信息科技外包风险监管指引

银行业金融机构信息科技外包风险监管指引

第一章 总则

第一条 为规范银行业金融机构的信息科技外包活动，降低信息科

技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条 在中华人民共和国境内设立的政策性银行、商业银行、农

村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。

第三条 本指引所称信息科技外包是指银行业金融机构将原本由

自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。原则上包括以下类型：

（一） 研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；

（二） 系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；

（三） 业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条 本指引所称关联外包是指服务提供商为银行业金融机构

的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条 信息科技外包可能产生如下风险，并导致银行业金融机构

的战略、声誉、合规风险：

（一） 科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；

（二） 业务中断：支持业务运营的外包服务无法持续提供导致业务中断；

（三） 信息泄露：包含客户信息在内的银行业金融机构非公开数据

被服务提供商非法获得或泄露；

（四） 服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条 本指引所称机构集中度风险是指银行业金融机构将信息

科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条 本指引所称同业托管机构是指作为外包服务提供商为其

他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条 银行业金融机构应当将信息科技外包管理纳入全面风险

管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

第九条 银行业金融机构应当建立信息科技外包管理组织架构，制

定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

第十条 银行业金融机构在实施信息科技外包时应当坚持以下原

则：

（一） 以不妨碍核心能力建设、积极掌握关键技术为导向； （二） 保持外包风险、成本和效益的平衡； （三） 强调外包风险的事前控制，保持管控力度；

（四） 根据外包管理及技术发展趋势，持续改进外包策略和措施。

第十一条 银行业金融机构在实施信息科技外包时，不得将信息

科技管理责任外包。

第十二条 对于不涉及银行客户及内部信息转移的信息科技产

品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，银行业金融机构应当充分评估其信息科技风险，按照本指引第五章要求进行管理。

第二章 外包管理组织架构

第十三条 银行业金融机构董事会及高级管理层应当严格落实

信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管

部门，制定并审批信息科技外包战略，审议信息科技外包管理流程及制度，督促并监控信息科技外包风险管理效果。

第十四条 信息科技外包风险主管部门的主要职责包括：

（一） 对外包风险进行识别、评估与风险提示；

（二） 监督、评价外包管理工作，并督促外包风险管理的持续改善； （三） 向高级管理层定期汇报信息科技外包活动相关风险管理情况；

（四） 董事会或高级管理层确定的其他信息科技外包风险管理职责。

第十五条 银行业金融机构应当在信息科技管理部门或信息科

技外包活动执行部门内建立信息科技外包管理执行团队，并配备足够人员履行以下职责：

（一） 实施信息科技外包战略；

（二） 制定并执行信息科技外包管理制度与流程；

（三） 执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；

（四） 制定保障外包服务持续性的应急管理方案，并组织实施定期演练；

（五） 对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理主管部门报告外包活动情况。

第三章 信息科技外包战略及风险管理

第一节 信息科技外包战略

第十六条 银行业金融机构应当以提升信息科技队伍能力，提高

科技管理及创新水平，掌握信息科技核心技能为目标，基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略

和外包分级管理策略。

第十七条 银行业金融机构应当根据自身信息科技战略明确不

能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。

第十八条 银行业金融机构应当根据外包战略制定资源、能力建

设方案，通过补充人员、提升技能、知识转移等方式，有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。

第十九条 银行业金融机构应当建立与自身规模、市场地位相适

应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务质量，合理管控服务提供商的数量从而降低风险及管理成本等。

第二十条 银行业金融机构可以按照外包服务性质和重要性程

度对服务提供商进行分级管理，对不同级别的服务提供商采取差异化的管控措施，在有效管理重要风险的前提下降低管理成本。

第二十一条 银行业金融机构要同母公司或集团公司协同做好

外包服务及服务提供商的管理工作，但应当保持关联外包有关决策的独立性，避免因关联关系而降低外包活动的风险控制水平。

第二节 信息科技外包风险管理

第二十二条 银行业金融机构信息科技外包风险管理部门应当至

少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第二十三条 银行业金融机构应当对重要的外包服务提供商进行

定期的风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，