银行业金融机构信息科技外包风险管理指引(征求意见稿)

银行业金融机构银行业金融机构银行业金融机构银行业金融机构信息科技外包风险管理指引信息科技外包风险管理指引信息科技外包风险管理指引信息科技外包风险管理指引((((征求意见稿征求意见稿征求意见稿征求意见稿))))第一章第一章第一章第一章总则总则总则总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、省级农村信用社联合社、外商独资银行、中外合资银行适用本指引。中国银行业监督管理委员会（以下简称中国银监会）监管的其他金融机构参照本指引执行。第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。包括：系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等。第四条本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。第五条信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。第七条本指引所称托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。第九条银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合其战略目标的供应商关系管理策略。第十条银行业金融机构在实施信息科技外包时应当坚持以下原则：（一）以建设核心能力、掌握关键技术为导向；（二）保持外包风险、成本和效益的平衡；（三）强调外包风险的事前控制，保持管控力度；（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。第十一条银行业金融机构在实施信息科技外包时，不得将其信息科技管理责任外包。第十二条对于成熟的信息科技产品采购及通讯线路租用、支付或清算系统接入等的信息科技公共基础设施服务，银行业金融机构应当充分评估其信息科技风险，根据本指引第五章要求进行管理。第二章第二章第二章第二章外包管理组织架构外包管理组织架构外包管理组织架构外包管理组织架构第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责,制定并审批信息科技外包战略，审议信息科技外包管理流程及制度，督促并监控信息科技外包风险管理效果。第十四条银行业金融机构董事会及高级管理层应明确信息科技外包风险管理的主管部门，主管部门主要职责包括：（一）对外包风险进行识别、评估与风险提示；（二）监督、评价外包管理工作，并督促外包风险管理的持续改善；（三）向高级管理层定期汇报信息科技外包活动开展情况；（四）董事会或高级管理层确定的其他信息科技外包风险管理职责。第十五条银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队，并配备足够人员履行以下职责：（一）实施信息科技外包战略；（二）制定并执行信息科技外包管理制度与流程；（三）执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；（四）制定外包服务连续性应急管理方案，并组织实施定期演练；（五）对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理的主管部门报告外包活动情况。第三章第三章第三章第三章信息科技外包战略及风险管理信息科技外包战略及风险管理信息科技外包战略及风险管理信息科技外包战略及风险管理第一节第一节第一节第一节信息科技外包战略信息科技外包战略信息科技外包战略信息科技外包战略第十六条银行业金融机构应当以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技能为目标。基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定其信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。第十七条银行业金融机构应当根据自身的信息科技战略明确不能外包的职能。涉及计划与组织、监控与评价等管理职能不宜外包，涉及信息科技核心竞争力的职能应审慎外包。第十八条对于不宜外包但已外包的情况，银行业金融机构应当制定迁移计划，通过补充人员、提升技能、知识转移等方式，有针对性的获取或提升管理及技术能力，降低对服务提供商的依赖。第十九条银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略，通过准入和退出机制控制各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务质量，合理控制服务提供商的数量从而降低风险及管理成本等。第二十条银行业金融机构可按照外包服务性质和重要性程度对服务提供商进行分级管理，对不同级别的服务提供商采取严格程度差异化的管控措施，从而达到有效管理重要风险的前提下降低管理成本。第二十一条对于关联外包，银行业金融机构应当保持外包有关决策的独立性，要求其母公司或其所属的集团公司协同做好外包服务及服务提供商的管理工作，避免因关联关系而降低银行业金融机构对外包活动的风险控制水平。第二节第二节第二节第二节信息科技外包风险管理信息科技外包风险管理信息科技外包风险管理信息科技外包风险管理第二十二条银行业金融机构信息科技风险主管部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。第二十三条银行业金融机构应当对重要的外包服务提供商进行定期风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。第二十四条银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作，至少每三年对重要外包服务提供商进行一次全面审计。发生外包风险事件后应及时开展专项审计。第四章第四章第四章第四章信息科技外包管理信息科技外包管理信息科技外包管理信息科技外包管理第一节第一节第一节第一节外包风险评估及准入外包风险评估及准入外包风险评估及准入外包风险评估及准入第二十五条外包项目立项前，银行业金融机构应当审慎检查项目与信息科技外包战略的一致性，应当根据项目内容、范围、性质对其进行风险识别和评估，制定相应的剩余风险处置措施，确保不因外包活动的引入而增加整体剩余风险。第二十六条银行业金融机构应当根据供应商关系管理策略，结合风险评估结果及服务提供商的准入标准，对备选服务提供商进行初步筛选，防范引入高机构集中度风险特性的服务提供商、或引入剩余风险不可接受的服务提供商。第二十七条对于外包服务提供商为托管机构的情况，银行业金融机构可参照本节内容对其进行管理。第二节第二节第二节第二节服务提供商尽职调查服务提供商尽职调查服务提供商尽职调查服务提供商尽职调查第二十八条对重要的服务提供商，银行业金融机构应当深入开展尽职调查，必要时可聘请第三方机构协助调查。第二十九条银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。第三十条银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力，包括但不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具等。第三十一条银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。第三十二条对于关联外包，银行业金融机构不得因关联关系而降低对服务提供商的要求，应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平，确认其有足够能力实施外包服务、处理突发事件等。第三十三条对于外包服务提供商为托管机构的情况，银行业金融机构可参照本节内容对其进行管理。第三节第三节第三节第三节外包服务合同及要求外包服务合同及要求外包服务合同及要求外包服务合同及要求第三十四条银行业金融机构在实施外包服务项目前，应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定其详细程度和重点，并经过银行业金融机构信息科技风险主管部门和法律合规部门的审批。第三十五条银行业金融机构在合同或协议中应当明确以下内容，包括但不限于：（一）服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；（二）合规与内控要求，对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施；（三）服务连续性要求，服务提供商的业务连续性管理目标应当满足银行业金融机构业务连续性目标要求；（四）银行业金融机构监控和检查的权力，以及服务提供商配合其内、外部审计机构和监管机构开展延伸检查的责任；（五）政策或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处置等过渡期间相关服务的安排；（六）外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；（七）服务要求或服务水平条款，至少应包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准及业务连续性要求的遵守情况、技术支持水平等；（八）报告条款，至少包括如下内容：常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。第三十六条银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任，以及针对安全及保密要求需采取的具体措施，包括但不限于：（一）禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息，以防止信息被非授权的使用；（二）在合同或协议中约定服务提供商不得以银行业金融机构的名义开展活动；（三）服务提供商接触银行业金融机构信息时，需满足安全和保密相关条款的要求；（四）服务提供商在其发生信息安全事件时必须及时向银行业金融机构报告事件的影响以及处置和纠正措施。第三十七条银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：（一）不得将外包服务的主要业务分包；（二）主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议；（三）主服务提供商对分包商进行监控，并对分包商的变更履行通知或报告审批义务。第四节第四节第四节第四节外包服务安全管理外包服务安全管理外包服务安全管理外包服务安全管理第三十八条银行业金融机构应当制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险，具体措施包括：（一）对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实；（二）明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“最小使用”原则进行有