中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知

中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知

銀保監(jiān)辦發(fā)〔2021〕141號(hào)

各銀保監(jiān)局，各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷(xiāo)銀行、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、理財(cái)公司，各保險(xiǎn)集團(tuán)（控股）公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、養(yǎng)老金管理公司、保險(xiǎn)專(zhuān)業(yè)中介機(jī)構(gòu)：

　　為進(jìn)一步加強(qiáng)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)提升信息科技外包風(fēng)險(xiǎn)管控能力，銀保監(jiān)會(huì)制定了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》，現(xiàn)予印發(fā)，請(qǐng)遵照?qǐng)?zhí)行。

　　中國(guó)銀保監(jiān)會(huì)辦公廳

　　2021年12月30日

　　銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法

　　第一章　總則

　　第一條? 為規(guī)范銀行保險(xiǎn)機(jī)構(gòu)的信息科技外包活動(dòng)，加強(qiáng)信息科技外包風(fēng)險(xiǎn)管控，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》《中華人民共和國(guó)商業(yè)銀行法》《中華人民共和國(guó)保險(xiǎn)法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)，制定本辦法。

　　第二條? 在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省（自治區(qū)）農(nóng)村信用社聯(lián)合社，保險(xiǎn)集團(tuán)（控股）公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監(jiān)會(huì)及其派出機(jī)構(gòu)監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。

　　第三條? 本辦法所適用的信息科技外包，是指銀行保險(xiǎn)機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為。

　　銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作當(dāng)中涉及銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶(hù)個(gè)人信息處理的信息科技活動(dòng)，按照本辦法相關(guān)要求進(jìn)行管理，法律法規(guī)另有要求的除外。

　　第四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系，將信息科技外包風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系，有效控制由于外包而引發(fā)的風(fēng)險(xiǎn)。

　　第五條? 銀行保險(xiǎn)機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：

　　（一）不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包；

　　（二）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；

　　（三）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；

　　（四）保障網(wǎng)絡(luò)和信息安全，加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù)；

　　（五）強(qiáng)調(diào)事前控制和事中監(jiān)督；

　　（六）持續(xù)改進(jìn)外包策略和風(fēng)險(xiǎn)管理措施。

　　第二章　信息科技外包治理

　　第六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立覆蓋董（理）事會(huì)、高管層、信息科技外包風(fēng)險(xiǎn)主管部門(mén)、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包及風(fēng)險(xiǎn)管理組織架構(gòu)，明確相應(yīng)層級(jí)的職責(zé)，確保信息科技外包治理架構(gòu)權(quán)責(zé)清晰、運(yùn)轉(zhuǎn)高效、制衡充分。

　　第七條? 銀行保險(xiǎn)機(jī)構(gòu)董（理）事會(huì)或其授權(quán)設(shè)立的專(zhuān)業(yè)委員會(huì)應(yīng)負(fù)責(zé)推動(dòng)建立信息科技外包及其風(fēng)險(xiǎn)管理體系、審批信息科技外包戰(zhàn)略、審議重大外包決策，高級(jí)管理層應(yīng)負(fù)責(zé)制定信息科技外包戰(zhàn)略，明確信息科技外包風(fēng)險(xiǎn)主管部門(mén)和信息科技外包執(zhí)行團(tuán)隊(duì)，明確信息科技外包及其風(fēng)險(xiǎn)管理職責(zé)，審議信息科技外包管理流程及制度，監(jiān)控信息科技外包及其風(fēng)險(xiǎn)管理成效。

　　第八條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)指定信息科技外包風(fēng)險(xiǎn)主管部門(mén)，該部門(mén)主要職責(zé)包括：

　　（一）根據(jù)機(jī)構(gòu)總體風(fēng)險(xiǎn)政策和外包戰(zhàn)略，制定信息科技外包風(fēng)險(xiǎn)管理策略、制度和流程；

　　（二）統(tǒng)籌信息科技外包風(fēng)險(xiǎn)的識(shí)別、評(píng)估、監(jiān)測(cè)、預(yù)警、報(bào)告及處置工作；

　　（三）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并定期組織實(shí)施演練；

　　（四）監(jiān)督、評(píng)價(jià)外包執(zhí)行團(tuán)隊(duì)的管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；

　　（五）向董（理）事會(huì)（或其專(zhuān)門(mén)委員會(huì)）或高級(jí)管理層匯報(bào)信息科技外包相關(guān)風(fēng)險(xiǎn)及管理情況。

　　第九條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在信息科技管理部門(mén)或信息科技外包活動(dòng)執(zhí)行部門(mén)內(nèi)部建立信息科技外包執(zhí)行團(tuán)隊(duì)，并配備足夠的具有相應(yīng)能力和經(jīng)驗(yàn)的人員履行以下職責(zé)：

　　（一）落實(shí)信息科技外包戰(zhàn)略；

　　（二）執(zhí)行信息科技外包管理制度與流程；

　　（三）執(zhí)行服務(wù)提供商準(zhǔn)入、盡職調(diào)查、服務(wù)評(píng)價(jià)和退出管理工作，建立并維護(hù)服務(wù)提供商關(guān)系管理策略；

　　（四）持續(xù)監(jiān)測(cè)外包服務(wù)的水平和質(zhì)量，及時(shí)處理服務(wù)提供商出現(xiàn)的相關(guān)違規(guī)和用戶(hù)投訴；

　　（五）對(duì)外包過(guò)程中的關(guān)鍵管理活動(dòng)進(jìn)行監(jiān)控及分析，定期與信息科技外包風(fēng)險(xiǎn)主管部門(mén)溝通外包活動(dòng)及有關(guān)風(fēng)險(xiǎn)情況。

　　第十條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)基于機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略、信息科技戰(zhàn)略、總體外包戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略，包括但不限于：外包原則和策略、不能外包的職能、資源能力建設(shè)方案等。

　　第十一條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)明確不能外包的信息科技職能。涉及信息科技戰(zhàn)略管理、信息科技風(fēng)險(xiǎn)管理、信息科技內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不得外包。

　　第十二條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包活動(dòng)分類(lèi)管理機(jī)制，針對(duì)不同類(lèi)型的外包活動(dòng)建立相應(yīng)的管理和風(fēng)控策略。信息科技外包原則上劃分為咨詢(xún)規(guī)劃類(lèi)、開(kāi)發(fā)測(cè)試類(lèi)、運(yùn)行維護(hù)類(lèi)、安全服務(wù)類(lèi)、業(yè)務(wù)支持類(lèi)等類(lèi)別。

　　第十三條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行分級(jí)管理，對(duì)重要外包和一般外包采取差異化管控措施。下列信息科技外包活動(dòng)原則上屬于重要外包：

　　（一）信息科技工作整體外包，僅保留必要的管理團(tuán)隊(duì)和核心職能；

　　（二）數(shù)據(jù)中心（機(jī)房）整體外包；

　　（三）涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的信息科技外包；

　　（四）核心業(yè)務(wù)系統(tǒng)開(kāi)發(fā)測(cè)試和運(yùn)行維護(hù)的整體外包；

　　（五）信息科技戰(zhàn)略規(guī)劃（含中長(zhǎng)期規(guī)劃）咨詢(xún)外包；

　　（六）安全運(yùn)營(yíng)的整體外包；

　　（七）涉及集中存儲(chǔ)或處理銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶(hù)個(gè)人敏感信息的外包；

　　（八）直接影響實(shí)時(shí)服務(wù)、影響賬務(wù)準(zhǔn)確性的重要信息系統(tǒng)外包；

　　（九）其它對(duì)機(jī)構(gòu)業(yè)務(wù)運(yùn)營(yíng)具有重要影響的外包。

　　第十四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)考慮重要外包終止的可能性，并制定退出策略。退出策略應(yīng)至少明確：

　　（一）可能造成外包終止的情形；

　　（二）外包終止的業(yè)務(wù)影響分析；

　　（三）終止交接安排。

　　第三章　信息科技外包準(zhǔn)入

　　第十五條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估擬開(kāi)展的信息科技外包活動(dòng)與信息科技外包戰(zhàn)略的一致性，充分評(píng)估擬開(kāi)展的信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)，就是否實(shí)施外包作出審慎決策。重要外包應(yīng)至少向高管層報(bào)告并經(jīng)過(guò)審批。

　　第十六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)根據(jù)信息科技外包戰(zhàn)略，結(jié)合風(fēng)險(xiǎn)評(píng)估情況，明確服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對(duì)備選服務(wù)提供商進(jìn)行篩選，審慎引入集中度風(fēng)險(xiǎn)較高或增加機(jī)構(gòu)整體風(fēng)險(xiǎn)的服務(wù)提供商。

　　第十七條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在簽訂合同前，對(duì)重要外包的備選服務(wù)提供商深入開(kāi)展盡職調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。在服務(wù)提供商經(jīng)營(yíng)狀況未發(fā)生重大變化的前提下，盡職調(diào)查結(jié)果原則上一年內(nèi)有效。盡職調(diào)查應(yīng)包括但不限于：

　　（一）服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn)，人員及能力；

　　（二）服務(wù)提供商的內(nèi)部控制和管理能力；

　　（三）服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力；

　　（四）服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況；

　　（五）服務(wù)提供商及其母公司或?qū)嶋H控制人遵守國(guó)家和銀保監(jiān)會(huì)相關(guān)法律法規(guī)要求的情況；

　　（六）服務(wù)提供商過(guò)往配合銀行保險(xiǎn)機(jī)構(gòu)審計(jì)、評(píng)估、檢查及監(jiān)管機(jī)構(gòu)監(jiān)督檢查情況；

　　（七）服務(wù)提供商與銀行保險(xiǎn)機(jī)構(gòu)的關(guān)聯(lián)性。

　　第十八條? 對(duì)于符合重要外包條件的非駐場(chǎng)外包，應(yīng)當(dāng)進(jìn)一步重點(diǎn)調(diào)查如下內(nèi)容：

　　（一）服務(wù)提供商對(duì)銀行保險(xiǎn)機(jī)構(gòu)與其他機(jī)構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界；

　　（二）服務(wù)提供商是否有管理制度和技術(shù)措施保障銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)的完整性和保密性；

　　（三）服務(wù)提供商對(duì)涉及銀行保險(xiǎn)機(jī)構(gòu)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪(fǎng)問(wèn)權(quán)限；

　　（四）服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限或訪(fǎng)問(wèn)權(quán)限，是否能夠?yàn)g覽、獲取重要數(shù)據(jù)或客戶(hù)個(gè)人敏感信息；

　　（五）服務(wù)提供商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系，是否有業(yè)務(wù)連續(xù)性安排；

　　（六）服務(wù)提供商是否存在不正當(dāng)競(jìng)爭(zhēng)或規(guī)避監(jiān)管的情形。

　　第十九條? 銀行保險(xiǎn)機(jī)構(gòu)在選擇跨境外包時(shí)，應(yīng)當(dāng)充分評(píng)估服務(wù)提供商所在國(guó)家或地區(qū)的政治、經(jīng)濟(jì)、社會(huì)、法律、文化等經(jīng)營(yíng)環(huán)境。涉及信息跨境存儲(chǔ)、處理和分析的，應(yīng)遵守我國(guó)有關(guān)法律法規(guī)的規(guī)定。

　　第二十條? 對(duì)于關(guān)聯(lián)外包和同業(yè)外包，銀行保險(xiǎn)機(jī)構(gòu)不得降低對(duì)服務(wù)提供商的要求，嚴(yán)格防范利益沖突和利益輸送。

　　第二十一條? 銀行保險(xiǎn)機(jī)構(gòu)在信息科技外包合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：

　　（一）服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)要求、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件，服務(wù)質(zhì)量考核評(píng)價(jià)約定。

　　（二）合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求，對(duì)法律法規(guī)及銀行保險(xiǎn)機(jī)構(gòu)內(nèi)部管理制度的遵守要求，監(jiān)管政策的通報(bào)貫徹機(jī)制。

　　（三）服務(wù)持續(xù)性要求，服務(wù)提供商的服務(wù)持續(xù)性管理目標(biāo)應(yīng)當(dāng)滿(mǎn)足銀行保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求。

　　（四）銀行保險(xiǎn)機(jī)構(gòu)對(duì)服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)、檢查和審計(jì)的權(quán)利，及服務(wù)提供商承諾接受銀保監(jiān)會(huì)對(duì)其所承擔(dān)的銀行保險(xiǎn)機(jī)構(gòu)外包服務(wù)的監(jiān)督檢查。

　　（五）合同變更或終止的觸發(fā)條件，合同變更或終止的過(guò)渡安排。

　　（六）外包活動(dòng)中相關(guān)信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求。

　　（七）資源保障條款。

　　（八）安全保密和消費(fèi)者權(quán)益保護(hù)約定，包括但不限于：禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行保險(xiǎn)機(jī)構(gòu)的信息，服務(wù)提供商不得將銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或謀取外包合同約定以外的利益。

　　（九）爭(zhēng)端解決機(jī)制、違約及賠償條款，跨境外包應(yīng)明確爭(zhēng)議解決時(shí)所適用的法律及司法管轄權(quán)，原則上應(yīng)當(dāng)選擇中國(guó)仲裁機(jī)構(gòu)、中國(guó)法院管轄，適用中國(guó)法律解決糾紛。

　　（十）報(bào)告條款，至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線(xiàn)、報(bào)告方式及時(shí)限要求。

　　第二十二條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包或變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：

　　（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；

　　（二）主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議；

　　（三）主服務(wù)提供商對(duì)分包服務(wù)提供商進(jìn)行監(jiān)控，并對(duì)分包服務(wù)提供商的變更履行通知或報(bào)告審批義務(wù)。

　　第四章　信息科技外包監(jiān)控評(píng)價(jià)

　　第二十三條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類(lèi)異常情況。

　　第二十四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制，確保相關(guān)監(jiān)控信息和評(píng)價(jià)結(jié)果的真實(shí)性和完整性，且數(shù)據(jù)至少保存到服務(wù)結(jié)束后三年。

　　第二十五條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息科技外包服務(wù)建立服務(wù)效能和質(zhì)量監(jiān)控指標(biāo)，并進(jìn)行相應(yīng)監(jiān)控。常見(jiàn)指標(biāo)包括：

　　（一）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率；

　　（二）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間、故障的解決時(shí)間；

　　（三）服務(wù)的次數(shù)、客戶(hù)滿(mǎn)意度；

　　（四）業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；

　　（五）外包人員工作飽和率、外包人員的考核合格率；

　　（六）網(wǎng)絡(luò)和信息安全指標(biāo)、業(yè)務(wù)連續(xù)性指標(biāo)。

　　第二十六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

　　第二十七條? 銀行保險(xiǎn)機(jī)構(gòu)監(jiān)控到信息科技外包服務(wù)出現(xiàn)異常情況時(shí)，應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施；情節(jié)嚴(yán)重或未及時(shí)糾正的，應(yīng)當(dāng)及時(shí)約談服務(wù)提供商高管人員并限期整改。對(duì)于逾期未整改的服務(wù)提供商，應(yīng)當(dāng)暫?；蛉∠浞?wù)資格，并向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

　　第二十八條? 對(duì)于關(guān)聯(lián)外包，銀行保險(xiǎn)機(jī)構(gòu)董（理）事會(huì)和高級(jí)管理層應(yīng)當(dāng)推動(dòng)母公司或所屬集團(tuán)將外包服務(wù)質(zhì)量納入對(duì)服務(wù)提供商的業(yè)績(jī)?cè)u(píng)價(jià)范圍，建立外包服務(wù)重大事件問(wèn)責(zé)機(jī)制。

　　第二十九條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在信息科技外包服務(wù)到期前，就是否繼續(xù)外包進(jìn)行評(píng)估決策。外包服務(wù)結(jié)束時(shí)，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果作為服務(wù)提供商后續(xù)準(zhǔn)入的重要參考依據(jù)。對(duì)具有持續(xù)性特點(diǎn)的外包服務(wù)，銀行保險(xiǎn)機(jī)構(gòu)終止外包或更換服務(wù)提供商前，應(yīng)制定周密的退出和交接計(jì)劃。

　　第五章　信息科技外包風(fēng)險(xiǎn)管理

　　第三十條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立并持續(xù)完善風(fēng)險(xiǎn)管理制度和流程，充分識(shí)別并評(píng)估信息科技外包可能產(chǎn)生的風(fēng)險(xiǎn)，包括但不限于：

　　（一）科技能力喪失。過(guò)度依賴(lài)外包導(dǎo)致失去科技控制及創(chuàng)新能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展。

　　（二）業(yè)務(wù)中斷。支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無(wú)法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷。

　　（三）數(shù)據(jù)泄露、丟失和篡改。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)或客戶(hù)個(gè)人信息泄露、丟失和篡改。

　　（四）資金損失。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致銀行保險(xiǎn)機(jī)構(gòu)客戶(hù)資金被盜取。

　　（五）服務(wù)水平下降。由于外包服務(wù)質(zhì)量問(wèn)題或內(nèi)外部協(xié)作效率低下，使得信息科技服務(wù)水平下降。

　　（六）可能導(dǎo)致的戰(zhàn)略、聲譽(yù)、合規(guī)等其他風(fēng)險(xiǎn)。

　　第三十一條? 針對(duì)可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù)，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)事先建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于：

　　（一）事先制定退出策略和供應(yīng)鏈安全保障方案，并在外包服務(wù)實(shí)施過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷或服務(wù)質(zhì)量下降的情況；

　　（二）明確措施和方法，在服務(wù)提供商服務(wù)質(zhì)量不能滿(mǎn)足合同要求的情況下，保障獲取其外包服務(wù)資源的優(yōu)先權(quán)；

　　（三）要求服務(wù)提供商提供必要的應(yīng)急和災(zāi)備資源保障，制定應(yīng)急處理預(yù)案并在預(yù)案中明確為銀行保險(xiǎn)機(jī)構(gòu)提供應(yīng)急響應(yīng)和恢復(fù)的優(yōu)先級(jí)，原則上應(yīng)為最高級(jí)；

　　（四）組織服務(wù)提供商參與應(yīng)急計(jì)劃編制和應(yīng)急演練，至少每年在綜合性演練或?qū)ｍ?xiàng)演練中納入一個(gè)或多個(gè)服務(wù)提供商開(kāi)展一次相關(guān)演練；

　　（五）考慮預(yù)先在銀行保險(xiǎn)機(jī)構(gòu)內(nèi)部配置相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

　　第三十二條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施，包括但不限于：

　　（一）對(duì)服務(wù)提供商和外包人員進(jìn)行網(wǎng)絡(luò)和信息安全教育或培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)和信息安全意識(shí)，服務(wù)提供商應(yīng)與銀行保險(xiǎn)機(jī)構(gòu)簽訂安全保密協(xié)議，外包人員應(yīng)簽署安全保密承諾書(shū)；

　　（二）明確外包活動(dòng)需要訪(fǎng)問(wèn)或使用的信息資產(chǎn)，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪(fǎng)問(wèn)授權(quán)，嚴(yán)格管控遠(yuǎn)程維護(hù)行為；

　　（三）對(duì)信息系統(tǒng)開(kāi)發(fā)交付物（含擁有知識(shí)產(chǎn)權(quán)的源代碼）進(jìn)行安全掃描和檢查；

　　（四）對(duì)客戶(hù)信息、源代碼和文檔等敏感信息采取嚴(yán)格管控措施，對(duì)敏感信息泄露風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)；

　　（五）對(duì)服務(wù)提供商所提供的模型、算法及相關(guān)信息系統(tǒng)加強(qiáng)管理，確保模型和算法遵循可解釋、可驗(yàn)證、透明、公平的原則；

　　（六）定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)和信息安全評(píng)估。

　　第三十三條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)識(shí)別對(duì)本機(jī)構(gòu)具有集中度風(fēng)險(xiǎn)的外包服務(wù)及其提供商，積極采用分散外包活動(dòng)、注重外包項(xiàng)目知識(shí)產(chǎn)權(quán)保護(hù)、提高自身研發(fā)運(yùn)維能力、儲(chǔ)備潛在替代服務(wù)提供商等手段，減少對(duì)個(gè)別外包服務(wù)提供商的依賴(lài)，降低集中度風(fēng)險(xiǎn)。

　　第三十四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)符合重要外包標(biāo)準(zhǔn)的非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查，原則上每三年覆蓋所有重要的非駐場(chǎng)外包服務(wù)。對(duì)具有行業(yè)集中度性質(zhì)的服務(wù)提供商，銀行保險(xiǎn)機(jī)構(gòu)可采取聯(lián)合檢查、委托檢查等形式，減少重復(fù)性工作，減輕服務(wù)提供商的檢查負(fù)擔(dān)。

　　第三十五條? 銀行保險(xiǎn)機(jī)構(gòu)每年應(yīng)當(dāng)至少開(kāi)展一次全面的信息科技外包風(fēng)險(xiǎn)管理評(píng)估，并向董（理）事會(huì)或高級(jí)管理層提交評(píng)估報(bào)告。

　　第三十六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)開(kāi)展信息科技外包及其風(fēng)險(xiǎn)管理的審計(jì)工作，定期對(duì)信息科技外包活動(dòng)進(jìn)行審計(jì)，至少每三年覆蓋所有重要外包。發(fā)生重大外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開(kāi)展專(zhuān)項(xiàng)審計(jì)。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)承擔(dān)內(nèi)部審計(jì)職能和責(zé)任，內(nèi)部審計(jì)項(xiàng)目可委托母公司或同一集團(tuán)下屬子公司實(shí)施，或聘請(qǐng)獨(dú)立第三方實(shí)施。

　　第六章　監(jiān)督管理

　　第三十七條? 銀行保險(xiǎn)機(jī)構(gòu)開(kāi)展以下信息科技外包活動(dòng)時(shí)，應(yīng)當(dāng)在外包合同簽訂前二十個(gè)工作日向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)的信息科技監(jiān)管部門(mén)報(bào)告（目錄見(jiàn)附件）：

　　（一）信息科技工作整體外包；

　　（二）數(shù)據(jù)中心（機(jī)房）整體外包；

　　（三）涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的外包；

　　（四）信息科技戰(zhàn)略規(guī)劃（含中長(zhǎng)期規(guī)劃）咨詢(xún)外包；

　　（五）符合重要外包條件的非駐場(chǎng)外包、關(guān)聯(lián)外包和跨境外包；

　　（六）其他銀保監(jiān)會(huì)認(rèn)為重要的信息科技外包。

　　第三十八條? 銀行保險(xiǎn)機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生以下重大風(fēng)險(xiǎn)事件時(shí)，應(yīng)當(dāng)按照相關(guān)突發(fā)事件監(jiān)管報(bào)告要求，向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告：

　　（一）銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)或客戶(hù)個(gè)人信息泄露；

　　（二）數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷；

　　（三）由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問(wèn)題，導(dǎo)致或可能導(dǎo)致多家銀行保險(xiǎn)機(jī)構(gòu)外包服務(wù)中斷;

　　（四）重要外包服務(wù)非正常中斷、終止或其服務(wù)提供商非正常退出；

　　（五）因服務(wù)提供商不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊或其他原因，造成銀行保險(xiǎn)機(jī)構(gòu)客戶(hù)重大資金損失；

　　（六）發(fā)現(xiàn)重大的服務(wù)提供商違法違規(guī)事件；

　　（七）銀保監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。

　　相關(guān)突發(fā)事件報(bào)告要求中沒(méi)有規(guī)定的，在24小時(shí)內(nèi)向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

　　第三十九條? 銀保監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)進(jìn)行獨(dú)立評(píng)估，對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查，并納入監(jiān)管綜合評(píng)價(jià)體系。對(duì)于檢查發(fā)現(xiàn)涉嫌違法事項(xiàng)的有關(guān)單位和個(gè)人，依照相關(guān)法律規(guī)定實(shí)施延伸檢查。

　　第四十條? 銀保監(jiān)會(huì)及其派出機(jī)構(gòu)持續(xù)監(jiān)測(cè)銀行業(yè)保險(xiǎn)業(yè)信息科技外包風(fēng)險(xiǎn)狀況，建立行業(yè)和區(qū)域集中度風(fēng)險(xiǎn)監(jiān)測(cè)與核查機(jī)制，對(duì)重大或共性風(fēng)險(xiǎn)及時(shí)向行業(yè)發(fā)布風(fēng)險(xiǎn)提示，積極防范因信息科技外包可能引發(fā)的區(qū)域性、系統(tǒng)性風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)狀況，銀保監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求銀行保險(xiǎn)機(jī)構(gòu)與服務(wù)提供商會(huì)談，就其外包服務(wù)和風(fēng)險(xiǎn)相關(guān)的重大事項(xiàng)作出說(shuō)明。

　　第四十一條? 銀保監(jiān)會(huì)及其派出機(jī)構(gòu)可組織或責(zé)令銀行保險(xiǎn)機(jī)構(gòu)對(duì)承擔(dān)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包服務(wù)的服務(wù)提供商進(jìn)行現(xiàn)場(chǎng)核查，也可由銀行保險(xiǎn)機(jī)構(gòu)委托其他第三方機(jī)構(gòu)以審計(jì)的形式實(shí)施。銀保監(jiān)會(huì)建立信息共享機(jī)制，及時(shí)向行業(yè)通報(bào)現(xiàn)場(chǎng)核查情況。

　　第四十二條? 對(duì)于經(jīng)監(jiān)管評(píng)估、監(jiān)督檢查或現(xiàn)場(chǎng)核查風(fēng)險(xiǎn)較高的信息科技外包服務(wù)，銀保監(jiān)會(huì)及其派出機(jī)構(gòu)可以對(duì)銀行保險(xiǎn)機(jī)構(gòu)采取風(fēng)險(xiǎn)提示、約見(jiàn)談話(huà)、監(jiān)管質(zhì)詢(xún)、要求暫緩和停止相關(guān)外包活動(dòng)等措施。對(duì)具有重大違法違規(guī)情形的服務(wù)提供商，銀保監(jiān)會(huì)可通報(bào)行業(yè)，必要時(shí)將有關(guān)情況移交司法機(jī)關(guān)。

　　第四十三條? 銀行保險(xiǎn)機(jī)構(gòu)違反本辦法要求的，銀保監(jiān)會(huì)及其派出機(jī)構(gòu)依法予以糾正，并視情況予以問(wèn)責(zé)或處罰。

　　第七章　附則

　　第四十四條? 本辦法所稱(chēng)關(guān)聯(lián)外包，是指銀行保險(xiǎn)機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)作為服務(wù)提供商，為其提供信息科技外包服務(wù)的行為。

　　同業(yè)外包，是指依法設(shè)立的由銀保監(jiān)會(huì)監(jiān)管的銀行保險(xiǎn)機(jī)構(gòu)為其他同行業(yè)金融機(jī)構(gòu)提供外包服務(wù)的行為。

　　跨境外包，是指服務(wù)提供商在境外其他國(guó)家或地區(qū)實(shí)施信息科技外包服務(wù)的行為。

　　非駐場(chǎng)外包，是指服務(wù)提供商不在銀行保險(xiǎn)機(jī)構(gòu)場(chǎng)所提供服務(wù)的外包形式。

　　重要數(shù)據(jù)，包括但不限于客戶(hù)資料、交易數(shù)據(jù)、商業(yè)秘密等，參見(jiàn)國(guó)家法律法規(guī)和國(guó)家標(biāo)準(zhǔn)對(duì)重要數(shù)據(jù)的相關(guān)定義。

　　客戶(hù)個(gè)人信息和敏感信息，參見(jiàn)國(guó)家法律法規(guī)和國(guó)家標(biāo)準(zhǔn)對(duì)個(gè)人信息的相關(guān)定義。

　　第四十五條? 本辦法由銀保監(jiān)會(huì)負(fù)責(zé)解釋和修訂。

　　第四十六條? 本辦法自公布之日起施行?！躲y行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》（銀監(jiān)發(fā)〔2013〕5號(hào)）、《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包風(fēng)險(xiǎn)管理的通知》（銀監(jiān)辦發(fā)〔2014〕187號(hào)）、《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開(kāi)展銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包監(jiān)管評(píng)估工作的通知》（銀監(jiān)辦發(fā)〔2014〕272號(hào)）同時(shí)廢止。

　　附件：

　　1.銀行保險(xiǎn)機(jī)構(gòu)信息科技外包監(jiān)管報(bào)告材料目錄

　　2.信息科技外包服務(wù)類(lèi)型參考

　　附件1

　　銀行保險(xiǎn)機(jī)構(gòu)信息科技外包監(jiān)管報(bào)告

　　材料目錄

　　一、外包服務(wù)基本情況，包括：

　　1. 外包服務(wù)名稱(chēng)；

　　2. 外包服務(wù)類(lèi)型：咨詢(xún)規(guī)劃類(lèi)、開(kāi)發(fā)測(cè)試類(lèi)、運(yùn)行維護(hù)類(lèi)、安全服務(wù)類(lèi)、業(yè)務(wù)支持類(lèi)等；

　　3. 外包服務(wù)的主要內(nèi)容；

　　4. 實(shí)施方式：駐場(chǎng)外包、非駐場(chǎng)外包；

　　5. 影響的業(yè)務(wù)類(lèi)型：渠道管理類(lèi)、客戶(hù)管理類(lèi)、產(chǎn)品管理類(lèi)、財(cái)務(wù)管理類(lèi)、決策支持類(lèi)、共享支持類(lèi)等；

　　6. 外包服務(wù)起止時(shí)間。

　　二、服務(wù)提供商基本情況，包括：

　　1. 服務(wù)提供商全稱(chēng)、國(guó)別；

　　2. 盡職調(diào)查報(bào)告；

　　3. 法人代表；

　　4. 注冊(cè)資本；

　　5. 上級(jí)機(jī)構(gòu)/母機(jī)構(gòu)；

　　6. 成立時(shí)間；

　　7. 企業(yè)性質(zhì)；

　　8. 統(tǒng)一社會(huì)信用代碼。

　　三、外包風(fēng)險(xiǎn)評(píng)估報(bào)告。

　　銀保監(jiān)會(huì)規(guī)定的其他材料。

　　附件2

　　信息科技外包服務(wù)類(lèi)型參考

　　咨詢(xún)規(guī)劃類(lèi)。包括但不限于：信息科技戰(zhàn)略規(guī)劃（含中長(zhǎng)期規(guī)劃）咨詢(xún)，數(shù)據(jù)中心（機(jī)房）整體建設(shè)咨詢(xún)和規(guī)劃，信息科技治理（含數(shù)據(jù)治理）、信息科技風(fēng)險(xiǎn)管理體系、信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系等管理類(lèi)咨詢(xún)和規(guī)劃，重要信息系統(tǒng)架構(gòu)和建設(shè)相關(guān)的咨詢(xún)和規(guī)劃，新興技術(shù)應(yīng)用咨詢(xún)和規(guī)劃。

　　開(kāi)發(fā)測(cè)試類(lèi)。包括但不限于：軟硬件開(kāi)發(fā)和測(cè)試外包（含人力外包），軟件即服務(wù)形式的外包。

　　運(yùn)行維護(hù)類(lèi)。包括但不限于：數(shù)據(jù)中心（機(jī)房）物理環(huán)境的托管或運(yùn)行維護(hù)，軟硬件基礎(chǔ)設(shè)施托管或運(yùn)行維護(hù)，應(yīng)用系統(tǒng)運(yùn)行維護(hù)，電子機(jī)具運(yùn)行維護(hù)，終端等辦公設(shè)備的運(yùn)行維護(hù)，以及涉及以上運(yùn)行維護(hù)的人力外包。

　　安全服務(wù)類(lèi)。包括但不限于：安全運(yùn)營(yíng)服務(wù)，安全加固服務(wù)，安全設(shè)備運(yùn)行維護(hù)，安全日志處理與分析，安全測(cè)試服務(wù)，密鑰管理及運(yùn)行維護(hù)，數(shù)據(jù)安全服務(wù)，以及涉及以上服務(wù)的人力外包。

　　業(yè)務(wù)支持類(lèi)。包括但不限于：市場(chǎng)拓展、業(yè)務(wù)運(yùn)營(yíng)（集中作業(yè)、呼叫中心等）、企業(yè)管理、資產(chǎn)處置、數(shù)據(jù)處理、數(shù)據(jù)利用等業(yè)務(wù)外包或第三方合作當(dāng)中涉及銀行保險(xiǎn)機(jī)構(gòu)的重要數(shù)據(jù)或客戶(hù)個(gè)人信息處理的信息科技活動(dòng)，法律法規(guī)另有要求的除外。