银行业自查报告.docxVIP

银行业自查报告 银行业自查报告1 为进一步强化信息科技非驻场集中式外包风险管理，保护关键基础设施和信息安全，防范信息科技外包集中度风险，根据银监办发〔X〕X号文件《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》，我行对涉及外包项目进行了自查，现将结果汇报如下： 按照通知要求，我行电子银行部和内控合规部联合行动，从外包项目的尽职调查、合同管理、安全管理、外包服务中断与终止、监督检查管理等流程环节的五个方面进行了较全面检查和风险排查。自查情况反映，该行的信息科技非驻场集中式外包项目风险管理基本落实了监管要求，无自定的信息科技非驻场集中式外包业务项目。在基础设施维护服务的外包风管方面，虽然合同由省联社签订，但我行对外包服务商尽职调查，重点放在监督检查管理方面。在近几年来开展内控工作中，外包业务检查内容涵盖非驻场集中式外包服务，有效地保护关键基础设施和信息安全。 下一步，我行将按照银监会的要求，明确管理责任，强化内部控制，建立外包风险的管理体系，健全外包管理组织架构，完善制度规范，加强对科技外包服务的全生命周期管理，制定外包应急预案，保障在突发事件情况下的运营秩序。同时，积极参与对非驻场集中式外包、业务外包等重点外包服务活动的联合检查，凝聚行业力量，整体推动外包风险防范和外包管理水平的提升。 附件1： 银行业信息科技非驻场集中式外包服务纳入监管评估 基本条件 一、申请将外包服务纳入监管评估的外包服务商应具备以下条件： (一)为中华人民共和国境内注册的独立法人实体,具有固定的办公场所，软件开发服务类企业注册资本500万（含）以上，其他企业注册资本和实收资本1000万元（含）以上，注册成立时间3年（含）以上； (二)具有良好的股权治理结构，并能有效控制外包服务中的国别风险； (三)公司治理良好，近三年财务经营状况良好； (四)为银行业金融机构提供信息科技外包服务3年（含）以上，且至少为3家（含）以上银行业金融机构提供服务； (五)社会声誉良好，近两年内未发生因管理失责引发的达到《银行业信息系统突发事件应急管理规范》中两起（含）以上信息系统突发事件、无违规行为和重大案件发生； (六)具有健全的组织架构、有效的风险治理架构和专职的信息科技风险管理团队，定期开展风险评估和审计工作； (七)具备与所承担服务范围和业务规模相适应的服务管理体系，具有较为完善的服务质量、信息安全、业务连续性、运行维护等管理体系和资质认证； (八)具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求，承担外包服务的场地应当设置在中国境内； (九)银行类机构的信息科技监管评级最近连续两年为2级（含）以上； (十)银行业科技外包合作组织会员单位优先。 二、除以上条件外，申请机房运营类外包服务纳入监管评估的外包服务商还应具备以下条件： (一)机房应具有自有产权或长期租赁机房场地5年（含）以上且剩余租赁期限不低于4年（含），机房出租方应为其所出租机房的所有权人，房屋所有权权属清晰、完整且不存在法律争议，不存在将机房关键基础设施的运维服务转包或分包的情况； (二)所服务的银行业金融机构与其他机构的基础设施间具有明确、清晰的边界； (三)机房及基础设施具有根据服务功能划分的独立区域、差异性访问控制策略和设施； (四)互为备份的不同通信运营商线路经由不同路由节点接入机房； (五)高低压供配电系统、应急发电系统、不间断电源系统、机房专用空调等基础设施设计具有冗余备份，且为不间断运行； (六)具有专业检测机构对机房的防雷接地、消防等基础设施安全检测报告或安全资质证明； (七)监控系统较完善，具有对机房环境和基础设施的集中监控能力，并可审计追溯； (八)机房满足银监会《商业银行数据中心监管指引》要求。 三、申请应用系统托管类外包服务纳入监管评估的外包服务商，除满足第一条、第二条（二）至（八）项规定的条件外，还应具备以下条件： (一) 提供外包服务的机房具有自有产权或长期租赁机房场地5年（含）以上； (二)对重要信息系统拥有自主知识产权或依法取得许可使用权且许可使用期限不少于外包服务期； (三)计算机和网络等硬件设备满足应用系统安全性、可靠性和运行效率的需要； (四)具备自主研发及运维能力，配备与服务相适应的研发管理、运维管理、质量管理、安全管理及客服队伍； (五)所服务的银行业金融机构与其他机构之间的设施、系统物理隔离；对所服务的银行业金融机构间的设施、系统和数据具有明确、清晰的边界，至少满足相互之间逻辑分离的要求； (六)对客户信息等敏感数据的访问、使用、销毁具备有3效的安全管理措施，能够保障银行业金融机构对自身数据的访问和控制能力； (七)具备较完善的系统用户管理和访问控制机制，满足最小授权的原则，保障信息系统的完整性和可用性；