索 引 号: 717804719/2014-05524
办⽂部门: 信科部
公⽂名称: 中国银监会关于印发银⾏业⾦融机构信息科技外包风险监管指引的通知
⽂ 号: 银监发[2013]5号
主题分类: 功能监管
发⽂⽇期: 2013-02-16
中国银⾏业监督管理委员会
银监发[2013]5号
中国银监会关于印发银⾏行行业⾦金金融机构信息科技外包⻛风险监管指引的通知
各银监局,各政策性银⾏、国有商业银⾏、股份制商业银⾏、⾦融资产管理公司,邮储银⾏,各省级农村信
⽤联社,银监会直接监管的信托公司、企业集团财务公司、⾦融租赁公司:
现将《银⾏业⾦融机构信息科技外包风险监管指引》印发给你们,请遵照执⾏。
2013年2⽉16⽇
银⾏行行业⾦金金融机构信息科技外包⻛风险监管指引
第⼀一章 总则
第⼀条 为规范银⾏业⾦融机构的信息科技外包活动,降低信息科技外包风险,根据《中华⼈民共和国
银⾏业监督管理法》、《中华⼈民共和国商业银⾏法》等法律法规,制定本指引。
第⼆条 在中华⼈民共和国境内设⽴的政策性银⾏、商业银⾏、农村合作银⾏、省(⾃治区)农村信⽤
社联合社适⽤本指引。银监会监管的其他⾦融机构参照本指引执⾏。
第三条 本指引所称信息科技外包是指银⾏业⾦融机构将原本由⾃⾝负责处理的信息科技活动委托给服
务提供商进⾏处理的⾏为,包含项⽬外包、⼈⼒资源外包等形式。原则上包括以下类型:
(⼀) 研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;
(⼆) 系统运⾏维护类外包:包括数据中⼼(灾备中⼼)、机房配套设施、⽹络、系统的运维外包,
⾃助设备、POS机等远程终端及办公设备的运维外包;
(三) 业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开
发、运⾏维护和数据处理活动。
司或附属机构提供信息科技外包。
第四条 本指引所称关联外包是指服务提供商为银⾏业⾦融机构的母公司或其所属集团⼦公司、关联公
第五条 信息科技外包可能产⽣如下风险,并导致银⾏业⾦融机构的战略、声誉、合规风险:
(⼀) 科技能⼒丧失:银⾏业⾦融机构过度依赖外部资源导致失去科技控制及创新能⼒,影响业务创
新与发展;
(⼆) 业务中断:⽀持业务运营的外包服务⽆法持续提供导致业务中断;
(三) 信息泄露:包含客户信息在内的银⾏业⾦融机构⾮公开数据被服务提供商⾮法获得或泄露;
(四) 服务⽔平下降:由于外包服务质量问题或内外部协作效率低下,使得银⾏业⾦融机构信息科技
服务⽔平下降。
第六条 本指引所称机构集中度风险是指银⾏业⾦融机构将信息科技外包服务集中交由少量服务提供商
承接⽽产⽣的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第七条 本指引所称同业托管机构是指作为外包服务提供商为其他同⾏业⾦融机构提供信息科技外包服
务的银⾏业⾦融机构。
第⼋条 银⾏业⾦融机构应当将信息科技外包管理纳⼊全⾯风险管理体系,建⽴与本机构信息科技战略
⽬标相适应的外包管理体系,控制或降低由于外包⽽引发的风险。
第九条 银⾏业⾦融机构应当建⽴信息科技外包管理组织架构,制定外包管理战略,定期进⾏外包风险
评估,通过服务提供商准⼊、评价、退出等⼿段建⽴及维护符合⾃⾝战略⽬标的供应商关系管理策略。
第⼗条 银⾏业⾦融机构在实施信息科技外包时应当坚持以下原则:
(⼀) 以不妨碍核⼼能⼒建设、积极掌握关键技术为导向;
(⼆) 保持外包风险、成本和效益的平衡;
(三) 强调外包风险的事前控制,保持管控⼒度;
(四) 根据外包管理及技术发展趋势,持续改进外包策略和措施。
第⼗⼀条 银⾏业⾦融机构在实施信息科技外包时,不得将信息科技管理责任外包。
第⼗⼆条 对于不涉及银⾏客户及内部信息转移的信息科技产品采购、维保,及通讯线路租⽤、⽀付
或清算系统接⼊等信息科技公共基础设施服务,银⾏业⾦融机构应当充分评估其信息科技风险,按照本指引
第五章要求进⾏管理。
第⼆二章 外包管理理组织架构
第⼗三条 银⾏业⾦融机构董事会及⾼级管理层应当严格落实信息科技外包风险管理的相关职责, 明
确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,
督促并监控信息科技外包风险管理效果。
第⼗四条 信息科技外包风险主管部门的主要职责包括:
(⼀) 对外包风险进⾏识别、评估与风险提⽰;
(⼆) 监督、评价外包管理⼯作,并督促外包风险管理的持续改善;
(三) 向⾼级管理层定期汇报信息科技外包活动相关风险管理情况;
(四) 董事会或⾼级管理层确定的其他信息科技外包风险管理职责。
第⼗五条 银⾏业⾦融机构应当在信息科技管理部门或信息科技外包活动执⾏部门内建⽴信息科技外
包管理执⾏团队,并配备⾜够⼈员履⾏以下职责:
(⼀) 实施信息科技外包战略;
(⼆) 制定并执⾏信息科技外包管理制度与流程;
(三) 执⾏供应商准⼊、评价、退出管理,建⽴并维护供应商关系管理策略;
(四) 制定保障外包服务持续性的应急管理⽅案,并组织实施定期演练;
(五) 对外包过程中的各项管理活动进⾏监控及分析,定期向信息科技及外包风险管理主管部门报告
外包活动情况。
第三章 信息科技外包战略略及⻛风险管理理
第⼗六条 银⾏业⾦融机构应当以提升信息科技队伍能⼒,提⾼科技管理及创新⽔平,掌握信息科技
第⼀节 信息科技外包战略
核⼼技能为⽬标,基于信息科技战略、外包市场环境、⾃⾝风险控制能⼒和风险偏好制定信息科技外包战
略,包括:不能外包的职能、资源能⼒建设⽅案、供应商关系管理策略和外包分级管理策略。
第⼗七条 银⾏业⾦融机构应当根据⾃⾝信息科技战略明确不能外包的职能。涉及战略管理、风险管
理、内部审计及其他有关信息科技核⼼竞争⼒的职能不得外包。
第⼗⼋条 银⾏业⾦融机构应当根据外包战略制定资源、能⼒建设⽅案,通过补充⼈员、提升技能、
知识转移等⽅式,有针对性地获取或提升管理及技术能⼒,降低对服务提供商的依赖。
第⼗九条 银⾏业⾦融机构应当建⽴与⾃⾝规模、市场地位相适应的供应商关系管理策略。通过准⼊
和退出机制合理管控各类⾼风险服务提供商的数量,实现以下⽬标:防范⾏业垄断和机构集中度风险,通过
引⼊适当的竞争在降低采购成本的同时提⾼服务质量,合理管控服务提供商的数量从⽽降低风险及管理成本
等。
第⼆⼗条 银⾏业⾦融机构可以按照外包服务性质和重要性程度对服务提供商进⾏分级管理,对不同
级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。
第⼆⼗⼀条 银⾏业⾦融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理⼯作,但
应当保持关联外包有关决策的独⽴性,避免因关联关系⽽降低外包活动的风险控制⽔平。
第⼆节 信息科技外包风险管理
第⼆⼗⼆条 银⾏业⾦融机构信息科技外包风险管理部门应当⾄少每年开展⼀次全⾯的外包风险管理评
估,保持评估的独⽴性,并向⾼级管理层提交评估报告。评估内容包括:信息科技外包战略执⾏情况、外包
信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第⼆⼗三条 银⾏业⾦融机构应当对重要的外包服务提供商进⾏定期的风险评估,保持评估的独⽴性。
⾄少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执⾏效果等,评估
结果应当作为服务提供商准⼊及退出的重要依据。
第⼆⼗四条 银⾏业⾦融机构内部审计部门应当定期开展信息科技外包风险管理审计⼯作,⾄少每三年
对重要的外包服务活动进⾏⼀次全⾯审计。发⽣外包风险事件后应当及时开展专项审计。
第四章 信息科技外包管理理
第⼀节 外包风险评估及准⼊
第⼆⼗五条 外包项⽬⽴项前,银⾏业⾦融机构应当审慎检查项⽬与信息科技外包战略的⼀致性,根据
项⽬内容、范围、性质对其进⾏风险识别和评估,制定相应的风险处置措施,不因外包活动的引⼊⽽增加整
体剩余风险。重⼤外包项⽬应向董事会、⾼管层报告。
第⼆⼗六条 银⾏业⾦融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准⼊标
准,对备选服务提供商进⾏初步筛选,防范引⼊⾼机构集中度风险特点的服务提供商、或引⼊增加整体风险
的服务提供商。
第⼆⼗七条 对于外包服务提供商为同业托管机构的情况,银⾏业⾦融机构可参照本节内容对其进⾏管
理。
第⼆⼗⼋条 对重要的服务提供商,银⾏业⾦融机构在与其签订合同前应当深⼊开展尽职调查,必要时
第⼆节 服务提供商尽职调查
可聘请第三⽅机构协助调查。
第⼆⼗九条 银⾏业⾦融机构在尽职调查时应当关注服务提供商的技术和⾏业经验,包括但不限于:服
务能⼒和⽀持技术、服务经验、服务⼈员技能、市场评价、监管评价等。
第三⼗条 银⾏业⾦融机构在尽职调查时应当关注服务提供商的内部控制和管理能⼒,包括但不限
于:内部控制机制和管理流程的完善程度、内部控制技术和⼯具等。
第三⼗⼀条 银⾏业⾦融机构在尽职调查时应当关注服务提供商的持续经营状况,包括但不限于:从业
时间、市场地位及发展趋势、资⾦的安全性、近期盈利情况等。
第三⼗⼆条 对于关联外包,银⾏业⾦融机构不得因关联关系⽽降低对服务提供商的要求,应当在尽职
调查阶段详细分析服务提供商技术、内控和管理⽔平,确认其有⾜够能⼒实施外包服务、处理突发事件等。
第三⼗三条 对于外包服务提供商为同业托管机构的情况,银⾏业⾦融机构可参照本节内容对其进⾏管
理。
第三节 外包服务合同及要求
件;
要求;
第三⼗四条 银⾏业⾦融机构在实施外包服务项⽬前,应当与服务提供商签订服务合同。合同应当根据
外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三⼗五条 银⾏业⾦融机构在合同或协议中应当明确以下内容,包括但不限于:
(⼀) 服务范围、服务内容、⼯作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条
(⼆) 合规与内控要求,对法律法规及银⾏业⾦融机构内部管理制度的遵从要求、监管政策的通报贯
彻机制、服务提供商的内控措施;
(三) 服务连续性要求,服务提供商的服务连续性管理⽬标应当满⾜银⾏业⾦融机构业务连续性⽬标
(四) 银⾏业⾦融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合
银⾏业监管机构检查的责任;
(五) 政策或环境变化因素等在内的合同变更或终⽌的触发条件,外包服务提供商在过渡期间应该履
⾏的主要职责及合同变更或终⽌的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安
排;
(六) 外包服务过程中产⽣、加⼯、交互的信息和知识产权的归属权以及允许服务提供商使⽤的内容
及范围,对服务提供商使⽤合法软、硬件产品的要求;
(七) 服务要求或服务⽔平条款,⾄少应当包括如下内容:外包服务的关键要素、服务时效和可⽤
性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术⽀持⽔平等;
(⼋) 争端解决机制、违约及赔偿条款,⾄少包括如下内容:服务质量违约、安全违约、知识产权违
约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九) 报告条款,⾄少包括常规报告内容和报告频度、突发事件时的报告路线、报告⽅式及时限要求。
第三⼗六条 银⾏业⾦融机构应当在合同或协议中明确服务提供商在安全和保密⽅⾯的责任,以及针对
安全及保密要求需采取的具体措施。包括但不限于:
(⼀) 禁⽌服务提供商在合同允许范围外使⽤或者披露银⾏业⾦融机构的信息,以防⽌信息被⾮授权
使⽤;
式及违约赔偿条款;
(⼆) 在合同或协议中约定服务提供商对银⾏客户信息安全和银⾏客户权利的保护条款、事故处理⽅
(三) 在合同或协议中约定服务提供商不得以所服务的银⾏业⾦融机构名义开展活动;
(四) 服务提供商接触银⾏业⾦融机构信息时,需满⾜安全和保密相关条款的要求;
(五) 在发⽣银监会规定的信息科技突发事件,或发⽣可能引发系统性、区域性银⾏业信息科技风险
类突发事件时,服务提供商应及时向银⾏业⾦融机构报告,包括事件的影响以及处置和纠正措施。
第三⼗七条 银⾏业⾦融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转
包。在涉及外包服务分包时应当要求:
有效落实;
(⼀) 不得将外包服务的主要业务分包;
(⼆) 主服务提供商对服务⽔平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三) 主服务提供商对分包商进⾏监控,并对分包商的变更履⾏通知或报告审批义务。
第四节 外包服务安全管理
第三⼗⼋条 银⾏业⾦融机构应当制定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信
息篡改、信息不可⽤、⾮法⼊侵、物理环境或设施遭受破坏等风险。具体措施包括:
(⼀) 对外包⼈员进⾏信息安全培训,提⾼风险管理意识,确保信息安全管控措施在外包服务过程中
(⼆) 明确外包活动需要访问或使⽤的信息资产,包括场地、办公设施、计算机、服务器、软件、数
据、信息、物理访问控制设备、账号、⽹络宽带、⽹络端⼜等,按“必需知道”和“最⼩授权”原则进⾏访问授
权;
(三) 对重要或核⼼的信息系统开发交付物进⾏源代码检查和安全扫描;
(四) 定期对服务提供商进⾏安全检查,获取服务提供商⾃评估或第三⽅评估报告。
第三⼗九条 银⾏业⾦融机构对关联外包服务提供商定期进⾏的安全检查,不得以服务提供商的⾃评
估替代,不得因关联关系⽽影响检查的独⽴性、客观性及公正性。
第四⼗条 银⾏业⾦融机构应当关注外包服务引⼊的新技术或新应⽤对现有治理模式及安全架构的冲
击,及时完善信息安全管控体系,避免因新技术或应⽤的引⼊⽽增加额外的信息安全风险。
第五节 外包服务监控与评价
第四⼗⼀条 银⾏业⾦融机构应当对外包服务过程进⾏持续监控,要求服务提供商建⽴阶段性服务⽬
标及任务,并跟踪任务的执⾏情况,及时发现和纠正服务过程中存在的各类异常情况。
第四⼗⼆条 银⾏业⾦融机构应当根据信息科技外包需求、合同、服务⽔平协议等建⽴明确的服务质
量监控指标,并进⾏相应监控。常见指标包括:
(⼀) 信息系统和设备及基础设施的可⽤率、设备的开机率;
(⼆) 故障次数、故障解决率、故障的响应时间;
(三) 服务的次数、客户满意度;
(四) 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;
(五) 外包⼈员⼯作饱和率、外包⼈员的考核合格率。
第四⼗三条 银⾏业⾦融机构应当建⽴明确的服务⽬录、服务⽔平协议以及服务⽔平监控评价机制,
并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据⾄少需保存到服务结束后⼀年。
第四⼗四条 银⾏业⾦融机构应当对服务提供商的财务、内控及安全管理进⾏持续监控,关注其因破
产、兼并、关键⼈员流失、投⼊不⾜和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外
包服务意外终⽌或服务质量的急剧下降。
第四⼗五条 银⾏业⾦融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重
的或未及时纠正的,应当约谈服务提供商⾼管⼈员并限期整改。
第四⼗六条 外包服务结束时,银⾏业⾦融机构应当对服务提供商进⾏评价,评价结果应当作为服务
提供商准⼊的重要参考依据。
第四⼗七条 对于关联外包,银⾏业⾦融机构董事会及⾼级管理层应当推动母公司或所属集团将外包
服务质量纳⼊对服务提供商的业绩评价范围,建⽴外包服务重⼤事件问责机制。同时,应当要求服务提供商
在其内部建⽴与外包服务⽔平相关的绩效考核机制。
第六节 外包服务中断与终⽌
第四⼗⼋条 银⾏业⾦融机构应当考虑信息科技外包的引⼊对业务连续性管理的影响,有针对性地完
善业务连续性管理计划,包括但不限于:
(⼀) 识别出重要业务所涉及的服务提供商和资源;
(⼆) 通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三) 对服务提供商业务连续性管理进⾏监控,并评价其管理⽔平;
(四) 在进⾏业务连续性计划演练时将相关的服务提供商纳⼊演练范围。
第四⼗九条 为降低外包突发事件的可能性及影响,银⾏业⾦融机构应当事先对业务连续性管理造成
重⼤影响的外包服务建⽴风险控制、缓释或转移措施,包括但不限于以下内容:
(⼀) 在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(⼆) 与服务提供商事先约定在其服务质量不能满⾜合同要求的情况下获取其外包服务资源的优先权;
(三) 要求服务提供商制定服务中断相关的应急处理预案,如提供备份⼈员;
(四) 对于涉及重要业务的外包服务,银⾏业⾦融机构需考虑预先在其内部配置相应的⼈⼒资源,掌
握必要的技能,以在外包服务中断期间⾃⾏维持最低限度的服务能⼒。
第五⼗条 银⾏业⾦融机构应当针对重要外包服务中断的场景,拟定相应的应急计划,并定期进⾏演
练,考虑因素包括但不限于以下内容:
(⼀) 事件场景,如重要⼈员流失导致服务⽆法持续,服务提供商主动退出,因资质变更、被收购、
兼并或破产等原因导致的服务提供商被动退出等;
(⼆) 事件持续时间和恢复可能性;
(三) 事件影响范围和可能的应急措施;
(四) 服务提供商⾃⾏恢复服务的可能性和时间;
(五) 备选的服务提供商以及外包服务迁移⽅案;
(六) 外包服务过渡给银⾏业⾦融机构⾃⾏运作的可能性、时效及资源需求。
第五⼗⼀条 对于⽆法满⾜外包服务要求或发⽣重⼤事件的情况,银⾏业⾦融机构应当在充分评估其
影响及制定退出计划的前提下,考虑主动要求服务提供商终⽌服务,情节特别严重的,可考虑取消准⼊资
质,并报监管机构申请对其备案。对于关联外包,银⾏业⾦融机构不得因为关联关系⽽影响服务提供商退出
机制的落实。
第五章 机构集中度⻛风险管理理
第五⼗⼆条 银⾏业⾦融机构应当依据服务提供商所承接外包服务的数量、⾦额在本⾏重要信息科技服
务中的占⽐,服务提供商所承接外包服务在银⾏业服务市场占⽐情况,识别具有机构集中度特点的外包服务
提供商。同时,还应识别服务提供商之间为集团⼦公司、关联公司或附属机构所产⽣的机构集中度风险。
第五⼗三条 银⾏业⾦融机构应当积极采⽤分散信息科技外包活动、提⾼⾃主研发运⾏能⼒等形式,
降低机构集中度,减少对外包服务提供商的依赖。
第五⼗四条 银⾏业⾦融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证明
其内部控制和管理能⼒、持续运营能⼒等。
第五⼗五条 银⾏业⾦融机构应当要求具有机构集中度特点的外包服务提供商为银⾏业⾦融机构配备
相对独⽴的资源,包括服务团队、场地、系统、设备等;并对资源进⾏定期检查,确保资源及时到位。
第五⼗六条 银⾏业⾦融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预
案中,明确外包服务的优先级,并进⾏服务中断应急演练,服务提供商应当⾄少参与服务交接、敏感信息处
置等演练过程。
第五⼗七条 银⾏业⾦融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、
安全管理情况的持续监控,建⽴信息收集机制,及时掌握风险事件情况,防范外包服务意外终⽌或服务质量
急剧下降对本机构产⽣⼤⾯积影响。
第五⼗⼋条 银⾏业⾦融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与⼒度,必
第五⼗九条 对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银⾏业⾦融机构可
要时可指派专⼈进⾏现场监督。
参照本节内容对其进⾏外包管理。
第六章 跨境及⾮非驻场外包管理理
第⼀节 跨境外包风险管理
第六⼗条 跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。
第六⼗⼀条 跨境外包除具有本指引前述风险外,还包括由于某⼀国家或地区经济、政治、社会变化
及事件⽽产⽣的国别风险,及由于外包实施场地远离银⾏业⾦融机构⽽产⽣的⾮驻场风险。
第六⼗⼆条 银⾏业⾦融机构应当充分了解并持续监控服务提供商所在国家或地区状况,通过建⽴业
务连续性计划防范跨境外包所带来的国别风险。
第六⼗三条 银⾏业⾦融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可
能造成的影响。实施跨境外包应当以不妨碍银⾏业⾦融机构有效履⾏外包服务监控管理职能及监管机构延伸
检查为前提。
第六⼗四条 银⾏业⾦融机构在选择跨境外包时,应当明确其所在国家或地区监管当局已与银监会签
订谅解备忘录或双⽅认可的其他约定。
第六⼗五条 银⾏业⾦融机构在选择跨境外包时,还应当充分审查评估服务提供商保护客户信息的能
⼒,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客
户授权的前提下开展。
第六⼗六条 银⾏业⾦融机构在实施跨境外包时,其合同应当包括法律选择和司法管辖权的约定,明
确争议解决时所适⽤的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第⼆节 ⾮驻场外包风险管理
第六⼗七条 ⾮驻场外包是指服务提供商不在银⾏业⾦融机构现场提供服务的外包形式。由于银⾏业
⾦融机构不能对其内部控制及风险管理措施进⾏直接管控,应当在信息安全、知识产权保护、质量监控、法
律合规等⽅⾯加强对服务提供商的风险管理。
第六⼗⼋条 银⾏业⾦融机构应当建⽴针对⾮驻场外包服务的内部控制及风险管理要求的最低标准,
该标准应当作为选择服务提供商的最低要求。
第六⼗九条 银⾏业⾦融机构应当对重要的⾮驻场外包服务进⾏实地检查。实地检查原则上⼀年不少
于⼀次,检查结果作为外包服务提供商项⽬考核及准⼊的重要指标。
第七⼗条 银⾏业⾦融机构应当加强对外包服务提供商⾮驻场外包服务内部控制、质量管理、信息安
全的有效性评估,评估结果作为供应商准⼊的重要依据。对于⾼风险的服务提供商,银⾏业⾦融机构应当责
令其进⾏限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七⼗⼀条 对于⾮驻场外包服务提供商为同业托管机构的情况,银⾏业⾦融机构可以参照本节内容
对其进⾏外包管理,但同业托管机构须将为其他同⾏业⾦融机构提供的信息科技外包服务视同⾃⾝信息科技
服务的重要组成部分,不得区别对待,降低对⾃⾝提供外包服务的风险管控⽔平。
第七章 银⾏行行业重点外包服务机构⻛风险管理理要求
第七⼗⼆条 银⾏业重点外包服务机构是指集中为银⾏业⾦融机构提供外包服务,同时满⾜下述条
件,如其外包服务失败可能导致银⾏业⼤⾯积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的
机构,具体条件如下:
(⼀) 承担集中存贮客户数据的业务交易系统外包服务;或承担银⾏业⾦融机构客户资料、交易数据等
敏感信息的批量分析或处理服务;或承担银⾏业⾦融机构数据中⼼、灾备中⼼机房及基础设施外包服务;且
上述服务均为⾮驻场外包服务。
(⼆) 服务的法⼈银⾏业⾦融机构数量、服务合同⾦额占有本服务领域市场份额的三分之⼀以上;或服
务的跨区域经营法⼈银⾏业⾦融机构数量达到3 家或以上;或服务的其他类型法⼈银⾏业⾦融机构数量达到10
家或以上。
第七⼗三条 银⾏业⾦融机构应当根据监管机构发布的银⾏业重点外包服务机构风险提⽰,按照如下
(⼀) 银⾏业重点外包服务机构应当是中华⼈民共和国境内注册的独⽴法⼈实体,注册资本和实收资本不
要求进⾏管理:
少于1000万,注册成⽴时间不少于3年。
(⼆) 银⾏业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建⽴有效的风险治理
架构,⾄少应当建⽴由公司⾼级管理层直接领导、针对银⾏业⾦融机构外包服务的、专职信息科技风险管理
团队,为持续的外包服务提供保证。
(三) 银⾏业重点外包服务机构应当建⽴与所承担的服务范围和规模相适应的服务管理体系,建⽴完善的
信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效
执⾏。
(四) 银⾏业重点外包服务机构应当具有⾜够的技术能⼒、⼈⼒资源和设施、环境,满⾜外包服务的质量
和安全管理要求。银⾏业重点外包服务机构承担的银⾏业⾦融机构外包服务场地应当设置在中国境内。
第七⼗四条 银⾏业⾦融机构应当要求银⾏业重点外包服务机构具有如下相关领域资质认证:
(⼀) 具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和
业务连续性管理资质认证。
(⼆) 具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三) 承担银⾏业⾦融机构数据中⼼、灾备中⼼机房及基础设施外包服务的银⾏业重点外包服务机构,其
机房及基础设施应当达到国家电⼦计算机机房最⾼标准。
(四) 承担集中存贮客户数据的业务交易系统外包服务,或承担银⾏业⾦融机构客户资料、交易数据等敏
感信息的批量分析或处理服务的银⾏业重点外包服务机构,应当具有完善的运⾏服务管理体系,并通过业界
公认较为权威的运⾏服务管理资质认证。
第七⼗五条 银⾏业⾦融机构应当在风险管理、审计⽅⾯对银⾏业重点外包服务机构提出如下要求:
(⼀) 银⾏业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。
银⾏业重点外包服务机构应当⾄少每季度向所服务的银⾏业⾦融机构报送外包风险监控报告,针对监控发现
的潜在风险或风险事件,及时采取控制或缓释措施。
(⼆) 银⾏业重点外包服务机构应当每年聘请独⽴的审计机构, 对⾃⾝外包服务进⾏风险评估, 年度风险评估
报告需报送所服务的银⾏业⾦融机构,并抄送银监会或其派出机构。
(三) 银⾏业重点外包服务机构应当对其外包服务团队成员进⾏背景调查,确保其过往⽆不良记录,且应
当与项⽬成员签订保密协议,并保留⾄少10年的法律追诉期。
第⼋八章 监督管理理
第七⼗六条 银⾏业⾦融机构开展以下信息科技外包服务时, 应当在外包合同签订前⼆⼗个⼯作⽇向银监
会或其派出机构报告,针对银⾏业⾦融机构信息科技外包风险,银监会及其派出机构可以采取风险提⽰、约