银行业金融机构信息技外包风险监管指引-正式发文版.docVIP

银行业金融机构 信息科技外包风险监管指引 总则 为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。中国银行业监督管理委员会（以下简称中国银监会） 为降低外包突发事件的可能性及影响，银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施，包括但不限于以下内容： 在外包服务实施的过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断的情况； 与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权； 要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员； 对于涉及重要业务的外包服务，银行业金融机构需考虑预先在其内部配置相应的人力资源，掌握必要的技能，以在外包服务中断期间自行维持最低限度的服务能力。 银行业金融机构应当针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，应考虑的因素包括但不限于以下内容： 事件场景，如重要人员流失导致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等； 事件持续时间和恢复可能性； 事件影响范围和可能的应急措施； 服务提供商自行恢复服务的可能性和时间； 备选的服务提供商以及外包服务迁移方案； 外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。 对于无法满足外包服务要求或发生重大事件的情况，银行业金融机构应当在充分评估其影响及制定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。对于关联外包，银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。 机构集中度风险管理 银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比，服务提供商所承接外包服务在银行业服务市场占比情况，识别具有机构集中度特点的外包服务提供商。同时，还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。 银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式，降低机构集中度，减少对外包服务提供商的依赖。 银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据，证明其内部控制和管理能力、持续运营能力等。 银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源，包括服务团队、场地、系统、设备等；并对资源进行定期检查，确保资源及时到位。 银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中，明确外包服务的优先级，并进行服务中断应急演练，服务提供商应至少参与服务交接、敏感信息处置等演练过程。 银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况持续监控，建立信息收集机制，及时掌握风险事件情况，防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。 银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度，必要时可指派专人进行现场监督。 对于具有机构集中度特点的外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行外包管理。 跨境及非驻场外包管理 跨境外包风险管理 跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。 跨境外包除具有本指引前述风险外，还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险，及由于外包实施场地远离银行业金融机构而产生的非驻场风险。 银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区的经济、政治、社会状况，通过建立应急预案、服务持续性计划防范跨境外包所带来的国别风险。 银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能的影响。实施跨境外包时，不应妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构的延伸检查。 银行业金融机构在选择跨境外包时，应当明确其所在国家或地区监管当局已与中国银监会签订谅解备忘录或双方认可的其他约定。 银行业金融机构在实施跨境外包时，其合同应当包括法律选择和司法管辖权的约定，明确争议解决时所适用的法律及司法管辖权，原则上应当要求服务提供商依照中国的法律解决纠纷。 银行业金融机构在开展跨境外包时，应当充分审查评估服务提供商保护客户信息的能力，并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应在符合监管法