銀行外包風(fēng)險(xiǎn)控制矩陣模版

《銀行外包風(fēng)險(xiǎn)控制矩陣模版》由會(huì)員分享，可在線閱讀，更多相關(guān)《銀行外包風(fēng)險(xiǎn)控制矩陣模版（52頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、國(guó)家開(kāi)發(fā)銀行IT外包專項(xiàng)審計(jì)風(fēng)險(xiǎn)與控制清單組組織織環(huán)環(huán)境境層層面面1 1ITIT外外包包組組織織環(huán)環(huán)境境管管理理1.1IT外包戰(zhàn)略及規(guī)劃1.2IT外包制度與流程1.3IT外包組織架構(gòu)1.4IT外包風(fēng)險(xiǎn)管理1.5流程創(chuàng)新與改進(jìn)1.6IT外包成熟度管理1.7IT外包外部監(jiān)管外外包包流流程程層層面面2 2ITIT外外包包采采購(gòu)購(gòu)管管理理3 3ITIT外外包包項(xiàng)項(xiàng)目目管管理理4 4交交付付管管理理5 5財(cái)財(cái)務(wù)務(wù)管管理理2.1準(zhǔn)入管理3.1IT外包項(xiàng)目實(shí)施生命周期管理4.1IT外包項(xiàng)目驗(yàn)收及交付質(zhì)量管理5.1預(yù)算管理2.2采購(gòu)需求管理3.2IT外包項(xiàng)目計(jì)劃4.2IT外包項(xiàng)目后評(píng)估管理2.3選擇與盡職調(diào)查

2、3.3IT外包項(xiàng)目審閱與監(jiān)控4.3IT供應(yīng)商評(píng)價(jià)2.4合同與SLA簽訂操操作作管管理理層層面面6 6安安全全管管理理7 7日日常常管管理理8 8重重要要供供應(yīng)應(yīng)商商管管理理6.1物理安全7.1IT外包資產(chǎn)管理8.1高集中度供應(yīng)商管理6.2數(shù)據(jù)安全7.2IT外包人員管理8.2行業(yè)重點(diǎn)供應(yīng)商管理6.3邏輯訪問(wèn)控制7.3供方管理8.3重要非駐場(chǎng)及跨境供應(yīng)商管理6.4公共媒介安全7.4問(wèn)題管理與根源分析6.5通訊及操作安全7.5服務(wù)連續(xù)性管理6.6業(yè)務(wù)連續(xù)性管理流流程程風(fēng)風(fēng)險(xiǎn)險(xiǎn)法法律律合合規(guī)規(guī)戰(zhàn)戰(zhàn)略略風(fēng)風(fēng)險(xiǎn)險(xiǎn)操操作作風(fēng)風(fēng)險(xiǎn)險(xiǎn)一一級(jí)級(jí)領(lǐng)領(lǐng)域域二二級(jí)級(jí)領(lǐng)領(lǐng)域域違違反反法法律律或或監(jiān)監(jiān)管管要要求求違違背背I

3、TIT戰(zhàn)戰(zhàn)略略信信息息泄泄露露IT外包組織環(huán)境管理IT外包戰(zhàn)略及規(guī)劃IT外包制度與流程IT外包組織架構(gòu)IT外包風(fēng)險(xiǎn)管理流程創(chuàng)新與改進(jìn)IT外包成熟度管理IT外包外部監(jiān)管IT外包采購(gòu)管理準(zhǔn)入管理采購(gòu)需求管理選擇與盡職調(diào)查合同與SLA簽訂IT外包項(xiàng)目管理IT外包項(xiàng)目實(shí)施生命周期管理IT外包項(xiàng)目計(jì)劃IT外包項(xiàng)目審閱與監(jiān)控交付管理IT外包項(xiàng)目驗(yàn)收及交付質(zhì)量管理IT外包項(xiàng)目后評(píng)估管理IT供應(yīng)商評(píng)價(jià)財(cái)務(wù)管理預(yù)算管理安全管理物理安全數(shù)據(jù)安全邏輯訪問(wèn)控制公共媒介安全通訊及操作安全業(yè)務(wù)連續(xù)性管理日常管理IT外包資產(chǎn)管理IT外包人員管理供方管理問(wèn)題管理與根源分析服務(wù)連續(xù)性管理重要供應(yīng)商管理高集中度供應(yīng)商管理行業(yè)重點(diǎn)

4、供應(yīng)商管理重要非駐場(chǎng)及跨境供應(yīng)商管理風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制牽牽頭頭方方聲聲譽(yù)譽(yù)風(fēng)風(fēng)險(xiǎn)險(xiǎn)國(guó)國(guó)別別風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理有有效效性性降降低低行行員員技技術(shù)術(shù)水水平平下下降降外外包包服服務(wù)務(wù)中中斷斷供供應(yīng)應(yīng)商商依依賴賴聲聲譽(yù)譽(yù)損損失失國(guó)國(guó)別別風(fēng)風(fēng)險(xiǎn)險(xiǎn)外外包包管管理理室室/運(yùn)運(yùn)行行調(diào)調(diào)度度室室風(fēng)風(fēng)險(xiǎn)險(xiǎn)操操作作風(fēng)風(fēng)險(xiǎn)險(xiǎn)安安全全內(nèi)內(nèi)控控室室安安全全管管理理室室綜綜合合管管理理室室預(yù)預(yù)算算管管理理相相關(guān)關(guān)部部室室項(xiàng)項(xiàng)目目實(shí)實(shí)施施團(tuán)團(tuán)隊(duì)隊(duì)風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制牽牽頭頭方方銀銀行行業(yè)業(yè)金金融融機(jī)機(jī)構(gòu)構(gòu)信信息息科科技技外外包包風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理指指引引風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制矩矩陣陣中中的的相相應(yīng)應(yīng)控控制制條條款款編編號(hào)號(hào)內(nèi)內(nèi)容容第第一一章

5、章 總總則則第一條 為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng)，降低信息科技外包風(fēng)險(xiǎn)，根據(jù)中華人民共和國(guó)銀行業(yè)監(jiān)督管理法、中華人民共和國(guó)商業(yè)銀行法等法律法規(guī)，制定本指引。不適用不適用第二條 在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省（自治區(qū)）農(nóng)村信用社聯(lián)合社適用本指引。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì)）監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。不適用不適用第三條 本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為，包含項(xiàng)目外包、人力資源外包等形式，原則上包括以下類(lèi)型：不適用不適用（一）研發(fā)咨詢類(lèi)外包：科技管理及科技治理

6、等咨詢?cè)O(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開(kāi)發(fā)、測(cè)試外包；不適用不適用（二）系統(tǒng)運(yùn)行維護(hù)類(lèi)外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；不適用不適用（三）業(yè)務(wù)外包中的信息科技活動(dòng)：市場(chǎng)拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。不適用不適用第四條 本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)信息科技外包。不適用不適用第五條 信息科技的外包可能產(chǎn)生如下風(fēng)險(xiǎn)，并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn)：不適用不適用（一）科技能力喪失：銀行業(yè)金融機(jī)構(gòu)過(guò)度依

7、賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；不適用不適用（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無(wú)法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；不適用不適用（三）信息泄露：包含客戶信息在內(nèi)的銀行業(yè)金融機(jī)構(gòu)非公開(kāi)數(shù)據(jù)被服務(wù)提供商非法獲得或泄露；不適用不適用（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問(wèn)題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。不適用不適用第六條 本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。不適用不適用第七條 本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融

8、機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。不適用不適用第八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。1.1.1.1應(yīng)建立明確的IT外包管理戰(zhàn)略，將外包管理納入全面風(fēng)險(xiǎn)管理體系第九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定期進(jìn)行外包風(fēng)險(xiǎn)評(píng)估，通過(guò)服務(wù)提供商準(zhǔn)入、評(píng)價(jià)、退出等手段建立及維護(hù)符合其戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。對(duì)照風(fēng)險(xiǎn)控制模型對(duì)照風(fēng)險(xiǎn)控制模型第十條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：1.1.1.3IT外包戰(zhàn)略的制定應(yīng)包括如下內(nèi)容：（1）

9、建立選擇和實(shí)施戰(zhàn)略的方針，確定指導(dǎo)外包行為的總則（2）建立外包戰(zhàn)略長(zhǎng)期目標(biāo)和短期目標(biāo)-盈利能力、財(cái)力資源、產(chǎn)品、研究與創(chuàng)新、組織結(jié)構(gòu)與活動(dòng)等（3）決定用以實(shí)現(xiàn)外包目標(biāo)的戰(zhàn)略，明確外包管理原則，確保風(fēng)險(xiǎn)、成本和效益的平衡，明確外包邊界，掌握核心技術(shù)的發(fā)展趨勢(shì)（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；1.1.1.3IT外包戰(zhàn)略的制定應(yīng)包括如下內(nèi)容：（1）建立選擇和實(shí)施戰(zhàn)略的方針，確定指導(dǎo)外包行為的總則（2）建立外包戰(zhàn)略長(zhǎng)期目標(biāo)和短期目標(biāo)-盈利能力、財(cái)力資源、產(chǎn)品、研究與創(chuàng)新、組織結(jié)構(gòu)與活動(dòng)等（3）決定用以實(shí)現(xiàn)外包目標(biāo)的戰(zhàn)略，明確外包管理原則，確保風(fēng)險(xiǎn)、成本和效益的平衡，明確外包邊界，掌握

10、核心技術(shù)的發(fā)展趨勢(shì)（二）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；1.1.1.3IT外包戰(zhàn)略的制定應(yīng)包括如下內(nèi)容：（1）建立選擇和實(shí)施戰(zhàn)略的方針，確定指導(dǎo)外包行為的總則（2）建立外包戰(zhàn)略長(zhǎng)期目標(biāo)和短期目標(biāo)-盈利能力、財(cái)力資源、產(chǎn)品、研究與創(chuàng)新、組織結(jié)構(gòu)與活動(dòng)等（3）決定用以實(shí)現(xiàn)外包目標(biāo)的戰(zhàn)略，明確外包管理原則，確保風(fēng)險(xiǎn)、成本和效益的平衡，明確外包邊界，掌握核心技術(shù)的發(fā)展趨勢(shì)（三）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；1.1.1.3IT外包戰(zhàn)略的制定應(yīng)包括如下內(nèi)容：（1）建立選擇和實(shí)施戰(zhàn)略的方針，確定指導(dǎo)外包行為的總則（2）建立外包戰(zhàn)略長(zhǎng)期目標(biāo)和短期目標(biāo)-盈利能力、財(cái)力資源、產(chǎn)品、研究與創(chuàng)新、組織結(jié)構(gòu)與活

11、動(dòng)等（3）決定用以實(shí)現(xiàn)外包目標(biāo)的戰(zhàn)略，明確外包管理原則，確保風(fēng)險(xiǎn)、成本和效益的平衡，明確外包邊界，掌握核心技術(shù)的發(fā)展趨勢(shì)（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì)，持續(xù)改進(jìn)外包策略和措施。1.1.1.3IT外包戰(zhàn)略的制定應(yīng)包括如下內(nèi)容：（1）建立選擇和實(shí)施戰(zhàn)略的方針，確定指導(dǎo)外包行為的總則（2）建立外包戰(zhàn)略長(zhǎng)期目標(biāo)和短期目標(biāo)-盈利能力、財(cái)力資源、產(chǎn)品、研究與創(chuàng)新、組織結(jié)構(gòu)與活動(dòng)等（3）決定用以實(shí)現(xiàn)外包目標(biāo)的戰(zhàn)略，明確外包管理原則，確保風(fēng)險(xiǎn)、成本和效益的平衡，明確外包邊界，掌握核心技術(shù)的發(fā)展趨勢(shì)第十一條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)，不得將其信息科技管理責(zé)任外包。1.1.1.4應(yīng)在外包戰(zhàn)略中明確外包

12、邊界，不將信息科技管理責(zé)任外包第十二條 對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購(gòu)、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn)，按照本指引第五章要求進(jìn)行管理。8.1高集中度供應(yīng)商管理第第二二章章 外外包包管管理理組組織織架架構(gòu)構(gòu)第十三條 銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé),明確信息科技外包風(fēng)險(xiǎn)管理的主管部門(mén)，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。1.3.1.1應(yīng)建立相應(yīng)制度，對(duì)IT外包管理組織進(jìn)行規(guī)定，包括但不限于如下內(nèi)容：

13、1.IT外包管理架構(gòu)2.管理角色與具體職責(zé)分工3.性能審閱后采取的行動(dòng)的監(jiān)控4.與管理層針對(duì)IT外包管理的溝通和時(shí)間升級(jí)方式5.架構(gòu)變更流程第十四條 信息科技外包風(fēng)險(xiǎn)主管部門(mén)的主要職責(zé)包括：1.3.1.3信息科技外包風(fēng)險(xiǎn)主管部門(mén)的主要職責(zé)包括對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、處置、監(jiān)控和報(bào)告（一）對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示；1.3.1.3信息科技外包風(fēng)險(xiǎn)主管部門(mén)的主要職責(zé)包括對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、處置、監(jiān)控和報(bào)告（二）監(jiān)督、評(píng)價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；1.3.1.3信息科技外包風(fēng)險(xiǎn)主管部門(mén)的主要職責(zé)包括對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、處置、監(jiān)控和報(bào)告（三）向高級(jí)管理層定期匯報(bào)

14、信息科技外包活動(dòng)開(kāi)展相關(guān)風(fēng)險(xiǎn)管理情況；1.3.1.3信息科技外包風(fēng)險(xiǎn)主管部門(mén)的主要職責(zé)包括對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、處置、監(jiān)控和報(bào)告（四）董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。1.3.1.3信息科技外包風(fēng)險(xiǎn)主管部門(mén)的主要職責(zé)包括對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估、處置、監(jiān)控和報(bào)告第十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門(mén)或信息科技外包活動(dòng)執(zhí)行部門(mén)內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì)，并配備足夠人員履行以下職責(zé)：1.3.1.1應(yīng)建立外包管理部門(mén)，對(duì)IT外包管理組織進(jìn)行規(guī)定，包括但不限于如下內(nèi)容：1.IT外包管理架構(gòu)2.管理角色與具體職責(zé)分工3.性能審閱后采取的行動(dòng)的監(jiān)控4.與管理層針對(duì)IT外

15、包管理的溝通和時(shí)間升級(jí)方式5.架構(gòu)變更流程（一）實(shí)施信息科技外包戰(zhàn)略；1.1.1.1應(yīng)建立明確的IT外包管理戰(zhàn)略，將外包管理納入全面風(fēng)險(xiǎn)管理體系（二）制定并執(zhí)行信息科技外包管理制度與流程；1.2.2.1應(yīng)建立正式的制度，包括但不限于如下內(nèi)容：1.針對(duì)新流程的指引 -審閱與批準(zhǔn)規(guī)則 -溝通與發(fā)布規(guī)則2.針對(duì)已有流程的維護(hù)的指引 -變更管理規(guī)則 -定制及客戶化流程（根據(jù)項(xiàng)目種類(lèi)不同）3.針對(duì)流程中生成物的保管及相應(yīng)的訪問(wèn)控制機(jī)制的指引（三）執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；247.3IT外包采購(gòu)管理交付管理供方管理（四）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定

16、期演練；7.5服務(wù)連續(xù)性管理（五）對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理的主管部門(mén)報(bào)告外包活動(dòng)情況。3.3IT外包項(xiàng)目審閱與監(jiān)控第第三三章章 信信息息科科技技外外包包戰(zhàn)戰(zhàn)略略及及風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理第第一一節(jié)節(jié) 信信息息科科技技外外包包戰(zhàn)戰(zhàn)略略第十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標(biāo)?；谛畔⒖萍紤?zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略。1.1.1.1應(yīng)建立明確的IT外包管理戰(zhàn)略第十七條 銀行業(yè)金融機(jī)構(gòu)

17、應(yīng)當(dāng)根據(jù)自身的信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不得外包。1.1.1.4應(yīng)在外包戰(zhàn)略中明確外包邊界，不將信息科技管理責(zé)任外包第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案，通過(guò)補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式，有針對(duì)性地獲取或提升管理及技術(shù)能力，降低對(duì)服務(wù)提供商的依賴。1.1.1.3IT外包戰(zhàn)略的制定應(yīng)包括如下內(nèi)容：（1）建立選擇和實(shí)施戰(zhàn)略的方針，確定指導(dǎo)外包行為的總則（2）建立外包戰(zhàn)略長(zhǎng)期目標(biāo)和短期目標(biāo)-盈利能力、財(cái)力資源、產(chǎn)品、研究與創(chuàng)新、組織結(jié)構(gòu)與活動(dòng)等（3）決定用以實(shí)現(xiàn)外包目標(biāo)的戰(zhàn)略，明確外包管理原則，確

18、保風(fēng)險(xiǎn)、成本和效益的平衡，掌握核心技術(shù)的發(fā)展趨勢(shì)（4）加強(qiáng)自身能力建設(shè)，降低對(duì)供應(yīng)商的依賴第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場(chǎng)地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。通過(guò)準(zhǔn)入和退出機(jī)制合理管控各類(lèi)高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量，實(shí)現(xiàn)以下目標(biāo)：防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn)，通過(guò)引入適當(dāng)?shù)母?jìng)爭(zhēng)在降低采購(gòu)成本的同時(shí)提高服務(wù)質(zhì)量，合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。7.3.1.1應(yīng)建立供應(yīng)商關(guān)系管理策略，明確角色與職責(zé)，對(duì)不同關(guān)系的供應(yīng)商進(jìn)行有重點(diǎn)的管控，降低管理成本，加強(qiáng)風(fēng)險(xiǎn)管控第二十條 銀行業(yè)金融機(jī)構(gòu)可按照外包服務(wù)性質(zhì)和重要性程度對(duì)服務(wù)提供商進(jìn)行分級(jí)管理，對(duì)不同級(jí)別的服務(wù)提供商采取差異化

19、的管控措施，在有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。7.3.1.12應(yīng)針對(duì)不同關(guān)系的供應(yīng)商建立不同的應(yīng)用實(shí)例，區(qū)分風(fēng)險(xiǎn)管控力度和方法，從而提高管理效率第二十一條 銀行業(yè)金融機(jī)構(gòu)要同母公司或集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作，但應(yīng)當(dāng)保持管理外包有關(guān)決策的獨(dú)立性，避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平。1.1.1.5應(yīng)在外包戰(zhàn)略中考慮分行及子公司的相關(guān)外包，制定整體戰(zhàn)略，保持分行及子公司管理外包有關(guān)決策的獨(dú)立性，避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平第第二二節(jié)節(jié) 信信息息科科技技外外包包風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理第二十二條 銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)主管部門(mén)應(yīng)當(dāng)至少每年開(kāi)展一次全面的

20、外包風(fēng)險(xiǎn)管理評(píng)估，保持評(píng)估的獨(dú)立性，并向高級(jí)管理層提交評(píng)估報(bào)告。評(píng)估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場(chǎng)變化對(duì)外包服務(wù)的影響分析等。1.4.1.11應(yīng)當(dāng)至少每年開(kāi)展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估，保持評(píng)估的獨(dú)立性，并向高級(jí)管理層提交評(píng)估報(bào)告第二十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期風(fēng)險(xiǎn)評(píng)估，保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評(píng)估內(nèi)容包括：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。1.4.1.10定期審閱供應(yīng)商的風(fēng)險(xiǎn)控制矩陣，對(duì)重要的外包服務(wù)提供商進(jìn)行定期風(fēng)險(xiǎn)

21、評(píng)估，三年內(nèi)覆蓋所有供應(yīng)商第二十四條 銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門(mén)應(yīng)當(dāng)定期開(kāi)展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)及時(shí)開(kāi)展專項(xiàng)審計(jì)。1.4.1.12內(nèi)部審計(jì)部門(mén)應(yīng)當(dāng)定期開(kāi)展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)及時(shí)開(kāi)展專項(xiàng)審計(jì)第第四四章章 信信息息科科技技外外包包管管理理第第一一節(jié)節(jié) 外外包包風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估及及準(zhǔn)準(zhǔn)入入第二十五條 外包項(xiàng)目立項(xiàng)前，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，制定相應(yīng)的風(fēng)險(xiǎn)處置措施，

22、不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。2.3.1.1 外包項(xiàng)目立項(xiàng)前，應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，制定相應(yīng)的風(fēng)險(xiǎn)處置措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。第二十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對(duì)備選服務(wù)提供商進(jìn)行初步篩選，防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。2.1準(zhǔn)入管理第二十七條 對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理

23、。2.1.1.4同業(yè)托管供應(yīng)商準(zhǔn)入管理與其他供應(yīng)商保持一致第第二二節(jié)節(jié) 服服務(wù)務(wù)提提供供商商盡盡職職調(diào)調(diào)查查第二十八條 對(duì)重要的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開(kāi)展盡職調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。2.3.5.1應(yīng)對(duì)重要供應(yīng)商進(jìn)行背景調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查；如果有需要，確定對(duì)特殊業(yè)務(wù)涉及的外包人員進(jìn)行了額外的背景調(diào)查；在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注供應(yīng)商的技術(shù)和行業(yè)經(jīng)驗(yàn)、內(nèi)部控制和管理能力、持續(xù)經(jīng)營(yíng)狀況第二十九條 銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等。2.3.5

24、.1應(yīng)對(duì)重要供應(yīng)商進(jìn)行背景調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查；如果有需要，確定對(duì)特殊業(yè)務(wù)涉及的外包人員進(jìn)行了額外的背景調(diào)查；在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注供應(yīng)商的技術(shù)和行業(yè)經(jīng)驗(yàn)、內(nèi)部控制和管理能力、持續(xù)經(jīng)營(yíng)狀況第三十條 銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。2.3.5.1應(yīng)對(duì)重要供應(yīng)商進(jìn)行背景調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查；如果有需要，確定對(duì)特殊業(yè)務(wù)涉及的外包人員進(jìn)行了額外的背景調(diào)查；在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注供應(yīng)商的技術(shù)和行業(yè)經(jīng)驗(yàn)、內(nèi)部控制和管理能力、持續(xù)經(jīng)營(yíng)狀況第三十一條 銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)

25、當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況，包括但不限于：從業(yè)時(shí)間、市場(chǎng)地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。2.3.5.1應(yīng)對(duì)重要供應(yīng)商進(jìn)行背景調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查；如果有需要，確定對(duì)特殊業(yè)務(wù)涉及的外包人員進(jìn)行了額外的背景調(diào)查；在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注供應(yīng)商的技術(shù)和行業(yè)經(jīng)驗(yàn)、內(nèi)部控制和管理能力、持續(xù)經(jīng)營(yíng)狀況第三十二條 對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對(duì)服務(wù)提供商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等。2.3.5.2對(duì)于關(guān)聯(lián)外包，不得因關(guān)聯(lián)關(guān)系而降低對(duì)供應(yīng)商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供

26、商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等第三十三條 對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。2.3.5.2對(duì)于關(guān)聯(lián)外包或同業(yè)托管，不得因關(guān)聯(lián)關(guān)系而降低對(duì)供應(yīng)商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等第第三三節(jié)節(jié) 外外包包服服務(wù)務(wù)合合同同及及要要求求第三十四條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前，應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及盡職調(diào)查結(jié)果確定其詳細(xì)程度和重點(diǎn)。2.4.1.1應(yīng)建立簽訂合同及定期審閱逾期合同、續(xù)期合同、補(bǔ)充合

27、同，并上報(bào)給管理層的管理機(jī)制第三十五條 銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：2.4合同與SLA簽訂（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；2.4.2.2合同主文件中應(yīng)包含如下基本內(nèi)容：（1）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（2）外包服務(wù)的保密性和安全性的安排；（3）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（4）外包服務(wù)的審計(jì)和檢查；（5）外包爭(zhēng)端的解決機(jī)制；（6）合同或協(xié)議變更或終止的過(guò)渡安排；（7）違約責(zé)任；（8）對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)水平協(xié)議。（二）合規(guī)與內(nèi)控要求，對(duì)法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管

28、政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施；2.4.2.2合同主文件中應(yīng)包含如下基本內(nèi)容：（1）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（2）外包服務(wù)的保密性和安全性的安排；（3）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（4）外包服務(wù)的審計(jì)和檢查；（5）外包爭(zhēng)端的解決機(jī)制；（6）合同或協(xié)議變更或終止的過(guò)渡安排；（7）違約責(zé)任；（8）對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)水平協(xié)議。（三）服務(wù)連續(xù)性要求，服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求；2.4.2.2合同主文件中應(yīng)包含如下基本內(nèi)容：（1）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（2）外包服務(wù)的保密性和安全性的安排；（3）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（4）外

29、包服務(wù)的審計(jì)和檢查；（5）外包爭(zhēng)端的解決機(jī)制；（6）合同或協(xié)議變更或終止的過(guò)渡安排；（7）違約責(zé)任；（8）對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)水平協(xié)議。（四）銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)利、頻率，服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查，及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任；2.4.2.2合同主文件中應(yīng)包含如下基本內(nèi)容：（1）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（2）外包服務(wù)的保密性和安全性的安排；（3）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（4）外包服務(wù)的審計(jì)和檢查；（5）外包爭(zhēng)端的解決機(jī)制；（6）合同或協(xié)議變更或終止的過(guò)渡安排；（7）違約責(zé)任；（8）對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)水平協(xié)議。（五）政策或環(huán)境變化

30、因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過(guò)渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過(guò)渡安排，包括信息、資料和設(shè)施的交接處置等過(guò)渡期間相關(guān)服務(wù)的安排；2.4.1.2應(yīng)建立合同變更的流程與制度，包括但不限于補(bǔ)充合同模板（六）外包服務(wù)過(guò)程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；2.4.2.7合同中應(yīng)對(duì)知識(shí)轉(zhuǎn)移及知識(shí)產(chǎn)權(quán)的管理進(jìn)行規(guī)定（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等；2.4.2.2合

31、同主文件中應(yīng)包含如下基本內(nèi)容：（1）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（2）外包服務(wù)的保密性和安全性的安排；（3）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（4）外包服務(wù)的審計(jì)和檢查；（5）外包爭(zhēng)端的解決機(jī)制；（6）合同或協(xié)議變更或終止的過(guò)渡安排；（7）違約責(zé)任；（8）對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)水平協(xié)議。（八）爭(zhēng)端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭(zhēng)端的解決機(jī)制；2.4.2.2合同主文件中應(yīng)包含如下基本內(nèi)容：（1）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（2）外包服務(wù)的保密性和安全性的安排；（3）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（4）外包服務(wù)的審

32、計(jì)和檢查；（5）外包爭(zhēng)端的解決機(jī)制；（6）合同或協(xié)議變更或終止的過(guò)渡安排；（7）違約責(zé)任；（8）對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)水平協(xié)議。（九）報(bào)告條款，至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。2.4.2.3合同文件中應(yīng)包含如下需供應(yīng)商承諾的內(nèi)容：（1）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；（2）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；（4）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；（5）不得以銀行業(yè)金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)；（6）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。第三十六

33、條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任，以及針對(duì)安全及保密要求需采取的具體措施，包括但不限于：2.4.2.3合同文件中應(yīng)包含如下需供應(yīng)商承諾的內(nèi)容：（1）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；（2）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；（4）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；（5）不得以銀行業(yè)金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)；（6）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息，以防止信息被非授權(quán)的使用；2.4.2.3合同文

34、件中應(yīng)包含如下需供應(yīng)商承諾的內(nèi)容：（1）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；（2）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；（4）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；（5）不得以銀行業(yè)金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)；（6）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。（二）在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)力的保護(hù)條款、事故處理方式及違約賠償條款；2.4.2.3合同文件中應(yīng)包含如下需供應(yīng)商承諾的內(nèi)容：（1）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；（2）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機(jī)

35、構(gòu)的檢查；（4）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；（5）不得以銀行業(yè)金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)；（6）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。銀銀行行業(yè)業(yè)金金融融機(jī)機(jī)構(gòu)構(gòu)信信息息科科技技外外包包風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理指指引引風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制矩矩陣陣中中的的相相應(yīng)應(yīng)控控制制條條款款編編號(hào)號(hào)內(nèi)內(nèi)容容（三）在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開(kāi)展活動(dòng)；6.4.1.5未經(jīng)授權(quán)，供應(yīng)商不得以銀行的名義參加其他組織舉辦的任何形式的會(huì)議，或?yàn)槠渌M織或個(gè)人提供咨詢、建議等服務(wù)（四）服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí)，需滿足安全和保密相

36、關(guān)條款的要求；2.4.2.2合同主文件中應(yīng)包含如下基本內(nèi)容：（1）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（2）外包服務(wù)的保密性和安全性的安排；（3）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（4）外包服務(wù)的審計(jì)和檢查；（5）外包爭(zhēng)端的解決機(jī)制；（6）合同或協(xié)議變更或終止的過(guò)渡安排；（7）違約責(zé)任；（8）對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，可簽訂服務(wù)水平協(xié)議。（五）在發(fā)生銀監(jiān)會(huì)規(guī)定的信息安全突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類(lèi)突發(fā)事件時(shí)，服務(wù)提供商應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告，包括事件的影響以及處置和糾正措施。2.4.2.3合同文件中應(yīng)包含如下需供應(yīng)商承諾的內(nèi)容：（1）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；（2）及時(shí)通報(bào)

37、外包活動(dòng)的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；（4）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；（5）不得以銀行業(yè)金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)；（6）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。第三十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：2.4.2.4合同文件中應(yīng)包含（1）服務(wù)提供商分包的規(guī)則；（2）分包服務(wù)提供商應(yīng)當(dāng)嚴(yán)格遵守主供應(yīng)商與銀行確定的外包合同或協(xié)議中的相關(guān)條款；（3）主服務(wù)商應(yīng)當(dāng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對(duì)服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；（4）不得將外包

38、活動(dòng)的主要業(yè)務(wù)分包；（5）服務(wù)提供商不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；2.4.2.4合同文件中應(yīng)包含（1）服務(wù)提供商分包的規(guī)則；（2）分包服務(wù)提供商應(yīng)當(dāng)嚴(yán)格遵守主供應(yīng)商與銀行確定的外包合同或協(xié)議中的相關(guān)條款；（3）主服務(wù)商應(yīng)當(dāng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對(duì)服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；（4）不得將外包活動(dòng)的主要業(yè)務(wù)分包；（5）服務(wù)提供商不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包（二）主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議；2.4.2.4合同文件中應(yīng)包含（1）服務(wù)提供商分包的規(guī)則；（2）分包服務(wù)提供商應(yīng)當(dāng)嚴(yán)格遵守主供應(yīng)商與銀行確定的外包合同或協(xié)議中的相

39、關(guān)條款；（3）主服務(wù)商應(yīng)當(dāng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對(duì)服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；（4）不得將外包活動(dòng)的主要業(yè)務(wù)分包；（5）服務(wù)提供商不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包（三）主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控，并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。2.4.2.4合同文件中應(yīng)包含（1）服務(wù)提供商分包的規(guī)則；（2）分包服務(wù)提供商應(yīng)當(dāng)嚴(yán)格遵守主供應(yīng)商與銀行確定的外包合同或協(xié)議中的相關(guān)條款；（3）主服務(wù)商應(yīng)當(dāng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對(duì)服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；（4）不得將外包活動(dòng)的主要業(yè)務(wù)分包；（5）服務(wù)提供商不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包第第四四節(jié)節(jié) 外外包包服服務(wù)務(wù)安安全全管管理理第三十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制

40、定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)，具體措施包括：6安全管理（一）對(duì)外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)管理意識(shí)，確保信息安全管控措施在外包服務(wù)過(guò)程中有效落實(shí)；6.3.7.26.6.5.4應(yīng)加強(qiáng)對(duì)使用移動(dòng)辦公的外包人員的安全培訓(xùn)，提高其對(duì)移動(dòng)辦公可能導(dǎo)致的附加風(fēng)險(xiǎn)的防范意識(shí)應(yīng)定期舉行災(zāi)難恢復(fù)計(jì)劃的培訓(xùn)，并保留培訓(xùn)的記錄，確保外包人員了解自身的職責(zé)與操作（二）明確外包活動(dòng)需要訪問(wèn)或使用的信息資產(chǎn)，包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問(wèn)控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道“和“最小

41、授權(quán)”原則進(jìn)行訪問(wèn)授權(quán)；6安全管理（三）對(duì)重要或核心的信息系統(tǒng)開(kāi)發(fā)交付物進(jìn)行源代碼檢查和安全掃描；6.5.4.1應(yīng)對(duì)供應(yīng)商提供的重要或核心的信息系統(tǒng)開(kāi)發(fā)交付物進(jìn)行源代碼檢查和安全掃描（四）定期對(duì)服務(wù)提供商進(jìn)行安全檢查，獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。6.1.1.46.2.1.56.3.1.66.5.1.116.6.1.2定期對(duì)供應(yīng)商進(jìn)行物理安全檢查，獲取供應(yīng)商自評(píng)估或第三方評(píng)估報(bào)告；在對(duì)關(guān)聯(lián)供應(yīng)商進(jìn)行定期安全檢查時(shí)，不得以供應(yīng)商的自評(píng)估來(lái)替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性第三十九條 銀行業(yè)金融機(jī)構(gòu)在對(duì)關(guān)聯(lián)外包的服務(wù)提供商定期進(jìn)行的安全檢查，不得以服務(wù)提供商的自評(píng)估來(lái)替

42、代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。6.1.1.46.2.1.56.3.1.66.5.1.116.6.1.2定期對(duì)供應(yīng)商進(jìn)行物理安全檢查，獲取供應(yīng)商自評(píng)估或第三方評(píng)估報(bào)告；在對(duì)關(guān)聯(lián)供應(yīng)商進(jìn)行定期安全檢查時(shí)，不得以供應(yīng)商的自評(píng)估來(lái)替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性第四十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時(shí)完善信息安全管控體系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。6.5.3.4應(yīng)對(duì)外包服務(wù)引入的新技術(shù)或應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊進(jìn)行分析，及時(shí)完善現(xiàn)有的管控體系，避免額外的信息安全風(fēng)險(xiǎn)第

43、第五五節(jié)節(jié) 外外包包服服務(wù)務(wù)監(jiān)監(jiān)控控與與評(píng)評(píng)價(jià)價(jià)第四十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控，要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類(lèi)異常情況。3.3IT外包項(xiàng)目審閱與監(jiān)控第四十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技的外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo)，并進(jìn)行相應(yīng)的監(jiān)控。常見(jiàn)指標(biāo)包括：3.3.3過(guò)程質(zhì)量監(jiān)控（一）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開(kāi)機(jī)率；3.3.3過(guò)程質(zhì)量監(jiān)控（二）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；3.3.3過(guò)程質(zhì)量監(jiān)控（三）服務(wù)的次數(shù)、客戶滿意度；3.3.3過(guò)程質(zhì)量監(jiān)控（四）各階

44、段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；3.3.3過(guò)程質(zhì)量監(jiān)控（五）外包人員工作飽和率、外包人員的考核合格率。3.3.3過(guò)程質(zhì)量監(jiān)控第四十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄,服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性，且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。2.4.1.14.1.1.104.3.1.7應(yīng)建立簽訂合同及定期審閱逾期合同、續(xù)期合同、補(bǔ)充合同，并上報(bào)給管理層的管理機(jī)制。合同及SLA應(yīng)至少保存到服務(wù)結(jié)束后一年。階段性驗(yàn)收?qǐng)?bào)告和最終驗(yàn)收?qǐng)?bào)告應(yīng)由驗(yàn)收小組進(jìn)行簽字，并根據(jù)采購(gòu)制度提交管理層審批并保存至少一年完成的答題應(yīng)由相應(yīng)答題部門(mén)

45、的管理層對(duì)答題結(jié)果進(jìn)行確認(rèn)與審批，答題結(jié)果應(yīng)保存至少一年第四十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。3.3.5.1項(xiàng)目執(zhí)行過(guò)程中應(yīng)對(duì)存在的IT外包風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)控，對(duì)可能影響項(xiàng)目進(jìn)展的技術(shù)、管理、經(jīng)濟(jì)風(fēng)險(xiǎn)進(jìn)行及時(shí)控制與回報(bào)第四十五條 銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時(shí)，應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施，情節(jié)嚴(yán)重的或未及時(shí)糾正的，應(yīng)當(dāng)約談服務(wù)提供商高管人員并限期整改。4.3.2.1應(yīng)結(jié)合對(duì)外包人員的日常合規(guī)檢查及定期抽查，建立

46、供應(yīng)商合規(guī)考核的評(píng)價(jià)機(jī)制，對(duì)供應(yīng)商的異常情況進(jìn)行及時(shí)糾正第四十六條 外包服務(wù)結(jié)束時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。4.3.1.2應(yīng)建立供應(yīng)商績(jī)效考核的評(píng)價(jià)機(jī)制，識(shí)別與明確供應(yīng)商評(píng)價(jià)的指標(biāo)與計(jì)量方式4.3.3.1應(yīng)根據(jù)供應(yīng)商績(jī)效考核/合規(guī)考核結(jié)果觸發(fā)相應(yīng)的結(jié)果應(yīng)用，實(shí)行對(duì)供應(yīng)商的獎(jiǎng)懲機(jī)制第四十七條 對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)推動(dòng)母公司或所屬集團(tuán)將外包服務(wù)質(zhì)量納入對(duì)服務(wù)提供商的業(yè)績(jī)?cè)u(píng)價(jià)范圍，建立外包服務(wù)重大事件問(wèn)責(zé)機(jī)制。同時(shí)，應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績(jī)效考核機(jī)制。4.3.3.5關(guān)聯(lián)供應(yīng)商應(yīng)納入

47、供應(yīng)商績(jī)效考核的范圍內(nèi)第第六六節(jié)節(jié) 外外包包服服務(wù)務(wù)中中斷斷與與終終止止第四十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對(duì)業(yè)務(wù)連續(xù)性管理的影響，有針對(duì)性的完善業(yè)務(wù)連續(xù)性管理計(jì)劃，包括但不限于：7.5服務(wù)連續(xù)性管理（一）識(shí)別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源；7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.識(shí)別出重要業(yè)務(wù)所涉及的供應(yīng)商和資源；3.事件持續(xù)時(shí)間和恢復(fù)可能性；4.事件影響范圍和可能的應(yīng)急措施；5.服務(wù)提供商自行恢

48、復(fù)服務(wù)的可能性和時(shí)間；6.備選的服務(wù)提供商以及外包服務(wù)遷移方案；7.外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。（二）通過(guò)合同、協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源；7.5.1.3應(yīng)要求供應(yīng)商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，作為合同附件,并對(duì)應(yīng)急處理預(yù)案定期進(jìn)行檢查更新。（三）對(duì)服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控，并評(píng)價(jià)其管理水平；6.5.1.2定期對(duì)供應(yīng)商進(jìn)行業(yè)務(wù)連續(xù)性管理安全檢查，獲取供應(yīng)商自評(píng)估或第三方評(píng)估報(bào)告；在對(duì)關(guān)聯(lián)供應(yīng)商進(jìn)行定期安全檢查時(shí)，不得以供應(yīng)商的自評(píng)估來(lái)替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性（四）在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相

49、關(guān)的服務(wù)提供商納入演練范圍。7.5.2.4應(yīng)定期對(duì)項(xiàng)目級(jí)應(yīng)急預(yù)案進(jìn)行演練，總結(jié)分析演練結(jié)果，并要求相應(yīng)供應(yīng)商參與演練。第四十九條 為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：7.5服務(wù)連續(xù)性管理（一）在外包服務(wù)實(shí)施的過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；7.5.1.5在外包服務(wù)實(shí)施過(guò)程中，應(yīng)持續(xù)收集供應(yīng)商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況（二）與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán)；7.5.1.2應(yīng)與供應(yīng)商約定在其不

50、能提供持續(xù)服務(wù)的情況下購(gòu)買(mǎi)其外包服務(wù)資源的優(yōu)先權(quán)（三）要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；7.5.1.3應(yīng)要求供應(yīng)商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，作為合同附件,并對(duì)應(yīng)急處理預(yù)案定期進(jìn)行檢查更新。（四）對(duì)于涉及重要業(yè)務(wù)的外包服務(wù)，銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。7.5.1.4針對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)：1.應(yīng)要求供應(yīng)商針對(duì)非正常退出的情況購(gòu)買(mǎi)商業(yè)保險(xiǎn)或預(yù)支風(fēng)險(xiǎn)擔(dān)保金；2.銀行應(yīng)為外包服務(wù)的關(guān)鍵角色配備相應(yīng)的行內(nèi)人力資源，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。第五

51、十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景，擬定相應(yīng)的應(yīng)急計(jì)劃，并定期進(jìn)行演練，應(yīng)考慮的因素包括但不限于以下內(nèi)容：7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.事件持續(xù)時(shí)間和恢復(fù)可能性；3.事件影響范圍和可能的應(yīng)急措施；4.服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；5.備選的服務(wù)提供商以及外包服務(wù)遷移方案；6.外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。銀銀行行業(yè)業(yè)金金融融機(jī)機(jī)構(gòu)構(gòu)信信息息科科技技外外包

52、包風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理指指引引風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制矩矩陣陣中中的的相相應(yīng)應(yīng)控控制制條條款款編編號(hào)號(hào)內(nèi)內(nèi)容容（一）事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.事件持續(xù)時(shí)間和恢復(fù)可能性；3.事件影響范圍和可能的應(yīng)急措施；4.服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；5.備選的服務(wù)提供商以及外包服務(wù)遷移方案；7.外包

53、服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。（二）事件持續(xù)時(shí)間和恢復(fù)可能性；7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.事件持續(xù)時(shí)間和恢復(fù)可能性；3.事件影響范圍和可能的應(yīng)急措施；4.服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；5.備選的服務(wù)提供商以及外包服務(wù)遷移方案；8.外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。（三）事件影響范圍和可能的應(yīng)急措施；7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定

54、組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.事件持續(xù)時(shí)間和恢復(fù)可能性；3.事件影響范圍和可能的應(yīng)急措施；4.服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；5.備選的服務(wù)提供商以及外包服務(wù)遷移方案；9.外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。（四）服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并

55、或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.事件持續(xù)時(shí)間和恢復(fù)可能性；3.事件影響范圍和可能的應(yīng)急措施；4.服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；5.備選的服務(wù)提供商以及外包服務(wù)遷移方案；10.外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。（五）備選的服務(wù)提供商以及外包服務(wù)遷移方案；7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.事件持續(xù)時(shí)間和恢復(fù)可能性；3.事件影響范圍和可能的應(yīng)急措施；4.服務(wù)提供商自行恢復(fù)

56、服務(wù)的可能性和時(shí)間；5.備選的服務(wù)提供商以及外包服務(wù)遷移方案；11.外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。（六）外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。7.5.2.1應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景制定組織級(jí)應(yīng)急預(yù)案，考慮因素包括但不限于：1.事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；2.事件持續(xù)時(shí)間和恢復(fù)可能性；3.事件影響范圍和可能的應(yīng)急措施；4.服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；5.備選的服務(wù)提供商以及外包服務(wù)遷移方案；12.外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)

57、作的可能性、時(shí)效及資源需求。第五十一條 對(duì)于無(wú)法滿足外包服務(wù)要求或發(fā)生重大事件的情況，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求服務(wù)提供商終止服務(wù)，情節(jié)特別嚴(yán)重的，可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實(shí)。4.3.2.1應(yīng)結(jié)合對(duì)外包人員的日常合規(guī)檢查及定期抽查，建立供應(yīng)商合規(guī)考核的評(píng)價(jià)機(jī)制，對(duì)供應(yīng)商的異常情況進(jìn)行及時(shí)糾正第第五五章章 機(jī)機(jī)構(gòu)構(gòu)集集中中度度風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理第五十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比，服務(wù)提供商所承接外

58、包服務(wù)在銀行業(yè)服務(wù)市場(chǎng)占比情況，識(shí)別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。同時(shí)，還應(yīng)識(shí)別服務(wù)提供商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)所產(chǎn)生的機(jī)構(gòu)集中度風(fēng)險(xiǎn)。8.1.1.28.1.1.3應(yīng)根據(jù)供應(yīng)商承接外包項(xiàng)目數(shù)量、金額在銀行重要信息科技服務(wù)中的產(chǎn)比以及供應(yīng)商所承接項(xiàng)目再銀行業(yè)服務(wù)市場(chǎng)占比情況，識(shí)別高集中度供應(yīng)商應(yīng)識(shí)別供應(yīng)商為集團(tuán)子公司、關(guān)聯(lián)公司或服務(wù)機(jī)構(gòu)提供外包服務(wù)產(chǎn)生的集中度風(fēng)險(xiǎn)第五十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式，降低機(jī)構(gòu)集中度，減少對(duì)外包服務(wù)提供商的依賴。8.1.2.1應(yīng)采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式，降低機(jī)構(gòu)集中度

59、，減少對(duì)供應(yīng)商的依賴第五十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù)，證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營(yíng)能力等。8.1.2.2應(yīng)向高集中度供應(yīng)商獲取證明其內(nèi)部控制、管理能力和持續(xù)運(yùn)營(yíng)能力能充分證據(jù)，并對(duì)其財(cái)務(wù)、內(nèi)控、安全管理等情況持續(xù)監(jiān)控，以確保其服務(wù)連續(xù)性第五十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對(duì)獨(dú)立的資源，包括服務(wù)團(tuán)隊(duì)、場(chǎng)地、系統(tǒng)、設(shè)備等；并對(duì)資源進(jìn)行定期檢查，確保資源及時(shí)到位。8.1.2.3高集中度供應(yīng)商應(yīng)向銀行提供相對(duì)獨(dú)立的服務(wù)資源，并進(jìn)行定期檢查，確保資源到位第五十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)

60、集中度特點(diǎn)的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中，明確外包服務(wù)的優(yōu)先級(jí)，并進(jìn)行服務(wù)中斷應(yīng)急演練，服務(wù)提供商應(yīng)至少參與服務(wù)交接、敏感信息處置等演練過(guò)程。8.1.2.4應(yīng)建立高集中度供應(yīng)商服務(wù)中斷應(yīng)急預(yù)案，并進(jìn)行應(yīng)急演練；供應(yīng)商應(yīng)至少散瘀服務(wù)交接、敏感信息處置等演練過(guò)程第五十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況持續(xù)監(jiān)控，建立信息收集機(jī)制，及時(shí)掌握風(fēng)險(xiǎn)事件情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對(duì)本機(jī)構(gòu)產(chǎn)生大面積影響。8.1.2.2應(yīng)向高集中度供應(yīng)商獲取證明其內(nèi)部控制、管理能力和持續(xù)運(yùn)營(yíng)能力能充分證據(jù)，并對(duì)其財(cái)務(wù)、內(nèi)控、安全管理等情況持

61、續(xù)監(jiān)控，以確保其服務(wù)連續(xù)性第五十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度，必要時(shí)可指派專人進(jìn)行現(xiàn)場(chǎng)監(jiān)督。8.1.2.5應(yīng)對(duì)高集中度供應(yīng)商加強(qiáng)監(jiān)督頻率與力度，必要時(shí)指派專人進(jìn)行現(xiàn)場(chǎng)監(jiān)督第五十九條 對(duì)于具有機(jī)構(gòu)集中度特性的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理。8.1.2.6對(duì)于具有機(jī)構(gòu)集中度特性的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，應(yīng)參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理第第六六章章 跨跨境境及及非非駐駐場(chǎng)場(chǎng)外外包包管管理理第第一一節(jié)節(jié) 跨跨境境外外包包風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理第六十條 跨境外包是指在境外其他國(guó)家或地區(qū)實(shí)施的信息科技外

62、包服務(wù)活動(dòng)。不適用不適用第六十一條 跨境外包除具有本指引前述風(fēng)險(xiǎn)外，還包括由于某一國(guó)家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國(guó)別風(fēng)險(xiǎn)，及由于外包實(shí)施場(chǎng)地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場(chǎng)風(fēng)險(xiǎn)。8.3.1.1應(yīng)對(duì)跨境供應(yīng)商所在國(guó)家或地區(qū)的經(jīng)濟(jì)、政治、社會(huì)情況進(jìn)行持續(xù)監(jiān)控第六十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國(guó)家或地區(qū)的經(jīng)濟(jì)、政治、社會(huì)狀況，通過(guò)建立應(yīng)急預(yù)案、服務(wù)持續(xù)性計(jì)劃防范跨境外包所帶來(lái)的國(guó)別風(fēng)險(xiǎn)。8.3.1.1應(yīng)對(duì)跨境供應(yīng)商所在國(guó)家或地區(qū)的經(jīng)濟(jì)、政治、社會(huì)情況進(jìn)行持續(xù)監(jiān)控第六十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國(guó)外法律法規(guī)、監(jiān)管要求對(duì)其獲取服務(wù)提供商外包管理信息可能的影響。

63、實(shí)施跨境外包時(shí)，應(yīng)當(dāng)以不妨礙銀行業(yè)金融機(jī)構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)的延伸檢查為前提。8.3.1.2應(yīng)關(guān)注跨境供應(yīng)商所在的國(guó)家或地區(qū)的法律法規(guī)、監(jiān)管要求第六十四條 銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，應(yīng)當(dāng)明確其所在國(guó)家或地區(qū)監(jiān)管當(dāng)局已與中國(guó)銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。8.3.1.3在選擇跨境外包時(shí)，應(yīng)當(dāng)明確其供應(yīng)商所在國(guó)家或地區(qū)監(jiān)管當(dāng)局已與中國(guó)銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定第六十五條 銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，還應(yīng)當(dāng)充分審查評(píng)估服務(wù)提供商保護(hù)客戶信息的能力，并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包,應(yīng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提

64、下開(kāi)展。8.3.1.4應(yīng)加強(qiáng)對(duì)跨境外包服務(wù)的客戶信息保護(hù)，確保其服務(wù)的開(kāi)展符合監(jiān)管法規(guī)政策第六十六條 銀行業(yè)金融機(jī)構(gòu)在實(shí)施跨境外包時(shí)，其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定，明確爭(zhēng)議解決時(shí)所適用的法律及司法管轄權(quán)，原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國(guó)的法律解決糾紛。8.3.1.5在選擇跨境供應(yīng)商時(shí)，合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定，明確爭(zhēng)議解決時(shí)所適用的法律及司法管轄權(quán)，原則上應(yīng)當(dāng)要求供應(yīng)商依照中國(guó)的法律解決糾紛第第二二節(jié)節(jié) 非非駐駐場(chǎng)場(chǎng)外外包包風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理第六十七條 非駐場(chǎng)外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場(chǎng)提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)構(gòu)不能對(duì)其內(nèi)部控制及風(fēng)險(xiǎn)管理措施進(jìn)行

65、直接管控，應(yīng)當(dāng)在信息安全、知識(shí)產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控、法律合規(guī)等方面加強(qiáng)對(duì)服務(wù)提供商的風(fēng)險(xiǎn)管理。8.3.2.1應(yīng)建立針對(duì)非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的標(biāo)準(zhǔn)第六十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對(duì)非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。8.3.2.1應(yīng)建立針對(duì)非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的標(biāo)準(zhǔn)第六十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查。實(shí)地檢查原則上一年不少于一次，檢查結(jié)果作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。8.3.2.2應(yīng)對(duì)重要的非主場(chǎng)供應(yīng)商至少每年一次進(jìn)行實(shí)地檢查第七十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)服

66、務(wù)商非駐場(chǎng)外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評(píng)估，評(píng)估結(jié)果應(yīng)作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對(duì)于高風(fēng)險(xiǎn)的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)應(yīng)責(zé)令其進(jìn)行限期整改，對(duì)于逾期未改的服務(wù)提供商應(yīng)暫?；蛉∠浞?wù)資格。8.3.2.3應(yīng)加強(qiáng)對(duì)非駐場(chǎng)供應(yīng)商內(nèi)部控制、質(zhì)量管理、信息安全的有效性評(píng)估并作為其準(zhǔn)入依據(jù)第七十一條 對(duì)于非駐場(chǎng)外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理，但同業(yè)托管機(jī)構(gòu)須將為其他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分，不應(yīng)區(qū)別對(duì)待，降低對(duì)自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平。8.3.2.4同業(yè)托管機(jī)構(gòu)作為非駐場(chǎng)供應(yīng)商時(shí)，不應(yīng)區(qū)別對(duì)待以降低對(duì)自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平第第七七章章 銀銀行行業(yè)業(yè)重重點(diǎn)點(diǎn)外外包包服服務(wù)務(wù)機(jī)機(jī)構(gòu)構(gòu)風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理要要求求第七十二條 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù)，同時(shí)滿足下述條件，如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷，造成經(jīng)濟(jì)損失的機(jī)構(gòu)，具體條件如下：8.2.1.1應(yīng)建立行業(yè)重點(diǎn)供應(yīng)商的管理策略，明確行業(yè)重點(diǎn)供應(yīng)商的識(shí)別標(biāo)準(zhǔn)與