(四) 服务提供商自行恢复服务的可能性和时间; (五) 备选的服务提供商以及外包服务迁移方案;
(六) 外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。
第五十一条 对于无法满足外包服务要求或发生重大事件的情
况,银行业金融机构应当在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。对于关联外包,银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。
第五章 机构集中度风险管理
第五十二条 银行业金融机构应当依据服务提供商所承接外包服
务的数量、金额在本行重要信息科技服务中的占比,服务提供商所承接外包服务在银行业服务市场占比情况,识别具有机构集中度特点的外包服务提供商。同时,还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。
第五十三条 银行业金融机构应当积极采用分散信息科技外包
活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条 银行业金融机构应当要求具有机构集中度特点的
外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条 银行业金融机构应当要求具有机构集中度特点的
外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条 银行业金融机构应当要求具有机构集中度特点的
外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信
息处臵等演练过程。
第五十七条 银行业金融机构应当特别加强对具有机构集中度
特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条 银行业金融机构应当对具有机构集中度特点的外
包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条 对于具有机构集中度特点的外包服务提供商为同
业托管机构的情况,银行业金融机构可参照本节内容对其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条 跨境外包是指在境外其他国家或地区实施的信息科
技外包服务活动。
第六十一条 跨境外包除具有本指引前述风险外,还包括由于某
一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条 银行业金融机构应当充分了解并持续监控服务提
供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条 银行业金融机构应当关注国外法律法规、监管要求
对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条 银行业金融机构在选择跨境外包时,应当明确其所
在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条 银行业金融机构在选择跨境外包时,还应当充分审
查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条 银行业金融机构在实施跨境外包时,其合同应当包
括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条 非驻场外包是指服务提供商不在银行业金融机构
现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条 银行业金融机构应当建立针对非驻场外包服务的
内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条 银行业金融机构应当对重要的非驻场外包服务进
行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条 银行业金融机构应当加强对外包服务提供商非驻场
外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条 对于非驻场外包服务提供商为同业托管机构的情
况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的
风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条 银行业重点外包服务机构是指集中为银行业金融
机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一) 承担集中存贮客户数据的业务交易系统外包服务;或承担银
行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二) 服务的法人银行业金融机构数量、服务合同金额占有本服务
领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第七十三条 银行业金融机构应当根据监管机构发布的银行业
重点外包服务机构风险提示,按照如下要求进行管理:
(一) 银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年。
(二) 银行业重点外包服务机构应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证。
(三) 银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行。
(四) 银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。
第七十四条 银行业金融机构应当要求银行业重点外包服务机
构具有如下相关领域资质认证:
(一) 具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。
(二) 具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证。
(三) 承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准。
(四) 承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第七十五条 银行业金融机构应当在风险管理、审计方面对银行
业重点外包服务机构提出如下要求:
(一) 银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施。
(二) 银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,年度风险评估报告需报送所服务的银行业金融机构,并抄送银监会或其派出机构。
(三) 银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。