《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險管理指引》

1、銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險管理指引（征求意見稿）第一章總則第一銀行業(yè)金融機(jī)構(gòu)的信息科技外包信息科技外包引風(fēng)險信息科技銀行銀行業(yè)業(yè)信息科技指引業(yè)銀行銀行業(yè)銀行業(yè)銀行銀行業(yè)銀行銀行業(yè)銀行銀行銀行指引銀行業(yè)管理金融機(jī)構(gòu)指引執(zhí)行指引信息科技外包指銀行業(yè)金融機(jī)構(gòu)信息科技理的行外包管理指引外包指銀行業(yè)金融機(jī)構(gòu)信息科技的外包風(fēng)險銀行機(jī)構(gòu)的信息科技外包業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險：（一）科技能力喪失：銀行業(yè)金融機(jī)構(gòu)過度依賴外部資源導(dǎo)致失去科技創(chuàng)新及控制能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；（三）信息泄露：包含客戶信息在內(nèi)的銀行非公開數(shù)據(jù)被服務(wù)提供商非

2、法獲得或泄露；（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。第六條本指引所稱機(jī)構(gòu)集中度風(fēng)險是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險，該風(fēng)險可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。第七條本指引所稱托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定

3、期進(jìn)行外包風(fēng)險評估，通過服務(wù)提供商準(zhǔn)入、評價、退出等手段建立及維護(hù)符合其戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。第十條銀行業(yè)金融機(jī)構(gòu)在實施信息科技外包時應(yīng)當(dāng)堅持保持外包風(fēng)險、成本和效益的平衡；強(qiáng)調(diào)外包風(fēng)險的事前控制根據(jù)外包管理及技術(shù)發(fā)展，保持管控力度外包第十一銀行業(yè)金融機(jī)構(gòu)在實施信息科技外包時管理責(zé)任外包。第十二構(gòu)應(yīng)當(dāng)根據(jù)本指引第章要管理外包風(fēng)險管理的主管一）對外包風(fēng)險第二章外包管理組織架構(gòu)第十三條銀行業(yè)金融機(jī)構(gòu)董事會及高級管理層應(yīng)科技外包科技外包風(fēng)險管理的相關(guān)職責(zé)技外包管理流程及制外包風(fēng)第十險管理效果行業(yè)金融機(jī)構(gòu)董事會及高級管理層應(yīng)管包外包管理外包風(fēng)險管理外包管理外包風(fēng)險管理三）向高級管理層定期匯報信

4、息科技外包管理職第管理層確定的其他信息科技外包風(fēng)險機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)建立信息科技外包管理一）實施信息科技外包戰(zhàn)略；二）制定并執(zhí)行信息科技外包管理制度三）執(zhí)行供應(yīng)商準(zhǔn)入、評價、退出管理系管理策略；四）制定外包服務(wù)連續(xù)性應(yīng)急管理方案外包管理活動進(jìn)行監(jiān)控及信息科技及外包風(fēng)險管理的主管外包第三章信息科技外包戰(zhàn)略及風(fēng)險管理第一節(jié)信息科技外包戰(zhàn)略信息科技包服務(wù)及管理提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標(biāo)?；谛畔⒖萍紤?zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力和風(fēng)險偏好制定其信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級管理策

5、略。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身的信息科技戰(zhàn)略明確不能外包的職能。涉及計劃與組織、監(jiān)控與評價等管理職能不宜外包，涉及信息科技核心競爭力的職能應(yīng)審慎外包。第十八條對于不宜外包但已外包的情況，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定遷移計劃，通過補(bǔ)充人員、提升技能、知識轉(zhuǎn)移等方式，有針對性的獲取或提升管理及技術(shù)能力，降低對服務(wù)提供商的依賴。第十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場地位相適應(yīng)的供應(yīng)商關(guān)系管理策略，通過準(zhǔn)入和退出機(jī)制控制各類高風(fēng)險服務(wù)提供商的數(shù)量，實現(xiàn)以下目標(biāo)：防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險，通過引入適當(dāng)?shù)母偁幵诮档筒少彸杀镜耐瑫r提高服務(wù)質(zhì)量，合理控制服務(wù)提供商的數(shù)量從而降低風(fēng)險及管理成本等。

6、第二十條銀行業(yè)金融機(jī)構(gòu)可按照外包服務(wù)性質(zhì)和重要性程度對服務(wù)提供商進(jìn)行分級管理，對不同級別的服務(wù)提供商采取嚴(yán)格程度差異化的管控措施，從而達(dá)到有效管理重要風(fēng)險的前提下降低管理成本。第二十一條對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)保持外包有關(guān)決策的獨立性，要求其母公司或其所屬的集團(tuán)公司協(xié)同做好外包服務(wù)及管理外包風(fēng)險第二節(jié)信息科技外包風(fēng)險管理第二十二條銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險主管外包風(fēng)險管理評估，保持評估高級管理層提交評估報告。評估行情況、外包信息安全、機(jī)構(gòu)集政策及市場變化對外包服務(wù)的影第二十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)定期風(fēng)險評估，保持評估的獨立的服務(wù)提供商。評估內(nèi)容包括：行效果等，評估結(jié)果應(yīng)當(dāng)作為服包括：信

7、息科技外包外包準(zhǔn)入及應(yīng)當(dāng)定期開展信要外包服務(wù)提供及時開展專項審第二十四條銀行業(yè)金融機(jī)構(gòu)內(nèi)部息科技外包風(fēng)險管理審計工作，至少每商進(jìn)行一次全面審計。發(fā)生外包風(fēng)險第四章信息科技外包管理第一節(jié)外包風(fēng)險評估及準(zhǔn)入第二十五條外包項目立項前，銀行業(yè)金融機(jī)第二十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對備服務(wù)提供商服務(wù)提供商不可接受的服務(wù)提供商。第二十七條對于外包服務(wù)提供商為托管機(jī)構(gòu)的本節(jié)內(nèi)容對其進(jìn)行管理。第二節(jié)服務(wù)提供商盡職調(diào)查第二十八條對重要的服務(wù)提供商，銀行業(yè)金融開展盡職調(diào)查，必要時可聘請第三方機(jī)構(gòu)協(xié)助調(diào)查第二十九條銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗，包括但

8、不限于：服務(wù)能力服務(wù)經(jīng)驗、服務(wù)第三十條行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時應(yīng)當(dāng)注服務(wù)提供商的內(nèi)部控制和第三十一條銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時應(yīng)當(dāng)關(guān)注服務(wù)提供商第三十二條對于關(guān)聯(lián)外包低對服務(wù)提供商的要求，分析服務(wù)外包服務(wù)、第三十三條對于外包服務(wù)提供商為托管機(jī)構(gòu)機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行管理。第三節(jié)外包服務(wù)合同及要求第三十四條銀行業(yè)金融機(jī)構(gòu)在實施外包服務(wù)項服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)估及盡職調(diào)查結(jié)果確定其詳細(xì)程度和重點，并經(jīng)過構(gòu)信息科技風(fēng)險主管部門和法律合規(guī)部門的審批。第三十五條銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中內(nèi)容，包括但不限于：（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時限及安付物要求以及后續(xù)合作中的相關(guān)限定

9、條件；服務(wù)（二）合規(guī)與內(nèi)控要求，對法律法規(guī)及銀行管理制度的遵從要求、監(jiān)管政策的通報貫徹機(jī)制三）服務(wù)連續(xù)性要求，服務(wù)提供商的業(yè)務(wù)要求及服務(wù)服務(wù)理商配合其內(nèi)、外部審計機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)開展延伸檢查的責(zé)任；（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排，包括信息、資料和設(shè)施的交接處置等過渡期間相關(guān)服務(wù)的安排；（六）外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時效和可用

10、性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)及業(yè)務(wù)連續(xù)性要求的遵守情況、技術(shù)支持水平等；（八）報告條款，至少包括如下內(nèi)容：常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。第三十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任，以及針對安全及保密要求需采取的具體措施，包括但不限于：（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息，以防止信息被非授權(quán)的使用；（二）在合同或協(xié)議中約定服務(wù)提供商不得以銀行業(yè)金融機(jī)構(gòu)的名義開展活動；（三）服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時，需滿足安服務(wù)理安全服務(wù)服務(wù)理服務(wù)理服務(wù)外包服務(wù)轉(zhuǎn)包包。在涉及外包

11、服務(wù)服務(wù)理服務(wù)理得將外包服務(wù)的主要業(yè)務(wù)分包；服務(wù)提供商對服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)守外包合同或服務(wù)提供商對分包商進(jìn)行監(jiān)控，并對分包商的告審批義務(wù)。第四節(jié)外包服務(wù)安全管理第三十八條銀行業(yè)信息安全管，防范因外包活動引入侵、物理環(huán)境或設(shè)措施包括：（一）對外包人員進(jìn)行信息安全培訓(xùn)，提高險管理意信息安全管控措施在外包服務(wù)過程中有效落實（二）明確外包活資產(chǎn)，包括服務(wù)服務(wù)評估或第第三十第四十管控體系，第四十監(jiān)控，要求第四十評估報告。銀行業(yè)金融機(jī)構(gòu)在對關(guān)聯(lián)外包的服務(wù)時，不得以服務(wù)提供商的自評估來替銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引不因新技術(shù)或應(yīng)用的引入而增加額外第五節(jié)外包服務(wù)監(jiān)控與評價條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對外

12、包服務(wù)過程進(jìn)行持續(xù)服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)，及時發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技的外包需求、服務(wù)理服務(wù)理、服務(wù)監(jiān)控。服務(wù)質(zhì)量監(jiān)控（三）服務(wù)的次數(shù)、客戶滿意度；（四）各階段業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率；（五）外包人員工作飽和率、外包人員的考核合格率。第四十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄,服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評價機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評價結(jié)果的真實性和完整性，且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。第四十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對服務(wù)提供商的財務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)

13、鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。第四十五條銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時，應(yīng)當(dāng)及時督促服務(wù)提供商采取糾正措施，情節(jié)嚴(yán)重的或未及時糾正的，應(yīng)約談服務(wù)提供商高管人員并限期整改。第四十六條外包服務(wù)結(jié)束時，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對服務(wù)提供商進(jìn)行評價，評價結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。第四十七條對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)董事會及高級管理層應(yīng)當(dāng)推動母公司或其所屬集團(tuán)將外包服務(wù)質(zhì)量納入對服務(wù)提供商的業(yè)績評價范圍，建立外包服務(wù)重大事件問責(zé)機(jī)制。同時，應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績效第六節(jié)外包服

14、務(wù)中斷與終止第四十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包務(wù)連續(xù)性管理的影響，有針對性的完善業(yè)務(wù)連續(xù)性包括但識別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資通過合同協(xié)議等形式明確要求服務(wù)提供商提服務(wù)提供商業(yè)務(wù)服務(wù)第四十九條為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金當(dāng)事先對業(yè)務(wù)連續(xù)性影響的外包服務(wù)建，包括但不限在外包服務(wù)實施過程中持續(xù)收集服務(wù)提供商相關(guān)發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；與服務(wù)提供商事先約定在意外情況下購買其外包服服務(wù)服務(wù)中斷（四）對于涉及重要的業(yè)務(wù)的外包服務(wù)，銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。第五十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)

15、針對重要外包服務(wù)中斷的場景，擬定相應(yīng)的應(yīng)急計劃，并定期進(jìn)行演練，應(yīng)考慮的因素包括但不限于以下內(nèi)容：（一）事件場景，如重要人員流失導(dǎo)致服務(wù)無法持續(xù)，服務(wù)提供商主動退出，因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動退出等；（二）事件持續(xù)時間和恢復(fù)可能性；（三）事件影響范圍和可能的應(yīng)急措施；（四）服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時間；（五）備選的服務(wù)提供商以及外包服務(wù)遷移方案；（六）外包服務(wù)過渡給銀行業(yè)金融機(jī)構(gòu)自行運作的可能性、時效及資源需求。第五十一條對于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評估其影響及制定退出計劃的前提下，考慮主動要求服務(wù)提供商終止服務(wù)，

16、情節(jié)特別嚴(yán)重的，可考慮取消準(zhǔn)入資質(zhì)，并報監(jiān)管機(jī)構(gòu)申請對其備案。對于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因為關(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實。第五章機(jī)構(gòu)集中度風(fēng)險管理第五十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)中的占比，服務(wù)提比情況，識別具有機(jī)構(gòu)集中度特點的外包服第五十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極降低機(jī)構(gòu)集中度，減少第五十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點其內(nèi)部控制和管理能第五十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點銀行業(yè)金融機(jī)構(gòu)配備第五十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度在外包服務(wù)中斷應(yīng)急預(yù)案中，明確外包中跨境外包風(fēng)險管理外包建立信息收集機(jī)制，及時掌握風(fēng)險事件情況，防范外包服務(wù)意外第

17、五十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對具有機(jī)構(gòu)集中度特點的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度，必要時可指派專人進(jìn)行現(xiàn)場監(jiān)督。第五十九條對于具有機(jī)構(gòu)集中度特性的外包服務(wù)提供商為托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行外包管理。第六章跨境及非駐場外包管理第一節(jié)跨境外包風(fēng)險管理第六十條跨境外包是指在境外其他國家或地科技外包服務(wù)第六十一條跨境外包除具有本指引前述風(fēng)險外，還包括由于_1、社會變化及事件而產(chǎn)生的國別風(fēng)險及由于外包實施場地遠(yuǎn)離非駐場風(fēng)險第六十二條第六十三條提供商外包管理信關(guān)注國外法律行外包服務(wù)監(jiān)法規(guī)、監(jiān)管要實施跨境外包控管理職能及監(jiān)管機(jī)構(gòu)的延伸第六十四條擇跨境外包時監(jiān)管當(dāng)局已與中國第六十五條

18、施跨境外包時包括法律選擇和司法管轄權(quán)的約定律及司法管轄權(quán)第六十六條展跨境外包時跨境外包,應(yīng)在符合監(jiān)管法規(guī)第二節(jié)非駐場外包風(fēng)險管理第六十七條非駐場外包是指服務(wù)提供商不場提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)風(fēng)險管理風(fēng)險管理第六十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對駐場服務(wù)提供及風(fēng)險管理要求的最低標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。第六十金融機(jī)構(gòu)應(yīng)當(dāng)對重要的駐場外包服務(wù)查結(jié)果應(yīng)作為外包服務(wù)提供及準(zhǔn)入的重要指標(biāo)。第七十融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對非駐場外包服務(wù)提供量管理、信息安全的有效性評重要依據(jù)。對于高風(fēng)險的服務(wù)機(jī)構(gòu)應(yīng)責(zé)令其進(jìn)行限期整改，對于逾期未改的服務(wù)或取消其服務(wù)資格。第七十一條對于非駐場外包服務(wù)提供商

19、為托管機(jī)構(gòu)的情況，融機(jī)構(gòu)可參照本節(jié)內(nèi)容對其進(jìn)行外包管理，但托管機(jī)構(gòu)他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身服務(wù)的重要組成部分，不應(yīng)區(qū)外包服務(wù)的風(fēng)險管控水平。第七章重點外包服務(wù)機(jī)構(gòu)風(fēng)險管理要求第七二條重點外包服務(wù)機(jī)構(gòu)是指中度風(fēng)險，其外包服務(wù)失敗可損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷，嚴(yán)重?fù)p害公眾利益或造成銀行業(yè)重大經(jīng)濟(jì)損失的機(jī)構(gòu)，條件如下：（一）承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)；上述服務(wù)均指非駐場外包服務(wù)；（二）服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金

20、額占有本服務(wù)領(lǐng)域市場份額的三分之一以上；或服務(wù)的國有、股份制法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上；或服務(wù)的其它類型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。第七十三條重點外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊的獨立法人實體，注冊資本和實收資本不少于1000萬，注冊成立時間應(yīng)不少于3年。第七十四條重點外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu)，并針對所提供的外包服務(wù)建立有效的風(fēng)險治理架構(gòu)，至少應(yīng)當(dāng)建立由公司高級管理層直接領(lǐng)導(dǎo)、針對銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險管理團(tuán)隊，為持續(xù)的外包服務(wù)提供保證。第七十五條重點外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全

21、、服務(wù)質(zhì)量、服務(wù)連續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行。第七十六條重點外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人員隊伍和設(shè)施、環(huán)境，滿足外包服務(wù)的質(zhì)量和安全管理要求。重點外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場地應(yīng)設(shè)置在中國境內(nèi)。第七十七條重點外包服務(wù)機(jī)構(gòu)應(yīng)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。第七十八條重點外包服務(wù)機(jī)構(gòu)應(yīng)具有完善的質(zhì)量管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。第七十九條承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的重點外包服務(wù)機(jī)構(gòu)，其機(jī)房及基礎(chǔ)設(shè)施

22、應(yīng)達(dá)到國家電子計算機(jī)機(jī)房最高標(biāo)準(zhǔn)。第八十條承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的重點外包服務(wù)機(jī)構(gòu)，應(yīng)具有完善的運行服務(wù)管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的運行服務(wù)管理資質(zhì)認(rèn)證。第八十一條重點外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險的管理體系，有效識別、監(jiān)測、評估和控制風(fēng)險。重點外包服務(wù)機(jī)構(gòu)應(yīng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報送外包風(fēng)險監(jiān)控報告，針對監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險或風(fēng)險事件，及時采取控制或緩釋措施。第八的銀行業(yè)金融機(jī)構(gòu)，并抄送銀行業(yè)監(jiān)督管理第八十三條重點外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對其外包第八章監(jiān)督管理第八十四條銀行業(yè)金融機(jī)構(gòu)開展以下跨

23、境外包風(fēng)險（八）其他中國銀監(jiān)會認(rèn)為重要的信息科技外包。第八十五條銀行業(yè)金融機(jī)構(gòu)信息科技外包活動中發(fā)生如下重大事件時，應(yīng)及時向中國銀監(jiān)會或其派出機(jī)構(gòu)報告。（一）銀行業(yè)金融機(jī)構(gòu)客戶信息等敏感數(shù)據(jù)泄露；（二）數(shù)據(jù)損毀或者重要業(yè)務(wù)運營中斷；（三）由于不可抗力或服務(wù)提供商重大經(jīng)營、財務(wù)問題，導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷;（四）其他重大的服務(wù)提供商違法違規(guī)事件；（五）中國銀監(jiān)會規(guī)定需要報告的其他重大事件。第八十六條銀行業(yè)金融機(jī)構(gòu)在開展年度外包風(fēng)險管理評估工作后，應(yīng)將年度風(fēng)險評估報告報送中國銀監(jiān)會或其派出機(jī)構(gòu)。報告內(nèi)容見附件信息科技外包服務(wù)報告材料目錄。第八十七條中國銀監(jiān)會及其派出機(jī)構(gòu)對銀行

24、業(yè)金融機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查，并對服務(wù)提供商提供的外包服務(wù)活動風(fēng)險情況進(jìn)行延伸檢查。銀監(jiān)會有權(quán)要求外包服務(wù)提供商接受外部機(jī)構(gòu)的審計。監(jiān)督檢查結(jié)果應(yīng)納入對銀行業(yè)金融機(jī)構(gòu)的監(jiān)管評級。第八十八條對于風(fēng)險較高的信息科技外包服務(wù)，銀監(jiān)會或其派出機(jī)構(gòu)可暫緩、中止服務(wù)，直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。第八十九條銀行業(yè)金融機(jī)構(gòu)違反本指引規(guī)定的，中國銀監(jiān)會或其派出機(jī)構(gòu)將根據(jù)有關(guān)法律法規(guī)予以處罰，并采取其他相應(yīng)監(jiān)管措施。因管理過失導(dǎo)致外包活動嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運行、損害存款人和其他客戶合法權(quán)益的，將依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。第九十條為防范因高機(jī)構(gòu)集中度外包服務(wù)導(dǎo)致的行業(yè)性、區(qū)

25、域性信息科技風(fēng)險，中國銀監(jiān)會實行重點外包服務(wù)機(jī)構(gòu)風(fēng)險監(jiān)測機(jī)制，定期對銀行業(yè)發(fā)布重點外包服務(wù)機(jī)構(gòu)名單，對其進(jìn)行非現(xiàn)場風(fēng)險監(jiān)測和延伸現(xiàn)場檢查。第九十一條中國銀監(jiān)會應(yīng)當(dāng)對重點外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)外包服務(wù)活動及其風(fēng)險狀況進(jìn)行非現(xiàn)場監(jiān)測和評估，建立管理數(shù)據(jù)庫。根據(jù)履行職責(zé)的需要，中國銀監(jiān)會可與重點外包服務(wù)機(jī)構(gòu)的董事、高級管理人員進(jìn)行監(jiān)督管理談話，要求其就外包服務(wù)活動和風(fēng)險的重大事項作出說明。第九十二條中國銀監(jiān)會根據(jù)重點外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)信息科技外包活動風(fēng)險狀況確定對其現(xiàn)場檢查的頻率、范圍，原則上每兩年進(jìn)行一次，也可以委托銀行業(yè)金融機(jī)構(gòu)、第三方機(jī)構(gòu)對其審計的形式實施。檢查時，可詢問重點外包服務(wù)機(jī)構(gòu)有關(guān)單位和個人，要求其對有關(guān)情況作出說明，并查閱、復(fù)制有關(guān)文件資料。第九十三條中國銀監(jiān)會可根據(jù)對重點外包