中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知
银保监办发[2021]141号2021-12-30
各银保监局,各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司,各保险集团(控股)公司、保险公司、保险资产管理公司、养老金管理公司、保险专业中介机构:
为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息科技外包风险管控能力,银保监会制定了《银行保险机构信息科技外包风险监管办法》,现予印发,请遵照执行。
中国银保监会办公厅
2021年12月30日
(此件发至银保监分局与地方法人银行保险机构)
银行保险机构信息科技外包风险监管办法
第一章总则
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。银保监会及其派出机构监管的其他金融机构参照本办法执行。
第三条本办法所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
第四条银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
第五条银行保险机构在实施信息科技外包时应当坚持以下原则:
(一)不得将信息科技管理责任、网络安全主体责任外包;
(二)以不妨碍核心能力建设、积极掌握关键技术为导向;
(三)保持外包风险、成本和效益的平衡;
(四)保障网络和信息安全,加强重要数据和个人信息保护;
(五)强调事前控制和事中监督;
(六)持续改进外包策略和风险管理措施。
第二章信息科技外包治理
第六条银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。
第八条银行保险机构应指定信息科技外包风险主管部门,该部门主要职责包括:
(一)根据机构总体风险政策和外包战略,制定信息科技外包风险管理策略、制度和流程;
(二)统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作;
(三)制定保障外包服务持续性的应急管理方案,并定期组织实施演练;
(四)监督、评价外包执行团队的管理工作,并督促外包风险管理的持续改善;
第九条银行保险机构应在信息科技管理部门或信息科技外包活动执行部门内部建立信息科技外包执行团队,并配备足够的具有相应能力和经验的人员履行以下职责:
(一)落实信息科技外包战略;
(二)执行信息科技外包管理制度与流程;
(三)执行服务提供商准入、尽职调查、服务评价和退出管理工作,建立并维护服务提供商关系管理策略;
(五)对外包过程中的关键管理活动进行监控及分析,定期与信息科技外包风险主管部门沟通外包活动及有关风险情况。
第十条银行保险机构应当基于机构的业务战略、信息科技战略、总体外包战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括但不限于:外包原则和策略、不能外包的职能、资源能力建设方案等。
第十一条银行保险机构应当明确不能外包的信息科技职能。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。
第十二条银行保险机构应当建立信息科技外包活动分类管理机制,针对不同类型的外包活动建立相应的管理和风控策略。信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。
(一)信息科技工作整体外包,仅保留必要的管理团队和核心职能;
(二)数据中心(机房)整体外包;
(三)涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;
(四)核心业务系统开发测试和运行维护的整体外包;
(五)信息科技战略规划(含中长期规划)咨询外包;
(六)安全运营的整体外包;
(七)涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;
(八)直接影响实时服务、影响账务准确性的重要信息系统外包;
(九)其它对机构业务运营具有重要影响的外包。
第十四条银行保险机构应考虑重要外包终止的可能性,并制定退出策略。退出策略应至少明确:
(一)可能造成外包终止的情形;
(二)外包终止的业务影响分析;
(三)终止交接安排。
第三章信息科技外包准入
第十六条银行保险机构应根据信息科技外包战略,结合风险评估情况,明确服务提供商的准入标准,对备选服务提供商进行筛选,审慎引入集中度风险较高或增加机构整体风险的服务提供商。
第十七条银行保险机构应在签订合同前,对重要外包的备选服务提供商深入开展尽职调查,必要时可聘请第三方机构协助调查。在服务提供商经营状况未发生重大变化的前提下,尽职调查结果原则上一年内有效。尽职调查应包括但不限于:
(一)服务提供商的技术和行业经验,人员及能力;
(二)服务提供商的内部控制和管理能力;
(三)服务提供商的网络和信息安全保障能力;
(四)服务提供商的持续经营状况;
(六)服务提供商过往配合银行保险机构审计、评估、检查及监管机构监督检查情况;
(七)服务提供商与银行保险机构的关联性。
第十八条对于符合重要外包条件的非驻场外包,应当进一步重点调查如下内容:
(一)服务提供商对银行保险机构与其他机构的设施、系统和数据是否有明确、清晰的边界;
(二)服务提供商是否有管理制度和技术措施保障银行保险机构数据的完整性和保密性;
(三)服务提供商对涉及银行保险机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限;
(四)服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限,是否能够浏览、获取重要数据或客户个人敏感信息;
(五)服务提供商是否有完善的灾难恢复设施和应急管理体系,是否有业务连续性安排;
(六)服务提供商是否存在不正当竞争或规避监管的情形。
第十九条银行保险机构在选择跨境外包时,应当充分评估服务提供商所在国家或地区的政治、经济、社会、法律、文化等经营环境。涉及信息跨境存储、处理和分析的,应遵守我国有关法律法规的规定。
第二十条对于关联外包和同业外包,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。
第二十一条银行保险机构在信息科技外包合同或协议中应当明确以下内容,包括但不限于:
(二)合规、内控及风险管理要求,对法律法规及银行保险机构内部管理制度的遵守要求,监管政策的通报贯彻机制。
(三)服务持续性要求,服务提供商的服务持续性管理目标应当满足银行保险机构业务连续性目标要求。
(四)银行保险机构对服务提供商进行风险评估、监测、检查和审计的权利,及服务提供商承诺接受银保监会对其所承担的银行保险机构外包服务的监督检查。
(五)合同变更或终止的触发条件,合同变更或终止的过渡安排。
(七)资源保障条款。
(八)安全保密和消费者权益保护约定,包括但不限于:禁止服务提供商在合同允许范围外使用或者披露银行保险机构的信息,服务提供商不得将银行保险机构数据以任何形式转移、挪用或谋取外包合同约定以外的利益。
(九)争端解决机制、违约及赔偿条款,跨境外包应明确争议解决时所适用的法律及司法管辖权,原则上应当选择中国仲裁机构、中国法院管辖,适用中国法律解决纠纷。
(十)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第二十二条银行保险机构应当在合同或协议中明确要求服务提供商不得将外包服务转包或变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包服务提供商进行监控,并对分包服务提供商的变更履行通知或报告审批义务。
第四章信息科技外包监控评价
第二十三条银行保险机构应当对外包服务过程进行持续监控,及时发现和纠正服务过程中存在的各类异常情况。
第二十五条银行保险机构应当对信息科技外包服务建立服务效能和质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率;
(三)服务的次数、客户满意度;
(四)业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率;
(六)网络和信息安全指标、业务连续性指标。
第二十七条银行保险机构监控到信息科技外包服务出现异常情况时,应当及时督促服务提供商采取纠正措施;情节严重或未及时纠正的,应当及时约谈服务提供商高管人员并限期整改。对于逾期未整改的服务提供商,应当暂停或取消其服务资格,并向银保监会或其派出机构报告。
第二十八条对于关联外包,银行保险机构董(理)事会和高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围,建立外包服务重大事件问责机制。
第二十九条银行保险机构应在信息科技外包服务到期前,就是否继续外包进行评估决策。外包服务结束时,银行保险机构应对服务提供商进行评价,评价结果作为服务提供商后续准入的重要参考依据。对具有持续性特点的外包服务,银行保险机构终止外包或更换服务提供商前,应制定周密的退出和交接计划。
第五章信息科技外包风险管理
第三十条银行保险机构应建立并持续完善风险管理制度和流程,充分识别并评估信息科技外包可能产生的风险,包括但不限于:
(一)科技能力丧失。过度依赖外包导致失去科技控制及创新能力,影响业务创新与发展。
(二)业务中断。支持业务运营的外包服务无法持续提供导致业务中断。
(三)数据泄露、丢失和篡改。因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行保险机构重要数据或客户个人信息泄露、丢失和篡改。
(四)资金损失。因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行保险机构客户资金被盗取。
(五)服务水平下降。由于外包服务质量问题或内外部协作效率低下,使得信息科技服务水平下降。
(六)可能导致的战略、声誉、合规等其他风险。
第三十一条针对可能给业务连续性管理造成重大影响的重要外包服务,银行保险机构应当事先建立风险控制、缓释或转移措施,包括但不限于:
(二)明确措施和方法,在服务提供商服务质量不能满足合同要求的情况下,保障获取其外包服务资源的优先权;
(三)要求服务提供商提供必要的应急和灾备资源保障,制定应急处理预案并在预案中明确为银行保险机构提供应急响应和恢复的优先级,原则上应为最高级;
(五)考虑预先在银行保险机构内部配置相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第三十二条银行保险机构应当制定和落实网络和信息安全管理措施,包括但不限于:
(一)对服务提供商和外包人员进行网络和信息安全教育或培训,增强网络和信息安全意识,服务提供商应与银行保险机构签订安全保密协议,外包人员应签署安全保密承诺书;
(三)对信息系统开发交付物(含拥有知识产权的源代码)进行安全扫描和检查;
(四)对客户信息、源代码和文档等敏感信息采取严格管控措施,对敏感信息泄露风险进行持续监测;
(六)定期对外包活动进行网络和信息安全评估。
第三十三条银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段,减少对个别外包服务提供商的依赖,降低集中度风险。
第三十四条银行保险机构应当对符合重要外包标准的非驻场外包服务进行实地检查,原则上每三年覆盖所有重要的非驻场外包服务。对具有行业集中度性质的服务提供商,银行保险机构可采取联合检查、委托检查等形式,减少重复性工作,减轻服务提供商的检查负担。
第三十五条银行保险机构每年应当至少开展一次全面的信息科技外包风险管理评估,并向董(理)事会或高级管理层提交评估报告。
第三十六条银行保险机构应当开展信息科技外包及其风险管理的审计工作,定期对信息科技外包活动进行审计,至少每三年覆盖所有重要外包。发生重大外包风险事件后应当及时开展专项审计。银行保险机构应承担内部审计职能和责任,内部审计项目可委托母公司或同一集团下属子公司实施,或聘请独立第三方实施。
第六章监督管理
第三十七条银行保险机构开展以下信息科技外包活动时,应当在外包合同签订前二十个工作日向银保监会或其派出机构的信息科技监管部门报告(目录见附件):
(一)信息科技工作整体外包;
(三)涉及基础设施和信息系统整体架构发生重大变化的外包;
(四)信息科技战略规划(含中长期规划)咨询外包;
(五)符合重要外包条件的非驻场外包、关联外包和跨境外包;
(六)其他银保监会认为重要的信息科技外包。
(一)银行保险机构重要数据或客户个人信息泄露;
(二)数据损毁或者重要业务运营中断;
(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行保险机构外包服务中断;
(四)重要外包服务非正常中断、终止或其服务提供商非正常退出;
(五)因服务提供商不当行为或其服务的信息系统遭受网络攻击或其他原因,造成银行保险机构客户重大资金损失;
(六)发现重大的服务提供商违法违规事件;
(七)银保监会规定需要报告的其他重大事件。
第四十一条银保监会及其派出机构可组织或责令银行保险机构对承担银行保险机构信息科技外包服务的服务提供商进行现场核查,也可由银行保险机构委托其他第三方机构以审计的形式实施。银保监会建立信息共享机制,及时向行业通报现场核查情况。
第四十三条银行保险机构违反本办法要求的,银保监会及其派出机构依法予以纠正,并视情况予以问责或处罚。
第七章附则
第四十四条本办法所称关联外包,是指银行保险机构的母公司或其所属集团子公司、关联公司或附属机构作为服务提供商,为其提供信息科技外包服务的行为。
同业外包,是指依法设立的由银保监会监管的银行保险机构为其他同行业金融机构提供外包服务的行为。
跨境外包,是指服务提供商在境外其他国家或地区实施信息科技外包服务的行为。
非驻场外包,是指服务提供商不在银行保险机构场所提供服务的外包形式。
第四十五条本办法由银保监会负责解释和修订。
第四十六条本办法自公布之日起施行。《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)、《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号)、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发〔2014〕272号)同时废止。
附件:
1.银行保险机构信息科技外包监管报告材料目录
2.信息科技外包服务类型参考
附件1
银行保险机构信息科技外包监管报告材料目录
一、外包服务基本情况,包括:
1.外包服务名称;
2.外包服务类型:咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等;
3.外包服务的主要内容;
4.实施方式:驻场外包、非驻场外包;
5.影响的业务类型:渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类等;
二、服务提供商基本情况,包括:
1.服务提供商全称、国别;
2.尽职调查报告;
3.法人代表;
4.注册资本;
5.上级机构/母机构;
7.企业性质;
8.统一社会信用代码。
三、外包风险评估报告。
银保监会规定的其他材料。
附件2
信息科技外包服务类型参考
开发测试类。包括但不限于:软硬件开发和测试外包(含人力外包),软件即服务形式的外包。
运行维护类。包括但不限于:数据中心(机房)物理环境的托管或运行维护,软硬件基础设施托管或运行维护,应用系统运行维护,电子机具运行维护,终端等办公设备的运行维护,以及涉及以上运行维护的人力外包。
安全服务类。包括但不限于:安全运营服务,安全加固服务,安全设备运行维护,安全日志处理与分析,安全测试服务,密钥管理及运行维护,数据安全服务,以及涉及以上服务的人力外包。
业务支持类。包括但不限于:市场拓展、业务运营(集中作业、呼叫中心等)、企业管理、资产处置、数据处理、数据利用等业务外包或第三方合作当中涉及银行保险机构的重要数据或客户个人信息处理的信息科技活动,法律法规另有要求的除外。
中国银保监会有关部门负责人就《银行保险机构信息科技外包风险监管办法》答记者问
为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作,中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》),有关部门负责人就《办法》回答了记者提问。
一、制定《办法》的背景和意义是什么
答:近几年,银行保险机构积极开展数字化转型,在加大科技创新力度、更好地满足金融消费者需求的同时,对信息科技外包服务的依赖度不断加大。与此同时,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。为此,按照风险为本的导向,以弥补短板、强化监管为目标,拟通过制定《办法》,从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。
《办法》的制定出台,将促进银行保险机构建立并完善信息科技外包治理架构,加强信息科技外包风险管理体系建设,提升信息科技外包风险管控能力,促进银行保险机构稳健开展数字化转型工作。
二、《办法》的主要内容是什么
三、《办法》所规范的信息科技外包行为怎么界定
四、银行保险机构实施信息科技外包应当遵循哪些原则
答:《办法》规定,银行保险机构在实施信息科技外包时应当坚持以下原则:(一)不得将信息科技管理责任、网络安全主体责任外包;(二)以不妨碍核心能力建设、积极掌握关键技术为导向;(三)保持外包风险、成本和效益的平衡;(四)保障网络和信息安全,加强个人信息保护;(五)强调事前控制和事中监督;(六)持续改进外包策略和风险管理措施。
五、《办法》是否会提高服务提供商的准入门槛
答:《办法》所约束的对象是银保监会监管的银行保险机构,对所有服务提供商一视同仁,没有新增任何其他准入门槛,银行保险机构自主决定服务提供商的选择标准和准入方式。
六、银行业之前有专门的信息科技外包风险监管指引,《办法》发布后之前的监管指引是否还继续有效
答:《办法》自发布之日起实施,《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)、《中国银监会办公厅关于加强银行业金融机构非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号)、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发〔2014〕272号)同时废止。