九九九中文无码A∨|亚洲国产成人最新精品|国产AV无码精品色午夜|国产精品久久久久三级无码|日韩欧美一区国产二区在线|欧美另类精品一区二区三区|精品一区二区三区毛片视频网|中文字幕日韩精品一区二区三区

中國(guó)企業(yè)報(bào)集團(tuán)主管主辦

中國(guó)企業(yè)信息交流平臺(tái)

微博 微信

中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知

2022-01-25 15:18 來源: 次閱讀
 
中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知

中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知

銀保監(jiān)辦發(fā)〔2021〕141號(hào)

各銀保監(jiān)局,各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷銀行、金融資產(chǎn)管理公司、金融資產(chǎn)投資公司、理財(cái)公司,各保險(xiǎn)集團(tuán)(控股)公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、養(yǎng)老金管理公司、保險(xiǎn)專業(yè)中介機(jī)構(gòu):

  為進(jìn)一步加強(qiáng)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管,促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)提升信息科技外包風(fēng)險(xiǎn)管控能力,銀保監(jiān)會(huì)制定了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》,現(xiàn)予印發(fā),請(qǐng)遵照?qǐng)?zhí)行。

  中國(guó)銀保監(jiān)會(huì)辦公廳

  2021年12月30日

  銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法

  第一章 總則

  第一條? 為規(guī)范銀行保險(xiǎn)機(jī)構(gòu)的信息科技外包活動(dòng),加強(qiáng)信息科技外包風(fēng)險(xiǎn)管控,根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》《中華人民共和國(guó)商業(yè)銀行法》《中華人民共和國(guó)保險(xiǎn)法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī),制定本辦法。

  第二條? 在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社,保險(xiǎn)集團(tuán)(控股)公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監(jiān)會(huì)及其派出機(jī)構(gòu)監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。

  第三條? 本辦法所適用的信息科技外包,是指銀行保險(xiǎn)機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為。

  銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作當(dāng)中涉及銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人信息處理的信息科技活動(dòng),按照本辦法相關(guān)要求進(jìn)行管理,法律法規(guī)另有要求的除外。

  第四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系,將信息科技外包風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系,有效控制由于外包而引發(fā)的風(fēng)險(xiǎn)。

  第五條? 銀行保險(xiǎn)機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則:

  (一)不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包;

  (二)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;

  (三)保持外包風(fēng)險(xiǎn)、成本和效益的平衡;

  (四)保障網(wǎng)絡(luò)和信息安全,加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù);

  (五)強(qiáng)調(diào)事前控制和事中監(jiān)督;

  (六)持續(xù)改進(jìn)外包策略和風(fēng)險(xiǎn)管理措施。

  第二章 信息科技外包治理

  第六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立覆蓋董(理)事會(huì)、高管層、信息科技外包風(fēng)險(xiǎn)主管部門、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包及風(fēng)險(xiǎn)管理組織架構(gòu),明確相應(yīng)層級(jí)的職責(zé),確保信息科技外包治理架構(gòu)權(quán)責(zé)清晰、運(yùn)轉(zhuǎn)高效、制衡充分。

  第七條? 銀行保險(xiǎn)機(jī)構(gòu)董(理)事會(huì)或其授權(quán)設(shè)立的專業(yè)委員會(huì)應(yīng)負(fù)責(zé)推動(dòng)建立信息科技外包及其風(fēng)險(xiǎn)管理體系、審批信息科技外包戰(zhàn)略、審議重大外包決策,高級(jí)管理層應(yīng)負(fù)責(zé)制定信息科技外包戰(zhàn)略,明確信息科技外包風(fēng)險(xiǎn)主管部門和信息科技外包執(zhí)行團(tuán)隊(duì),明確信息科技外包及其風(fēng)險(xiǎn)管理職責(zé),審議信息科技外包管理流程及制度,監(jiān)控信息科技外包及其風(fēng)險(xiǎn)管理成效。

  第八條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)指定信息科技外包風(fēng)險(xiǎn)主管部門,該部門主要職責(zé)包括:

  (一)根據(jù)機(jī)構(gòu)總體風(fēng)險(xiǎn)政策和外包戰(zhàn)略,制定信息科技外包風(fēng)險(xiǎn)管理策略、制度和流程;

  (二)統(tǒng)籌信息科技外包風(fēng)險(xiǎn)的識(shí)別、評(píng)估、監(jiān)測(cè)、預(yù)警、報(bào)告及處置工作;

  (三)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,并定期組織實(shí)施演練;

  (四)監(jiān)督、評(píng)價(jià)外包執(zhí)行團(tuán)隊(duì)的管理工作,并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善;

  (五)向董(理)事會(huì)(或其專門委員會(huì))或高級(jí)管理層匯報(bào)信息科技外包相關(guān)風(fēng)險(xiǎn)及管理情況。

  第九條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)部建立信息科技外包執(zhí)行團(tuán)隊(duì),并配備足夠的具有相應(yīng)能力和經(jīng)驗(yàn)的人員履行以下職責(zé):

  (一)落實(shí)信息科技外包戰(zhàn)略;

  (二)執(zhí)行信息科技外包管理制度與流程;

  (三)執(zhí)行服務(wù)提供商準(zhǔn)入、盡職調(diào)查、服務(wù)評(píng)價(jià)和退出管理工作,建立并維護(hù)服務(wù)提供商關(guān)系管理策略;

  (四)持續(xù)監(jiān)測(cè)外包服務(wù)的水平和質(zhì)量,及時(shí)處理服務(wù)提供商出現(xiàn)的相關(guān)違規(guī)和用戶投訴;

  (五)對(duì)外包過程中的關(guān)鍵管理活動(dòng)進(jìn)行監(jiān)控及分析,定期與信息科技外包風(fēng)險(xiǎn)主管部門溝通外包活動(dòng)及有關(guān)風(fēng)險(xiǎn)情況。

  第十條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)基于機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略、信息科技戰(zhàn)略、總體外包戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略,包括但不限于:外包原則和策略、不能外包的職能、資源能力建設(shè)方案等。

  第十一條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)明確不能外包的信息科技職能。涉及信息科技戰(zhàn)略管理、信息科技風(fēng)險(xiǎn)管理、信息科技內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不得外包。

  第十二條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包活動(dòng)分類管理機(jī)制,針對(duì)不同類型的外包活動(dòng)建立相應(yīng)的管理和風(fēng)控策略。信息科技外包原則上劃分為咨詢規(guī)劃類、開發(fā)測(cè)試類、運(yùn)行維護(hù)類、安全服務(wù)類、業(yè)務(wù)支持類等類別。

  第十三條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行分級(jí)管理,對(duì)重要外包和一般外包采取差異化管控措施。下列信息科技外包活動(dòng)原則上屬于重要外包:

  (一)信息科技工作整體外包,僅保留必要的管理團(tuán)隊(duì)和核心職能;

  (二)數(shù)據(jù)中心(機(jī)房)整體外包;

  (三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的信息科技外包;

  (四)核心業(yè)務(wù)系統(tǒng)開發(fā)測(cè)試和運(yùn)行維護(hù)的整體外包;

  (五)信息科技戰(zhàn)略規(guī)劃(含中長(zhǎng)期規(guī)劃)咨詢外包;

  (六)安全運(yùn)營(yíng)的整體外包;

  (七)涉及集中存儲(chǔ)或處理銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人敏感信息的外包;

  (八)直接影響實(shí)時(shí)服務(wù)、影響賬務(wù)準(zhǔn)確性的重要信息系統(tǒng)外包;

  (九)其它對(duì)機(jī)構(gòu)業(yè)務(wù)運(yùn)營(yíng)具有重要影響的外包。

  第十四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)考慮重要外包終止的可能性,并制定退出策略。退出策略應(yīng)至少明確:

  (一)可能造成外包終止的情形;

  (二)外包終止的業(yè)務(wù)影響分析;

  (三)終止交接安排。

  第三章 信息科技外包準(zhǔn)入

  第十五條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估擬開展的信息科技外包活動(dòng)與信息科技外包戰(zhàn)略的一致性,充分評(píng)估擬開展的信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn),就是否實(shí)施外包作出審慎決策。重要外包應(yīng)至少向高管層報(bào)告并經(jīng)過審批。

  第十六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)根據(jù)信息科技外包戰(zhàn)略,結(jié)合風(fēng)險(xiǎn)評(píng)估情況,明確服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn),對(duì)備選服務(wù)提供商進(jìn)行篩選,審慎引入集中度風(fēng)險(xiǎn)較高或增加機(jī)構(gòu)整體風(fēng)險(xiǎn)的服務(wù)提供商。

  第十七條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在簽訂合同前,對(duì)重要外包的備選服務(wù)提供商深入開展盡職調(diào)查,必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。在服務(wù)提供商經(jīng)營(yíng)狀況未發(fā)生重大變化的前提下,盡職調(diào)查結(jié)果原則上一年內(nèi)有效。盡職調(diào)查應(yīng)包括但不限于:

  (一)服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn),人員及能力;

  (二)服務(wù)提供商的內(nèi)部控制和管理能力;

  (三)服務(wù)提供商的網(wǎng)絡(luò)和信息安全保障能力;

  (四)服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況;

  (五)服務(wù)提供商及其母公司或?qū)嶋H控制人遵守國(guó)家和銀保監(jiān)會(huì)相關(guān)法律法規(guī)要求的情況;

  (六)服務(wù)提供商過往配合銀行保險(xiǎn)機(jī)構(gòu)審計(jì)、評(píng)估、檢查及監(jiān)管機(jī)構(gòu)監(jiān)督檢查情況;

  (七)服務(wù)提供商與銀行保險(xiǎn)機(jī)構(gòu)的關(guān)聯(lián)性。

  第十八條? 對(duì)于符合重要外包條件的非駐場(chǎng)外包,應(yīng)當(dāng)進(jìn)一步重點(diǎn)調(diào)查如下內(nèi)容:

  (一)服務(wù)提供商對(duì)銀行保險(xiǎn)機(jī)構(gòu)與其他機(jī)構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界;

  (二)服務(wù)提供商是否有管理制度和技術(shù)措施保障銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)的完整性和保密性;

  (三)服務(wù)提供商對(duì)涉及銀行保險(xiǎn)機(jī)構(gòu)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪問權(quán)限;

  (四)服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限或訪問權(quán)限,是否能夠?yàn)g覽、獲取重要數(shù)據(jù)或客戶個(gè)人敏感信息;

  (五)服務(wù)提供商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系,是否有業(yè)務(wù)連續(xù)性安排;

  (六)服務(wù)提供商是否存在不正當(dāng)競(jìng)爭(zhēng)或規(guī)避監(jiān)管的情形。

  第十九條? 銀行保險(xiǎn)機(jī)構(gòu)在選擇跨境外包時(shí),應(yīng)當(dāng)充分評(píng)估服務(wù)提供商所在國(guó)家或地區(qū)的政治、經(jīng)濟(jì)、社會(huì)、法律、文化等經(jīng)營(yíng)環(huán)境。涉及信息跨境存儲(chǔ)、處理和分析的,應(yīng)遵守我國(guó)有關(guān)法律法規(guī)的規(guī)定。

  第二十條? 對(duì)于關(guān)聯(lián)外包和同業(yè)外包,銀行保險(xiǎn)機(jī)構(gòu)不得降低對(duì)服務(wù)提供商的要求,嚴(yán)格防范利益沖突和利益輸送。

  第二十一條? 銀行保險(xiǎn)機(jī)構(gòu)在信息科技外包合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括但不限于:

  (一)服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)要求、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件,服務(wù)質(zhì)量考核評(píng)價(jià)約定。

  (二)合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求,對(duì)法律法規(guī)及銀行保險(xiǎn)機(jī)構(gòu)內(nèi)部管理制度的遵守要求,監(jiān)管政策的通報(bào)貫徹機(jī)制。

  (三)服務(wù)持續(xù)性要求,服務(wù)提供商的服務(wù)持續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求。

  (四)銀行保險(xiǎn)機(jī)構(gòu)對(duì)服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)、檢查和審計(jì)的權(quán)利,及服務(wù)提供商承諾接受銀保監(jiān)會(huì)對(duì)其所承擔(dān)的銀行保險(xiǎn)機(jī)構(gòu)外包服務(wù)的監(jiān)督檢查。

  (五)合同變更或終止的觸發(fā)條件,合同變更或終止的過渡安排。

  (六)外包活動(dòng)中相關(guān)信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍,對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求。

  (七)資源保障條款。

  (八)安全保密和消費(fèi)者權(quán)益保護(hù)約定,包括但不限于:禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行保險(xiǎn)機(jī)構(gòu)的信息,服務(wù)提供商不得將銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或謀取外包合同約定以外的利益。

  (九)爭(zhēng)端解決機(jī)制、違約及賠償條款,跨境外包應(yīng)明確爭(zhēng)議解決時(shí)所適用的法律及司法管轄權(quán),原則上應(yīng)當(dāng)選擇中國(guó)仲裁機(jī)構(gòu)、中國(guó)法院管轄,適用中國(guó)法律解決糾紛。

  (十)報(bào)告條款,至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。

  第二十二條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包或變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求:

  (一)不得將外包服務(wù)的主要業(yè)務(wù)分包;

  (二)主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé),確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議;

  (三)主服務(wù)提供商對(duì)分包服務(wù)提供商進(jìn)行監(jiān)控,并對(duì)分包服務(wù)提供商的變更履行通知或報(bào)告審批義務(wù)。

  第四章 信息科技外包監(jiān)控評(píng)價(jià)

  第二十三條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控,及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。

  第二十四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制,確保相關(guān)監(jiān)控信息和評(píng)價(jià)結(jié)果的真實(shí)性和完整性,且數(shù)據(jù)至少保存到服務(wù)結(jié)束后三年。

  第二十五條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息科技外包服務(wù)建立服務(wù)效能和質(zhì)量監(jiān)控指標(biāo),并進(jìn)行相應(yīng)監(jiān)控。常見指標(biāo)包括:

  (一)信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率;

  (二)故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間、故障的解決時(shí)間;

  (三)服務(wù)的次數(shù)、客戶滿意度;

  (四)業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率;

  (五)外包人員工作飽和率、外包人員的考核合格率;

  (六)網(wǎng)絡(luò)和信息安全指標(biāo)、業(yè)務(wù)連續(xù)性指標(biāo)。

  第二十六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況,防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

  第二十七條? 銀行保險(xiǎn)機(jī)構(gòu)監(jiān)控到信息科技外包服務(wù)出現(xiàn)異常情況時(shí),應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施;情節(jié)嚴(yán)重或未及時(shí)糾正的,應(yīng)當(dāng)及時(shí)約談服務(wù)提供商高管人員并限期整改。對(duì)于逾期未整改的服務(wù)提供商,應(yīng)當(dāng)暫?;蛉∠浞?wù)資格,并向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

  第二十八條? 對(duì)于關(guān)聯(lián)外包,銀行保險(xiǎn)機(jī)構(gòu)董(理)事會(huì)和高級(jí)管理層應(yīng)當(dāng)推動(dòng)母公司或所屬集團(tuán)將外包服務(wù)質(zhì)量納入對(duì)服務(wù)提供商的業(yè)績(jī)?cè)u(píng)價(jià)范圍,建立外包服務(wù)重大事件問責(zé)機(jī)制。

  第二十九條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在信息科技外包服務(wù)到期前,就是否繼續(xù)外包進(jìn)行評(píng)估決策。外包服務(wù)結(jié)束時(shí),銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià),評(píng)價(jià)結(jié)果作為服務(wù)提供商后續(xù)準(zhǔn)入的重要參考依據(jù)。對(duì)具有持續(xù)性特點(diǎn)的外包服務(wù),銀行保險(xiǎn)機(jī)構(gòu)終止外包或更換服務(wù)提供商前,應(yīng)制定周密的退出和交接計(jì)劃。

  第五章 信息科技外包風(fēng)險(xiǎn)管理

  第三十條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立并持續(xù)完善風(fēng)險(xiǎn)管理制度和流程,充分識(shí)別并評(píng)估信息科技外包可能產(chǎn)生的風(fēng)險(xiǎn),包括但不限于:

  (一)科技能力喪失。過度依賴外包導(dǎo)致失去科技控制及創(chuàng)新能力,影響業(yè)務(wù)創(chuàng)新與發(fā)展。

  (二)業(yè)務(wù)中斷。支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷。

  (三)數(shù)據(jù)泄露、丟失和篡改。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)或客戶個(gè)人信息泄露、丟失和篡改。

  (四)資金損失。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊,導(dǎo)致銀行保險(xiǎn)機(jī)構(gòu)客戶資金被盜取。

  (五)服務(wù)水平下降。由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下,使得信息科技服務(wù)水平下降。

  (六)可能導(dǎo)致的戰(zhàn)略、聲譽(yù)、合規(guī)等其他風(fēng)險(xiǎn)。

  第三十一條? 針對(duì)可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù),銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)事先建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施,包括但不限于:

  (一)事先制定退出策略和供應(yīng)鏈安全保障方案,并在外包服務(wù)實(shí)施過程中持續(xù)收集服務(wù)提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷或服務(wù)質(zhì)量下降的情況;

  (二)明確措施和方法,在服務(wù)提供商服務(wù)質(zhì)量不能滿足合同要求的情況下,保障獲取其外包服務(wù)資源的優(yōu)先權(quán);

  (三)要求服務(wù)提供商提供必要的應(yīng)急和災(zāi)備資源保障,制定應(yīng)急處理預(yù)案并在預(yù)案中明確為銀行保險(xiǎn)機(jī)構(gòu)提供應(yīng)急響應(yīng)和恢復(fù)的優(yōu)先級(jí),原則上應(yīng)為最高級(jí);

  (四)組織服務(wù)提供商參與應(yīng)急計(jì)劃編制和應(yīng)急演練,至少每年在綜合性演練或?qū)m?xiàng)演練中納入一個(gè)或多個(gè)服務(wù)提供商開展一次相關(guān)演練;

  (五)考慮預(yù)先在銀行保險(xiǎn)機(jī)構(gòu)內(nèi)部配置相應(yīng)的人力資源,掌握必要的技能,以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

  第三十二條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施,包括但不限于:

  (一)對(duì)服務(wù)提供商和外包人員進(jìn)行網(wǎng)絡(luò)和信息安全教育或培訓(xùn),增強(qiáng)網(wǎng)絡(luò)和信息安全意識(shí),服務(wù)提供商應(yīng)與銀行保險(xiǎn)機(jī)構(gòu)簽訂安全保密協(xié)議,外包人員應(yīng)簽署安全保密承諾書;

  (二)明確外包活動(dòng)需要訪問或使用的信息資產(chǎn),按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問授權(quán),嚴(yán)格管控遠(yuǎn)程維護(hù)行為;

  (三)對(duì)信息系統(tǒng)開發(fā)交付物(含擁有知識(shí)產(chǎn)權(quán)的源代碼)進(jìn)行安全掃描和檢查;

  (四)對(duì)客戶信息、源代碼和文檔等敏感信息采取嚴(yán)格管控措施,對(duì)敏感信息泄露風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè);

  (五)對(duì)服務(wù)提供商所提供的模型、算法及相關(guān)信息系統(tǒng)加強(qiáng)管理,確保模型和算法遵循可解釋、可驗(yàn)證、透明、公平的原則;

  (六)定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)和信息安全評(píng)估。

  第三十三條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)識(shí)別對(duì)本機(jī)構(gòu)具有集中度風(fēng)險(xiǎn)的外包服務(wù)及其提供商,積極采用分散外包活動(dòng)、注重外包項(xiàng)目知識(shí)產(chǎn)權(quán)保護(hù)、提高自身研發(fā)運(yùn)維能力、儲(chǔ)備潛在替代服務(wù)提供商等手段,減少對(duì)個(gè)別外包服務(wù)提供商的依賴,降低集中度風(fēng)險(xiǎn)。

  第三十四條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)符合重要外包標(biāo)準(zhǔn)的非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查,原則上每三年覆蓋所有重要的非駐場(chǎng)外包服務(wù)。對(duì)具有行業(yè)集中度性質(zhì)的服務(wù)提供商,銀行保險(xiǎn)機(jī)構(gòu)可采取聯(lián)合檢查、委托檢查等形式,減少重復(fù)性工作,減輕服務(wù)提供商的檢查負(fù)擔(dān)。

  第三十五條? 銀行保險(xiǎn)機(jī)構(gòu)每年應(yīng)當(dāng)至少開展一次全面的信息科技外包風(fēng)險(xiǎn)管理評(píng)估,并向董(理)事會(huì)或高級(jí)管理層提交評(píng)估報(bào)告。

  第三十六條? 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)開展信息科技外包及其風(fēng)險(xiǎn)管理的審計(jì)工作,定期對(duì)信息科技外包活動(dòng)進(jìn)行審計(jì),至少每三年覆蓋所有重要外包。發(fā)生重大外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)。銀行保險(xiǎn)機(jī)構(gòu)應(yīng)承擔(dān)內(nèi)部審計(jì)職能和責(zé)任,內(nèi)部審計(jì)項(xiàng)目可委托母公司或同一集團(tuán)下屬子公司實(shí)施,或聘請(qǐng)獨(dú)立第三方實(shí)施。

  第六章 監(jiān)督管理

  第三十七條? 銀行保險(xiǎn)機(jī)構(gòu)開展以下信息科技外包活動(dòng)時(shí),應(yīng)當(dāng)在外包合同簽訂前二十個(gè)工作日向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)的信息科技監(jiān)管部門報(bào)告(目錄見附件):

  (一)信息科技工作整體外包;

  (二)數(shù)據(jù)中心(機(jī)房)整體外包;

  (三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的外包;

  (四)信息科技戰(zhàn)略規(guī)劃(含中長(zhǎng)期規(guī)劃)咨詢外包;

  (五)符合重要外包條件的非駐場(chǎng)外包、關(guān)聯(lián)外包和跨境外包;

  (六)其他銀保監(jiān)會(huì)認(rèn)為重要的信息科技外包。

  第三十八條? 銀行保險(xiǎn)機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生以下重大風(fēng)險(xiǎn)事件時(shí),應(yīng)當(dāng)按照相關(guān)突發(fā)事件監(jiān)管報(bào)告要求,向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告:

  (一)銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)或客戶個(gè)人信息泄露;

  (二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷;

  (三)由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問題,導(dǎo)致或可能導(dǎo)致多家銀行保險(xiǎn)機(jī)構(gòu)外包服務(wù)中斷;

  (四)重要外包服務(wù)非正常中斷、終止或其服務(wù)提供商非正常退出;

  (五)因服務(wù)提供商不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊或其他原因,造成銀行保險(xiǎn)機(jī)構(gòu)客戶重大資金損失;

  (六)發(fā)現(xiàn)重大的服務(wù)提供商違法違規(guī)事件;

  (七)銀保監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。

  相關(guān)突發(fā)事件報(bào)告要求中沒有規(guī)定的,在24小時(shí)內(nèi)向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

  第三十九條? 銀保監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)進(jìn)行獨(dú)立評(píng)估,對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查,并納入監(jiān)管綜合評(píng)價(jià)體系。對(duì)于檢查發(fā)現(xiàn)涉嫌違法事項(xiàng)的有關(guān)單位和個(gè)人,依照相關(guān)法律規(guī)定實(shí)施延伸檢查。

  第四十條? 銀保監(jiān)會(huì)及其派出機(jī)構(gòu)持續(xù)監(jiān)測(cè)銀行業(yè)保險(xiǎn)業(yè)信息科技外包風(fēng)險(xiǎn)狀況,建立行業(yè)和區(qū)域集中度風(fēng)險(xiǎn)監(jiān)測(cè)與核查機(jī)制,對(duì)重大或共性風(fēng)險(xiǎn)及時(shí)向行業(yè)發(fā)布風(fēng)險(xiǎn)提示,積極防范因信息科技外包可能引發(fā)的區(qū)域性、系統(tǒng)性風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)狀況,銀保監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求銀行保險(xiǎn)機(jī)構(gòu)與服務(wù)提供商會(huì)談,就其外包服務(wù)和風(fēng)險(xiǎn)相關(guān)的重大事項(xiàng)作出說明。

  第四十一條? 銀保監(jiān)會(huì)及其派出機(jī)構(gòu)可組織或責(zé)令銀行保險(xiǎn)機(jī)構(gòu)對(duì)承擔(dān)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包服務(wù)的服務(wù)提供商進(jìn)行現(xiàn)場(chǎng)核查,也可由銀行保險(xiǎn)機(jī)構(gòu)委托其他第三方機(jī)構(gòu)以審計(jì)的形式實(shí)施。銀保監(jiān)會(huì)建立信息共享機(jī)制,及時(shí)向行業(yè)通報(bào)現(xiàn)場(chǎng)核查情況。

  第四十二條? 對(duì)于經(jīng)監(jiān)管評(píng)估、監(jiān)督檢查或現(xiàn)場(chǎng)核查風(fēng)險(xiǎn)較高的信息科技外包服務(wù),銀保監(jiān)會(huì)及其派出機(jī)構(gòu)可以對(duì)銀行保險(xiǎn)機(jī)構(gòu)采取風(fēng)險(xiǎn)提示、約見談話、監(jiān)管質(zhì)詢、要求暫緩和停止相關(guān)外包活動(dòng)等措施。對(duì)具有重大違法違規(guī)情形的服務(wù)提供商,銀保監(jiān)會(huì)可通報(bào)行業(yè),必要時(shí)將有關(guān)情況移交司法機(jī)關(guān)。

  第四十三條? 銀行保險(xiǎn)機(jī)構(gòu)違反本辦法要求的,銀保監(jiān)會(huì)及其派出機(jī)構(gòu)依法予以糾正,并視情況予以問責(zé)或處罰。

  第七章 附則

  第四十四條? 本辦法所稱關(guān)聯(lián)外包,是指銀行保險(xiǎn)機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)作為服務(wù)提供商,為其提供信息科技外包服務(wù)的行為。

  同業(yè)外包,是指依法設(shè)立的由銀保監(jiān)會(huì)監(jiān)管的銀行保險(xiǎn)機(jī)構(gòu)為其他同行業(yè)金融機(jī)構(gòu)提供外包服務(wù)的行為。

  跨境外包,是指服務(wù)提供商在境外其他國(guó)家或地區(qū)實(shí)施信息科技外包服務(wù)的行為。

  非駐場(chǎng)外包,是指服務(wù)提供商不在銀行保險(xiǎn)機(jī)構(gòu)場(chǎng)所提供服務(wù)的外包形式。

  重要數(shù)據(jù),包括但不限于客戶資料、交易數(shù)據(jù)、商業(yè)秘密等,參見國(guó)家法律法規(guī)和國(guó)家標(biāo)準(zhǔn)對(duì)重要數(shù)據(jù)的相關(guān)定義。

  客戶個(gè)人信息和敏感信息,參見國(guó)家法律法規(guī)和國(guó)家標(biāo)準(zhǔn)對(duì)個(gè)人信息的相關(guān)定義。

  第四十五條? 本辦法由銀保監(jiān)會(huì)負(fù)責(zé)解釋和修訂。

  第四十六條? 本辦法自公布之日起施行?!躲y行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》(銀監(jiān)發(fā)〔2013〕5號(hào))、《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包風(fēng)險(xiǎn)管理的通知》(銀監(jiān)辦發(fā)〔2014〕187號(hào))、《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開展銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包監(jiān)管評(píng)估工作的通知》(銀監(jiān)辦發(fā)〔2014〕272號(hào))同時(shí)廢止。

  附件:

  1.銀行保險(xiǎn)機(jī)構(gòu)信息科技外包監(jiān)管報(bào)告材料目錄

  2.信息科技外包服務(wù)類型參考

  附件1

  銀行保險(xiǎn)機(jī)構(gòu)信息科技外包監(jiān)管報(bào)告

  材料目錄

  一、外包服務(wù)基本情況,包括:

  1. 外包服務(wù)名稱;

  2. 外包服務(wù)類型:咨詢規(guī)劃類、開發(fā)測(cè)試類、運(yùn)行維護(hù)類、安全服務(wù)類、業(yè)務(wù)支持類等;

  3. 外包服務(wù)的主要內(nèi)容;

  4. 實(shí)施方式:駐場(chǎng)外包、非駐場(chǎng)外包;

  5. 影響的業(yè)務(wù)類型:渠道管理類、客戶管理類、產(chǎn)品管理類、財(cái)務(wù)管理類、決策支持類、共享支持類等;

  6. 外包服務(wù)起止時(shí)間。

  二、服務(wù)提供商基本情況,包括:

  1. 服務(wù)提供商全稱、國(guó)別;

  2. 盡職調(diào)查報(bào)告;

  3. 法人代表;

  4. 注冊(cè)資本;

  5. 上級(jí)機(jī)構(gòu)/母機(jī)構(gòu);

  6. 成立時(shí)間;

  7. 企業(yè)性質(zhì);

  8. 統(tǒng)一社會(huì)信用代碼。

  三、外包風(fēng)險(xiǎn)評(píng)估報(bào)告。

  銀保監(jiān)會(huì)規(guī)定的其他材料。

  附件2

  信息科技外包服務(wù)類型參考

  咨詢規(guī)劃類。包括但不限于:信息科技戰(zhàn)略規(guī)劃(含中長(zhǎng)期規(guī)劃)咨詢,數(shù)據(jù)中心(機(jī)房)整體建設(shè)咨詢和規(guī)劃,信息科技治理(含數(shù)據(jù)治理)、信息科技風(fēng)險(xiǎn)管理體系、信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系等管理類咨詢和規(guī)劃,重要信息系統(tǒng)架構(gòu)和建設(shè)相關(guān)的咨詢和規(guī)劃,新興技術(shù)應(yīng)用咨詢和規(guī)劃。

  開發(fā)測(cè)試類。包括但不限于:軟硬件開發(fā)和測(cè)試外包(含人力外包),軟件即服務(wù)形式的外包。

  運(yùn)行維護(hù)類。包括但不限于:數(shù)據(jù)中心(機(jī)房)物理環(huán)境的托管或運(yùn)行維護(hù),軟硬件基礎(chǔ)設(shè)施托管或運(yùn)行維護(hù),應(yīng)用系統(tǒng)運(yùn)行維護(hù),電子機(jī)具運(yùn)行維護(hù),終端等辦公設(shè)備的運(yùn)行維護(hù),以及涉及以上運(yùn)行維護(hù)的人力外包。

  安全服務(wù)類。包括但不限于:安全運(yùn)營(yíng)服務(wù),安全加固服務(wù),安全設(shè)備運(yùn)行維護(hù),安全日志處理與分析,安全測(cè)試服務(wù),密鑰管理及運(yùn)行維護(hù),數(shù)據(jù)安全服務(wù),以及涉及以上服務(wù)的人力外包。

  業(yè)務(wù)支持類。包括但不限于:市場(chǎng)拓展、業(yè)務(wù)運(yùn)營(yíng)(集中作業(yè)、呼叫中心等)、企業(yè)管理、資產(chǎn)處置、數(shù)據(jù)處理、數(shù)據(jù)利用等業(yè)務(wù)外包或第三方合作當(dāng)中涉及銀行保險(xiǎn)機(jī)構(gòu)的重要數(shù)據(jù)或客戶個(gè)人信息處理的信息科技活動(dòng),法律法規(guī)另有要求的除外。


點(diǎn)贊()
上一條:中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知2022-01-25
下一條:沒有了

相關(guān)稿件

中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)非銀行金融機(jī)構(gòu)行政許可事項(xiàng)申請(qǐng)材料目錄及格式要求的通知 2021-07-20
中國(guó)銀保監(jiān)會(huì)關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)消費(fèi)者權(quán)益保護(hù)監(jiān)管評(píng)價(jià)辦法的通知 2021-07-22
中國(guó)銀保監(jiān)會(huì)關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)大股東行為監(jiān)管辦法(試行)的通知 2021-10-20
中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于精簡(jiǎn)保險(xiǎn)資產(chǎn)管理公司監(jiān)管報(bào)告事項(xiàng)的通知 2021-12-28
中國(guó)銀保監(jiān)會(huì)辦公廳關(guān)于進(jìn)一步規(guī)范保險(xiǎn)機(jī)構(gòu)互聯(lián)網(wǎng)人身保險(xiǎn)業(yè)務(wù)有關(guān)事項(xiàng)的通知 2021-10-26
國(guó)務(wù)院國(guó)有資產(chǎn)管理委員會(huì) 中國(guó)企業(yè)聯(lián)合會(huì) 中國(guó)企業(yè)報(bào) 中國(guó)社會(huì)經(jīng)濟(jì)網(wǎng) 中國(guó)國(guó)際電子商務(wù)網(wǎng) 新浪財(cái)經(jīng) 鳳凰財(cái)經(jīng) 中國(guó)報(bào)告基地 企業(yè)社會(huì)責(zé)任中國(guó)網(wǎng) 杭州網(wǎng) 中國(guó)產(chǎn)經(jīng)新聞網(wǎng) 環(huán)球企業(yè)家 華北新聞網(wǎng) 和諧中國(guó)網(wǎng) 天機(jī)網(wǎng) 中貿(mào)網(wǎng) 湖南經(jīng)濟(jì)新聞網(wǎng) 翼牛網(wǎng) 東莞二手房 中國(guó)經(jīng)濟(jì)網(wǎng) 中國(guó)企業(yè)網(wǎng)黃金展位頻道 硅谷網(wǎng) 東方經(jīng)濟(jì)網(wǎng) 華訊財(cái)經(jīng) 網(wǎng)站目錄 全景網(wǎng) 中南網(wǎng) 美通社 大佳網(wǎng) 火爆網(wǎng) 跨考研招網(wǎng) 當(dāng)代金融家雜志 借貸撮合網(wǎng) 大公財(cái)經(jīng) 誠(chéng)搜網(wǎng) 中國(guó)鋼鐵現(xiàn)貨網(wǎng) 證券之星 融易在線 2014世界杯 中華魂網(wǎng) 納稅人俱樂部 慧業(yè)網(wǎng) 商界網(wǎng) 品牌家 中國(guó)國(guó)資報(bào)道 金融界 中國(guó)農(nóng)業(yè)新聞網(wǎng) 中國(guó)招商聯(lián)盟 和訊股票 經(jīng)濟(jì)網(wǎng) 中國(guó)數(shù)據(jù)分析行業(yè)網(wǎng) 中國(guó)報(bào)道網(wǎng) 九州新聞網(wǎng) 投資界 北京科技創(chuàng)新企業(yè)誠(chéng)信聯(lián)盟網(wǎng) 中國(guó)白銀網(wǎng) 炣燃科技 中企媒資網(wǎng) 中國(guó)石油化工集團(tuán) 中國(guó)保利集團(tuán)公司 東風(fēng)汽車公司 中國(guó)化工集團(tuán)公司 中國(guó)電信集團(tuán)公司 華為技術(shù)有限公司 廈門銀鷺食品有限公司 中國(guó)恒天集團(tuán)有限公司 濱州東方地毯集團(tuán)有限公司 大唐電信科技股份有限公司 中國(guó)誠(chéng)通控股集團(tuán)有限公司 喜來健醫(yī)療器械有限公司 中國(guó)能源建設(shè)股份有限公司 內(nèi)蒙古伊利實(shí)業(yè)集團(tuán)股份有限公司 中國(guó)移動(dòng)通信集團(tuán)公司 中國(guó)化工集團(tuán)公司 貴州茅臺(tái)酒股份有限公司