银行业金融机构信息科技外包风险监管指引正式发文版.docx

银行业金融机构信息科技外包风险监管指引正式发文版 银行业金融机构 信息科技外包风险监管指引 第一章 总则 第一条 为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心实力，促进银行业信息科技健康有序发展，依据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规，制定本指引。 其次条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本指引执行。 第三条 本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动托付给服务供应商进行处理的行为，包含项目外包、人力资源外包等形式，原则上包括以下类型： （一） 研发询问类外包：科技管理及IT治理等询问设计外包，规划、需求、系统开发、测试外包； （二） 系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包； （三） 业务外包中的信息科技活动：市场拓展、业务操作、 1 企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动； 第四条 本指引所称关联外包指服务供应商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。 第五条 信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险： （一） 科技实力丢失：银行业金融机构过度依靠外部资源导致失去科技创新及限制实力，影响业务创新与发展； （二） 业务中断：支持业务运营的外包服务无法持续供应导致业务中断； （三） 信息泄露：包含客户信息在内的银行非公开数据被服务供应商非法获得或泄露； （四） 服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。 第六条 本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务供应商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、平安事务等。 第七条 本指引所称同业托管机构是指作为外包服务供应商为其他同行业金融机构供应信息科技外包服务的银行业金融机构。 第八条 银行业金融机构应当将信息科技外包管理纳入全 2 面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，限制或降低由于外包而引发的风险。 第九条 银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务供应商准入、评价、退出等手段建立及维护符合其战略目标的供应商关系管理策略。 第十条 银行业金融机构在实施信息科技外包时应当坚持以下原则： （四） 以不阻碍核心实力建设、主动驾驭关键技术为导向； （五） 保持外包风险、成本和效益的平衡； （六） 强调外包风险的事前限制，保持管控力度； （七） 依据外包管理及技术发展趋势，持续改进外包策略和措施。 第十一条 银行业金融机构在实施信息科技外包时，不得将其信息科技管理责任外包。 第十二条 对于不涉及银行客户及内部信息转移的信息科技产品选购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，银行业金融机构应当充分评估其信息科技风险，根据本指引第五章要求进行管理。 其次章 外包管理组织架构 第十三条 银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门，制定并审批信息科技外包战略，审议信息科技外包管理流程及制度，督促并监控信息科技外包风险管理效果。 第十四条 信息科技外包风险主管部门主要职责包括： （一） 对外包风险进行识别、评估与风险提示； （二） 监督、评价外包管理工作，并督促外包风险管理的持续改善； （三） 向高级管理层定期汇报信息科技外包活动开展相关风险管理状况； （四） 董事会或高级管理层确定的其他信息科技外包风险管理职责。 第十五条 银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队，并配备足够人员履行以下职责： （一） 实施信息科技外包战略； （二） 制定并执行信息科技外包管理制度与流程； （三） 执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略； （四） 制定保障外包服务持续性的应急管理方案，并组织 4 实施定期演练； （五） 对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理的主管部门报告外包活动状况。 第三章 信息科技外包战略及风险管理 第一节 信息科技外包战略 第十六条 银行业金融机构应当以提升信息科技队伍实力，提高科技管理及创新水平，驾驭信息科技核心技能为目标。基于信息科技战略、外包市场环境、自身风险限制实力和风险偏好制定其信息科技外包战略，包括：不能外包的职能、资源实力建设方案、供应商关系管理策略和外包分级管理策略。 第十七条 银行业金融机构应当依据自身的信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不应外包。 第十八条 银行业金融机构应当依据外包战略制定资源、实力建设方案，通过补充人员、提升技能、学问转移等方式，有针对性地获得或提升管理及技术实力，降低对服务供应商的依靠。 第十九条 银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略，通过准入和退出机制限制各类高风险服务供应商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低选购成本的同时提高服务 5 质量，合理限制服务供应商的数量从而降低风险及管理成本等。 其次十条 银行业金融机构可根据外包服务性质和重要性程度对服务供应商进行分级管理，对不同级别的服务供应商实行严格程度差异化的管控措施，从而达到有效管理重要风险的前提下降低管理成本。 其次十一条 对于关联外包，银行业金融机构应当保持外包有关决策的独立性，要求其母公司或其所属的集团公司协同做好外包服务及服务供应商的管理工作，避开因关联关系而降低银行业金融机构对外包活动的风险限制水平。 其次节 信息科技外包风险管理 其次十二条 银行业金融机构信息科技外包风险主管部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行状况、外包信息平安、机构集中度、服务连续性、服务质量、政策及市场改变对外包服务的影响分析等。 其次十三条 银行业金融机构应当对重要的外包服务供应商进行定期风险评估，保持评估的独立性。至少在三年内覆盖全部重要的服务供应商。评估内容包括：服务供应商合规状况、服务的执行效果等，评估结果应当作为服务供应商准入及退出的重要依据。 其次十四条 银行业金融机构内部审计部门应当定期开展信 6 息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事务后应刚好开展专项审计。 第四章 信息科技外包管理 第一节 外包风险评估及准入 其次十五条 外包项目立项前，银行业金融机构应当审慎检查项目与信息科技外包战略的一样性，应当依据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处臵措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。 其次十六条 银行业金融机构应当依据供应商关系管理策略，结合风险评估结果及服务供应商的准入标准，对备选服务供应商进行初步筛选，防范引入高机构集中度风险特点的服务供应商、或引入增加整体风险的服务供应商。 其次十七条 对于外包服务供应商为同业托管机构的状况，银行业金融机构可参照本节内容对其进行管理。 其次节 服务供应商尽职调查 其次十八条 对重要的服务供应商，银行业金融机构在与其签订合同前应当深化开展尽职调查，必要时可聘请第三方机构帮助调查。 7 其次十九条 银行业金融机构在尽职调查时应当关注服务供应商的技术和行业阅历，包括但不限于：服务实力和支持技术、服务阅历、服务人员技能、市场评价、监管评价等。 第三十条 银行业金融机构在尽职调查时应当关注服务供应商的内部限制和管理实力，包括但不限于：内部限制机制和管理流程的完善程度、内部限制技术和工具等。 第三十一条 银行业金融机构在尽职调查时应当关注服务供应商的持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的平安性、近期盈利状况等。 第三十二条 对于关联外包，银行业金融机构不得因关联关系而降低对服务供应商的要求，应当在尽职调查阶段具体分析服务供应商技术、内控和管理水平，确认其有足够实力实施外包服务、处理突发事务等。 第三十三条 对于外包服务供应商为同业托管机构的状况，银行业金融机构可参照本节内容对其进行管理。 第三节 外包服务合同及要求 第三十四条 银行业金融机构在实施外包服务项目前，应当与服务供应商签订服务合同。合同应当依据外包服务需求、风险评估及尽职调查结果确定其具体程度和重点。 第三十五条 银行业金融机构在合同或协议中应当明确以下内容，包括但不限于： （一） 服务范围、服务内容、工作时限及支配、责任安排、 8 交付物要求以及后续合作中的相关限定条件； （二） 合规与内控要求，对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务供应商的内控措施； （三） 服务连续性要求，服务供应商的服务连续性管理目标应当满意银行业金融机构业务连续性目标要求； （四） 银行业金融机构监控和检查的权力、频率，服务供应商协作其内、外部审计机构检查，及协作银行业金融机构接受银行业监督管理机构检查的责任； （五） 政策或环境改变因素等在内的合同变更或终止的触发条件，外包服务供应商在过渡期间应当履行的主要职责及合同变更或终止的过渡支配，包括信息、资料和设施的交接处臵等过渡期间相关服务的支配； （六） 外包服务过程中产生、加工、交互的信息和学问产权的归属权以及允许服务供应商运用的内容及范围，对服务供应商运用合法软、硬件产品的要求； （七） 服务要求或服务水平条款，至少应包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的限制、平安标准的遵守状况、技术支持水同等； （八） 争端解决机制、违约及赔偿条款，至少包括如下内容：服务质量违约、平安违约、学问产权违约等，及在各种违约状况下的赔偿以及外包争端的解决机制； （九） 报告条款，至少包括如下内容：常规报告内容和报告频度、突发事务时的报告路途、报告方式刚好限要求。 第三十六条 银行业金融机构应当在合同或协议中明确服务供应商在平安和保密方面的责任，以及针对平安及保密要求需实行的详细措施，包括但不限于： （一） 禁止服务供应商在合同允许范围外运用或者披露银行业金融机构的信息，以防止信息被非授权的运用； （二） 在合同或协议中约定服务供应商对银行客户信息平安和银行客户权力的爱护条款、事故处理方式及违约赔偿条款； （三） 在合同或协议中约定服务供应商不得以所供应服务的银行业金融机构名义开展活动； （四） 服务供应商接触银行业金融机构信息时，需满意平安和保密相关条款的要求； （五） 服务供应商在其发生信息平安事务时必需刚好向银行业金融机构报告事务的影响以及处臵和订正措施。 第三十七条 银行业金融机构应当在合同或协议中明确要求服务供应商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求： （一） 不得将外包服务的主要业务分包； （二） 主服务供应商对服务水平负总责，确保分包服务供应商能够严格遵守外包合同或协议； （三） 主服务供应商对分包商进行监控，并对分包商的变 10 更履行通知或报告审批义务。 第四节 外包服务平安管理 第三十八条 银行业金融机构应当制定和落实信息平安管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不行用、非法入侵、物理环境或设施遭遇破坏等风险，详细措施包括： （一） 对外包人员进行信息平安培训，提高风险管理意识，确保信息平安管控措施在外包服务过程中有效落实； （二） 明确外包活动须要访问或运用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问限制设备、账号、网络宽带、网络端口等，按“必需知道“和“最小授权”原则进行访问授权； （三） 对重要或核心的信息系统开发交付物进行源代码检查和平安扫描； （四） 定期对服务供应商进行平安检查，获得服务供应商自评估或第三方评估报告。 第三十九条 银行业金融机构在对关联外包的服务供应商进行定期平安检查时，不得以服务供应商的自评估来替代，不得因关联关系而影响检查的独立性、客观性及公正性。 第四十条 银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及平安架构的冲击，刚好完善信息平安管控体系，避开因新技术或应用的引入而增加额外的信息平安风险。 11 第五节 外包服务监控与评价 第四十一条 银行业金融机构应当对外包服务过程进行持续监控，要求服务供应商建立阶段性服务目标及任务，并跟踪任务的执行状况，刚好发觉和订正服务过程中存在的各类异样状况。 第四十二条 银行业金融机构应当依据信息科技的外包需求、合同、服务水平协议等建立明确的服务质量监控指标，并进行相应的监控。常见指标包括： （一） 信息系统和设备及基础设施的可用率、设备的开机率； （二） 故障次数、故障解决率、故障的响应时间； （三） 服务的次数、客户满足度； （四） 各阶段业务需求的刚好完成率、程序的缺陷数、需求变更率； （五） 外包人员工作饱和率、外包人员的考核合格率。 第四十三条 银行业金融机构应当建立明确的服务书目,服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务结束后一年。 第四十四条 银行业金融机构应当对服务供应商的财务、内控及平安管理进行持续监控，关注其因破产、兼并、关键人员 12 流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等状况，防范外包服务意外终止或服务质量的急剧下降。 第四十五条 银行业金融机构监控到异样状况时，应当刚好督促服务供应商实行订正措施，情节严峻的或未刚好订正的，应约谈服务供应商高管人员并限期整改。 第四十六条 外包服务结束时，银行业金融机构应当对服务供应商进行评价，评价结果应当作为服务供应商准入的重要参考依据。 第四十七条 对于关联外包，银行业金融机构董事会及高级管理层应当推动母公司或其所属集团将外包服务质量纳入对服务供应商的业绩评价范围，建立外包服务重大事务问责机制。同时，应当要求服务供应商在其内部建立与外包服务水平相关的绩效考核机制。 第六节 外包服务中断与终止 第四十八条 银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性的完善业务连续性管理安排，包括但不限于： （一） 识别出重要业务所涉及的服务供应商和资源； （二） 通过合同协议等形式明确要求服务供应商提前打算并维护好相关资源； （三） 对服务供应商业务连续性管理进行监控，并评价其 13 管理水平； （四） 在进行业务连续性安排演练时将相关的服务供应商纳入演练范围。 第四十九条 为降低外包突发事务的可能性及影响，银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险限制、缓释或转移措施，包括但不限于以下内容： （一） 在外包服务实施的过程中持续收集服务供应商相关信息，尽早发觉可能导致服务中断的状况； （二） 与服务供应商事先约定在其服务质量不能满意合同要求的状况下获得其外包服务资源的优先权； （三） 要求服务供应商制定服务中断相关的应急处理预案，如供应备份人员； （四） 对于涉及重要业务的外包服务，银行业金融机构需考虑预先在其内部配臵相应的人力资源，驾驭必要的技能，以在外包服务中断期间自行维持最低限度的服务实力。 第五十条 银行业金融机构应当针对重要外包服务中断的场景，拟定相应的应急安排，并定期进行演练，应考虑的因素包括但不限于以下内容： （一） 事务场景，如重要人员流失导致服务无法持续，服务供应商主动退出，因资质变更、被收购、兼并或破产等缘由导致的服务供应商被动退出等； （二） 事务持续时间和复原可能性； （三） 事务影响范围和可能的应急措施； （四） 服务供应商自行复原服务的可能性和时间； （五） 备选的服务供应商以及外包服务迁移方案； （六） 外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。 第五十一条 对于无法满意外包服务要求或发生重大事务的状况，银行业金融机构应当在充分评估其影响及制定退出安排的前提下，考虑主动要求服务供应商终止服务，情节特殊严峻的，可考虑取消准入资质，并报监管机构申请对其备案。对于关联外包，银行业金融机构不得因为关联关系而影响服务供应商退出机制的落实。 第五章 机构集中度风险管理 第五十二条 银行业金融机构应当依据服务供应商所承接外包服务的数量、金额在本行重要信息科技服务中的占比，服务供应商所承接外包服务在银行业服务市场占比状况，识别具有机构集中度特点的外包服务供应商。同时，还应识别服务供应商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。 第五十三条 银行业金融机构应当主动采纳分散信息科技外包活动、提高自主研发运行实力等形式，降低机构集中度，削减对外包服务供应商的依靠。 15 第五十四条 银行业金融机构应当要求具有机构集中度特点的外包服务供应商供应充分的证据，证明其内部限制和管理实力、持续运营实力等。 第五十五条 银行业金融机构应当要求具有机构集中度特点的外包服务供应商为银行业金融机构配备相对独立的资源，包括服务团队、场地、系统、设备等；并对资源进行定期检查，确保资源刚好到位。 第五十六条 银行业金融机构应当要求具有机构集中度特点的外包服务供应商在外包服务中断应急预案中，明确外包服务的优先级，并进行服务中断应急演练，服务供应商应至少参加服务交接、敏感信息处臵等演练过程。 第五十七条 银行业金融机构应当特殊加强对具有机构集中度特点的外包服务供应商的财务、内控、平安管理状况持续监控，建立信息收集机制，刚好驾驭风险事务状况，防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。 第五十八条 银行业金融机构应当对具有机构集中度特点的外包服务供应商增加监督频率与力度，必要时可指派专人进行现场监督。 第五十九条 对于具有机构集中度特点的外包服务供应商为同业托管机构的状况，银行业金融机构可参照本节内容对其进行外包管理。 16 第六章 跨境及非驻场外包管理 第一节 跨境外包风险管理 第六十条 跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。 第六十一条 跨境外包除具有本指引前述风险外，还包括由于某一国家或地区经济、政治、社会改变及事务而产生的国别风险，及由于外包实施场地远离银行业金融机构而产生的非驻场风险。 第六十二条 银行业金融机构应当充分了解并持续监控服务供应商所在国家或地区的经济、政治、社会状况，通过建立应急预案、服务持续性安排防范跨境外包所带来的国别风险。 第六十三条 银行业金融机构应当关注国外法律法规、监管要求对其获得服务供应商外包管理信息可能的影响。实施跨境外包时，不应阻碍银行业金融机构有效履行外包服务监控管理职能及监管机构的延长检查。 第六十四条 银行业金融机构在选择跨境外包时，应当明确其所在国家或地区监管当局已与中国银监会签订谅解备忘录或双方认可的其他约定。 第六十五条 银行业金融机构在实施跨境外包时，其合同应当包括法律选择和司法管辖权的约定，明确争议解决时所适用的法律及司法管辖权，原则上应当要求服务供应商依照中国的法律解决纠纷。 17 第六十六条 银行业金融机构在开展跨境外包时，应当充分审查评估服务供应商爱护客户信息的实力，并将其作为选择服务供应商的重要指标。涉及客户信息的跨境外包,应在符合监管法规政策并获得客户授权的前提下开展。 其次节 非驻场外包风险管理 第六十七条 非驻场外包是指服务供应商不在银行业金融机构现场供应服务的外包形式。由于银行业金融机构不能对其内部限制及风险管理措施进行干脆管控，应当在信息平安、学问产权爱护、质量监控、法律合规等方面加强对服务供应商的风险管理。 第六十八条 银行业金融机构应当建立针对非驻场外包服务的内部限制及风险管理要求的最低标准，该标准应当作为选择服务供应商的最低要求。 第六十九条 银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次，检查结果应作为外包服务供应商项目考核及准入的重要指标。 第七十条 银行业金融机构应当加强对服务商非驻场外包服务内部限制、质量管理、信息平安的有效性评估，评估结果应作为供应商准入的重要依据。对于高风险的服务供应商，银行业金融机构应责令其进行限期整改，对于逾期未改的服务供应商应暂停或取消其服务资格。 18 第七十一条 对于非驻场外包服务供应商为同业托管机构的状况，银行业金融机构可参照本节内容对其进行外包管理，但同业托管机构须将为其他同行业金融机构供应的信息科技外包服务视同自身信息科技服务的重要组成部分，不应区分对待而降低对自身供应外包服务的风险管控水平。 第七章 银行业重点外包服务机构风险管理要求 第七十二条 银行业重点外包服务机构是指集中为银行业金融机构供应外包服务，同时满意下述条件，如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断，造成经济损失的机构，详细条件如下： (一) 担当集中存贮客户数据的业务交易系统外包服务；或担当银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务；或担当银行业金融机构数据中心、灾备中心机房及基础设施外包服务；且上述服务均为非驻场外包服务； (二) 服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上；或服务的国有、股份制法人银行业金融机构数量达到3家或以上；或服务的其它类型法人银行业金融机构数量达到10家或以上。 第七十三条 银行业金融机构应依据监管机构发布的银行业重点外包服务机构风险提示，根据如下要求进行管理： 19 (一) 银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间应不少于3年。 (二) 银行业重点外包服务机构应当拥有健全的组织架构，并针对所供应的外包服务建立有效的风险治理架构，至少应当建立由公司高级管理层干脆领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队，为持续的外包服务供应保证。 (三) 银行业重点外包服务机构应当建立与所担当的服务范围和规模相适应的服务管理体系，建立完善的信息平安、服务质量、服务持续性等管理制度体系，拥有有效的检查、监控和考核机制，确保管理规范有效执行。 (四) 银行业重点外包服务机构应当具有足够的技术实力、人员队伍和设施、环境，满意外包服务的质量和平安管理要求。银行业重点外包服务机构担当的银行业金融机构外包服务场地应设臵在中国境内。 第七十四条 银行业金融机构应要求银行业重点外包服务机构具有如下相关领域资质认证: (一) 具有完善的信息平安管理体系、业务连续性管理体系，并通过业界公认较为权威的信息平安管理和业务连续性管理资质认证。 (二) 具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证。 20 (三) 担当银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构，其机房及基础设施应达到国家电子计算机机房最高标准。 (四) 担当集中存贮客户数据的业务交易系统外包服务，或担当银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。 第七十五条 银行业金融机构应在风险管理、审计方面对银行业重点外包服务机构做出如下要求： (一) 银行业重点外包服务机构应当具有信息科技风险的管理体系，有效识别、监测、评估和限制风险。银行业重点外包服务机构应至少每季度向所服务的银行业金融机构报送外包风险监控报告，针对监控发觉的潜在风险或风险事务，刚好实行限制或缓释措施。 (二) 银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,年度风险评估报告需报送所服务的银行业金融机构，并抄送银行业监督管理委员会或其派出机构。 (三) 银行业重点外包服务机构应当对其外包服务团队成员进行背景调查，确保其过往无犯罪或其他不良记录，且应当与项目成员签订保密协议，并保留至少10年的法律追诉期。 21 第八章 监督管理 第七十六条 银行业金融机构开展以下信息科技外包服务时,应在外包合同签订前二十个工作日向中国银监会或其派出机构报告。报告内容见附件信息科技外包服务报告材料书目。 （一） 信息科技工作整体外包； （二） 数据中心或灾备中心整体外包； （三） 涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务供应商进行分析或处理的信息科技外包； （四） 以非驻场形式实施的、集中存贮客户数据的业务交易系统外包； （五） 关联外包； （六） 涉及跨境的信息科技外包； （七） 其他中国银监会认为重要的信息科技外包。 第七十七条 银行业金融机构信息科技外包活动中发生如下重大事务时，应在两个工作日内向中国银监会或其派出机构报告。 （一） 银行业金融机构客户信息等敏感数据泄露； （二） 数据损毁或者重要业务运营中断； （三） 由于不行抗力或服务供应商重大经营、财务问题，导致或可能导致多家银行业金融机构外包服务中断; 22 （四） 其他重大的服务供应商违法违规事务； （五） 中国银监会规定须要报告的其他重大事务。 第七十八条 银行业金融机构在开展年度外包风险管理评估工作后，应将年度风险评估报告报送中国银监会或其派出机构。报告内容见附件信息科技外包服务报告材料书目。 第七十九条 中国银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，监督检查结果应纳入对银行业金融机构的监管评级。 第八十条 对于风险较高的信息科技外包服务，银监会或其派出机构可要求银行业金融机构暂缓、中止该类外包服务，直至银行业金融机构、外包服务供应商有效改正。 第八十一条 银行业金融机构违反本指引规定的，中国银监会或其派出机构可要求银行业金融机构订正或实行替代方案，并视状况予以问责。因管理过失导致外包活动严峻危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的，将依法追究银行业金融机构管理责任。 第八十二条 中国银监会实行对银行业信息科技外包服务活动风险监测机制，定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示，防范因高机构集中度外包服务导致的行业性、区域性信息科技风险。 第八十三条 中国银监会应对具有机构集中度特点的银行业金融机构信息科技外包服务活动进行重点风险监测、评估。根 23 据履行职责的须要，中国银监会可要求银行业金融机构与银行业重点外包服务机构会谈，就其外包服务活动和风险的重大事项作出说明。 第八十四条 中国银监会应组织银行业金融机构，实地核查银行业重点外包服务机构担当的银行业金融机构信息科技服务活动，原则上每两年进行一次，也可以托付其他第三方机构审计的形式实施。 第八十五条 中国银监会可依据银行业金融机构信息科技服务活动风险评估和实地核查结果，对银行业金融机构发出监管提示，要求其督促银行业重点外包服务机构对风险问题实施整改。 第八十六条 银行业重点外包服务机构应当协作银行业金融机构及中国银监会的风险监测和实地核查。发觉外包服务中发生可能引发行业性、区域性信息科技风险的突发事务时，应刚好向银行业金融机构报告。 第八十七条 中国银监会组织相关银行业金融机构对银行业信息科技外包服务供应商建立服务管理记录，并对其风险评估和评级。 第八十八条 服务供应商在外包服务中存在以下情形的，中国银监会将定期向银行业发布服务供应商风险预警，公布机构名单、服务信息等，要求银行业金融机构禁止服务供应商担当银行业信息科技外包服务，禁止期至少为两年。外包服务供应商两年内仍未整改的，将延长其禁止期。 24 （一） 违反国家法律、法规和监管政策，情节严峻的； （二） 窃取、泄露银行业金融机构敏感信息，情节严峻的； （三） 因管理过失，多次发生重要信息系统服务中断或数据损毁、丢失、泄露事务； （四） 服务质量低下并给多家银行业金融机构造成损失，多次提示仍未整改； （五） 对风险监测和实地检查发觉的问题，逾期仍未整改； （六） 存在其他违法违规行为，或发生其它重大信息科技风险事务。 第八十九条 中国银监会将监督银行业金融机构实施对信息科技外包服务供应商的准入及“黑名单”管理。对于存在重大风险的外包活动，银行业金融机构应马上评估外包的适当性，对拟进入“黑名单”的信息科技外包服务供应商进行风险预警提示，要求其进行整改并设定期限。逾期未整改的，将进入“黑名单”。 第九章 附则 第九十条 本指引由中国银监会负责说明、修订。 第九十一条 本指引自发布之日起施行。 25 附录 银行业金融机构信息科技外包风险监管指引信息科技外包服务监管报告材料书目 一、信息科技外包监管报告材料 （一） 外包服务基本状况，包括： 1.外包服务名称； 2.外包服务类型：研发询问类、系统运行维护类、业务外包中的信息科技活动等； 3.外包服务的主要内容； 4.实施方式：驻场外包、非驻场外包； 5.影响的业务类型：渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类等； 6.外包服务起止时间。 （二） 服务供应商基本状况，包括： 1.服务供应商全称、国别； 2.尽职调查报告； 3.法人代表； 4.注册资本； 5.上级机构/母机构； 6.成立时间； 7.企业性质； 26 （三） 中国银监会规定的其他材料。 二、年度信息科技外包状况报送材料 （一） 银行业金融机构年度外包风险评估报告； （二） 银行业重点外包服务机构风险评估报告； （三） 本年度内正在执行或终止的重要信息科技外包服务状况，包括： 1.外包服务名称； 2.外包服务重大事务状况； 3.外包服务变更状况； 4.本期终止的，还应当供应外包服务评价。 （四） 中国银监会规定的其他材料。 27 银行业金融机构信息科技外包风险监管指引正式发文版 银行业金融机构信息科技外包风险监管指引 银行业金融机构外包风险管理指引 银行业金融机构信息科技风险非现场监管报表 银行业金融机构外部审计监管指引 银行业金融机构绩效考评监管指引 银行业金融机构信息系统风险管理指引 银行业金融机构全面风险管理指引 银行业金融机构信息科技风险评价审计要点 银行业金融机构数据治理指引 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第36页 共36页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页第 36 页 共 36 页