【文章內(nèi)容簡(jiǎn)介】 詢類外包：科技管理及科技治理等咨詢?cè)O(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測(cè)試外包；（二）系統(tǒng)運(yùn)行維護(hù)類外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；（三）業(yè)務(wù)外包中的信息科技活動(dòng)：市場(chǎng)拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。第四條本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)提供信息科技外包。第五條信息科技外包可能產(chǎn)生如下風(fēng)險(xiǎn)，并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn)：（一）科技能力喪失：銀行業(yè)金融機(jī)構(gòu)過度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；（三）信息泄露：包含客戶信息在內(nèi)的銀行業(yè)金融機(jī)構(gòu)非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露；（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。第六條本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。第七條本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定期進(jìn)行外包風(fēng)險(xiǎn)評(píng)估，通過服務(wù)提供商準(zhǔn)入、評(píng)價(jià)、退出等手段建立及維護(hù)符合自身戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。第十條銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；（二）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；（三）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì)，持續(xù)改進(jìn)外包策略和措施。第十一條銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)，不得將信息科技管理責(zé)任外包。第十二條對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn)，按照本指引第五章要求進(jìn)行管理。第二章 外包管理組織架構(gòu)第十三條銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險(xiǎn)管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。第十四條信息科技外包風(fēng)險(xiǎn)主管部門的主要職責(zé)包括：（一）對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示；（二）監(jiān)督、評(píng)價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；（三）向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)管理情況；（四）董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。第十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì)，并配備足夠人員履行以下職責(zé)：（一）實(shí)施信息科技外包戰(zhàn)略；（二）制定并執(zhí)行信息科技外包管理制度與流程；（三）執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；（四）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；（五）對(duì)外包過程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門報(bào)告外包活動(dòng)情況。第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理第一節(jié) 信息科技外包戰(zhàn)略第十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標(biāo)，基于信息科技戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不得外包。第十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案，通過補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式，有針對(duì)性地獲取或提升管理及技術(shù)能力，降低對(duì)服務(wù)提供商的依賴。第十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場(chǎng)地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。通過準(zhǔn)入和退出機(jī)制合理管控各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量，實(shí)現(xiàn)以下目標(biāo)：防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn)，通過引入適當(dāng)?shù)母?jìng)爭(zhēng)在降低采購成本的同時(shí)提高服務(wù)質(zhì)量，合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。第二十條銀行業(yè)金融機(jī)構(gòu)可以按照外包服務(wù)性質(zhì)和重要性程度對(duì)服務(wù)提供商進(jìn)行分級(jí)管理，對(duì)不同級(jí)別的服務(wù)提供商采取差異化的管控措施，在有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。第二十一條銀行業(yè)金融機(jī)構(gòu)要同母公司或集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作，但應(yīng)當(dāng)保持關(guān)聯(lián)外包有關(guān)決策的獨(dú)立性，避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平。第二節(jié) 信息科技外包風(fēng)險(xiǎn)管理第二十二條銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估，保持評(píng)估的獨(dú)立性，并向高級(jí)管理層提交評(píng)估報(bào)告。評(píng)估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場(chǎng)變化對(duì)外包服務(wù)的影響分析等。第二十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估，保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評(píng)估內(nèi)容包括：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。第二十四條銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)。第四章 信息科技外包管理第一節(jié) 外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入第二十五條外包項(xiàng)目立項(xiàng)前，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，制定相應(yīng)的風(fēng)險(xiǎn)處臵措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。第二十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對(duì)備選服務(wù)提供商進(jìn)行初步篩選，防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。第二十七條對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。第二節(jié) 服務(wù)提供商盡職調(diào)查第二十八條對(duì)重要的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開展盡職調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。第二十九條銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等。第三十條銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。第三十一條銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況，包括但不限于：從業(yè)時(shí)間、市場(chǎng)地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。第三十二條對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對(duì)服務(wù)提供商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等。第三十三條對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。第三節(jié) 外包服務(wù)合同及要求第三十四條銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前，應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及盡職調(diào)查結(jié)果確定詳細(xì)程度和重點(diǎn)。第三十五條銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；（二）合規(guī)與內(nèi)控要求，對(duì)法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施；（三）服務(wù)連續(xù)性要求，服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求；（四）銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)利、頻率，服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查，及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任；（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排，包括信息、資料和設(shè)施的交接處臵等過渡期間相關(guān)服務(wù)的安排；（六）外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)當(dāng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等；（八）爭(zhēng)端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭(zhēng)端的解決機(jī)制；（九）報(bào)告條款，至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。第三十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任，以及針對(duì)安全及保密要求需采取的具體措施。包括但不限于：（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息，以防止信息被非授權(quán)使用；（二）在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款；（三）在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開展活動(dòng)；（四）服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí)，需滿足安全和保密相關(guān)條款的要求；（五）在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類突發(fā)事件時(shí)，服務(wù)提供商應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告，包括事件的影響以及處臵和糾正措施。第三十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；（二）主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議；（三）主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控，并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。第四節(jié) 外包服務(wù)安全管理第三十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。具體措施包括：（一）對(duì)外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)管理意識(shí)，確保信息安全管控措施在外包服務(wù)過程中有效落實(shí)；（二）明確外包活動(dòng)需要訪問或使用的信息資產(chǎn)，包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問