SZJG 47-2014 金融機(jī)構(gòu)信息技術(shù)外包風(fēng)險(xiǎn)管理規(guī)范

SZJGSZJG47-2014金融機(jī)構(gòu)信息技術(shù)外包風(fēng)險(xiǎn)管理規(guī)范2014-01-06發(fā)布2014-06-01實(shí)施深圳市市場(chǎng)監(jiān)督管理局發(fā)布I 本規(guī)范由金融服務(wù)業(yè)標(biāo)準(zhǔn)聯(lián)盟提出。本規(guī)范由深圳市市場(chǎng)監(jiān)督管理局歸口。范金融業(yè)信息技術(shù)外包風(fēng)險(xiǎn)，依照中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)印發(fā)的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)[2009]19號(hào)）、《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》（銀監(jiān)發(fā)[2010]44會(huì)印發(fā)的《保險(xiǎn)公司信息系統(tǒng)安全管理指引（試行）》（保監(jiān)發(fā)[2011]68號(hào)）、中國(guó)證券監(jiān)督本規(guī)范規(guī)定了金融機(jī)構(gòu)信息技術(shù)外包風(fēng)險(xiǎn)管理的的總體要求、管理職責(zé)、管理制度、評(píng)估與決策、服務(wù)提供商選擇、外包合同管理、持續(xù)監(jiān)控管理、跨境外包與審計(jì)。本規(guī)范適用于深圳市金融服務(wù)機(jī)構(gòu)以及為其提供信息技術(shù)服務(wù)的供應(yīng)商。下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19000-2008質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ)(ISO9000:2005，IDT)GB/T19001—2008質(zhì)量管理體系要求(ISO9001:2008，IDT)GB/T22080-2008信息技術(shù)安全技術(shù)信息安全管理體系要求(ISO/IEC27001:2005，IDT)GB/T22081-2008信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則(ISO/IEC27002:2005，IDT)SZDB/78-2013金融機(jī)構(gòu)信息技術(shù)服務(wù)外包質(zhì)量管理規(guī)范下列術(shù)語(yǔ)和定義適用于本規(guī)范。注：常見(jiàn)的外包服務(wù)形態(tài)有信息技術(shù)咨詢服務(wù)、設(shè)計(jì)與開(kāi)發(fā)服務(wù)、信息系統(tǒng)集成服務(wù)、數(shù)據(jù)處理和運(yùn)營(yíng)服24.1金融機(jī)構(gòu)應(yīng)根據(jù)內(nèi)外部的環(huán)境和市場(chǎng)狀況擬定其信息技術(shù)外包的發(fā)展規(guī)劃、策略，4.2金融機(jī)構(gòu)可按照服務(wù)外包的性質(zhì)和重要程度對(duì)信息技術(shù)外包服務(wù)提供商進(jìn)行分級(jí)管a）審議批準(zhǔn)信息技術(shù)外包的戰(zhàn)略發(fā)展規(guī)劃；b）審議批準(zhǔn)信息技術(shù)外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；c）審議批準(zhǔn)本機(jī)構(gòu)的外包范圍及相關(guān)安排；d）定期審閱本機(jī)構(gòu)外包活動(dòng)的有關(guān)報(bào)告；e）定期安排內(nèi)部審計(jì)，確保審計(jì)范圍涵蓋所有的外包安排。a)制定信息技術(shù)外包戰(zhàn)略發(fā)展規(guī)劃；b)制定信息技術(shù)外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；c)確定信息技術(shù)外包業(yè)務(wù)的范圍及相關(guān)安排；d)確定信息技術(shù)外包管理團(tuán)隊(duì)職責(zé)，并對(duì)其行為進(jìn)行有效指導(dǎo)、管理和監(jiān)督。a)執(zhí)行外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；b)負(fù)責(zé)外包活動(dòng)的日常管理，包括外包需求分析、盡職調(diào)查、合同執(zhí)行情況監(jiān)督及風(fēng)險(xiǎn)狀況的監(jiān)控等；c)向高級(jí)管理層提出有關(guān)外包活動(dòng)發(fā)展和風(fēng)險(xiǎn)管控的意見(jiàn)和建議；d)發(fā)現(xiàn)服務(wù)提供商業(yè)務(wù)活動(dòng)存在缺陷時(shí)，采取及時(shí)有效的措施；e)高級(jí)管理層確定的其他職責(zé)。6.1金融機(jī)構(gòu)應(yīng)根據(jù)其信息技術(shù)外包策略制定信息技術(shù)外包管理制度、流程6.2金融機(jī)構(gòu)應(yīng)定期對(duì)信息技術(shù)外包工作的實(shí)施成效進(jìn)行全面評(píng)價(jià)和總結(jié)，6.3金融機(jī)構(gòu)應(yīng)建立全面的外包風(fēng)險(xiǎn)評(píng)估、控制機(jī)制，將信息技術(shù)外包風(fēng)險(xiǎn)在開(kāi)展信息技術(shù)外包前，金融機(jī)構(gòu)應(yīng)對(duì)外包項(xiàng)目的可行性、風(fēng)險(xiǎn)情況等7.2.1金融機(jī)構(gòu)應(yīng)確保評(píng)估階段所發(fā)現(xiàn)的風(fēng)險(xiǎn)在實(shí)施外包前已得到妥善7.2.2金融機(jī)構(gòu)在實(shí)施外包管理時(shí)，應(yīng)根據(jù)信息技術(shù)外包項(xiàng)目的風(fēng)險(xiǎn)級(jí)7.2.3金融機(jī)構(gòu)信息技術(shù)外包相關(guān)決策人員應(yīng)根據(jù)評(píng)估結(jié)果及相應(yīng)風(fēng)險(xiǎn)a)擬外包工作的交易量以及對(duì)于金融機(jī)構(gòu)的重要性、關(guān)鍵性；b)擬外包工作涉及數(shù)據(jù)的敏感性及是否涉及到客戶信息處理的轉(zhuǎn)移；c)潛在服務(wù)提供商的專業(yè)水平、風(fēng)險(xiǎn)管理水平及可持續(xù)服務(wù)能力；d)金融機(jī)構(gòu)對(duì)于擬外包工作的評(píng)價(jià)和監(jiān)控能力；e)服務(wù)提供商未能按要求完成外包工作時(shí)對(duì)金融機(jī)構(gòu)的財(cái)務(wù)、聲譽(yù)、經(jīng)營(yíng)造成的影響；f)外包服務(wù)意外中止時(shí)對(duì)于金融機(jī)構(gòu)的影響以及可能的應(yīng)急處理措施；g)其他認(rèn)為需要關(guān)注的重要事項(xiàng)。a)信息技術(shù)工作整體外包；b)數(shù)據(jù)中心、災(zāi)備中心整體外包；4c)涉及將金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息技術(shù)外包；d)以非駐場(chǎng)服務(wù)形式實(shí)施的、涉及集中存儲(chǔ)客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包；e)信息安全審計(jì)；f)跨境外包；g)其他一旦外包服務(wù)意外終止，短時(shí)間內(nèi)就有可能對(duì)金融機(jī)構(gòu)的業(yè)務(wù)運(yùn)營(yíng)、管理、聲譽(yù)或者安全產(chǎn)生嚴(yán)重、顯著影響的外包安排；h)其他在評(píng)估階段被金融機(jī)構(gòu)認(rèn)為是高風(fēng)險(xiǎn)級(jí)別的信息技術(shù)外包項(xiàng)目；i)其他金融監(jiān)管機(jī)構(gòu)認(rèn)為是重要信息技術(shù)的外包項(xiàng)目。a)擬外包工作的范圍；b)外包服務(wù)水平的要求以及外包工作的標(biāo)準(zhǔn)；c)服務(wù)提供商的最低要求；d)外包監(jiān)控和報(bào)告要求；e)服務(wù)開(kāi)始及服務(wù)中止時(shí)過(guò)渡安排；f)合同的期限、終止和轉(zhuǎn)讓；g)賠償、保險(xiǎn)等合同責(zé)任條款方面的要求。8.1在進(jìn)行信息技術(shù)外包項(xiàng)目風(fēng)險(xiǎn)評(píng)估以及外包決策后，金融機(jī)構(gòu)應(yīng)對(duì)待選的a)在滿足金融機(jī)構(gòu)需求所需的服務(wù)及支持技術(shù)方面的經(jīng)驗(yàn)和能力；b)在金融機(jī)構(gòu)擬外包工作領(lǐng)域上的行業(yè)地位以及經(jīng)驗(yàn)；c)經(jīng)營(yíng)聲譽(yù)及企業(yè)文化；d)其指派的為機(jī)構(gòu)提供服務(wù)的主要崗位人員的技能、經(jīng)驗(yàn)、穩(wěn)定性等情況；e)對(duì)于服務(wù)中斷的應(yīng)急處理能力；f)在擬外包工作方面的內(nèi)部控制情況；g)在擬外包工作方面信息安全管理情況；h)對(duì)金融行業(yè)的熟悉程度；i)對(duì)其他金融機(jī)構(gòu)提供服務(wù)的情況；j)財(cái)務(wù)狀況。8.3對(duì)于重要的信息技術(shù)外包，必要時(shí)金融機(jī)構(gòu)可考慮采取以下措施了解服務(wù)a)指派內(nèi)部人員開(kāi)展現(xiàn)場(chǎng)調(diào)查；b)要求服務(wù)提供商提供相關(guān)獨(dú)立的專業(yè)第三方機(jī)構(gòu)完成的信息安全審查、內(nèi)部控制審查、財(cái)務(wù)審計(jì)報(bào)告；c)邀請(qǐng)獨(dú)立的專業(yè)第三方機(jī)構(gòu)對(duì)服務(wù)提供商就信息技術(shù)外包領(lǐng)域的相關(guān)情況進(jìn)行調(diào)8.4對(duì)于服務(wù)提供商為金融機(jī)構(gòu)的母公司或其所屬集團(tuán)設(shè)立在中國(guó)境內(nèi)、外的8.5對(duì)于持續(xù)性信息技術(shù)外包項(xiàng)目，金融機(jī)構(gòu)應(yīng)定期對(duì)服務(wù)提供商進(jìn)行調(diào)查，9.1金融機(jī)構(gòu)應(yīng)建立正式的信息技術(shù)外包合同草擬、審定及審批流程，確保信息技術(shù)外9.2金融機(jī)構(gòu)開(kāi)展信息技術(shù)外包活動(dòng)時(shí)應(yīng)當(dāng)與服務(wù)提供商簽訂書(shū)面合同或協(xié)議，并根據(jù)a)信息技術(shù)外包服務(wù)的內(nèi)容和方式。包括但不限于金融機(jī)構(gòu)要求服務(wù)提供商實(shí)施的具體工作及時(shí)限，交付物要求、配套服務(wù)要求，變更服務(wù)內(nèi)容的權(quán)力及途徑等；b)績(jī)效標(biāo)準(zhǔn)。包括但不限于最低服務(wù)級(jí)別要求以及當(dāng)不能滿足合同要求時(shí)的處理措c)信息技術(shù)外包服務(wù)的安全性及保密性的安排。包括但不限于要求服務(wù)提供商按照“必須知道”和“最小授權(quán)”原則對(duì)相關(guān)人員授權(quán)、與服務(wù)提供商簽署保密協(xié)議或保密條款、禁止服務(wù)提供商非授權(quán)披露或使用金融機(jī)構(gòu)及其客戶的信息、及時(shí)向金融機(jī)構(gòu)報(bào)告安全漏洞或安全事件、要求服務(wù)提供商督促包括其員工、臨時(shí)工、代理等在內(nèi)的相關(guān)人員遵守保密規(guī)定等；d)對(duì)服務(wù)提供商的控制要求。包括但不限于法律法規(guī)的遵從要求、監(jiān)管制度的通報(bào)貫徹機(jī)制、對(duì)服務(wù)提供商內(nèi)部控制的基本要求、金融機(jī)構(gòu)訪問(wèn)服務(wù)提供商工作記錄的要求、對(duì)服務(wù)提供商技術(shù)及管理上重要變動(dòng)的通知及審批要求、溝通及報(bào)告機(jī)制的e)外包服務(wù)的審計(jì)和檢查要求。包括但不限于金融機(jī)構(gòu)有權(quán)收到的審查報(bào)告的種類、對(duì)服務(wù)提供商審計(jì)或檢查的開(kāi)展頻率和方式、對(duì)服務(wù)提供商日常外包服務(wù)工作檢查的權(quán)力及方式、金融機(jī)構(gòu)及其監(jiān)管機(jī)構(gòu)開(kāi)展相關(guān)審查及獲得審查結(jié)果的權(quán)力和基本f)信息技術(shù)外包的費(fèi)用安排。g)信息技術(shù)外包服務(wù)的報(bào)告要求；h)知識(shí)產(chǎn)權(quán)及信息所有權(quán)的約定；i)外包服務(wù)的業(yè)務(wù)連續(xù)性安排；j)包括通知、審批在內(nèi)的分包相關(guān)約束要求及轉(zhuǎn)包的限制條款；k)合同的期限、合同終止的條件以及合同終止或變更時(shí)的過(guò)渡安排；l)爭(zhēng)端的解決機(jī)制；m)罰則及充分的賠償要求。a)定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)，及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；b)配合金融機(jī)構(gòu)接受相關(guān)監(jiān)督管理機(jī)構(gòu)的檢查；c)及時(shí)根據(jù)金融機(jī)構(gòu)要求以認(rèn)可的方式改正及改進(jìn)檢查中發(fā)現(xiàn)的問(wèn)題及不足；6d)保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；e)不得以金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)；f)不得將外包服務(wù)轉(zhuǎn)包或變相轉(zhuǎn)包，不將外包服務(wù)主要業(yè)務(wù)分包。對(duì)于存在分包情況的，主服務(wù)提供商需對(duì)服務(wù)水平負(fù)總責(zé)，承諾對(duì)分包商進(jìn)行監(jiān)控，并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)，以確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)9.4金融機(jī)構(gòu)在進(jìn)行信息技術(shù)外包時(shí)應(yīng)當(dāng)根據(jù)其預(yù)先確認(rèn)的服務(wù)要求與服務(wù)提供商簽訂a)外包服務(wù)的關(guān)鍵要素；b)服務(wù)時(shí)效以及可用性；c)數(shù)據(jù)的機(jī)密性和完整性；d)變更的控制；e)安全標(biāo)準(zhǔn)的遵守情況；f)業(yè)務(wù)連續(xù)性的遵守情況；g)技術(shù)支持水平。9.5金融機(jī)構(gòu)應(yīng)注意監(jiān)管法律、法規(guī)、規(guī)章和規(guī)范性文件的規(guī)定等對(duì)外包工作產(chǎn)生影響a)服務(wù)水平協(xié)議的有關(guān)要求；b)合同中的一些關(guān)鍵要素；c)外包監(jiān)控開(kāi)展的方式和頻率；d)監(jiān)控結(jié)果的報(bào)告流程；e)出現(xiàn)問(wèn)題時(shí)的升級(jí)流程；f)實(shí)施外包監(jiān)控時(shí)與服務(wù)提供商的爭(zhēng)議解決程序；g)跟蹤服務(wù)提供商對(duì)外包服務(wù)進(jìn)行改進(jìn)的措施；h)服務(wù)終止程序。機(jī)構(gòu)應(yīng)確保外包監(jiān)控覆蓋了信息技術(shù)外包合同中的一些關(guān)鍵要素，對(duì)于重a)信息系統(tǒng)或設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開(kāi)機(jī)率；b)故障次數(shù)、故障解決率、故障響應(yīng)時(shí)間；c)服務(wù)的次數(shù)、服務(wù)的客戶滿意度；d)業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)；e)外包服務(wù)的總?cè)藭r(shí)、外包人員的考核質(zhì)量、外包人員的離職率。10.2.5金融機(jī)構(gòu)應(yīng)對(duì)相關(guān)服務(wù)提供商就其所提a)要求服務(wù)提供商定期向金融機(jī)構(gòu)就外包工作相關(guān)的信息安全及內(nèi)控情況做出報(bào)告，并要求其承諾對(duì)報(bào)告的真實(shí)性負(fù)責(zé)；b)要求服務(wù)提供商指派符合資質(zhì)的內(nèi)部人員開(kāi)展相關(guān)審查工作，并及時(shí)向金融機(jī)構(gòu)提供有關(guān)報(bào)告。采取這一形式時(shí)，金融機(jī)構(gòu)關(guān)注服務(wù)提供商內(nèi)部審查人員的技術(shù)水平、專業(yè)經(jīng)驗(yàn)、履職能力及審查的獨(dú)立性；c)要求服務(wù)提供商邀請(qǐng)專業(yè)第三方機(jī)構(gòu)開(kāi)展相關(guān)審查工作，并及時(shí)向金融機(jī)構(gòu)提供有d)金融機(jī)構(gòu)指派內(nèi)部專業(yè)人員或邀請(qǐng)外部專業(yè)第三方對(duì)服務(wù)提供商就信息技術(shù)外包相關(guān)領(lǐng)域的信息安全及內(nèi)部控制情況進(jìn)行審查。a)與服務(wù)提供商進(jìn)行定期的溝通，就問(wèn)題進(jìn)行討論，協(xié)助及督促服務(wù)提供商進(jìn)行問(wèn)題b)視問(wèn)題的重大程度，根據(jù)有關(guān)監(jiān)管要求向監(jiān)管部門進(jìn)行報(bào)告；c)根據(jù)問(wèn)題的性質(zhì)依據(jù)預(yù)案啟動(dòng)外包應(yīng)急處理措施；d)根據(jù)合同規(guī)定實(shí)施罰則；e)根據(jù)合同規(guī)定終止外包服務(wù)，并做好過(guò)渡期的安排。8a)在外包服務(wù)實(shí)施的過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；b)與服務(wù)提供商事先約定在意外情況下購(gòu)買其外包服務(wù)資源的優(yōu)先權(quán)；c)要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；d)對(duì)于涉及重要的業(yè)務(wù)的外包服務(wù)，金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。10.4.2金融機(jī)構(gòu)應(yīng)針對(duì)重要外包服務(wù)中斷的a)事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供