银行业金融机构信息科技外包风险监管指引[整理].pdfVIP

中国银行业监督管理委员会 银监发[2013]5号 中国银监会关于印发银行业金融机构信息科技外 包风险监管指引的通知 各银监局，各政策性银行、国有商业银行、股份制商业银行、金融 资产管理公司，邮储银行，各省级农村信用联社，银监会直接监 管的信托公司、 业集团财务公司、金融租赁公司： 现将《银行业金融机构信息科技外包风险监管指引》印发给 你们，请遵照执行。 2013 年2 月16 日 银行业金融机构信息科技外包风险监管指引 第一章 总则 一一一 为规范银行业金融机构的信息科技外包活动，降 低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、 《中华人民共和国商业银行法》等法律法规，制定本指引。 一一一 在中华人民共和国境内设立的政策性银行、商业 银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。 银监会监管的其他金融机构参照本指引执行。 一一一 本指引所称信息科技外包是指银行业金融机构将 原本由自身负责处理的信息科技活动委托给服务提供商进行处 理的行为，包含项目外包、人力资源外包等形式。原则上包括以 下类型： 一一一 研发咨询类外包：科技管理及科技治理等咨询设计 外包，规划、需求、系统开发、测试外包； 一一一 系统运行维护类外包：包括数据中心（灾备中心）、 机房配套设施、网络、系统的运维外包，自助设备、POS 机等远 程终端及办公设备的运维外包； 一一一 业务外包中的信息科技活动：市场拓展、业务操作、 业管理、资产处置等外包中的系统开发、运行维护和数据处理 活动。 一一一 本指引所称关联外包是指服务提供商为银行业金 融机构的母公司或其所属集团子公司、关联公司或附属机构提供 信息科技外包。 一一一 信息科技外包可能产生如下风险，并导致银行业 金融机构的战略、声誉、合规风险： 一一一 科技能力丧失：银行业金融机构过度依赖外部资源 导致失去科技控制及创新能力，影响业务创新与发展； 一一一 业务中断：支持业务运营的外包服务无法持续提供 导致业务中断； 一一一 信息泄露：包含客户信息在内的银行业金融机构非 公开数据被服务提供商非法获得或泄露； 一一一 服务水平下降：由于外包服务质量问题或内外部协 作效率低下，使得银行业金融机构信息科技服务水平下降。 一一一 本指引所称机构集中度风险是指银行业金融机构 将信息科技外包服务集中交由少量服务提供商承接而产生的风 险，该风险可能造成集中性的服务中断、质量下降、安全事件等。 一一一 本指引所称同业托管机构是指作为外包服务提供 商为其他同行业金融机构提供信息科技外包服务的银行业金融 机构。 一一一 银行业金融机构应当将信息科技外包管理纳入全 面风险管理体系，建立与本机构信息科技战略目标相适应的外包 管理体系，控制或降低由于外包而引发的风险。 一一一 银行业金融机构应当建立信息科技外包管理组织 架构，制定外包管理战略，定期进行外包风险评估，通过服务提 供商准入、评价、退出等手段建立及维护符合自身战略目标的供 应商关系管理策略。 一一一 银行业金融机构在实施信息科技外包时应当坚持 以下原则： 一一一 以不妨碍核心能力建设、积极掌握关键技术为导向； 一一一 保持外包风险、成本和效益的平衡； 一一一 强调外包风险的事前控制，保持管控力度； 一一一 根据外包管理及技术发展趋势，持续改进外包策略 和措施。 一一一一 银行业金融机构在实施信息科技外包时，不得将 信息科技管理责任外包。 一一一一 对于不涉及银行客户及