科技外包活动、提高自主研发运行能力等形式,降低机构集中度,减少对外包服务提供商的依赖。
第五十四条 银行业金融机构应当要求具有机构集中
度特点的外包服务提供商提供充分的证据,证明其内部控制和管理能力、持续运营能力等。
第五十五条 银行业金融机构应当要求具有机构集中
度特点的外包服务提供商为银行业金融机构配备相对独立的资源,包括服务团队、场地、系统、设备等;并对资源进行定期检查,确保资源及时到位。
第五十六条 银行业金融机构应当要求具有机构集中
度特点的外包服务提供商在外包服务中断应急预案中,明确外包服务的优先级,并进行服务中断应急演练,服务提供商应当至少参与服务交接、敏感信息处置等演练过程。
第五十七条 银行业金融机构应当特别加强对具有机
构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控,建立信息收集机制,及时掌握风险事件情况,防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。
第五十八条 银行业金融机构应当对具有机构集中度
特点的外包服务提供商增强监督频率与力度,必要时可指派专人进行现场监督。
第五十九条 对于具有机构集中度特点的外包服务提
供商为同业托管机构的情况,银行业金融机构可参照本节内容对
其进行外包管理。
第六章 跨境及非驻场外包管理
第一节 跨境外包风险管理
第六十条 跨境外包是指在境外其他国家或地区实施的
信息科技外包服务活动。
第六十一条 跨境外包除具有本指引前述风险外,还包
括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险,及由于外包实施场地远离银行业金融机构而产生的非驻场风险。
第六十二条 银行业金融机构应当充分了解并持续监
控服务提供商所在国家或地区状况,通过建立业务连续性计划防范跨境外包所带来的国别风险。
第六十三条 银行业金融机构应当关注国外法律法规、
监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。
第六十四条 银行业金融机构在选择跨境外包时,应当
明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。
第六十五条 银行业金融机构在选择跨境外包时,还应
当充分审查评估服务提供商保护客户信息的能力,并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应当在符合监管法规政策并获得客户授权的前提下开展。
第六十六条 银行业金融机构在实施跨境外包时,其合
同应当包括法律选择和司法管辖权的约定,明确争议解决时所适用的法律及司法管辖权,原则上应当要求服务提供商依照中国的法律解决纠纷。
第二节 非驻场外包风险管理
第六十七条 非驻场外包是指服务提供商不在银行业
金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控,应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。
第六十八条 银行业金融机构应当建立针对非驻场外
包服务的内部控制及风险管理要求的最低标准,该标准应当作为选择服务提供商的最低要求。
第六十九条 银行业金融机构应当对重要的非驻场外
包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第七十条 银行业金融机构应当加强对外包服务提供商
非驻场外包服务内部控制、质量管理、信息安全的有效性评估,评估结果作为供应商准入的重要依据。对于高风险的服务提供商,银行业金融机构应当责令其进行限期整改,对于逾期未改的服务提供商应当暂停或取消其服务资格。
第七十一条 对于非驻场外包服务提供商为同业托管
机构的情况,银行业金融机构可以参照本节内容对其进行外包管理,但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分,不得区别对待,降低对自身提供外包服务的风险管控水平。
第七章 银行业重点外包服务机构风险管理要求
第七十二条 银行业重点外包服务机构是指集中为银
行业金融机构提供外包服务,同时满足下述条件,如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(一) 承担集中存贮客户数据的业务交易系统外包服务;
或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。
(二) 服务的法人银行业金融机构数量、服务合同金额占
相关推荐:
loading