中国银监会办公厅关于
加强银行业金融机构信息科技
非驻场集中式外包风险管理的通知
各银监局、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
根据《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号,以下简称《指引》),为保护银行业金融机构关键基础设施和信息安全,防范银行业信息科技外包集中度风险,守住不发生系统性、全局性风险的底线,现就加强银行业金融机构信息科技非驻场集中式外包行为监管工作通知如下:
一、本通知所称非驻场集中式外包是指外包服务商不在银行业金融机构提供现场服务,或外包的关键基础设施和信息系统不在银行业金融机构产权场所,由银行业金融机构以租用设施或购买服务资源的方式获得,主要由外包服务商运维,并且外包服务商同时为3家(含)以上银行业金融机构或其他机构提供服务的外包方式。信息科技非驻场集中式外包服务商分为银行类机构和社会类机构两类,银行类机构是指依法设立的由银监会监管的银行业金融机构,其他属于社会类机构。
二、银行业金融机构应当对非驻场集中式外包服务商开展全面、深入的尽职调查,除《指引》要求的尽职调查内容以外,对社会类机构和提供外包服务未满3年的银行类机构应当重点调查如下内容:
(一)外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界;
(二)外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性;
(三)外包服务商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限;
(四)外包服务商是否拥有或可能拥有业务系统的最高管理权限,外包服务商是否拥有或可能拥有业务系统的访问权限,是否能够浏览、获取客户敏感信息;
(五)外包服务商是否有完善的灾难恢复设施和应急管理体系,对关键基础设施和信息系统运行是否有业务连续性安排;
(六)外包服务商是否知晓并遵从了银行业相关监管法规要求。
银行业金融机构可以委托第三方机构开展尽职调查,或者采信其他银行业金融机构对同一外包服务商6个月内的尽职调查结果。
三、银行业金融机构开展非驻场集中式外包活动,应当经过审慎、充分的风险评估,形成书面风险评估报告,并报送董(理)事会和高管层。
四、银行业金融机构应当严格按照《指引》有关非驻场外包、重点外包服务机构风险管理要求,审慎决策并选择外包服务商,非驻场集中式外包决策应当经过董(理)事会、高管层书面批准。在同等条件下,非驻场集中式外包服务应当优先选择银行类机构或主动申请接受监管评估和监督检查的社会类机构。
五、银行业金融机构应当严格按照《指引》要求,在外包合同签订前至少20个工作日向银监会或其派出机构对非驻场集中式外包活动进行报告,报告内容应当包括尽职调查报告和风险评估报告。银监会或其派出机构对相关外包活动的信息科技风险开展审慎评估,视评估情况采取监管措施。
六、非驻场集中式外包合同除应符合《指引》规定外,银行业金融机构还应当在合同中书面明确:
(一)外包服务商应当遵从银行业相关监管法规;
(二)外包服务商应当承诺接受银行业监督管理机构的监督检查;
(三)外包服务商应当承诺接受银行业金融机构安排的风险评估或审计;
(四)外包服务商对本机构提供的服务资源应当至少与其他机构相互逻辑隔离,仅本机构具有对业务系统和数据的最高访问权限;
(五)未经同意,外包服务商不得将本机构数据以任何形式转移、挪用或为外包服务商自身谋取利益。
本条(一)、(二)款仅适用于社会类机构外包合同。
七、银行业金融机构应当加强对非驻场集中式外包活动的日常风险监测,建立书面风险清单并动态维护,制定专门的控制措施,并至少每2年安排一次对外包服务商的外部评估或审计。
八、除银行业金融机构安排的评估和审计以外,银监会或其派出机构可以接收社会类机构主动提出的风险评估或审计申请,并参照《指引》有关重点外包服务机构的监管规定,根据其资质、规模、经验和管理能力等决定是否接受申请。跨省提供服务的外包服务商可以向银监会提出申请,其他外包服务商可以向注册地或所服务的多数银行业金融机构客户所在地的银监局提出申请。银行业金融机构可以采信监管机构对外包服务商在12个月内的评估或审计结果,不再重复安排外部评估或审计。
九、银监会及其派出机构建立非驻场集中式外包服务商名单,对银行业金融机构的非驻场集中式外包活动开展非现场监管和现场检查,建立外包服务商评价机制和监管信息平台,采集相关风险信息,并进行独立评估和持续监测。对风险隐患突出、控制措施不力的此类外包活动或由此引发的II级(含)以上信息系统突发事件,银监会及其派出机构依据审慎监管规定对银行业金融机构予以问责或处罚,并对相关外包服务商在行业内予以警示通报。
十、对本通知印发之前已经实施的非驻场集中式外包,须根据《指引》及本通知要求开展自查和整改。自查和整改工作安排如下:
(一)各银行业金融机构应对照《指引》和本通知要求,组织一次全面自查,对已经开展的非驻场集中式外包进行梳理,重点就尽职调查、风险评估、外包合同、审计和日常风险管理进行差距分析。
(二)对已经开展且尚未到期的非驻场集中式外包合同,如不符合《指引》和本通知要求,各银行业金融机构应与外包服务商协商,妥善开展合同重新签订工作。对开展此类外包服务的年限在3年(含)以上的银行类机构,各银行业金融机构可自行决定是否重新签署合同,但仍然应当开展自查。
(三)各银行业金融机构须于2014年11月30日前完成自查和整改工作,提交自查和整改报告,同时将外包合同按照属地监管原则报银监会或其派出机构备案。请各银监局汇总辖内银行业金融机构的自查和整改报告,于2014年12月15日前报送银监会银行业信息科技监管部。