银行业信息科技非驻场集中式外包服务纳入监管评估基本条件

中国银保监会发布《银行保险机构信息科技外包风险监管办法》文章属性•【公布机关】中国银行保险监督管理委员会,中国银行保险监督管理委员会,中国银行保险监督管理委员会•【公布日期】2022.01.21•【分类】法规、规章解读正文中国银保监会发布《银行保险机构信息科技外包风险监管办法》为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作，中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。

《办法》起草工作坚决贯彻落实中央精神，注重把握以下原则：一是坚持风险为本，在深入分析银行保险机构信息科技外包风险发展态势的基础上，提出针对性的监管要求；二是强化监管力度，在总结银行保险业信息科技监管实践经验的基础上，制定体系化的监管措施；三是对接国际标准，《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。

《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。

一是在总则中明确信息科技外包风险管理的总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。

三是对信息科技外包准入提出监管要求，包括准入前评估、尽职调查、合同等进行了规定，并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。

四是明确信息科技外包监控评价要求，对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。

五是规范信息科技外包风险管理，对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。

中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.07.01•【文号】银监办发[2014]187号•【施行日期】2014.07.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知银监办发[2014]187号各银监局、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：根据《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号，以下简称《指引》），为保护银行业金融机构关键基础设施和信息安全，防范银行业信息科技外包集中度风险，守住不发生系统性、全局性风险的底线，现就加强银行业金融机构信息科技非驻场集中式外包行为监管工作通知如下：一、本通知所称非驻场集中式外包是指外包服务商不在银行业金融机构提供现场服务，或外包的关键基础设施和信息系统不在银行业金融机构产权场所，由银行业金融机构以租用设施或购买服务资源的方式获得，主要由外包服务商运维，并且外包服务商同时为3家（含）以上银行业金融机构或其他机构提供服务的外包方式。

信息科技非驻场集中式外包服务商分为银行类机构和社会类机构两类，银行类机构是指依法设立的由银监会监管的银行业金融机构，其他属于社会类机构。

二、银行业金融机构应当对非驻场集中式外包服务商开展全面、深入的尽职调查，除《指引》要求的尽职调查内容以外，对社会类机构和提供外包服务未满3年的银行类机构应当重点调查如下内容：（一）外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界；（二）外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性；（三）外包服务商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；（四）外包服务商是否拥有或可能拥有业务系统的最高管理权限，外包服务商是否拥有或可能拥有业务系统的访问权限，是否能够浏览、获取客户敏感信息；（五）外包服务商是否有完善的灾难恢复设施和应急管理体系，对关键基础设施和信息系统运行是否有业务连续性安排；（六）外包服务商是否知晓并遵从了银行业相关监管法规要求。

附件1：银行业信息科技非驻场集中式外包服务纳入监管评估基本条件一、申请将外包服务纳入监管评估的外包服务商应具备以下条件：(一) 为中华人民共和国境内注册的独立法人实体,具有固定的办公场所，软件开发服务类企业注册资本500万（含）以上，其他企业注册资本和实收资本1000万元（含）以上，注册成立时间3年（含）以上；(二) 具有良好的股权治理结构，并能有效控制外包服务中的国别风险；(三) 公司治理良好，近三年财务经营状况良好；(四) 为银行业金融机构提供信息科技外包服务3年（含）以上，且至少为3家（含）以上银行业金融机构提供服务；(五) 社会声誉良好，近两年内未发生因管理失责引发的达到《银行业信息系统突发事件应急管理规范》中两起（含）以上信息系统突发事件、无违规行为和重大案件发生；(六) 具有健全的组织架构、有效的风险治理架构和专职的信息科技风险管理团队，定期开展风险评估和审计工作；(七) 具备与所承担服务范围和业务规模相适应的服务管理体系，具有较为完善的服务质量、信息安全、业务连续性、运行维护等管理体系和资质认证；(八) 具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求，承担外包服务的场地应当设置在中国境内；(九) 银行类机构的信息科技监管评级最近连续两年为2级（含）以上；(十) 银行业科技外包合作组织会员单位优先。

二、除以上条件外，申请机房运营类外包服务纳入监管评估的外包服务商还应具备以下条件：(一) 机房应具有自有产权或长期租赁机房场地5年（含）以上且剩余租赁期限不低于4年（含），机房出租方应为其所出租机房的所有权人，房屋所有权权属清晰、完整且不存在法律争议，不存在将机房关键基础设施的运维服务转包或分包的情况；(二) 所服务的银行业金融机构与其他机构的基础设施间具有明确、清晰的边界；(三) 机房及基础设施具有根据服务功能划分的独立区域、差异性访问控制策略和设施；(四) 互为备份的不同通信运营商线路经由不同路由节点接入机房；(五) 高低压供配电系统、应急发电系统、不间断电源系统、机房专用空调等基础设施设计具有冗余备份，且为不间断运行；(六) 具有专业检测机构对机房的防雷接地、消防等基础设施安全检测报告或安全资质证明；(七) 监控系统较完善，具有对机房环境和基础设施的集中监控能力，并可审计追溯；(八) 机房满足银监会《商业银行数据中心监管指引》要求。

xxxx银行信息科技非驻场外包管理办法第一章总则第一条为规范xxxx银行（以下简称“我行”）信息科技非驻场外包活动，保障我行信息系统安全持续稳定运行，降低信息科技非驻场外包风险，依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》，结合我行实际，特制定本管理办法。

第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务，或外包的关键基础设施和信息系统不在我行产权场所，由我行以租用设施或购买服务资源的方式获得，主要由外包服务商运维的外包方式。

第二章非驻场外包职责管理第三条我行信息科技部是信息科技非驻场外包的职能管理部门。

第四条我行信息科技非驻场外包管理中其他涉及的部门包括：非驻场外包服务使用部门（外包服务直接应用部门）、非驻场外包审批部门、风险管理部和审计部等。

第五条我行信息科技部作为信息科技非驻场外包管理部门，其基本职能如下：（一）负责非驻场外包管理办法的制定、修订和完善。

（二）负责协调和组织非驻场外包资源，管理非驻场外包资源台账信息；（三）负责制定技术指标要求，协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议。

（四）规范和制定非驻场外包监控制度、考核评价机制和持续改进办法、组织验收考核；（五）负责定期形成非驻场外包项目情况报告，提交相关部门及高级管理层审核；（六）根据xxxx银行审计部门或风险管理部门对非驻场外包工作的评估、审计以及提出的风险管理意见对信息科技非驻场外包工作实施优化和改进。

第六条我行非驻场外包管理其他涉及的部门，其基本职能如下：（一）配合信息科技非驻场外包管理部门做好非驻场外包服务商的日常风险信息收集；（二）协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议；（三）配合信息科技非驻场外包管理部门做好对非外包工作的评估、审计工作。

第七条信息科技部外包管理岗是非驻场外包执行的主管岗位，其基本职能如下：（一）负责非驻场外包管理办法的执行，并对办法提出改进建议；（二）负责非驻场外包供应商的尽职调查，提交尽职调查报告；（三）负责非驻场外包供应商信息的定期收集和更新，建立供应商管理台账；（四）负责定期形成非驻场外包项目情况报告；（五）协助审计、风险管理部门对外包供应商进行审计和风险评估。

附件3：银行业金融机构信息科技非驻场集中式外包服务监管评估申请材料目录及格式要求一、企业财务经营情况近三年审计后的财务报表，格式如下：二、企业内部管理及风险评估工作开展情况（可用附件）（一）企业组织架构及职责落实情况企业外包服务的组织架构及风险治理架构，包括风险管理、质量管理、运行管理、开发管理、安全管理、业务连续性管理等保障职能设置和部门主要职责以及制度建设和日常工作开展情况。

有关制度和规范要求附加原文。

（二）企业研发投入情况（机房运营服务类不适用）近三年总销售收入、研究开发费用、研发费用占比等。

（三）企业人力资源配备情况各研发人员、运维人员、操作人员、质量管理人员、科技风险管理人员、高管层人员数量及占比，特别说明高管人员的科技从业和教育背景。

（四）企业科研成果情况核心技术能力及获得自主知识产权情况，有证书的附加证书复印件。

（五）专业资质（如有，需提供资质复印件）各类ISO9001、ISO20000、ISO27001、CMMI、系统集成资质、灾备资质等级、涉密资质等与开展非驻场集中式外包业务相关的资质与认证证明。

（六）企业风险评估和审计情况近三年企业内部审计报告、风险评估报告、第三方审计评估报告、银行业金融机构开展的检查报告、银行业科技外包合作组织开展的检查报告等，并提供相应原始报告和电子版复印件（证书或结论部分，含盖章）。

三、企业技术保障能力（可用附件）（一）机房建设基本情况（软件开发服务类不适用）企业的机房建设情况以及机房等级测评情况等方面，包括机房的选址、高低压配电系统、应急发电系统、不间断电源系统、机房专用空调等基础设施设计，机房防雷接地、消防等安全检测报告和安全资质证明、机房的验收测评报告等。

对于机房运营类外包服务和应用系统托管类外包服务，需提供机房产权证复印件或者长期场地租赁合同。

（二）业务连续性管理情况企业的灾备系统的建设情况以及业务连续性测评认证情况，包括机房基础设施、系统、网络等应急预案建设及演练和更新，计算机设备和网络设备部署如何满足应用系统运行可用性和性能，集中监控系统的部署等）。

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》等法律法规，制定本指引。

第二条在中华人民国境设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

商业银行信息科技外包管理制度第一章总则第一条为加强商业银行（以下简称本行）信息科技外包风险管理，依据《商业银行信息科技风险管理指引》（银监发〔2009〕19号）、《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号）及有关文件，制定本制度。

第二条本制度所称信息科技外包是指本行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

包括但不限于以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包。

（二）系统运行维护类外包：包括数据中心（灾备中心）机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包。

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第三条信息科技外包产生的风险10 /11信息科技外包可能产生如下风险，并导致本行的战略、声誉、合规风险：（一）科技能力丧失：过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展。

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断。

（三）信息泄露：包含客户信息在内的非公开数据被服务提供商非法获得或泄露。

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下"使得信息科技服务水平下降。

第四条本制度所称机构集中度风险是指农商行将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

对于不涉及本行客户及内部信息转移的信息科技产品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，本行外包接口部门应充分评估其信息科技风险，按照具有机构集中度特点的外包服务提供商的相关要求进行管理。

第五条信息科技外包管理原则10 /11（一）不得将信息科技管理责任外包。

（二）不能妨碍核心能力建设和掌握关键技术。

中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.12.02•【文号】银监办发[2014]272号•【施行日期】2014.12.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知银监办发[2014]272号各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号），为进一步做好对非驻场集中式外包服务的风险评估，加强监督管理，防范银行业区域性、系统性信息科技风险，现就开展非驻场集中式外包服务监管评估工作有关事项通知如下：一、本通知中监管评估是指根据非驻场集中式外包服务商接受风险监督的主动申请，银监会及其派出机构对非驻场集中式外包服务开展信息科技风险监测、现场核查、评级和处置的过程。

二、村镇银行信息系统交由发起行管理、农村金融机构信息系统交由省级农村信用联社管理、外资银行信息系统交由母行管理的，不纳入本通知监管评估范围。

三、纳入监管评估的非驻场集中式外包服务类型包括：(一)机房运营服务，包括机房基础设施运维，设备运维、虚拟化资源服务等计算机基础设施服务。

(二)应用系统托管服务，包括：1．数据中心（灾备中心）整体运维及系统管理；2．应用系统服务，包括核心银行、电子银行、银行卡、网站、电子商城等业务处理系统开发与运维；3．金融自助设备整体运维，即自助设备(含多媒体终端)产权为外包服务商所有或由外包服务商向第三方租赁，监控、运维管理由外包商独立完成。

信息科技外包服务提供商准入与评估实施细则第一章总则第一条为规范本行信息科技外包服务提供商的管理,建立信息科技外包服务提供商准入与评估机制,有效保障本行信息科技外包工作合规、高效开展,特制定本细则。

第二条本实施细则适用于本行各级机构对各类信息科技产品、技术外包服务提供商的管理。

第二章外包服务提供商的准入与选择第三条信息科技外包服务提供商分为六个大类（设备类、研发类、运维类、测试类、基建类、咨询类）和十一个子类,如下表所示:第四条本行信息科技外包服务提供商必须具备以下条件:（一）中国境内注册的法人或具有独立承担民事责任能力的其他组织和个人。

因需要须选择境外注册外包服务提供商的,必须事先报经行领导批准;（二）具有良好的商业信誉和健全的财务会计制度;（三）具有履行合同所必须的设备和专业技术能力;（四）有依法缴纳税收和社会保障资金的良好记录;（五）遵守国家法律法规、行业规范;（六）成立超过3年,且近3年财务状况稳定;（七）客户范围覆盖银行业。

第五条承接本行信息科技外包服务的服务提供商,必须依不同类别、不同行业、不同性质,提供以下对应的准入审核材料:（一）工商营业执照、企业组织机构代码证或事业单位法人代码证、税务登记证或纳税情况证明（基本“三证”）;（二）资金和财务状况证明材料（适用于合同金额300万元及以上的外包服务）;（三）对生产、经销国家特殊规定的标准产品的服务提供商,必须持有生产许可证或经营许可证;（四）对从事专卖销售或代理销售的服务提供商,必须提供由生产厂家或销售总代理出具的书面授权书、委托书或代理证明文件。

对于由非法人签署合同的,签署人必须提供法人出具的委托签订合同授权书;（五）对从事工程、监理、咨询等服务的服务提供商,必须提供相应的资格证书和其他证明文件。

第六条有以下情形之一的,服务提供商不予准入本行集中采购。

已准入发生交易的,一经发现立即取消或终止与该服务提供商的采购交易: （一）未按要求提供相应资质证明材料者;（二）提供虚假材料,骗取服务提供商资格者;（三）以不正当手段串通报价,诋毁或排挤其他竞争对手者;（四）向科技开发部人员、业务需求部门人员或本行其他相关人员行贿或提供其他不正当利益者;（五）中标后,无正当理由不签订采购合同或擅自取消交易者;（六）交易过程中,不按合同约定履行义务或有严重违规、违纪、违约现象者;（七）服务提供商年度综合考核结构为差者;（八）违反本行其他采购规定情形者。

银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；1（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

2第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

信息科技风险（Information Technology Risk）（一）信息科技治理（15分）1.信息科技治理组织架构（8分）（1）是否确立董事会、高管层信息科技管理职责。

（2）是否建立完善的信息科技管理制度体系。

（3）是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。

（4）是否明确信息科技治理作为重要组成部分纳入公司治理。

评分原则：（1）考察董事会、高管层的信息科技治理职责是否完整，信息科技发展战略不经董事会审批，或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。

（2）考察是否建立信息科技管理制度的起草、发布、修订等工作流程，信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。

（3）考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责，“三道防线”部门设置是否合规；是否设立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门，并定期向高管层汇报工作。

（4）考察商业银行是否以正式制度（文件）明确信息科技治理应作为重要组成部分纳入公司治理；是否制定了信息科技治理运作效果考核指标并定期进行评价。

2.信息科技对业务发展的专业支持和匹配度（7分）（1）信息科技战略与业务发展战略的匹配度。

（2）信息科技人员、信息科技投入等与业务发展的匹配度（定量）。

（3）董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。

评分原则：（1）考察是否建立明确、可实施的信息科技发展战略；是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务战略的协调一致机制。

（2）考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配程度。

（3）考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比；是否设立首席信息官，直接向行长汇报，并参与重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验。

银行信息外包管理制度一、总则为规范银行信息外包管理行为，提高外包管理水平，保护客户权益，维护银行业务安全和稳定，保障金融体系运行安全稳定，根据《中华人民共和国银行业监督管理法》等相关法律法规，银行信息外包管理制度制定此制度。

二、适用范围本制度适用于所有参与外包的银行业务部门和外包服务提供方，包括但不限于 IT、客户服务、清算、结算等。

三、外包管理主体1. 银行业务部门：负责银行外包业务的需求确定、供应商筛选、合同签订、外包服务监督等工作。

2. 外包服务提供方：负责根据银行业务部门的要求，提供相应的外包服务。

3. 银行信息外包管理委员会：由银行高层管理人员组成，负责对外包管理进行监督和审批。

四、外包管理流程1. 外包需求确定：银行业务部门明确外包服务需求，并提交外包申请。

2. 外包服务提供商筛选：银行按照相关规定进行招标或邀请，对外包服务提供商进行资质审核、综合评价，并确定最终供应商。

3. 合同签订：双方根据外包服务的具体要求进行合同签订，明确外包服务内容、标准、价款等条款。

4. 外包服务执行监督：银行业务部门对外包服务的执行过程进行监督，确保外包服务按照合同要求进行。

5. 外包服务评估：银行根据外包服务的质量和绩效情况进行定期或不定期的外包服务评估。

6. 终止外包：根据合同约定，银行业务部门可以终止外包服务。

五、外包管理要求1. 安全保障要求：外包服务提供方应当建立完善的信息安全管理体系，保障银行数据的安全性。

2. 服务质量要求：外包服务提供方应当按照合同要求，提供高质量的外包服务，确保服务水平不低于银行自身水平。

3. 合规要求：外包服务提供方应当遵守相关法律法规和监管政策，确保外包服务的合规性。

4. 风险管理要求：外包服务提供方应当建立完善的风险管理体系，对外包业务可能存在的风险进行有效管控。

5. 监督管理要求：银行业务部门应当建立完善的外包服务监督管理体系，对外包服务进行全程监督。

六、外包管理风险防范措施1. 风险评估和控制：在外包服务提供方选择和合同签订阶段，银行应当进行全面的风险评估，对可能存在的风险进行有效控制。

中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2021.12.30•【文号】银保监办发〔2021〕141号•【施行日期】2021.12.30•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险,银行业监督管理正文中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知银保监办发〔2021〕141号各银保监局，各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司，各保险集团（控股）公司、保险公司、保险资产管理公司、养老金管理公司、保险专业中介机构：为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力，银保监会制定了《银行保险机构信息科技外包风险监管办法》，现予印发，请遵照执行。

中国银保监会办公厅2021年12月30日银行保险机构信息科技外包风险监管办法第一章总则第一条为规范银行保险机构的信息科技外包活动，加强信息科技外包风险管控，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，制定本办法。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社，保险集团（控股）公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。

银保监会及其派出机构监管的其他金融机构参照本办法执行。

第三条本办法所适用的信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，按照本办法相关要求进行管理，法律法规另有要求的除外。

（3）考察近两年内（外）审工作中信息科技专项审计占比。
【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】＊100%
（四）信息安全管理
1
（1）是否建立信息安全管理体系。
（2）信息安全管理体系的完整性。
(3）电子银行信息安全管理体系的完整性。
评分原则：（1)考察是否建立合理的信息安全管理组织架构及制度体系。
（2)信息科技内部是否有岗位制约机制，如信息科技运行与系统开发和维护的分离等.
（3）是否有容量规划,重要信息系统性能和容量设置是否恰当,性能和容量变更机制是否合理。
(4)考察重要信息系统服务可用率(定量）.
【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止服务时间】/【计划提供服务总时间】＊100%
（2）考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
（3）考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责，“三道防线”部门设置是否合规;是否设立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(
1
是否建立清晰、合理的信息科技外包管理组织架构，是否制定外包战略.
评分原则:(1）考察是否建立清晰的外包管理组织架构；是否明确高管层、信息科技外包管理主管部门和执行部门的风险管理职责;信息科技外包风险管理部门和审计部门是否定期开展信息科技外包风险管理的评估和审计工作。
（2）是否制定与自身规模、市场地位相适应的外包战略；是否有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。
（2）考察信息科技内审工作独立性和汇报路线的合理性。

信息科技非驻场外包安全检查指南信息技术管理部二○一四年九月目 录1 概述 (1)1.1 目的及适用范围 (1)1.2 指南内容框架 (2)2 基本情况调查 (3)3 信息系统运维外包安全检查与评估 (4)3.1 数据安全 (4)3.1.1 数据隔离 (4)CCB3.1.2 权限管理 (5)3.1.3 与其它交互系统的数据保护机制 (8)3.1.4 日志审核机制 (9)3.1.5 基础环境安全控制能力 (11)3.1.6 应用系统安全防护能力 (19)3.1.7 数据后台提取、修改管理 (21)3.2 服务连续性管理 (24)3.2.1 应用系统可用性 (24)3.2.2 备份机制 (27)3.2.3 应急管理 (30)3.3 内部控制能力 (32)3.3.1 安全管理资质 (32)3.3.2 制度体系 (34)3.3.3 技术保障体系 (35)3.3.4 人员安全 (37)3.4 市场评价 (38)3.4.1 监管评价 (38)3.4.2 信誉 (39)4 业务数据处理外包安全检查与评估 (40)4.1 数据安全 (40)4.1.1 数据隔离 (40)4.1.2 数据保护 (41)4.1.3 基础环境安全控制能力 (43)4.2 内部控制能力 (47)4.2.1 安全管理资质 (47)4.2.2 制度体系 (47)4.2.3 技术保障体系 (48)4.2.4 人员安全 (50)4.3 市场评价 (52)4.3.1 监管评价 (52)CCB4.3.2 信誉 (52)附录1：检查（评估）报告模板 (54)附录2：常用检查方法 (56)1概述1.1目的及适用范围为防范信息科技外包风险，落实《关于印发银行业金融机构信息科技外包风险监管指引的通知》（银监发〔2013〕5号》和《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银CCB 监办发〔2014〕187号）的监管要求，规范对信息科技非驻场外包现场安全检查和风险评估工作，总行统一编写了《信息科技非驻场外包安全检查指南》（以下简称《指南》）。

银行业信息科技非驻场集中式外包服务纳入监管评价基本条件市场背景随着信息技术的快速发展，银行业信息科技服务的外包需求逐年增长。

外包服务能够降低银行IT部门的成本，同时也提高了银行信息科技服务的灵活性和效率。

然而，在外包服务中也存在一些安全隐患，比如数据泄露、服务质量等问题。

为了保障银行业的安全和可持续发展，监管机构出台了相关政策，要求银行业信息科技非驻场集中式外包服务必须满足一定的条件才能纳入监管评价。

外包服务纳入监管评价的重要性银行是金融体系中不可或缺的一部分。

目前，大多数银行都会采用外包服务来满足信息系统和技术服务的需求。

但是，如果外包服务不能达到一定标准，就会对银行业的稳定性和安全性造成影响。

因此，银行业信息科技非驻场集中式外包服务的纳入监管评价是非常重要的。

监管机构可以明确外包服务的标准和要求，从而确保服务的稳定性、可靠性和安全性。

同时，对于那些不符合标准的服务商，监管机构也可以制定合适的措施进行监管，从而保护银行业的稳健发展。

银行业信息科技非驻场集中式外包服务纳入监管评价的基本条件为了满足银行业信息科技非驻场集中式外包服务的监管要求，以下是一些基本的条件：1. 服务商的资质监管机构要求银行选择服务商时必须了解服务商的资质，包括注册资本、运营时间、服务范围等。

同时，服务商应具有良好的信誉，没有不当行为记录。

2. 遵守法律法规服务商应遵守相关法律法规，包括但不限于《中华人民共和国合同法》、《中华人民共和国电子商务法》等。

服务商应对数据保密、信息安全等问题有严格的保密措施。

3. 提供服务服务商应提供丰富的产品和服务，并保证有与之对应的服务水平协议。

服务商应保证服务质量，包括但不限于可用性、数据处理能力、资源管理等。

4. 投诉处置服务商应设定检讨与反馈机制，包括申诉、争论解决和服务止损等方式，保证受理和处置投诉的及时性、高效性及公正性。

服务商应通过内部和外部审核措施，进行自我检讨和适当的调整。

5. 协议签署银行与服务商应签署合同，在合同中约定服务内容和服务等级的具体要求。

银行业金融机构信息科技外包风险监管指引精品文档--------------------------精品文档，可以编辑修改，等待你的下载，管理，教育文档--------------------------------------------------------------------------------------------------------------------------------------------------------------- 中国银行业监督管理委员会银监发[2013]5号中国银监会关于印发银行业金融机构信息科技外包风险监管指引的通知各银监局～各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司～邮储银行～各省级农村信用联社～银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:现将《银行业金融机构信息科技外包风险监管指引》印发给你们～请遵照执行。

2013年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动～降低信息科技外包风险～根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规～制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业--------------------------精品文档，可以编辑修改，等待你的下载，管理，教育文档---------------------- ----------------------------------------------------------------------------------------------------------------------------------------------精品文档--------------------------精品文档，可以编辑修改，等待你的下载，管理，教育文档--------------------------------------------------------------------------------------------------------------------------------------------------------------- 银行、农村合作银行、省,自治区,农村信用社联合社适用本指引。