银行业金融机构信息科技外包风险监管指引正式发文版.docx
《银行业金融机构信息科技外包风险监管指引正式发文版.docx》由会员分享,可在线阅读,更多相关《银行业金融机构信息科技外包风险监管指引正式发文版.docx(36页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、银行业金融机构信息科技外包风险监管指引正式发文版 银行业金融机构 信息科技外包风险监管指引 第一章 总则 第一条 为规范银行业金融机构的信息科技外包活动,降低信息科技外包引发的风险,保持信息科技核心实力,促进银行业信息科技健康有序发展,依据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,制定本指引。 其次条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。 第三条 本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动托付
2、给服务供应商进行处理的行为,包含项目外包、人力资源外包等形式,原则上包括以下类型: (一) 研发询问类外包:科技管理及IT治理等询问设计外包,规划、需求、系统开发、测试外包; (二) 系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三) 业务外包中的信息科技活动:市场拓展、业务操作、 1 企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动; 第四条 本指引所称关联外包指服务供应商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。 第五条 信息科技的外包可能产生如下风险,
3、并导致银行业金融机构的战略、声誉、合规风险: (一) 科技实力丢失:银行业金融机构过度依靠外部资源导致失去科技创新及限制实力,影响业务创新与发展; (二) 业务中断:支持业务运营的外包服务无法持续供应导致业务中断; (三) 信息泄露:包含客户信息在内的银行非公开数据被服务供应商非法获得或泄露; (四) 服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条 本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务供应商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、平安事务等。 第七条 本指引所称同业托管机构是指
4、作为外包服务供应商为其他同行业金融机构供应信息科技外包服务的银行业金融机构。 第八条 银行业金融机构应当将信息科技外包管理纳入全 2 面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,限制或降低由于外包而引发的风险。 第九条 银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务供应商准入、评价、退出等手段建立及维护符合其战略目标的供应商关系管理策略。 第十条 银行业金融机构在实施信息科技外包时应当坚持以下原则: (四) 以不阻碍核心实力建设、主动驾驭关键技术为导向; (五) 保持外包风险、成本和效益的平衡; (六) 强调外包风险的事前
5、限制,保持管控力度; (七) 依据外包管理及技术发展趋势,持续改进外包策略和措施。 第十一条 银行业金融机构在实施信息科技外包时,不得将其信息科技管理责任外包。 第十二条 对于不涉及银行客户及内部信息转移的信息科技产品选购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,根据本指引第五章要求进行管理。 其次章 外包管理组织架构 第十三条 银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风
6、险管理效果。 第十四条 信息科技外包风险主管部门主要职责包括: (一) 对外包风险进行识别、评估与风险提示; (二) 监督、评价外包管理工作,并督促外包风险管理的持续改善; (三) 向高级管理层定期汇报信息科技外包活动开展相关风险管理状况; (四) 董事会或高级管理层确定的其他信息科技外包风险管理职责。 第十五条 银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责: (一) 实施信息科技外包战略; (二) 制定并执行信息科技外包管理制度与流程; (三) 执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略; (四)
7、制定保障外包服务持续性的应急管理方案,并组织 4 实施定期演练; (五) 对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理的主管部门报告外包活动状况。 第三章 信息科技外包战略及风险管理 第一节 信息科技外包战略 第十六条 银行业金融机构应当以提升信息科技队伍实力,提高科技管理及创新水平,驾驭信息科技核心技能为目标。基于信息科技战略、外包市场环境、自身风险限制实力和风险偏好制定其信息科技外包战略,包括:不能外包的职能、资源实力建设方案、供应商关系管理策略和外包分级管理策略。 第十七条 银行业金融机构应当依据自身的信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部
8、审计及其他有关信息科技核心竞争力的职能不应外包。 第十八条 银行业金融机构应当依据外包战略制定资源、实力建设方案,通过补充人员、提升技能、学问转移等方式,有针对性地获得或提升管理及技术实力,降低对服务供应商的依靠。 第十九条 银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略,通过准入和退出机制限制各类高风险服务供应商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低选购成本的同时提高服务 5 质量,合理限制服务供应商的数量从而降低风险及管理成本等。 其次十条 银行业金融机构可根据外包服务性质和重要性程度对服务供应商进行分级管理,对不同级别的服务供应
9、商实行严格程度差异化的管控措施,从而达到有效管理重要风险的前提下降低管理成本。 其次十一条 对于关联外包,银行业金融机构应当保持外包有关决策的独立性,要求其母公司或其所属的集团公司协同做好外包服务及服务供应商的管理工作,避开因关联关系而降低银行业金融机构对外包活动的风险限制水平。 其次节 信息科技外包风险管理 其次十二条 银行业金融机构信息科技外包风险主管部门应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行状况、外包信息平安、机构集中度、服务连续性、服务质量、政策及市场改变对外包服务的影响分析等。 其次十三条 银行业金
10、融机构应当对重要的外包服务供应商进行定期风险评估,保持评估的独立性。至少在三年内覆盖全部重要的服务供应商。评估内容包括:服务供应商合规状况、服务的执行效果等,评估结果应当作为服务供应商准入及退出的重要依据。 其次十四条 银行业金融机构内部审计部门应当定期开展信 6 息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事务后应刚好开展专项审计。 第四章 信息科技外包管理 第一节 外包风险评估及准入 其次十五条 外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一样性,应当依据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处臵措施,不
11、因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。 其次十六条 银行业金融机构应当依据供应商关系管理策略,结合风险评估结果及服务供应商的准入标准,对备选服务供应商进行初步筛选,防范引入高机构集中度风险特点的服务供应商、或引入增加整体风险的服务供应商。 其次十七条 对于外包服务供应商为同业托管机构的状况,银行业金融机构可参照本节内容对其进行管理。 其次节 服务供应商尽职调查 其次十八条 对重要的服务供应商,银行业金融机构在与其签订合同前应当深化开展尽职调查,必要时可聘请第三方机构帮助调查。 7 其次十九条 银行业金融机构在尽职调查时应当关注服务供应商的技术和行业阅历,包括但
12、不限于:服务实力和支持技术、服务阅历、服务人员技能、市场评价、监管评价等。 第三十条 银行业金融机构在尽职调查时应当关注服务供应商的内部限制和管理实力,包括但不限于:内部限制机制和管理流程的完善程度、内部限制技术和工具等。 第三十一条 银行业金融机构在尽职调查时应当关注服务供应商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的平安性、近期盈利状况等。 第三十二条 对于关联外包,银行业金融机构不得因关联关系而降低对服务供应商的要求,应当在尽职调查阶段具体分析服务供应商技术、内控和管理水平,确认其有足够实力实施外包服务、处理突发事务等。 第三十三条 对于外包服务供应商为同业托管机
13、构的状况,银行业金融机构可参照本节内容对其进行管理。 第三节 外包服务合同及要求 第三十四条 银行业金融机构在实施外包服务项目前,应当与服务供应商签订服务合同。合同应当依据外包服务需求、风险评估及尽职调查结果确定其具体程度和重点。 第三十五条 银行业金融机构在合同或协议中应当明确以下内容,包括但不限于: (一) 服务范围、服务内容、工作时限及支配、责任安排、 8 交付物要求以及后续合作中的相关限定条件; (二) 合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务供应商的内控措施; (三) 服务连续性要求,服务供应商的服务连续性管理目标应当满意银行业金
14、融机构业务连续性目标要求; (四) 银行业金融机构监控和检查的权力、频率,服务供应商协作其内、外部审计机构检查,及协作银行业金融机构接受银行业监督管理机构检查的责任; (五) 政策或环境改变因素等在内的合同变更或终止的触发条件,外包服务供应商在过渡期间应当履行的主要职责及合同变更或终止的过渡支配,包括信息、资料和设施的交接处臵等过渡期间相关服务的支配; (六) 外包服务过程中产生、加工、交互的信息和学问产权的归属权以及允许服务供应商运用的内容及范围,对服务供应商运用合法软、硬件产品的要求; (七) 服务要求或服务水平条款,至少应包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和
15、完整性要求、变更的限制、平安标准的遵守状况、技术支持水同等; (八) 争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、平安违约、学问产权违约等,及在各种违约状况下的赔偿以及外包争端的解决机制; (九) 报告条款,至少包括如下内容:常规报告内容和报告频度、突发事务时的报告路途、报告方式刚好限要求。 第三十六条 银行业金融机构应当在合同或协议中明确服务供应商在平安和保密方面的责任,以及针对平安及保密要求需实行的详细措施,包括但不限于: (一) 禁止服务供应商在合同允许范围外运用或者披露银行业金融机构的信息,以防止信息被非授权的运用; (二) 在合同或协议中约定服务供应商对银行客户信息
16、平安和银行客户权力的爱护条款、事故处理方式及违约赔偿条款; (三) 在合同或协议中约定服务供应商不得以所供应服务的银行业金融机构名义开展活动; (四) 服务供应商接触银行业金融机构信息时,需满意平安和保密相关条款的要求; (五) 服务供应商在其发生信息平安事务时必需刚好向银行业金融机构报告事务的影响以及处臵和订正措施。 第三十七条 银行业金融机构应当在合同或协议中明确要求服务供应商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求: (一) 不得将外包服务的主要业务分包; (二) 主服务供应商对服务水平负总责,确保分包服务供应商能够严格遵守外包合同或协议; (三) 主服务供应商对分包商
17、进行监控,并对分包商的变 10 更履行通知或报告审批义务。 第四节 外包服务平安管理 第三十八条 银行业金融机构应当制定和落实信息平安管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不行用、非法入侵、物理环境或设施遭遇破坏等风险,详细措施包括: (一) 对外包人员进行信息平安培训,提高风险管理意识,确保信息平安管控措施在外包服务过程中有效落实; (二) 明确外包活动须要访问或运用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问限制设备、账号、网络宽带、网络端口等,按“必需知道“和“最小授权”原则进行访问授权; (三) 对重要或核心的信息系统开发交付物进行源代码检
18、查和平安扫描; (四) 定期对服务供应商进行平安检查,获得服务供应商自评估或第三方评估报告。 第三十九条 银行业金融机构在对关联外包的服务供应商进行定期平安检查时,不得以服务供应商的自评估来替代,不得因关联关系而影响检查的独立性、客观性及公正性。 第四十条 银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及平安架构的冲击,刚好完善信息平安管控体系,避开因新技术或应用的引入而增加额外的信息平安风险。 11 第五节 外包服务监控与评价 第四十一条 银行业金融机构应当对外包服务过程进行持续监控,要求服务供应商建立阶段性服务目标及任务,并跟踪任务的执行状况,刚好发觉和订正服务过程中存在
19、的各类异样状况。 第四十二条 银行业金融机构应当依据信息科技的外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应的监控。常见指标包括: (一) 信息系统和设备及基础设施的可用率、设备的开机率; (二) 故障次数、故障解决率、故障的响应时间; (三) 服务的次数、客户满足度; (四) 各阶段业务需求的刚好完成率、程序的缺陷数、需求变更率; (五) 外包人员工作饱和率、外包人员的考核合格率。 第四十三条 银行业金融机构应当建立明确的服务书目,服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。 第四十四条
20、银行业金融机构应当对服务供应商的财务、内控及平安管理进行持续监控,关注其因破产、兼并、关键人员 12 流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等状况,防范外包服务意外终止或服务质量的急剧下降。 第四十五条 银行业金融机构监控到异样状况时,应当刚好督促服务供应商实行订正措施,情节严峻的或未刚好订正的,应约谈服务供应商高管人员并限期整改。 第四十六条 外包服务结束时,银行业金融机构应当对服务供应商进行评价,评价结果应当作为服务供应商准入的重要参考依据。 第四十七条 对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或其所属集团将外包服务质量纳入对服务供应商的业绩评价
21、范围,建立外包服务重大事务问责机制。同时,应当要求服务供应商在其内部建立与外包服务水平相关的绩效考核机制。 第六节 外包服务中断与终止 第四十八条 银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性的完善业务连续性管理安排,包括但不限于: (一) 识别出重要业务所涉及的服务供应商和资源; (二) 通过合同协议等形式明确要求服务供应商提前打算并维护好相关资源; (三) 对服务供应商业务连续性管理进行监控,并评价其 13 管理水平; (四) 在进行业务连续性安排演练时将相关的服务供应商纳入演练范围。 第四十九条 为降低外包突发事务的可能性及影响,银行业金融机构应当事先对业务连
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行业 金融机构 信息 科技 外包 风险 监管 指引 正式 发文
限制150内