第八章 监督管理
第七十六条 银行业金融机构开展以下信息科技外包服务时,应当
在外包合同签订前二十个工作日向银监会或其派出机构报告,针对银行业金融机构信息科技外包风险,银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
(一) 信息科技工作整体外包; (二) 数据中心或灾备中心整体外包; (三) 涉及将银行业金融机构客户资料、交易数据等敏感信息交由
服务提供商进行分析或处理的信息科技外包;
(四) 以非驻场形式实施的、集中存贮客户数据的业务交易系统外
包;
(五) 关联外包; (六) 涉及跨境的信息科技外包; (七) 其他银监会认为重要的信息科技外包。 第七十七条 银行业金融机构信息科技外包活动中发生如下重大
事件时,应当在两个工作日内向银监会或其派出机构报告。
(一) 银行业金融机构客户信息等敏感数据泄露; (二) 数据损毁或者重要业务运营中断; (三) 由于不可抗力或服务提供商重大经营、财务问题,导致或可
能导致多家银行业金融机构外包服务中断;
(四) 其他重大的服务提供商违法违规事件; (五) 银监会规定需要报告的其他重大事件。 第七十八条 银行业金融机构在开展年度外包风险管理评估工作
后,应当将年度风险评估报告报送银监会或其派出机构。
第七十九条 银监会及其派出机构对银行业金融机构信息科技外
包工作进行监督和检查,监督检查结果纳入对银行业金融机构的监管评级。
第八十条 对于风险较高的信息科技外包服务,银监会或其派出
机构可以要求银行业金融机构暂缓、中止该类外包服务,直至银行业金融机构、外包服务提供商有效改正。
第八十一条 银行业金融机构违反本指引规定的,银监会或其派出
机构可要求其纠正或采取替代方案,并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的,依法追究银行业金融机构管理责任。
第八十二条 银监会实行银行业信息科技外包服务活动风险监测
机制,定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示,防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。
第八十三条 银监会应当对具有机构集中度特点的银行业金融
机构信息科技外包服务进行重点风险监测、评估,根据需要,可以要求银行业金融机构与重点外包服务机构会谈,就其外包服务活动和风险的重大事项作出说明。
第八十四条 银监会应当组织银行业金融机构实地核查银行业重
点外包服务机构承担的银行业金融机构信息科技服务活动,原则上每两年进行一次,也可以委托其他第三方机构审计的形式实施。
第八十五条 银监会可以根据银行业金融机构信息科技服务活动
风险评估和实地核查结果,对银行业金融机构发出监管提示,要求其督促银行业重点外包服务机构对风险问题实施整改。
第八十六条 银行业重点外包服务机构应当配合银行业金融机构
及银监会的风险监测和实地核查。
第八十七条 银监会组织相关银行业金融机构对银行业信息科技
外包服务提供商建立服务管理记录,并对其进行风险评估和评级。
第八十八条 服务提供商在外包服务中存在以下情形的,银监会定
期向银行业发布服务提供商风险预警,公布机构名单、服务信息等,要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务,禁止期至少为两年。外包服务提供商两年内仍未整改的,延长其禁止期。
(一) 违反国家法律、法规和监管政策,情节严重的; (二) 窃取、泄露银行业金融机构敏感信息,情节严重的; (三) 因管理过失,多次发生重要信息系统服务中断或数据损毁、
丢失、泄露事件的;
(四) 服务质量低下并给多家银行业金融机构造成损失,多次提示
仍未整改的;
(五) 对风险监测和实地检查发现的问题,逾期仍未整改的; (六) 存在其他违法违规行为,或发生其他重大信息科技风险事件
的。
第八十九条 银监会负责监督银行业金融机构对信息科技外包服
务提供商实施准入管理。对于存在重大风险的外包活动,银行业金融机构应当立即评估外包的适当性,对信息科技外包服务提供商进行风险预警提示,要求其进行整改并设定期限;逾期未整改的,禁止其承担信息科技外包服务。
第九章 附则
第九十条 本指引由银监会负责解释、修订。 第九十一条 本指引自公布之日起施行。