1、国家开发银行IT外包专项审计风险与控制清单组组织织环环境境层层面面1 1ITIT外外包包组组织织环环境境管管理理1.1IT外包战略及规划1.2IT外包制度与流程1.3IT外包组织架构1.4IT外包风险管理1.5流程创新与改进1.6IT外包成熟度管理1.7IT外包外部监管外外包包流流程程层层面面2 2ITIT外外包包采采购购管管理理3 3ITIT外外包包项项目目管管理理4 4交交付付管管理理5 5财财务务管管理理2.1准入管理3.1IT外包项目实施生命周期管理4.1IT外包项目验收及交付质量管理5.1预算管理2.2采购需求管理3.2IT外包项目计划4.2IT外包项目后评估管理2.3选择与尽职调查
2、3.3IT外包项目审阅与监控4.3IT供应商评价2.4合同与SLA签订操操作作管管理理层层面面6 6安安全全管管理理7 7日日常常管管理理8 8重重要要供供应应商商管管理理6.1物理安全7.1IT外包资产管理8.1高集中度供应商管理6.2数据安全7.2IT外包人员管理8.2行业重点供应商管理6.3逻辑访问控制7.3供方管理8.3重要非驻场及跨境供应商管理6.4公共媒介安全7.4问题管理与根源分析6.5通讯及操作安全7.5服务连续性管理6.6业务连续性管理流流程程风风险险法法律律合合规规战战略略风风险险操操作作风风险险一一级级领领域域二二级级领领域域违违反反法法律律或或监监管管要要求求违违背背I
3、TIT战战略略信信息息泄泄露露IT外包组织环境管理IT外包战略及规划IT外包制度与流程IT外包组织架构IT外包风险管理流程创新与改进IT外包成熟度管理IT外包外部监管IT外包采购管理准入管理采购需求管理选择与尽职调查合同与SLA签订IT外包项目管理IT外包项目实施生命周期管理IT外包项目计划IT外包项目审阅与监控交付管理IT外包项目验收及交付质量管理IT外包项目后评估管理IT供应商评价财务管理预算管理安全管理物理安全数据安全逻辑访问控制公共媒介安全通讯及操作安全业务连续性管理日常管理IT外包资产管理IT外包人员管理供方管理问题管理与根源分析服务连续性管理重要供应商管理高集中度供应商管理行业重点
4、供应商管理重要非驻场及跨境供应商管理风风险险控控制制牵牵头头方方声声誉誉风风险险国国别别风风险险管管理理有有效效性性降降低低行行员员技技术术水水平平下下降降外外包包服服务务中中断断供供应应商商依依赖赖声声誉誉损损失失国国别别风风险险外外包包管管理理室室/运运行行调调度度室室风风险险操操作作风风险险安安全全内内控控室室安安全全管管理理室室综综合合管管理理室室预预算算管管理理相相关关部部室室项项目目实实施施团团队队风风险险控控制制牵牵头头方方银银行行业业金金融融机机构构信信息息科科技技外外包包风风险险管管理理指指引引风风险险控控制制矩矩阵阵中中的的相相应应控控制制条条款款编编号号内内容容第第一一章
5、章 总总则则第一条 为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,制定本指引。不适用不适用第二条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。不适用不适用第三条 本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式,原则上包括以下类型:不适用不适用(一)研发咨询类外包:科技管理及科技治理
6、等咨询设计外包,规划、需求、系统开发、测试外包;不适用不适用(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;不适用不适用(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。不适用不适用第四条 本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构信息科技外包。不适用不适用第五条 信息科技的外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险:不适用不适用(一)科技能力丧失:银行业金融机构过度依
7、赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;不适用不适用(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;不适用不适用(三)信息泄露:包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;不适用不适用(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。不适用不适用第六条 本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。不适用不适用第七条 本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融
8、机构提供信息科技外包服务的银行业金融机构。不适用不适用第八条 银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。1.1.1.1应建立明确的IT外包管理战略,将外包管理纳入全面风险管理体系第九条 银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合其战略目标的供应商关系管理策略。对照风险控制模型对照风险控制模型第十条 银行业金融机构在实施信息科技外包时应当坚持以下原则:1.1.1.3IT外包战略的制定应包括如下内容:(1)
9、建立选择和实施战略的方针,确定指导外包行为的总则(2)建立外包战略长期目标和短期目标-盈利能力、财力资源、产品、研究与创新、组织结构与活动等(3)决定用以实现外包目标的战略,明确外包管理原则,确保风险、成本和效益的平衡,明确外包边界,掌握核心技术的发展趋势(一)以不妨碍核心能力建设、积极掌握关键技术为导向;1.1.1.3IT外包战略的制定应包括如下内容:(1)建立选择和实施战略的方针,确定指导外包行为的总则(2)建立外包战略长期目标和短期目标-盈利能力、财力资源、产品、研究与创新、组织结构与活动等(3)决定用以实现外包目标的战略,明确外包管理原则,确保风险、成本和效益的平衡,明确外包边界,掌握
10、核心技术的发展趋势(二)保持外包风险、成本和效益的平衡;1.1.1.3IT外包战略的制定应包括如下内容:(1)建立选择和实施战略的方针,确定指导外包行为的总则(2)建立外包战略长期目标和短期目标-盈利能力、财力资源、产品、研究与创新、组织结构与活动等(3)决定用以实现外包目标的战略,明确外包管理原则,确保风险、成本和效益的平衡,明确外包边界,掌握核心技术的发展趋势(三)强调外包风险的事前控制,保持管控力度;1.1.1.3IT外包战略的制定应包括如下内容:(1)建立选择和实施战略的方针,确定指导外包行为的总则(2)建立外包战略长期目标和短期目标-盈利能力、财力资源、产品、研究与创新、组织结构与活
11、动等(3)决定用以实现外包目标的战略,明确外包管理原则,确保风险、成本和效益的平衡,明确外包边界,掌握核心技术的发展趋势(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。1.1.1.3IT外包战略的制定应包括如下内容:(1)建立选择和实施战略的方针,确定指导外包行为的总则(2)建立外包战略长期目标和短期目标-盈利能力、财力资源、产品、研究与创新、组织结构与活动等(3)决定用以实现外包目标的战略,明确外包管理原则,确保风险、成本和效益的平衡,明确外包边界,掌握核心技术的发展趋势第十一条 银行业金融机构在实施信息科技外包时,不得将其信息科技管理责任外包。1.1.1.4应在外包战略中明确外包
12、边界,不将信息科技管理责任外包第十二条 对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。8.1高集中度供应商管理第第二二章章 外外包包管管理理组组织织架架构构第十三条 银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责,明确信息科技外包风险管理的主管部门,制定并审批信息科技外包战略,审议信息科技外包管理流程及制度,督促并监控信息科技外包风险管理效果。1.3.1.1应建立相应制度,对IT外包管理组织进行规定,包括但不限于如下内容:
13、1.IT外包管理架构2.管理角色与具体职责分工3.性能审阅后采取的行动的监控4.与管理层针对IT外包管理的沟通和时间升级方式5.架构变更流程第十四条 信息科技外包风险主管部门的主要职责包括:1.3.1.3信息科技外包风险主管部门的主要职责包括对外包风险进行识别、评估、处置、监控和报告(一)对外包风险进行识别、评估与风险提示;1.3.1.3信息科技外包风险主管部门的主要职责包括对外包风险进行识别、评估、处置、监控和报告(二)监督、评价外包管理工作,并督促外包风险管理的持续改善;1.3.1.3信息科技外包风险主管部门的主要职责包括对外包风险进行识别、评估、处置、监控和报告(三)向高级管理层定期汇报
14、信息科技外包活动开展相关风险管理情况;1.3.1.3信息科技外包风险主管部门的主要职责包括对外包风险进行识别、评估、处置、监控和报告(四)董事会或高级管理层确定的其他信息科技外包风险管理职责。1.3.1.3信息科技外包风险主管部门的主要职责包括对外包风险进行识别、评估、处置、监控和报告第十五条 银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队,并配备足够人员履行以下职责:1.3.1.1应建立外包管理部门,对IT外包管理组织进行规定,包括但不限于如下内容:1.IT外包管理架构2.管理角色与具体职责分工3.性能审阅后采取的行动的监控4.与管理层针对IT外
15、包管理的沟通和时间升级方式5.架构变更流程(一)实施信息科技外包战略;1.1.1.1应建立明确的IT外包管理战略,将外包管理纳入全面风险管理体系(二)制定并执行信息科技外包管理制度与流程;1.2.2.1应建立正式的制度,包括但不限于如下内容:1.针对新流程的指引 -审阅与批准规则 -沟通与发布规则2.针对已有流程的维护的指引 -变更管理规则 -定制及客户化流程(根据项目种类不同)3.针对流程中生成物的保管及相应的访问控制机制的指引(三)执行供应商准入、评价、退出管理,建立并维护供应商关系管理策略;247.3IT外包采购管理交付管理供方管理(四)制定保障外包服务持续性的应急管理方案,并组织实施定
16、期演练;7.5服务连续性管理(五)对外包过程中的各项管理活动进行监控及分析,定期向信息科技及外包风险管理的主管部门报告外包活动情况。3.3IT外包项目审阅与监控第第三三章章 信信息息科科技技外外包包战战略略及及风风险险管管理理第第一一节节 信信息息科科技技外外包包战战略略第十六条 银行业金融机构应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标。基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。1.1.1.1应建立明确的IT外包管理战略第十七条 银行业金融机构
17、应当根据自身的信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。1.1.1.4应在外包战略中明确外包边界,不将信息科技管理责任外包第十八条 银行业金融机构应当根据外包战略制定资源、能力建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升管理及技术能力,降低对服务提供商的依赖。1.1.1.3IT外包战略的制定应包括如下内容:(1)建立选择和实施战略的方针,确定指导外包行为的总则(2)建立外包战略长期目标和短期目标-盈利能力、财力资源、产品、研究与创新、组织结构与活动等(3)决定用以实现外包目标的战略,明确外包管理原则,确
18、保风险、成本和效益的平衡,掌握核心技术的发展趋势(4)加强自身能力建设,降低对供应商的依赖第十九条 银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量,实现以下目标:防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购成本的同时提高服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。7.3.1.1应建立供应商关系管理策略,明确角色与职责,对不同关系的供应商进行有重点的管控,降低管理成本,加强风险管控第二十条 银行业金融机构可按照外包服务性质和重要性程度对服务提供商进行分级管理,对不同级别的服务提供商采取差异化
19、的管控措施,在有效管理重要风险的前提下降低管理成本。7.3.1.12应针对不同关系的供应商建立不同的应用实例,区分风险管控力度和方法,从而提高管理效率第二十一条 银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作,但应当保持管理外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平。1.1.1.5应在外包战略中考虑分行及子公司的相关外包,制定整体战略,保持分行及子公司管理外包有关决策的独立性,避免因关联关系而降低外包活动的风险控制水平第第二二节节 信信息息科科技技外外包包风风险险管管理理第二十二条 银行业金融机构信息科技外包风险主管部门应当至少每年开展一次全面的
20、外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。1.4.1.11应当至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告第二十三条 银行业金融机构应当对重要的外包服务提供商进行定期风险评估,保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括:服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。1.4.1.10定期审阅供应商的风险控制矩阵,对重要的外包服务提供商进行定期风险
21、评估,三年内覆盖所有供应商第二十四条 银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应及时开展专项审计。1.4.1.12内部审计部门应当定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应及时开展专项审计第第四四章章 信信息息科科技技外外包包管管理理第第一一节节 外外包包风风险险评评估估及及准准入入第二十五条 外包项目立项前,银行业金融机构应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处置措施,
22、不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。2.3.1.1 外包项目立项前,应当审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处置措施,不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。第二十六条 银行业金融机构应当根据供应商关系管理策略,结合风险评估结果及服务提供商的准入标准,对备选服务提供商进行初步筛选,防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。2.1准入管理第二十七条 对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理
23、。2.1.1.4同业托管供应商准入管理与其他供应商保持一致第第二二节节 服服务务提提供供商商尽尽职职调调查查第二十八条 对重要的服务提供商,银行业金融机构在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。2.3.5.1应对重要供应商进行背景调查,必要时可聘请第三方机构协助调查;如果有需要,确定对特殊业务涉及的外包人员进行了额外的背景调查;在尽职调查时应当关注供应商的技术和行业经验、内部控制和管理能力、持续经营状况第二十九条 银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验,包括但不限于:服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。2.3.5
24、.1应对重要供应商进行背景调查,必要时可聘请第三方机构协助调查;如果有需要,确定对特殊业务涉及的外包人员进行了额外的背景调查;在尽职调查时应当关注供应商的技术和行业经验、内部控制和管理能力、持续经营状况第三十条 银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力,包括但不限于:内部控制机制和管理流程的完善程度、内部控制技术和工具等。2.3.5.1应对重要供应商进行背景调查,必要时可聘请第三方机构协助调查;如果有需要,确定对特殊业务涉及的外包人员进行了额外的背景调查;在尽职调查时应当关注供应商的技术和行业经验、内部控制和管理能力、持续经营状况第三十一条 银行业金融机构在尽职调查时应
25、当关注服务提供商的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。2.3.5.1应对重要供应商进行背景调查,必要时可聘请第三方机构协助调查;如果有需要,确定对特殊业务涉及的外包人员进行了额外的背景调查;在尽职调查时应当关注供应商的技术和行业经验、内部控制和管理能力、持续经营状况第三十二条 对于关联外包,银行业金融机构不得因关联关系而降低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包服务、处理突发事件等。2.3.5.2对于关联外包,不得因关联关系而降低对供应商的要求,应当在尽职调查阶段详细分析服务提供
26、商技术、内控和管理水平,确认其有足够能力实施外包服务、处理突发事件等第三十三条 对于外包服务提供商为同业托管机构的情况,银行业金融机构可参照本节内容对其进行管理。2.3.5.2对于关联外包或同业托管,不得因关联关系而降低对供应商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包服务、处理突发事件等第第三三节节 外外包包服服务务合合同同及及要要求求第三十四条 银行业金融机构在实施外包服务项目前,应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定其详细程度和重点。2.4.1.1应建立签订合同及定期审阅逾期合同、续期合同、补充合
27、同,并上报给管理层的管理机制第三十五条 银行业金融机构在合同或协议中应当明确以下内容,包括但不限于:2.4合同与SLA签订(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;2.4.2.2合同主文件中应包含如下基本内容:(1)外包服务的范围和标准;(2)外包服务的保密性和安全性的安排;(3)外包服务的业务连续性的安排;(4)外包服务的审计和检查;(5)外包争端的解决机制;(6)合同或协议变更或终止的过渡安排;(7)违约责任;(8)对于具有专业技术性的外包活动,可签订服务水平协议。(二)合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管
28、政策的通报贯彻机制、服务提供商的内控措施;2.4.2.2合同主文件中应包含如下基本内容:(1)外包服务的范围和标准;(2)外包服务的保密性和安全性的安排;(3)外包服务的业务连续性的安排;(4)外包服务的审计和检查;(5)外包争端的解决机制;(6)合同或协议变更或终止的过渡安排;(7)违约责任;(8)对于具有专业技术性的外包活动,可签订服务水平协议。(三)服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;2.4.2.2合同主文件中应包含如下基本内容:(1)外包服务的范围和标准;(2)外包服务的保密性和安全性的安排;(3)外包服务的业务连续性的安排;(4)外
29、包服务的审计和检查;(5)外包争端的解决机制;(6)合同或协议变更或终止的过渡安排;(7)违约责任;(8)对于具有专业技术性的外包活动,可签订服务水平协议。(四)银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;2.4.2.2合同主文件中应包含如下基本内容:(1)外包服务的范围和标准;(2)外包服务的保密性和安全性的安排;(3)外包服务的业务连续性的安排;(4)外包服务的审计和检查;(5)外包争端的解决机制;(6)合同或协议变更或终止的过渡安排;(7)违约责任;(8)对于具有专业技术性的外包活动,可签订服务水平协议。(五)政策或环境变化
30、因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排;2.4.1.2应建立合同变更的流程与制度,包括但不限于补充合同模板(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;2.4.2.7合同中应对知识转移及知识产权的管理进行规定(七)服务要求或服务水平条款,至少应包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;2.4.2.2合
31、同主文件中应包含如下基本内容:(1)外包服务的范围和标准;(2)外包服务的保密性和安全性的安排;(3)外包服务的业务连续性的安排;(4)外包服务的审计和检查;(5)外包争端的解决机制;(6)合同或协议变更或终止的过渡安排;(7)违约责任;(8)对于具有专业技术性的外包活动,可签订服务水平协议。(八)争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;2.4.2.2合同主文件中应包含如下基本内容:(1)外包服务的范围和标准;(2)外包服务的保密性和安全性的安排;(3)外包服务的业务连续性的安排;(4)外包服务的审
32、计和检查;(5)外包争端的解决机制;(6)合同或协议变更或终止的过渡安排;(7)违约责任;(8)对于具有专业技术性的外包活动,可签订服务水平协议。(九)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。2.4.2.3合同文件中应包含如下需供应商承诺的内容:(1)定期通报外包活动的有关事项;(2)及时通报外包活动的突发性事件;(3)配合银行接受银行业监督管理机构的检查;(4)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(5)不得以银行业金融机构的名义开展活动;(6)银行业金融机构认为应当承诺的其他事项。第三十六
33、条 银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施,包括但不限于:2.4.2.3合同文件中应包含如下需供应商承诺的内容:(1)定期通报外包活动的有关事项;(2)及时通报外包活动的突发性事件;(3)配合银行接受银行业监督管理机构的检查;(4)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(5)不得以银行业金融机构的名义开展活动;(6)银行业金融机构认为应当承诺的其他事项。(一)禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权的使用;2.4.2.3合同文
34、件中应包含如下需供应商承诺的内容:(1)定期通报外包活动的有关事项;(2)及时通报外包活动的突发性事件;(3)配合银行接受银行业监督管理机构的检查;(4)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(5)不得以银行业金融机构的名义开展活动;(6)银行业金融机构认为应当承诺的其他事项。(二)在合同或协议中约定服务提供商对银行客户信息安全和银行客户权力的保护条款、事故处理方式及违约赔偿条款;2.4.2.3合同文件中应包含如下需供应商承诺的内容:(1)定期通报外包活动的有关事项;(2)及时通报外包活动的突发性事件;(3)配合银行接受银行业监督管理机
35、构的检查;(4)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(5)不得以银行业金融机构的名义开展活动;(6)银行业金融机构认为应当承诺的其他事项。银银行行业业金金融融机机构构信信息息科科技技外外包包风风险险管管理理指指引引风风险险控控制制矩矩阵阵中中的的相相应应控控制制条条款款编编号号内内容容(三)在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;6.4.1.5未经授权,供应商不得以银行的名义参加其他组织举办的任何形式的会议,或为其他组织或个人提供咨询、建议等服务(四)服务提供商接触银行业金融机构信息时,需满足安全和保密相
36、关条款的要求;2.4.2.2合同主文件中应包含如下基本内容:(1)外包服务的范围和标准;(2)外包服务的保密性和安全性的安排;(3)外包服务的业务连续性的安排;(4)外包服务的审计和检查;(5)外包争端的解决机制;(6)合同或协议变更或终止的过渡安排;(7)违约责任;(8)对于具有专业技术性的外包活动,可签订服务水平协议。(五)在发生银监会规定的信息安全突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向银行业金融机构报告,包括事件的影响以及处置和纠正措施。2.4.2.3合同文件中应包含如下需供应商承诺的内容:(1)定期通报外包活动的有关事项;(2)及时通报
37、外包活动的突发性事件;(3)配合银行接受银行业监督管理机构的检查;(4)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;(5)不得以银行业金融机构的名义开展活动;(6)银行业金融机构认为应当承诺的其他事项。第三十七条 银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:2.4.2.4合同文件中应包含(1)服务提供商分包的规则;(2)分包服务提供商应当严格遵守主供应商与银行确定的外包合同或协议中的相关条款;(3)主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;(4)不得将外包
38、活动的主要业务分包;(5)服务提供商不得将外包活动转包或变相转包(一)不得将外包服务的主要业务分包;2.4.2.4合同文件中应包含(1)服务提供商分包的规则;(2)分包服务提供商应当严格遵守主供应商与银行确定的外包合同或协议中的相关条款;(3)主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;(4)不得将外包活动的主要业务分包;(5)服务提供商不得将外包活动转包或变相转包(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;2.4.2.4合同文件中应包含(1)服务提供商分包的规则;(2)分包服务提供商应当严格遵守主供应商与银行确定的外包合同或协议中的相
39、关条款;(3)主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;(4)不得将外包活动的主要业务分包;(5)服务提供商不得将外包活动转包或变相转包(三)主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。2.4.2.4合同文件中应包含(1)服务提供商分包的规则;(2)分包服务提供商应当严格遵守主供应商与银行确定的外包合同或协议中的相关条款;(3)主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;(4)不得将外包活动的主要业务分包;(5)服务提供商不得将外包活动转包或变相转包第第四四节节 外外包包服服务务安安全全管管理理第三十八条 银行业金融机构应当制
40、定和落实信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险,具体措施包括:6安全管理(一)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;6.3.7.26.6.5.4应加强对使用移动办公的外包人员的安全培训,提高其对移动办公可能导致的附加风险的防范意识应定期举行灾难恢复计划的培训,并保留培训的记录,确保外包人员了解自身的职责与操作(二)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道“和“最小
41、授权”原则进行访问授权;6安全管理(三)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;6.5.4.1应对供应商提供的重要或核心的信息系统开发交付物进行源代码检查和安全扫描(四)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。6.1.1.46.2.1.56.3.1.66.5.1.116.6.1.2定期对供应商进行物理安全检查,获取供应商自评估或第三方评估报告;在对关联供应商进行定期安全检查时,不得以供应商的自评估来替代,不得因关联关系而影响检查的独立性、客观性及公正性第三十九条 银行业金融机构在对关联外包的服务提供商定期进行的安全检查,不得以服务提供商的自评估来替
42、代,不得因关联关系而影响检查的独立性、客观性及公正性。6.1.1.46.2.1.56.3.1.66.5.1.116.6.1.2定期对供应商进行物理安全检查,获取供应商自评估或第三方评估报告;在对关联供应商进行定期安全检查时,不得以供应商的自评估来替代,不得因关联关系而影响检查的独立性、客观性及公正性第四十条 银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。6.5.3.4应对外包服务引入的新技术或应用对现有治理模式及安全架构的冲击进行分析,及时完善现有的管控体系,避免额外的信息安全风险第
43、第五五节节 外外包包服服务务监监控控与与评评价价第四十一条 银行业金融机构应当对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。3.3IT外包项目审阅与监控第四十二条 银行业金融机构应当根据信息科技的外包需求、合同、服务水平协议等建立明确的服务质量监控指标,并进行相应的监控。常见指标包括:3.3.3过程质量监控(一)信息系统和设备及基础设施的可用率、设备的开机率;3.3.3过程质量监控(二)故障次数、故障解决率、故障的响应时间;3.3.3过程质量监控(三)服务的次数、客户满意度;3.3.3过程质量监控(四)各阶
44、段业务需求的及时完成率、程序的缺陷数、需求变更率;3.3.3过程质量监控(五)外包人员工作饱和率、外包人员的考核合格率。3.3.3过程质量监控第四十三条 银行业金融机构应当建立明确的服务目录,服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。2.4.1.14.1.1.104.3.1.7应建立签订合同及定期审阅逾期合同、续期合同、补充合同,并上报给管理层的管理机制。合同及SLA应至少保存到服务结束后一年。阶段性验收报告和最终验收报告应由验收小组进行签字,并根据采购制度提交管理层审批并保存至少一年完成的答题应由相应答题部门
45、的管理层对答题结果进行确认与审批,答题结果应保存至少一年第四十四条 银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。3.3.5.1项目执行过程中应对存在的IT外包风险进行持续监控,对可能影响项目进展的技术、管理、经济风险进行及时控制与回报第四十五条 银行业金融机构监控到异常情况时,应当及时督促服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。4.3.2.1应结合对外包人员的日常合规检查及定期抽查,建立
46、供应商合规考核的评价机制,对供应商的异常情况进行及时纠正第四十六条 外包服务结束时,银行业金融机构应当对服务提供商进行评价,评价结果应当作为服务提供商准入的重要参考依据。4.3.1.2应建立供应商绩效考核的评价机制,识别与明确供应商评价的指标与计量方式4.3.3.1应根据供应商绩效考核/合规考核结果触发相应的结果应用,实行对供应商的奖惩机制第四十七条 对于关联外包,银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。4.3.3.5关联供应商应纳入
47、供应商绩效考核的范围内第第六六节节 外外包包服服务务中中断断与与终终止止第四十八条 银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性的完善业务连续性管理计划,包括但不限于:7.5服务连续性管理(一)识别出重要业务所涉及的服务提供商和资源;7.5.2.1应针对重要外包服务中断的场景制定组织级应急预案,考虑因素包括但不限于:1.事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;2.识别出重要业务所涉及的供应商和资源;3.事件持续时间和恢复可能性;4.事件影响范围和可能的应急措施;5.服务提供商自行恢
48、复服务的可能性和时间;6.备选的服务提供商以及外包服务迁移方案;7.外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。(二)通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;7.5.1.3应要求供应商制定服务中断相关的应急处理预案,作为合同附件,并对应急处理预案定期进行检查更新。(三)对服务提供商业务连续性管理进行监控,并评价其管理水平;6.5.1.2定期对供应商进行业务连续性管理安全检查,获取供应商自评估或第三方评估报告;在对关联供应商进行定期安全检查时,不得以供应商的自评估来替代,不得因关联关系而影响检查的独立性、客观性及公正性(四)在进行业务连续性计划演练时将相
49、关的服务提供商纳入演练范围。7.5.2.4应定期对项目级应急预案进行演练,总结分析演练结果,并要求相应供应商参与演练。第四十九条 为降低外包突发事件的可能性及影响,银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:7.5服务连续性管理(一)在外包服务实施的过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;7.5.1.5在外包服务实施过程中,应持续收集供应商相关信息,尽早发现可能导致服务中断的情况(二)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;7.5.1.2应与供应商约定在其不
50、能提供持续服务的情况下购买其外包服务资源的优先权(三)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;7.5.1.3应要求供应商制定服务中断相关的应急处理预案,作为合同附件,并对应急处理预案定期进行检查更新。(四)对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配置相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。7.5.1.4针对业务连续性管理造成重大影响的外包服务:1.应要求供应商针对非正常退出的情况购买商业保险或预支风险担保金;2.银行应为外包服务的关键角色配备相应的行内人力资源,以在外包服务中断期间自行维持最低限度的服务能力。第五
浙ICP备2021020529号-1 | 浙B2-20240490 
