善程度、内部控制技术和工具等。
第三十一条 银行业金融机构在尽职调查时应当关注服务提供商
的持续经营状况,包括但不限于:从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十二条 对于关联外包,银行业金融机构不得因关联关系而降
低对服务提供商的要求,应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平,确认其有足够能力实施外包服务、处理突发事件等。
第三十三条 对于外包服务提供商为同业托管机构的情况,银行业
金融机构可参照本节内容对其进行管理。
第三节 外包服务合同及要求
第三十四条 银行业金融机构在实施外包服务项目前,应当与服务
提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。
第三十五条 银行业金融机构在合同或协议中应当明确以下内容,
包括但不限于:
(一) 服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二) 合规与内控要求,对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三) 服务连续性要求,服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四) 银行业金融机构监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任;
(五) 政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;
(六) 外包服务过程中产生、加工、交互的信息和知识产权的归属
权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七) 服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
(八) 争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
(九) 报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第三十六条 银行业金融机构应当在合同或协议中明确服务提供
商在安全和保密方面的责任,以及针对安全及保密要求需采取的具体措施。包括但不限于:
(一) 禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息,以防止信息被非授权使用;
(二) 在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;
(三) 在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;
(四) 服务提供商接触银行业金融机构信息时,需满足安全和保密相关条款的要求;
(五) 在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向
银行业金融机构报告,包括事件的影响以及处臵和纠正措施。
第三十七条 银行业金融机构应当在合同或协议中明确要求服务
提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:
(一) 不得将外包服务的主要业务分包;
(二) 主服务提供商对服务水平负总责,确保分包服务提供商能够
严格遵守外包合同或协议;
(三) 主服务提供商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。
第四节 外包服务安全管理
第三十八条 银行业金融机构应当制定和落实信息安全管控措施,
防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括:
(一) 对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(二) 明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(三) 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(四) 定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十九条 银行业金融机构对关联外包服务提供商定期进行
的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
第四十条 银行业金融机构应当关注外包服务引入的新技术或
新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第五节 外包服务监控与评价
第四十一条 银行业金融机构应当对外包服务过程进行持续监
控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第四十二条 银行业金融机构应当根据信息科技外包需求、合同、
服务水平协议等建立明确的服务质量监控指标,并进行相应监控。常见指标包括:
(一) 信息系统和设备及基础设施的可用率、设备的开机率; (二) 故障次数、故障解决率、故障的响应时间; (三) 服务的次数、客户满意度;
(四) 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率; (五) 外包人员工作饱和率、外包人员的考核合格率。
第四十三条 银行业金融机构应当建立明确的服务目录、服务水
平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第四十四条 银行业金融机构应当对服务提供商的财务、内控及
安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第四十五条 银行业金融机构监控到异常情况时,应当及时督促
服务提供商采取纠正措施,情节严重的或未及时纠正的,应当约谈服务提供商高管人员并限期整改。
第四十六条 外包服务结束时,银行业金融机构应当对服务提供
商进行评价,评价结果应当作为服务提供商准入的重要参考依据。
第四十七条 对于关联外包,银行业金融机构董事会及高级管理
层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。同时,应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。
第六节 外包服务中断与终止
第四十八条 银行业金融机构应当考虑信息科技外包的引入对
业务连续性管理的影响,有针对性地完善业务连续性管理计划,包括但不限于:
(一) 识别出重要业务所涉及的服务提供商和资源;
(二) 通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;
(三) 对服务提供商业务连续性管理进行监控,并评价其管理水平; (四) 在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。
第四十九条 为降低外包突发事件的可能性及影响,银行业金融
机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(一) 在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(二) 与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(三) 要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(四) 对于涉及重要业务的外包服务,银行业金融机构需考虑预先在其内部配臵相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第五十条 银行业金融机构应当针对重要外包服务中断的场景,
拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(一) 事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(二) 事件持续时间和恢复可能性; (三) 事件影响范围和可能的应急措施;