中國銀保監(jiān)會辦公廳關于印發(fā)銀行保險機構信息科技外包風險監(jiān)管辦法的通知
銀保監(jiān)辦發(fā)〔2021〕141號
各銀保監(jiān)局��,各政策性銀行、大型銀行���、股份制銀行、外資銀行��、直銷銀行、金融資產(chǎn)管理公司����、金融資產(chǎn)投資公司、理財公司�,各保險集團(控股)公司、保險公司����、保險資產(chǎn)管理公司、養(yǎng)老金管理公司��、保險專業(yè)中介機構:
為進一步加強銀行保險機構信息科技外包風險監(jiān)管�����,促進銀行保險機構提升信息科技外包風險管控能力���,銀保監(jiān)會制定了《銀行保險機構信息科技外包風險監(jiān)管辦法》�����,現(xiàn)予印發(fā)�,請遵照執(zhí)行��。
中國銀保監(jiān)會辦公廳
2021年12月30日
(此件發(fā)至銀保監(jiān)分局與地方法人銀行保險機構)
銀行保險機構信息科技外包風險監(jiān)管辦法
第一章 總則
第一條 為規(guī)范銀行保險機構的信息科技外包活動,加強信息科技外包風險管控��,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》《中華人民共和國商業(yè)銀行法》《中華人民共和國保險法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)��,制定本辦法���。
第二條 在中華人民共和國境內(nèi)設立的政策性銀行���、商業(yè)銀行、農(nóng)村合作銀行���、�����。ㄗ灾螀^(qū))農(nóng)村信用社聯(lián)合社����,保險集團(控股)公司���、保險公司、保險資產(chǎn)管理公司����、金融資產(chǎn)管理公司適用本辦法��。銀保監(jiān)會及其派出機構監(jiān)管的其他金融機構參照本辦法執(zhí)行�����。
第三條 本辦法所適用的信息科技外包�,是指銀行保險機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為���。
銀行保險機構與其他第三方合作當中涉及銀行保險機構重要數(shù)據(jù)和客戶個人信息處理的信息科技活動���,按照本辦法相關要求進行管理,法律法規(guī)另有要求的除外��。
第四條 銀行保險機構應當建立與本機構信息科技戰(zhàn)略目標相適應的信息科技外包管理體系�����,將信息科技外包風險納入全面風險管理體系���,有效控制由于外包而引發(fā)的風險�。
第五條 銀行保險機構在實施信息科技外包時應當堅持以下原則:
(一)不得將信息科技管理責任��、網(wǎng)絡安全主體責任外包;
(二)以不妨礙核心能力建設����、積極掌握關鍵技術為導向;
(三)保持外包風險�����、成本和效益的平衡�;
(四)保障網(wǎng)絡和信息安全,加強重要數(shù)據(jù)和個人信息保護���;
(五)強調事前控制和事中監(jiān)督����;
(六)持續(xù)改進外包策略和風險管理措施��。
第二章 信息科技外包治理
第六條 銀行保險機構應建立覆蓋董(理)事會����、高管層、信息科技外包風險主管部門�、信息科技外包執(zhí)行團隊的信息科技外包及風險管理組織架構,明確相應層級的職責�,確保信息科技外包治理架構權責清晰、運轉高效����、制衡充分。
第七條 銀行保險機構董(理)事會或其授權設立的專業(yè)委員會應負責推動建立信息科技外包及其風險管理體系���、審批信息科技外包戰(zhàn)略����、審議重大外包決策���,高級管理層應負責制定信息科技外包戰(zhàn)略��,明確信息科技外包風險主管部門和信息科技外包執(zhí)行團隊�,明確信息科技外包及其風險管理職責��,審議信息科技外包管理流程及制度��,監(jiān)控信息科技外包及其風險管理成效����。
第八條 銀行保險機構應指定信息科技外包風險主管部門,該部門主要職責包括:
(一)根據(jù)機構總體風險政策和外包戰(zhàn)略��,制定信息科技外包風險管理策略、制度和流程�;
(二)統(tǒng)籌信息科技外包風險的識別、評估����、監(jiān)測、預警��、報告及處置工作�;
(三)制定保障外包服務持續(xù)性的應急管理方案,并定期組織實施演練��;
(四)監(jiān)督���、評價外包執(zhí)行團隊的管理工作�,并督促外包風險管理的持續(xù)改善���;
(五)向董(理)事會(或其專門委員會)或高級管理層匯報信息科技外包相關風險及管理情況�。
第九條 銀行保險機構應在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)部建立信息科技外包執(zhí)行團隊����,并配備足夠的具有相應能力和經(jīng)驗的人員履行以下職責:
(一)落實信息科技外包戰(zhàn)略;
(二)執(zhí)行信息科技外包管理制度與流程;
(三)執(zhí)行服務提供商準入��、盡職調查�����、服務評價和退出管理工作���,建立并維護服務提供商關系管理策略;
(四)持續(xù)監(jiān)測外包服務的水平和質量��,及時處理服務提供商出現(xiàn)的相關違規(guī)和用戶投訴����;
(五)對外包過程中的關鍵管理活動進行監(jiān)控及分析,定期與信息科技外包風險主管部門溝通外包活動及有關風險情況����。
第十條 銀行保險機構應當基于機構的業(yè)務戰(zhàn)略、信息科技戰(zhàn)略���、總體外包戰(zhàn)略�����、外包市場環(huán)境�、自身風險控制能力和風險偏好制定信息科技外包戰(zhàn)略,包括但不限于:外包原則和策略�����、不能外包的職能���、資源能力建設方案等����。
第十一條 銀行保險機構應當明確不能外包的信息科技職能�����。涉及信息科技戰(zhàn)略管理����、信息科技風險管理、信息科技內(nèi)部審計及其他有關信息科技核心競爭力的職能不得外包����。
第十二條 銀行保險機構應當建立信息科技外包活動分類管理機制,針對不同類型的外包活動建立相應的管理和風控策略��。信息科技外包原則上劃分為咨詢規(guī)劃類、開發(fā)測試類�����、運行維護類�、安全服務類、業(yè)務支持類等類別�����。
第十三條 銀行保險機構應對信息科技外包活動及相關服務提供商進行分級管理�����,對重要外包和一般外包采取差異化管控措施�����。下列信息科技外包活動原則上屬于重要外包:
(一)信息科技工作整體外包��,僅保留必要的管理團隊和核心職能���;
(二)數(shù)據(jù)中心(機房)整體外包;
(三)涉及基礎設施和信息系統(tǒng)整體架構發(fā)生重大變化的信息科技外包����;
(四)核心業(yè)務系統(tǒng)開發(fā)測試和運行維護的整體外包��;
(五)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包����;
(六)安全運營的整體外包�����;
(七)涉及集中存儲或處理銀行保險機構重要數(shù)據(jù)和客戶個人敏感信息的外包�;
(八)直接影響實時服務、影響賬務準確性的重要信息系統(tǒng)外包��;
(九)其它對機構業(yè)務運營具有重要影響的外包�����。
第十四條 銀行保險機構應考慮重要外包終止的可能性�����,并制定退出策略����。退出策略應至少明確:
(一)可能造成外包終止的情形��;
(二)外包終止的業(yè)務影響分析�;
(三)終止交接安排���。
第三章 信息科技外包準入
第十五條 銀行保險機構應當充分評估擬開展的信息科技外包活動與信息科技外包戰(zhàn)略的一致性�,充分評估擬開展的信息科技外包活動相關風險���,就是否實施外包作出審慎決策�����。重要外包應至少向高管層報告并經(jīng)過審批�����。
第十六條 銀行保險機構應根據(jù)信息科技外包戰(zhàn)略,結合風險評估情況��,明確服務提供商的準入標準��,對備選服務提供商進行篩選��,審慎引入集中度風險較高或增加機構整體風險的服務提供商�����。
第十七條 銀行保險機構應在簽訂合同前,對重要外包的備選服務提供商深入開展盡職調查�,必要時可聘請第三方機構協(xié)助調查。在服務提供商經(jīng)營狀況未發(fā)生重大變化的前提下��,盡職調查結果原則上一年內(nèi)有效�����。盡職調查應包括但不限于:
(一)服務提供商的技術和行業(yè)經(jīng)驗���,人員及能力�����;
(二)服務提供商的內(nèi)部控制和管理能力����;
(三)服務提供商的網(wǎng)絡和信息安全保障能力��;
(四)服務提供商的持續(xù)經(jīng)營狀況�����;
(五)服務提供商及其母公司或實際控制人遵守國家和銀保監(jiān)會相關法律法規(guī)要求的情況;
(六)服務提供商過往配合銀行保險機構審計�、評估、檢查及監(jiān)管機構監(jiān)督檢查情況����;
(七)服務提供商與銀行保險機構的關聯(lián)性。
第十八條 對于符合重要外包條件的非駐場外包�,應當進一步重點調查如下內(nèi)容:
(一)服務提供商對銀行保險機構與其他機構的設施、系統(tǒng)和數(shù)據(jù)是否有明確�����、清晰的邊界�;
(二)服務提供商是否有管理制度和技術措施保障銀行保險機構數(shù)據(jù)的完整性和保密性;
(三)服務提供商對涉及銀行保險機構的服務器����、存儲�����、網(wǎng)絡設備����、操作系統(tǒng)�、數(shù)據(jù)庫�、中間件等軟硬件基礎設施是否具有最高訪問權限;
(四)服務提供商是否擁有或可能擁有業(yè)務系統(tǒng)的最高管理權限或訪問權限��,是否能夠瀏覽��、獲取重要數(shù)據(jù)或客戶個人敏感信息���;
(五)服務提供商是否有完善的災難恢復設施和應急管理體系����,是否有業(yè)務連續(xù)性安排����;
(六)服務提供商是否存在不正當競爭或規(guī)避監(jiān)管的情形。
第十九條 銀行保險機構在選擇跨境外包時���,應當充分評估服務提供商所在國家或地區(qū)的政治����、經(jīng)濟���、社會�、法律、文化等經(jīng)營環(huán)境�。涉及信息跨境存儲、處理和分析的����,應遵守我國有關法律法規(guī)的規(guī)定。
第二十條 對于關聯(lián)外包和同業(yè)外包����,銀行保險機構不得降低對服務提供商的要求,嚴格防范利益沖突和利益輸送�����。
第二十一條 銀行保險機構在信息科技外包合同或協(xié)議中應當明確以下內(nèi)容����,包括但不限于:
(一)服務范圍、服務內(nèi)容���、服務要求���、工作時限及安排�����、責任分配、交付物要求以及后續(xù)合作中的相關限定條件�,服務質量考核評價約定。
(二)合規(guī)�、內(nèi)控及風險管理要求,對法律法規(guī)及銀行保險機構內(nèi)部管理制度的遵守要求����,監(jiān)管政策的通報貫徹機制。
(三)服務持續(xù)性要求�����,服務提供商的服務持續(xù)性管理目標應當滿足銀行保險機構業(yè)務連續(xù)性目標要求�。
(四)銀行保險機構對服務提供商進行風險評估、監(jiān)測���、檢查和審計的權利�,及服務提供商承諾接受銀保監(jiān)會對其所承擔的銀行保險機構外包服務的監(jiān)督檢查��。
(五)合同變更或終止的觸發(fā)條件���,合同變更或終止的過渡安排���。
(六)外包活動中相關信息和知識產(chǎn)權的歸屬權以及允許服務提供商使用的內(nèi)容及范圍���,對服務提供商使用合法軟、硬件產(chǎn)品的要求�。
(七)資源保障條款。
(八)安全保密和消費者權益保護約定���,包括但不限于:禁止服務提供商在合同允許范圍外使用或者披露銀行保險機構的信息�����,服務提供商不得將銀行保險機構數(shù)據(jù)以任何形式轉移�、挪用或謀取外包合同約定以外的利益��。
(九)爭端解決機制�����、違約及賠償條款�����,跨境外包應明確爭議解決時所適用的法律及司法管轄權,原則上應當選擇中國仲裁機構�����、中國法院管轄���,適用中國法律解決糾紛。
(十)報告條款��,至少包括常規(guī)報告內(nèi)容和報告頻度���、突發(fā)事件時的報告路線�、報告方式及時限要求��。
第二十二條 銀行保險機構應當在合同或協(xié)議中明確要求服務提供商不得將外包服務轉包或變相轉包�����。在涉及外包服務分包時應當要求:
(一)不得將外包服務的主要業(yè)務分包����;
(二)主服務提供商對服務水平負總責,確保分包服務提供商能夠嚴格遵守外包合同或協(xié)議����;
(三)主服務提供商對分包服務提供商進行監(jiān)控����,并對分包服務提供商的變更履行通知或報告審批義務�。
第四章 信息科技外包監(jiān)控評價
第二十三條 銀行保險機構應當對外包服務過程進行持續(xù)監(jiān)控,及時發(fā)現(xiàn)和糾正服務過程中存在的各類異常情況���。
第二十四條 銀行保險機構應當建立明確的信息科技外包服務目錄��、服務水平協(xié)議以及服務水平監(jiān)控評價機制���,確保相關監(jiān)控信息和評價結果的真實性和完整性,且數(shù)據(jù)至少保存到服務結束后三年����。
第二十五條 銀行保險機構應當對信息科技外包服務建立服務效能和質量監(jiān)控指標,并進行相應監(jiān)控��。常見指標包括:
(一)信息系統(tǒng)和設備及基礎設施的可用率�;
(二)故障次數(shù)、故障解決率���、故障的響應時間�����、故障的解決時間��;
(三)服務的次數(shù)���、客戶滿意度;
(四)業(yè)務需求的及時完成率���、程序的缺陷數(shù)��、需求變更率���;
(五)外包人員工作飽和率、外包人員的考核合格率�����;
(六)網(wǎng)絡和信息安全指標�、業(yè)務連續(xù)性指標。
第二十六條 銀行保險機構應當對服務提供商的財務��、內(nèi)控及安全管理進行持續(xù)監(jiān)控����,關注其因破產(chǎn)�����、兼并�����、關鍵人員流失��、投入不足和管理不善等因素引發(fā)的財務狀況惡化及內(nèi)部管理混亂等情況��,防范外包服務意外終止或服務質量的急劇下降����。
第二十七條 銀行保險機構監(jiān)控到信息科技外包服務出現(xiàn)異常情況時�,應當及時督促服務提供商采取糾正措施;情節(jié)嚴重或未及時糾正的�����,應當及時約談服務提供商高管人員并限期整改��。對于逾期未整改的服務提供商����,應當暫����;蛉∠浞⻊召Y格��,并向銀保監(jiān)會或其派出機構報告�����。
第二十八條 對于關聯(lián)外包�,銀行保險機構董(理)事會和高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業(yè)績評價范圍�����,建立外包服務重大事件問責機制���。
第二十九條 銀行保險機構應在信息科技外包服務到期前��,就是否繼續(xù)外包進行評估決策���。外包服務結束時,銀行保險機構應對服務提供商進行評價�����,評價結果作為服務提供商后續(xù)準入的重要參考依據(jù)。對具有持續(xù)性特點的外包服務����,銀行保險機構終止外包或更換服務提供商前,應制定周密的退出和交接計劃�����。
第五章 信息科技外包風險管理
第三十條 銀行保險機構應建立并持續(xù)完善風險管理制度和流程��,充分識別并評估信息科技外包可能產(chǎn)生的風險�,包括但不限于:
(一)科技能力喪失。過度依賴外包導致失去科技控制及創(chuàng)新能力��,影響業(yè)務創(chuàng)新與發(fā)展���。
(二)業(yè)務中斷�。支持業(yè)務運營的外包服務無法持續(xù)提供導致業(yè)務中斷��。
(三)數(shù)據(jù)泄露����、丟失和篡改����。因服務提供商的不當行為或其服務的信息系統(tǒng)遭受網(wǎng)絡攻擊���,導致銀行保險機構重要數(shù)據(jù)或客戶個人信息泄露��、丟失和篡改���。
(四)資金損失。因服務提供商的不當行為或其服務的信息系統(tǒng)遭受網(wǎng)絡攻擊�,導致銀行保險機構客戶資金被盜取。
(五)服務水平下降�。由于外包服務質量問題或內(nèi)外部協(xié)作效率低下,使得信息科技服務水平下降�����。
(六)可能導致的戰(zhàn)略����、聲譽�����、合規(guī)等其他風險。
第三十一條 針對可能給業(yè)務連續(xù)性管理造成重大影響的重要外包服務��,銀行保險機構應當事先建立風險控制���、緩釋或轉移措施�,包括但不限于:
(一)事先制定退出策略和供應鏈安全保障方案���,并在外包服務實施過程中持續(xù)收集服務提供商相關信息��,盡早發(fā)現(xiàn)可能導致服務中斷或服務質量下降的情況��;
(二)明確措施和方法����,在服務提供商服務質量不能滿足合同要求的情況下����,保障獲取其外包服務資源的優(yōu)先權;
(三)要求服務提供商提供必要的應急和災備資源保障�����,制定應急處理預案并在預案中明確為銀行保險機構提供應急響應和恢復的優(yōu)先級,原則上應為最高級����;
(四)組織服務提供商參與應急計劃編制和應急演練,至少每年在綜合性演練或專項演練中納入一個或多個服務提供商開展一次相關演練����;
(五)考慮預先在銀行保險機構內(nèi)部配置相應的人力資源,掌握必要的技能�,以在外包服務中斷期間自行維持最低限度的服務能力。
第三十二條 銀行保險機構應當制定和落實網(wǎng)絡和信息安全管理措施�,包括但不限于:
(一)對服務提供商和外包人員進行網(wǎng)絡和信息安全教育或培訓,增強網(wǎng)絡和信息安全意識�,服務提供商應與銀行保險機構簽訂安全保密協(xié)議,外包人員應簽署安全保密承諾書�����;
(二)明確外包活動需要訪問或使用的信息資產(chǎn)�,按“必需知道”和“最小授權”原則進行訪問授權,嚴格管控遠程維護行為����;
(三)對信息系統(tǒng)開發(fā)交付物(含擁有知識產(chǎn)權的源代碼)進行安全掃描和檢查���;
(四)對客戶信息�、源代碼和文檔等敏感信息采取嚴格管控措施,對敏感信息泄露風險進行持續(xù)監(jiān)測���;
(五)對服務提供商所提供的模型����、算法及相關信息系統(tǒng)加強管理�,確保模型和算法遵循可解釋、可驗證����、透明、公平的原則����;
(六)定期對外包活動進行網(wǎng)絡和信息安全評估。
第三十三條 銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商����,積極采用分散外包活動、注重外包項目知識產(chǎn)權保護��、提高自身研發(fā)運維能力�����、儲備潛在替代服務提供商等手段,減少對個別外包服務提供商的依賴��,降低集中度風險��。
第三十四條 銀行保險機構應當對符合重要外包標準的非駐場外包服務進行實地檢查�,原則上每三年覆蓋所有重要的非駐場外包服務。對具有行業(yè)集中度性質的服務提供商����,銀行保險機構可采取聯(lián)合檢查、委托檢查等形式���,減少重復性工作����,減輕服務提供商的檢查負擔���。
第三十五條 銀行保險機構每年應當至少開展一次全面的信息科技外包風險管理評估�����,并向董(理)事會或高級管理層提交評估報告�����。
第三十六條 銀行保險機構應當開展信息科技外包及其風險管理的審計工作��,定期對信息科技外包活動進行審計�����,至少每三年覆蓋所有重要外包��。發(fā)生重大外包風險事件后應當及時開展專項審計�����。銀行保險機構應承擔內(nèi)部審計職能和責任���,內(nèi)部審計項目可委托母公司或同一集團下屬子公司實施,或聘請獨立第三方實施���。
第六章 監(jiān)督管理
第三十七條 銀行保險機構開展以下信息科技外包活動時��,應當在外包合同簽訂前二十個工作日向銀保監(jiān)會或其派出機構的信息科技監(jiān)管部門報告(目錄見附件):
(一)信息科技工作整體外包�;
(二)數(shù)據(jù)中心(機房)整體外包��;
(三)涉及基礎設施和信息系統(tǒng)整體架構發(fā)生重大變化的外包;
(四)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包���;
(五)符合重要外包條件的非駐場外包����、關聯(lián)外包和跨境外包�����;
(六)其他銀保監(jiān)會認為重要的信息科技外包�。
第三十八條 銀行保險機構信息科技外包活動中發(fā)生以下重大風險事件時,應當按照相關突發(fā)事件監(jiān)管報告要求���,向銀保監(jiān)會或其派出機構報告:
(一)銀行保險機構重要數(shù)據(jù)或客戶個人信息泄露�����;
(二)數(shù)據(jù)損毀或者重要業(yè)務運營中斷���;
(三)由于不可抗力或服務提供商重大經(jīng)營、財務問題�����,導致或可能導致多家銀行保險機構外包服務中斷;
(四)重要外包服務非正常中斷、終止或其服務提供商非正常退出���;
(五)因服務提供商不當行為或其服務的信息系統(tǒng)遭受網(wǎng)絡攻擊或其他原因,造成銀行保險機構客戶重大資金損失���;
(六)發(fā)現(xiàn)重大的服務提供商違法違規(guī)事件���;
(七)銀保監(jiān)會規(guī)定需要報告的其他重大事件。
相關突發(fā)事件報告要求中沒有規(guī)定的���,在24小時內(nèi)向銀保監(jiān)會或其派出機構報告�。
第三十九條 銀保監(jiān)會及其派出機構對銀行保險機構信息科技外包風險進行獨立評估��,對銀行保險機構信息科技外包工作進行監(jiān)督和檢查��,并納入監(jiān)管綜合評價體系��。對于檢查發(fā)現(xiàn)涉嫌違法事項的有關單位和個人�����,依照相關法律規(guī)定實施延伸檢查��。
第四十條 銀保監(jiān)會及其派出機構持續(xù)監(jiān)測銀行業(yè)保險業(yè)信息科技外包風險狀況,建立行業(yè)和區(qū)域集中度風險監(jiān)測與核查機制�����,對重大或共性風險及時向行業(yè)發(fā)布風險提示���,積極防范因信息科技外包可能引發(fā)的區(qū)域性�、系統(tǒng)性風險���。根據(jù)風險狀況�,銀保監(jiān)會及其派出機構可以要求銀行保險機構與服務提供商會談�����,就其外包服務和風險相關的重大事項作出說明����。
第四十一條 銀保監(jiān)會及其派出機構可組織或責令銀行保險機構對承擔銀行保險機構信息科技外包服務的服務提供商進行現(xiàn)場核查,也可由銀行保險機構委托其他第三方機構以審計的形式實施���。銀保監(jiān)會建立信息共享機制���,及時向行業(yè)通報現(xiàn)場核查情況����。
第四十二條 對于經(jīng)監(jiān)管評估��、監(jiān)督檢查或現(xiàn)場核查風險較高的信息科技外包服務��,銀保監(jiān)會及其派出機構可以對銀行保險機構采取風險提示�、約見談話��、監(jiān)管質詢�、要求暫緩和停止相關外包活動等措施。對具有重大違法違規(guī)情形的服務提供商��,銀保監(jiān)會可通報行業(yè)��,必要時將有關情況移交司法機關���。
第四十三條 銀行保險機構違反本辦法要求的����,銀保監(jiān)會及其派出機構依法予以糾正�����,并視情況予以問責或處罰。
第七章 附則
第四十四條 本辦法所稱關聯(lián)外包���,是指銀行保險機構的母公司或其所屬集團子公司��、關聯(lián)公司或附屬機構作為服務提供商���,為其提供信息科技外包服務的行為。
同業(yè)外包���,是指依法設立的由銀保監(jiān)會監(jiān)管的銀行保險機構為其他同行業(yè)金融機構提供外包服務的行為����。
跨境外包�,是指服務提供商在境外其他國家或地區(qū)實施信息科技外包服務的行為。
非駐場外包���,是指服務提供商不在銀行保險機構場所提供服務的外包形式��。
重要數(shù)據(jù)�,包括但不限于客戶資料�、交易數(shù)據(jù)、商業(yè)秘密等,參見國家法律法規(guī)和國家標準對重要數(shù)據(jù)的相關定義��。
客戶個人信息和敏感信息��,參見國家法律法規(guī)和國家標準對個人信息的相關定義����。
第四十五條 本辦法由銀保監(jiān)會負責解釋和修訂。
第四十六條 本辦法自公布之日起施行�。《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》(銀監(jiān)發(fā)〔2013〕5號)�����、《中國銀監(jiān)會辦公廳關于加強銀行業(yè)金融機構信息科技非駐場集中式外包風險管理的通知》(銀監(jiān)辦發(fā)〔2014〕187號)���、《中國銀監(jiān)會辦公廳關于開展銀行業(yè)金融機構信息科技非駐場集中式外包監(jiān)管評估工作的通知》(銀監(jiān)辦發(fā)〔2014〕272號)同時廢止。
附件:1.銀行保險機構信息科技外包監(jiān)管報告材料目錄
2.信息科技外包服務類型參考
附件1
銀行保險機構信息科技外包監(jiān)管報告
材料目錄
一���、外包服務基本情況����,包括:
1. 外包服務名稱��;
2. 外包服務類型:咨詢規(guī)劃類、開發(fā)測試類����、運行維護類、安全服務類�����、業(yè)務支持類等�;
3. 外包服務的主要內(nèi)容;
4. 實施方式:駐場外包���、非駐場外包��;
5. 影響的業(yè)務類型:渠道管理類��、客戶管理類����、產(chǎn)品管理類�����、財務管理類��、決策支持類、共享支持類等�����;
6. 外包服務起止時間����。
二、服務提供商基本情況���,包括:
1. 服務提供商全稱���、國別;
2. 盡職調查報告����;
3. 法人代表�;
4. 注冊資本;
5. 上級機構/母機構����;
6. 成立時間;
7. 企業(yè)性質����;
8. 統(tǒng)一社會信用代碼��。
三��、外包風險評估報告����。
銀保監(jiān)會規(guī)定的其他材料����。
附件2
信息科技外包服務類型參考
咨詢規(guī)劃類。包括但不限于:信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢���,數(shù)據(jù)中心(機房)整體建設咨詢和規(guī)劃�,信息科技治理(含數(shù)據(jù)治理)�、信息科技風險管理體系、信息安全管理體系���、業(yè)務連續(xù)性管理體系等管理類咨詢和規(guī)劃�����,重要信息系統(tǒng)架構和建設相關的咨詢和規(guī)劃���,新興技術應用咨詢和規(guī)劃�����。
開發(fā)測試類�����。包括但不限于:軟硬件開發(fā)和測試外包(含人力外包)����,軟件即服務形式的外包����。
運行維護類。包括但不限于:數(shù)據(jù)中心(機房)物理環(huán)境的托管或運行維護����,軟硬件基礎設施托管或運行維護,應用系統(tǒng)運行維護���,電子機具運行維護,終端等辦公設備的運行維護���,以及涉及以上運行維護的人力外包��。
安全服務類���。包括但不限于:安全運營服務����,安全加固服務����,安全設備運行維護,安全日志處理與分析��,安全測試服務����,密鑰管理及運行維護,數(shù)據(jù)安全服務��,以及涉及以上服務的人力外包��。
業(yè)務支持類�����。包括但不限于:市場拓展、業(yè)務運營(集中作業(yè)����、呼叫中心等)、企業(yè)管理�����、資產(chǎn)處置��、數(shù)據(jù)處理���、數(shù)據(jù)利用等業(yè)務外包或第三方合作當中涉及銀行保險機構的重要數(shù)據(jù)或客戶個人信息處理的信息科技活動����,法律法規(guī)另有要求的除外�。
