(整理)信息科技外包风险监管指引..pdfVIP

精品文档

银行业金融机构信息科技外包风险监管指引

第一章总则

第一条为规范银行业金融机构的信息科技外包活动，降低信息科

技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共

和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农

村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管

的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由

自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含

项目外包、人力资源外包等形式。原则上包括以下类型：

（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规

划、需求、系统开发、测试外包；

（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配

套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公

设备的运维外包；

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管

理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构

的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构

的战略、声誉、合规风险：

（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去

科技控制及创新能力，影响业务创新与发展；

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务

中断；

（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据

精品文档

精品文档

被服务提供商非法获得或泄露；

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低

下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息

科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能

造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其

他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条银行业金融机构应当将信息科技外包管理纳入全面风险

管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控

制或降低由于外包而引发的风险。

第九条银行业金融机构应当建立信息科技外包管理组织架构，制

定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、

退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

第十条银行业金融机构在实施信息科技外包时应当坚持以下原

则：

（一）以不妨碍核心能力建设、积极掌握关键技术为导向；

（二）保持外包风险、成本和效益的平衡；

（三）强调外包风险的事前控制，保持管控力度；

（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。

第十一条银行业金融机构在实施信息科技外包时，不得将信息

科技管理责任外包。

第十二条对于不涉及银行客户及内部信息转移的信息科技产

品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共

基础设施服务，银行业金融机构应当充分评估其信息科技风险，按照本

指引第五章要求进行管理。

第二章外包管理组织架构

第十三条银行业金融机构董事会及高级管理层应当严格落实

信息科技外包风险管理的相关职责,明确信息科技外包风险管理的主管

精品文档

精品文档

部门，制定并审批信息科技外包战略，审议信息科技外包管理流程及制

度，督促并监控信息科技外包风险管理效果。

第十四条信息科技外包风险主管部门的主要职责包括：

（一）对外包风险进行识别、评估与风险提示；

（二）监督、评价外包管理工作，并督促外包风险管理的持续改善；

（三）向高级管理层定期汇报信息科技外包活动相关风险管理情

况；

（四）董事会或高级管理层确定的其他信息科技外包风险管理职

责。

第十