银行业金融机构信息科技外包风险监管指引-正式发文版.pdfVIP

银行业金融机构信息科技外包风险监管指 引-正式发文版 关建字摘要：服务提供商，银行业，金融机构，应当，信息，科技，外包，风险，机构， 进行 竭诚为您提供优质文档，本文已整理修正，内容完整 29 共 页，请先行预览，如有帮助感谢下载支持 *****高品质PDF ，可编辑可打印可自行转换***** 第一条 为规范银行业金融机构的信息科技外包活动，降 低信息科技外包引发的风险，保持信息科技核心能力，促进银行 业信息科技健康有序发展，根据《中华人民共和国银行业监督管 理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。 第二条 在中华人民共和国境内设立的政策性银行、商业 银行、农村合作银行、省（自治区）农村信用社联合社适用本指 引。中国银行业监督管理委员会（以下简称中国银监会）监管的 其他金融机构参照本指引执行。 第三条 本指引所称信息科技外包是指银行业金融机构将 原本由自身负责处理的信息科技活动委托给服务提供商进行处 理的行为，包含项目外包、人力资源外包等形式，原则上包括以 下类型： （一）研发咨询类外包：科技管理及IT治理等咨询设计外 包，规划、需求、系统开发、测试外包； （二）系统运行维护类外包：包括数据中心（灾备中心）、 机房配套设施、网络、系统的运维外包，自助设备、POS 机等 1 远程终端及办公设备的运维外包； （三）业务外包中的信息科技活动：市场拓展、业务操作、 企业管理、资产处置等外包中的系统开发、运行维护和数据处理 活动； 第四条 本指引所称关联外包指服务提供商为银行业金融 机构的母公司或其所属集团子公司、关联公司或附属机构的信息 科技外包。 第五条 信息科技的外包可能产生如下风险，并导致银行 业金融机构的战略、声誉、合规风险： （一）科技能力丧失：银行业金融机构过度依赖外部资源 导致失去科技创新及控制能力，影响业务创新与发展； （二）业务中断：支持业务运营的外包服务无法持续提供 导致业务中断； （三）信息泄露：包含客户信息在内的银行非公开数据被 服务提供商非法获得或泄露； （四）服务水平下降：由于外包服务质量问题或内外部协 作效率低下，使得银行业金融机构信息科技服务水平下降。 第六条 本指引所称机构集中度风险是指银行业金融机构 将信息科技外包服务集中交由少量服务提供商承接而产生的风 险，该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条 本指引所称同业托管机构是指作为外包服务提供 商为其他同行业金融机构提供信息科技外包服务的银行业金融 2 机构。 第八条 银行业金融机构应当将信息科技外包管理纳入全 面风险管理体系，建立与本机构信息科技战略目标相适应的外包 管理体系，控制或降低由于外包而引发的风险。 第九条 银行业金融机构应当建立信息科技外包管理组织 架构，制定外包管理战略，定期进行外包风险评估，通过服务提 供商准入、评价、退出等手段建立及维护符合其战略目标的供应 商关系管理策略。 第十条 银行业金融机构在实施信息科技外包时应当坚持 以下原则： （四）以不妨碍核心能力建设、积极掌握关键技术为导向； （五）保持外包风险、成本和效益的平衡； （六）强调外包风险的事前控制，保持管控力度； （七）根据外包管理及技术发展趋势，持续改进外包策略 和措施。 第十一条 银行业金融机构在实施信息科技外包时，不得将 其信息科技管理责任外包。 第十二条 对于不涉及银行客户及内部信息转移的信息科技 产品采购、维保，及通讯线路租用、支付或清算系统接入等信息 科技公共基础设施服务，银行业金融机构应当充分评估其信息科 技风险，按照本指引第五章要求进行管理。 3 第十三条 银行业金融机构董事会及高级管理层应当严格落 实信息科技外包风险管理的相关职责 , 明确信息