銀監(jiān)辦發(fā)〔2014〕187號(hào)《中國銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場集中式外包風(fēng)險(xiǎn)管理的通知》【全文廢止】

中國銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場集中式外包風(fēng)險(xiǎn)管理的通知【全文廢止】






銀監(jiān)辦發(fā)〔2014〕187號(hào)

全文廢止，廢止依據(jù)：2021年12月30日發(fā)布的《中國銀保監(jiān)會(huì)辦公廳關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知》（銀保監(jiān)辦發(fā)〔2021〕141號(hào)）

各銀監(jiān)局、各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司、儲(chǔ)蓄銀行、各省級(jí)農(nóng)村信用聯(lián)社，銀監(jiān)會(huì)直接監(jiān)管的信托公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司：

根據(jù)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》（銀監(jiān)發(fā)〔2013〕5號(hào)，以下簡稱《指引》），為保護(hù)銀行業(yè)金融機(jī)構(gòu)關(guān)鍵基礎(chǔ)設(shè)施和信息安全，防范銀行業(yè)信息科技外包集中度風(fēng)險(xiǎn)，守住不發(fā)生系統(tǒng)性、全局性風(fēng)險(xiǎn)的底線，現(xiàn)就加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場集中式外包行為監(jiān)管工作通知如下：

一、本通知所稱非駐場集中式外包是指外包服務(wù)商不在銀行業(yè)金融機(jī)構(gòu)提供現(xiàn)場服務(wù)，或外包的關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)不在銀行業(yè)金融機(jī)構(gòu)產(chǎn)權(quán)場所，由銀行業(yè)金融機(jī)構(gòu)以租用設(shè)施或購買服務(wù)資源的方式獲得，主要由外包服務(wù)商運(yùn)維，并且外包服務(wù)商同時(shí)為3家（含）以上銀行業(yè)金融機(jī)構(gòu)或其他機(jī)構(gòu)提供服務(wù)的外包方式。信息科技非駐場集中式外包服務(wù)商分為銀行類機(jī)構(gòu)和社會(huì)類機(jī)構(gòu)兩類，銀行類機(jī)構(gòu)是指依法設(shè)立的由銀監(jiān)會(huì)監(jiān)管的銀行業(yè)金融機(jī)構(gòu)，其他屬于社會(huì)類機(jī)構(gòu)。

二、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)非駐場集中式外包服務(wù)商開展全面、深入的盡職調(diào)查，除《指引》要求的盡職調(diào)查內(nèi)容以外，對(duì)社會(huì)類機(jī)構(gòu)和提供外包服務(wù)未滿3年的銀行類機(jī)構(gòu)應(yīng)當(dāng)重點(diǎn)調(diào)查如下內(nèi)容：

（一）外包服務(wù)商對(duì)本機(jī)構(gòu)與其他機(jī)構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界；

（二）外包服務(wù)商是否有管理制度和技術(shù)措施保障本機(jī)構(gòu)數(shù)據(jù)的完整性和保密性；

（三）外包服務(wù)商對(duì)涉及本機(jī)構(gòu)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪問權(quán)限；

（四）外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限，外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的訪問權(quán)限，是否能夠?yàn)g覽、獲取客戶敏感信息；

（五）外包服務(wù)商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系，對(duì)關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)運(yùn)行是否有業(yè)務(wù)連續(xù)性安排；

（六）外包服務(wù)商是否知曉并遵從了銀行業(yè)相關(guān)監(jiān)管法規(guī)要求。

銀行業(yè)金融機(jī)構(gòu)可以委托第三方機(jī)構(gòu)開展盡職調(diào)查，或者采信其他銀行業(yè)金融機(jī)構(gòu)對(duì)同一外包服務(wù)商6個(gè)月內(nèi)的盡職調(diào)查結(jié)果。

三、銀行業(yè)金融機(jī)構(gòu)開展非駐場集中式外包活動(dòng)，應(yīng)當(dāng)經(jīng)過審慎、充分的風(fēng)險(xiǎn)評(píng)估，形成書面風(fēng)險(xiǎn)評(píng)估報(bào)告，并報(bào)送董（理）事會(huì)和高管層。

四、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照《指引》有關(guān)非駐場外包、重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求，審慎決策并選擇外包服務(wù)商，非駐場集中式外包決策應(yīng)當(dāng)經(jīng)過董（理）事會(huì)、高管層書面批準(zhǔn)。在同等條件下，非駐場集中式外包服務(wù)應(yīng)當(dāng)優(yōu)先選擇銀行類機(jī)構(gòu)或主動(dòng)申請(qǐng)接受監(jiān)管評(píng)估和監(jiān)督檢查的社會(huì)類機(jī)構(gòu)。

五、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照《指引》要求，在外包合同簽訂前至少20個(gè)工作日向銀監(jiān)會(huì)或其派出機(jī)構(gòu)對(duì)非駐場集中式外包活動(dòng)進(jìn)行報(bào)告，報(bào)告內(nèi)容應(yīng)當(dāng)包括盡職調(diào)查報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告。銀監(jiān)會(huì)或其派出機(jī)構(gòu)對(duì)相關(guān)外包活動(dòng)的信息科技風(fēng)險(xiǎn)開展審慎評(píng)估，視評(píng)估情況采取監(jiān)管措施。

六、非駐場集中式外包合同除應(yīng)符合《指引》規(guī)定外，銀行業(yè)金融機(jī)構(gòu)還應(yīng)當(dāng)在合同中書面明確：

（一）外包服務(wù)商應(yīng)當(dāng)遵從銀行業(yè)相關(guān)監(jiān)管法規(guī)；

（二）外包服務(wù)商應(yīng)當(dāng)承諾接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的監(jiān)督檢查；

（三）外包服務(wù)商應(yīng)當(dāng)承諾接受銀行業(yè)金融機(jī)構(gòu)安排的風(fēng)險(xiǎn)評(píng)估或?qū)徲?jì)；

（四）外包服務(wù)商對(duì)本機(jī)構(gòu)提供的服務(wù)資源應(yīng)當(dāng)至少與其他機(jī)構(gòu)相互邏輯隔離，僅本機(jī)構(gòu)具有對(duì)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的最高訪問權(quán)限；

（五）未經(jīng)同意，外包服務(wù)商不得將本機(jī)構(gòu)數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或?yàn)橥獍?wù)商自身謀取利益。

本條（一）、（二）款僅適用于社會(huì)類機(jī)構(gòu)外包合同。

七、銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)非駐場集中式外包活動(dòng)的日常風(fēng)險(xiǎn)監(jiān)測(cè)，建立書面風(fēng)險(xiǎn)清單并動(dòng)態(tài)維護(hù)，制定專門的控制措施，并至少每2年安排一次對(duì)外包服務(wù)商的外部評(píng)估或?qū)徲?jì)。

八、除銀行業(yè)金融機(jī)構(gòu)安排的評(píng)估和審計(jì)以外，銀監(jiān)會(huì)或其派出機(jī)構(gòu)可以接收社會(huì)類機(jī)構(gòu)主動(dòng)提出的風(fēng)險(xiǎn)評(píng)估或?qū)徲?jì)申請(qǐng)，并參照《指引》有關(guān)重點(diǎn)外包服務(wù)機(jī)構(gòu)的監(jiān)管規(guī)定，根據(jù)其資質(zhì)、規(guī)模、經(jīng)驗(yàn)和管理能力等決定是否接受申請(qǐng)?？缡√峁┓?wù)的外包服務(wù)商可以向銀監(jiān)會(huì)提出申請(qǐng)，其他外包服務(wù)商可以向注冊(cè)地或所服務(wù)的多數(shù)銀行業(yè)金融機(jī)構(gòu)客戶所在地的銀監(jiān)局提出申請(qǐng)。銀行業(yè)金融機(jī)構(gòu)可以采信監(jiān)管機(jī)構(gòu)對(duì)外包服務(wù)商在12個(gè)月內(nèi)的評(píng)估或?qū)徲?jì)結(jié)果，不再重復(fù)安排外部評(píng)估或?qū)徲?jì)。

九、銀監(jiān)會(huì)及其派出機(jī)構(gòu)建立非駐場集中式外包服務(wù)商名單，對(duì)銀行業(yè)金融機(jī)構(gòu)的非駐場集中式外包活動(dòng)開展非現(xiàn)場監(jiān)管和現(xiàn)場檢查，建立外包服務(wù)商評(píng)價(jià)機(jī)制和監(jiān)管信息平臺(tái)，采集相關(guān)風(fēng)險(xiǎn)信息，并進(jìn)行獨(dú)立評(píng)估和持續(xù)監(jiān)測(cè)。對(duì)風(fēng)險(xiǎn)隱患突出、控制措施不力的此類外包活動(dòng)或由此引發(fā)的II級(jí)（含）以上信息系統(tǒng)突發(fā)事件，銀監(jiān)會(huì)及其派出機(jī)構(gòu)依據(jù)審慎監(jiān)管規(guī)定對(duì)銀行業(yè)金融機(jī)構(gòu)予以問責(zé)或處罰，并對(duì)相關(guān)外包服務(wù)商在行業(yè)內(nèi)予以警示通報(bào)。

十、對(duì)本通知印發(fā)之前已經(jīng)實(shí)施的非駐場集中式外包，須根據(jù)《指引》及本通知要求開展自查和整改。自查和整改工作安排如下：

（一）各銀行業(yè)金融機(jī)構(gòu)應(yīng)對(duì)照《指引》和本通知要求，組織一次全面自查，對(duì)已經(jīng)開展的非駐場集中式外包進(jìn)行梳理，重點(diǎn)就盡職調(diào)查、風(fēng)險(xiǎn)評(píng)估、外包合同、審計(jì)和日常風(fēng)險(xiǎn)管理進(jìn)行差距分析。

（二）對(duì)已經(jīng)開展且尚未到期的非駐場集中式外包合同，如不符合《指引》和本通知要求，各銀行業(yè)金融機(jī)構(gòu)應(yīng)與外包服務(wù)商協(xié)商，妥善開展合同重新簽訂工作。對(duì)開展此類外包服務(wù)的年限在3年（含）以上的銀行類機(jī)構(gòu)，各銀行業(yè)金融機(jī)構(gòu)可自行決定是否重新簽署合同，但仍然應(yīng)當(dāng)開展自查。

（三）各銀行業(yè)金融機(jī)構(gòu)須于2014年11月30日前完成自查和整改工作，提交自查和整改報(bào)告，同時(shí)將外包合同按照屬地監(jiān)管原則報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)備案。請(qǐng)各銀監(jiān)局匯總轄內(nèi)銀行業(yè)金融機(jī)構(gòu)的自查和整改報(bào)告，于2014年12月15日前報(bào)送銀監(jiān)會(huì)銀行業(yè)信息科技監(jiān)管部。





 

中國銀監(jiān)會(huì)辦公廳

二○一四年七月一日

掃描二維碼 關(guān)注我們

本文鏈接：http://www.dyerandpostasalon.com/feizhi/126552.html

本文關(guān)鍵詞： 銀監(jiān)辦發(fā), 中國銀監(jiān)會(huì), 辦公廳, 銀行業(yè), 金融機(jī)構(gòu), 信息, 科技, 駐場, 集中, 外包, 風(fēng)險(xiǎn), 管理, 通知