)果作為服務(wù)提供商后續(xù)準(zhǔn)入的重要參考依據(jù)。對具有持續(xù)性特點的外包服務(wù),銀行保險機構(gòu)終止外包或更換服務(wù)提供商前,應(yīng)制定周密的退出和交接計劃。
第五章 信息科技外包風(fēng)險管理
第三十條? 銀行保險機構(gòu)應(yīng)建立并持續(xù)完善風(fēng)險管理制度和流程,充分識別并評估信息科技外包可能產(chǎn)生的風(fēng)險,包括但不限于:
(一)科技能力喪失。過度依賴外包導(dǎo)致失去科技控制及創(chuàng)新能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展。
(二)業(yè)務(wù)中斷。支持業(yè)務(wù)運營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷。
(三)數(shù)據(jù)泄露、丟失和篡改。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致銀行保險機構(gòu)重要數(shù)據(jù)或客戶個人信息泄露、丟失和篡改。
(四)資金損失。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致銀行保險機構(gòu)客戶資金被盜取。
(五)服務(wù)水平下降。由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下,使得信息科技服務(wù)水平下降。
(六)可能導(dǎo)致的戰(zhàn)略、聲譽、合規(guī)等其他風(fēng)險。
第三十一條? 針對可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù),銀行保險機構(gòu)應(yīng)當(dāng)事先建立風(fēng)險控制、緩釋或轉(zhuǎn)移措施,包括但不限于:
(一)事先制定退出策略和供應(yīng)鏈安全保障方案,并在外包服務(wù)實施過程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷或服務(wù)質(zhì)量下降的情況;
(二)明確措施和方法,在服務(wù)提供商服務(wù)質(zhì)量不能滿足合同要求的情況下,保障獲取其外包服務(wù)資源的優(yōu)先權(quán);
(三)要求服務(wù)提供商提供必要的應(yīng)急和災(zāi)備資源保障,制定應(yīng)急處理預(yù)案并在預(yù)案中明確為銀行保險機構(gòu)提供應(yīng)急響應(yīng)和恢復(fù)的優(yōu)先級,原則上應(yīng)為最高級;
(四)組織服務(wù)提供商參與應(yīng)急計劃編制和應(yīng)急演練,至少每年在綜合性演練或?qū)m椦菥氈屑{入一個或多個服務(wù)提供商開展一次相關(guān)演練;
(五)考慮預(yù)先在銀行保險機構(gòu)內(nèi)部配置相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。
第三十二條? 銀行保險機構(gòu)應(yīng)當(dāng)制定和落實網(wǎng)絡(luò)和信息安全管理措施,包括但不限于:
(一)對服務(wù)提供商和外包人員進行網(wǎng)絡(luò)和信息安全教育或培訓(xùn),增強網(wǎng)絡(luò)和信息安全意識,服務(wù)提供商應(yīng)與銀行保險機構(gòu)簽訂安全保密協(xié)議,外包人員應(yīng)簽署安全保密承諾書;
(二)明確外包活動需要訪問或使用的信息資產(chǎn),按“必需知道”和“最小授權(quán)”原則進行訪問授權(quán),嚴(yán)格管控遠程維護行為;
(三)對信息系統(tǒng)開發(fā)交付物(含擁有知識產(chǎn)權(quán)的源代碼)進行安全掃描和檢查;
(四)對客戶信息、源代碼和文檔等敏感信息采取嚴(yán)格管控措施,對敏感信息泄露風(fēng)險進行持續(xù)監(jiān)測;
(五)對服務(wù)提供商所提供的模型、算法及相關(guān)信息系統(tǒng)加強管理,確保模型和算法遵循可解釋、可驗證、透明、公平的原則;
(六)定期對外包活動進行網(wǎng)絡(luò)和信息安全評估。
第三十三條? 銀行保險機構(gòu)應(yīng)識別對本機構(gòu)具有集中度風(fēng)險的外包服務(wù)及其提供商,積極采用分散外包活動、注重外包項目知識產(chǎn)權(quán)保護、提高自身研發(fā)運維能力、儲備潛在替代服務(wù)提供商等手段,減少對個別外包服務(wù)提供商的依賴,降低集中度風(fēng)險。
第三十四條? 銀行保險機構(gòu)應(yīng)當(dāng)對符合重要外包標(biāo)準(zhǔn)的非駐場外包服務(wù)進行實地檢查,原則上每三年覆蓋所有重要的非駐場外包服務(wù)。對具有行業(yè)集中度性質(zhì)的服務(wù)提供商,銀行保險機構(gòu)可采取聯(lián)合檢查、委托檢查等形式,減少重復(fù)性工作,減輕服務(wù)提供商的檢查負擔(dān)。
第三十五條? 銀行保險機構(gòu)每年應(yīng)當(dāng)至少開展一次全面的信息科技外包風(fēng)險管理評估,并向董(理)事會或高級管理層提交評估報告。
第三十六條? 銀行保險機構(gòu)應(yīng)當(dāng)開展信息科技外包及其風(fēng)險管理的審計工作,定期對信息科技外包活動進行審計,至少每三年覆蓋所有重要外包。發(fā)生重大外包風(fēng)險事件后應(yīng)當(dāng)及時開展專項審計。銀行保險機構(gòu)應(yīng)承擔(dān)內(nèi)部審計職能和責(zé)任,內(nèi)部審計項目可委托母公司或同一集團下屬子公司實施,或聘請獨立第三方實施。
第六章 監(jiān)督管理
第三十七條? 銀行保險機構(gòu)開展以下信息科技外包活動時,應(yīng)當(dāng)在外包合同簽訂前二十個工作日向銀保監(jiān)會或其派出機構(gòu)的信息科技監(jiān)管部門報告(目錄見附件):
(一)信息科技工作整體外包;
(二)數(shù)據(jù)中心(機房)整體外包;
(三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的外包;
(四)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;
(五)符合重要外包條件的非駐場外包、關(guān)聯(lián)外包和跨境外包;
(六)其他銀保監(jiān)會認為重要的信息科技外包。
第三十八條? 銀行保險機構(gòu)信息科技外包活動中發(fā)生以下重大風(fēng)險事件時,應(yīng)當(dāng)按照相關(guān)突發(fā)事件監(jiān)管報告要求,向銀保監(jiān)會或其派出機構(gòu)報告:
(一)銀行保險機構(gòu)重要數(shù)據(jù)或客戶個人信息泄露;
(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運營中斷;
(三)由于不可抗力或服務(wù)提供商重大經(jīng)營、財務(wù)問題,導(dǎo)致或可能導(dǎo)致多家銀行保險機構(gòu)外包服務(wù)中斷;
(四)重要外包服務(wù)非正常中斷、終止或其服務(wù)提供商非正常退出;
(五)因服務(wù)提供商不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊或其他原因,造成銀行保險機構(gòu)客戶重大資金損失;
(六)發(fā)現(xiàn)重大的服務(wù)提供商違法違規(guī)事件;
(七)銀保監(jiān)會規(guī)定需要報告的其他重大事件。
相關(guān)突發(fā)事件報告要求中沒有規(guī)定的,在24小時內(nèi)向銀保監(jiān)會或其派出機構(gòu)報告。
第三十九條? 銀保監(jiān)會及其派出機構(gòu)對銀行保險機構(gòu)信息科技外包風(fēng)險進行獨立評估,對銀行保險機構(gòu)信息科技外包工作進行監(jiān)督和檢查,并納入監(jiān)管綜合評價體系。對于檢查發(fā)現(xiàn)涉嫌違法事項的有關(guān)單位和個人,依照相關(guān)法律規(guī)定實施延伸檢查。
第四十條? 銀保監(jiān)會及其派出機構(gòu)持續(xù)監(jiān)測銀行業(yè)保險業(yè)信息科技外包風(fēng)險狀況,建立行業(yè)和區(qū)域集中度風(fēng)險監(jiān)測與核查機制,對重大或共性風(fēng)險及時向行業(yè)發(fā)布風(fēng)險提示,積極防范因信息科技外包可能引發(fā)的區(qū)域性、系統(tǒng)性風(fēng)險。根據(jù)風(fēng)險狀況,銀保監(jiān)會及其派出機構(gòu)可以要求銀行保險機構(gòu)與服務(wù)提供商會談,就其外包服務(wù)和風(fēng)險相關(guān)的重大事項作出說明。
第四十一條? 銀保監(jiān)會及其派出機構(gòu)可組織或責(zé)令銀行保險機構(gòu)對承擔(dān)銀行保險機構(gòu)信息科技外包服務(wù)的服務(wù)提供商進行現(xiàn)場核查,也可由銀行保險機構(gòu)委托其他第三方機構(gòu)以審計的形式實施。銀保監(jiān)會建立信息共享機制,及時向行業(yè)通報現(xiàn)場核查情況。
第四十二條? 對于經(jīng)監(jiān)管評估、監(jiān)督檢查或現(xiàn)場核查風(fēng)險較高的信息科技外包服務(wù),銀保監(jiān)會及其派出機構(gòu)可以對銀行保險機構(gòu)采取風(fēng)險提示、約見談話、監(jiān)管質(zhì)詢、要求暫緩和停止相關(guān)外包活動等措施。對具有重大違法違規(guī)情形的服務(wù)提供商,銀保監(jiān)會可通報行業(yè),必要時將有關(guān)情況移交司法機關(guān)。
第四十三條? 銀行保險機構(gòu)違反本辦法要求的,銀保監(jiān)會及其派出機構(gòu)依法予以糾正,并視情況予以問責(zé)或處罰。
第七章 附則
第四十四條? 本辦法所稱關(guān)聯(lián)外包,是指銀行保險機構(gòu)的母公司或其所屬集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)作為服務(wù)提供商,為其提供信息科技外包服務(wù)的行為。
同業(yè)外包,是指依法設(shè)立的由銀保監(jiān)會監(jiān)管的銀行保險機構(gòu)為其他同行業(yè)金融機構(gòu)提供外包服務(wù)的行為。
跨境外包,是指服務(wù)提供商在境外其他國家或地區(qū)實施信息科技外包服務(wù)的行為。
非駐場外包,是指服務(wù)提供商不在銀行保險機構(gòu)場所提供服務(wù)的外包形式。
重要數(shù)據(jù),包括但不限于客戶資料、交易數(shù)據(jù)、商業(yè)秘密等,參見國家法律法規(guī)和國家標(biāo)準(zhǔn)對重要數(shù)據(jù)的相關(guān)定義。
客戶個人信息和敏感信息,參見國家法律法規(guī)和國家標(biāo)準(zhǔn)對個人信息的相關(guān)定義。
第四十五條? 本辦法由銀保監(jiān)會負責(zé)解釋和修訂。
第四十六條? 本辦法自公布之日起施行?!躲y行業(yè)金融機構(gòu)信息科技外包風(fēng)險監(jiān)管指引》(銀監(jiān)發(fā)〔2013〕5號)、《中國銀監(jiān)會辦公廳關(guān)于加強銀行業(yè)金融機構(gòu)信息科技非駐場集中式外包風(fēng)險管理的通知》(銀監(jiān)辦發(fā)〔2014〕187號)、《中國銀監(jiān)會辦公廳關(guān)于開展銀行業(yè)金融機構(gòu)信息科技非駐場集中式外包監(jiān)管評估工作的通知》(銀監(jiān)辦發(fā)〔2014〕272號)同時廢止。
附件:
1.銀行保險機構(gòu)信息科技外包監(jiān)管報告材料目錄
2.信息科技外包服務(wù)類型參考
附件1
銀行保險機構(gòu)信息科技外包監(jiān)管報告
材料目錄
一、外包服務(wù)基本情況,包括:
1. 外包服務(wù)名稱;
2. 外包服務(wù)類型:咨詢規(guī)劃類、開發(fā)測試類、運行維護類、安全服務(wù)類、業(yè)務(wù)支持類等;
3. 外包服務(wù)的主要內(nèi)容;
4. 實施方式:駐場外包、非駐場外包;
5. 影響的業(yè)務(wù)類型:渠道管理類、客戶管理類、產(chǎn)品管理類、財務(wù)管理類、決策支持類、共享支持類等;
6. 外包服務(wù)起止時間。
二、服務(wù)提供商基本情況,包括:
1. 服務(wù)提供商全稱、國別;
2. 盡職調(diào)查報告;
3. 法人代表;
4. 注冊資本;
5. 上級機構(gòu)/母機構(gòu);
6. 成立時間;
7. 企業(yè)性質(zhì);
8. 統(tǒng)一社會信用代碼。
三、外包風(fēng)險評估報告。
銀保監(jiān)會規(guī)定的其他材料。
附件2
信息科技外包服務(wù)類型參考
咨詢規(guī)劃類。包括但不限于:信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢,數(shù)據(jù)中心(機房)整體建設(shè)咨詢和規(guī)劃,信息科技治理(含數(shù)據(jù)治理)、信息科技風(fēng)險管理體系、信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系等管理類咨詢和規(guī)劃,重要信息系統(tǒng)架構(gòu)和建設(shè)相關(guān)的咨詢和規(guī)劃,新興技術(shù)應(yīng)用咨詢和規(guī)劃。
開發(fā)測試類。包括但不限于:軟硬件開發(fā)和測試外包(含人力外包),軟件即服務(wù)形式的外包。
運行維護類。包括但不限于:數(shù)據(jù)中心(機房)物理環(huán)境的托管或運行維護,軟硬件基礎(chǔ)設(shè)施托管或運行維護,應(yīng)用系統(tǒng)運行維護,電子機具運行維護,終端等辦公設(shè)備的運行維護,以及涉及以上運行維護的人力外包。
安全服務(wù)類。包括但不限于:安全運營服務(wù),安全加固服務(wù),安全設(shè)備運行維護,安全日志處理與分析,安全測試服務(wù),密鑰管理及運行維護,數(shù)據(jù)安全服務(wù),以及涉及以上服務(wù)的人力外包。
業(yè)務(wù)支持類。包括但不限于:市場拓展、業(yè)務(wù)運營(集中作業(yè)、呼叫中心等)、企業(yè)管理、資產(chǎn)處置、數(shù)據(jù)處理、數(shù)據(jù)利用等業(yè)務(wù)外包或第三方合作當(dāng)中涉及銀行保險機構(gòu)的重要數(shù)據(jù)或客戶個人信息處理的信息科技活動,法律法規(guī)另有要求的除外。
相關(guān)稿件