【正文】 式實(shí)施。第八十五條銀監(jiān)會可以根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動風(fēng)險(xiǎn)評估和實(shí)地核查結(jié)果，對銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示，要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對風(fēng)險(xiǎn)問題實(shí)施整改。第八十六條銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機(jī)構(gòu)及銀監(jiān)會的風(fēng)險(xiǎn)監(jiān)測和實(shí)地核查。第八十七條銀監(jiān)會組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄，并對其進(jìn)行風(fēng)險(xiǎn)評估和評級。第八十八條服務(wù)提供商在外包服務(wù)中存在以下情形的，銀監(jiān)會定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險(xiǎn)預(yù)警，公布機(jī)構(gòu)名單、服務(wù)信息等，要求銀行業(yè)金融機(jī)構(gòu)禁止相關(guān)服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù)，禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的，延長其禁止期。（一）違反國家法律、法規(guī)和監(jiān)管政策，情節(jié)嚴(yán)重的；（二）竊取、泄露銀行業(yè)金融機(jī)構(gòu)敏感信息，情節(jié)嚴(yán)重的；（三）因管理過失，多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件的；（四）服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機(jī)構(gòu)造成損失，多次提示仍未整改的；（五）對風(fēng)險(xiǎn)監(jiān)測和實(shí)地檢查發(fā)現(xiàn)的問題，逾期仍未整改的；（六）存在其他違法違規(guī)行為，或發(fā)生其他重大信息科技風(fēng)險(xiǎn)事件的。第八十九條銀監(jiān)會負(fù)責(zé)監(jiān)督銀行業(yè)金融機(jī)構(gòu)對信息科技外包服務(wù)提供商實(shí)施準(zhǔn)入管理。對于存在重大風(fēng)險(xiǎn)的外包活動，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)立即評估外包的適當(dāng)性，對信息科技外包服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)預(yù)警提示，要求其進(jìn)行整改并設(shè)定期限；逾期未整改的，禁止其承擔(dān)信息科技外包服務(wù)。第九章 附則第九十條本指引由銀監(jiān)會負(fù)責(zé)解釋、修訂。第九十一條本指引自公布之日起施行。第三篇：銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引第一章 總則第一條 為了規(guī)范銀行業(yè)金融機(jī)構(gòu)的外包活動，保障銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)持續(xù)經(jīng)營，依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等有關(guān)法律法規(guī)，制定本指引。第二條 在中華人民共和國境內(nèi)設(shè)立的銀行業(yè)金融機(jī)構(gòu)適用本指引。第三條 本指引中的外包是指銀行業(yè)金融機(jī)構(gòu)將原來由自身負(fù)責(zé)處理的某些業(yè)務(wù)活動委托給服務(wù)提供商進(jìn)行持續(xù)處理的行為。服務(wù)提供商包括獨(dú)立第三方，銀行業(yè)金融機(jī)構(gòu)母公司或其所屬集團(tuán)設(shè)立在中國境內(nèi)、外的子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)。第四條 銀行業(yè)金融機(jī)構(gòu)的董事會和高級管理層應(yīng)當(dāng)承擔(dān)外包活動的最終責(zé)任。第五條 銀行業(yè)金融機(jī)構(gòu)開展外包活動應(yīng)當(dāng)制定外包的風(fēng)險(xiǎn)管理框架以及相關(guān)制度，并將其納入全面風(fēng)險(xiǎn)管理體系。第六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)審慎經(jīng)營原則制定其外包戰(zhàn)略發(fā)展規(guī)劃，確定與其風(fēng)險(xiǎn)管理水平相適宜的外包活動范圍。第七條 銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略管理、核心管理以及內(nèi)部審計(jì)等職能不宜外包。第二章組織結(jié)構(gòu)第八條 銀行業(yè)金融機(jī)構(gòu)外包管理的組織架構(gòu)應(yīng)當(dāng)包括董事會、高級管理層及外包管理團(tuán)隊(duì)。第九條 董事會的職責(zé)主要包括以下方面：（一）審議批準(zhǔn)外包的戰(zhàn)略發(fā)展規(guī)劃；（二）審議批準(zhǔn)外包的風(fēng)險(xiǎn)管理制度；（三）審議批準(zhǔn)本機(jī)構(gòu)的外包范圍及相關(guān)安排；（四）定期審閱本機(jī)構(gòu)外包活動相關(guān)報(bào)告；（五）定期安排內(nèi)部審計(jì)，確保審計(jì)范圍涵蓋所有的外包安排。第十條 高級管理層的職責(zé)主要包括以下方面：（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；（二）制定外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；（三）確定外包業(yè)務(wù)的范圍及相關(guān)安排；（四）確定外包管理團(tuán)隊(duì)職責(zé)，并對其行為進(jìn)行有效監(jiān)督。第十一條 外包管理團(tuán)隊(duì)的職責(zé)主要包括以下方面：（一）執(zhí)行外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；（二）負(fù)責(zé)外包活動的日常管理，包括盡職調(diào)查、合同執(zhí)行情況的監(jiān)督及風(fēng)險(xiǎn)狀況的監(jiān)督；（三）向高級管理層提出有關(guān)外包活動發(fā)展和風(fēng)險(xiǎn)管控的意見和建議；（四）在發(fā)現(xiàn)外包服務(wù)提供商業(yè)的業(yè)務(wù)活動存在缺陷時(shí)，采取及時(shí)有效的措施；（五）高級管理層確定的其他職責(zé)第三章風(fēng)險(xiǎn)管理第十二條 銀行業(yè)金融機(jī)構(gòu)在制定外包活動政策時(shí)，應(yīng)當(dāng)評估以下風(fēng)險(xiǎn)因素：（一）銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包活動的戰(zhàn)略風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、國別風(fēng)險(xiǎn)等風(fēng)險(xiǎn)；（二）影響外包活動的外部因素；（三）本機(jī)構(gòu)對外包活動的風(fēng)險(xiǎn)管控能力；（四）服務(wù)提供商的技術(shù)能力及專業(yè)能力，業(yè)務(wù)策略和業(yè)務(wù)規(guī)模，業(yè)務(wù)連續(xù)性及破產(chǎn)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)控制能力及外包服務(wù)的集中度；（五）其他關(guān)注的事項(xiàng)。第十三條 銀行業(yè)金融機(jī)構(gòu)在進(jìn)行外包活動時(shí)應(yīng)當(dāng)對服務(wù)提供商進(jìn)行盡職調(diào)查，盡職調(diào)查應(yīng)當(dāng)包括以下事項(xiàng)：（一）管理能力和行業(yè)地位；（二）財(cái)務(wù)穩(wěn)健性；（三）經(jīng)營聲譽(yù)和企業(yè)文化；（四）技術(shù)實(shí)力和服務(wù)質(zhì)量；（五）突發(fā)事件應(yīng)對能力；（六）對銀行業(yè)的熟悉程度；（七）對其他銀行業(yè)金融機(jī)構(gòu)提供服務(wù)的情況；（八）銀行業(yè)金融機(jī)構(gòu)認(rèn)為重要的其他事項(xiàng)。銀行業(yè)金融機(jī)構(gòu)的外包活動涉及多個(gè)服務(wù)提供商時(shí)，應(yīng)當(dāng)對這些服務(wù)提供商進(jìn)行關(guān)聯(lián)關(guān)系的調(diào)查。第十四條 銀行業(yè)金融機(jī)構(gòu)開展外包活動時(shí)應(yīng)當(dāng)簽訂書面合同或協(xié)議，明確雙方的權(quán)利義務(wù)。合同或協(xié)議應(yīng)當(dāng)包括但不限于以下內(nèi)容：（一）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（二）外包服務(wù)的保密性和安全性的安排；（三）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排；（四）外包服務(wù)的審計(jì)和檢查；（五）外包爭端的解決機(jī)制；（六）合同或協(xié)議變更或終止的過渡安排；（七）違約責(zé)任。對于具有專業(yè)技術(shù)性的外包活動，可簽訂服務(wù)標(biāo)準(zhǔn)協(xié)議。第十五條 銀行業(yè)金融機(jī)構(gòu)在外包活動中應(yīng)當(dāng)建立嚴(yán)格的客戶信息保密制度，并依法履行告知義務(wù)。第十六條 銀行業(yè)金融機(jī)構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項(xiàng)：（一）定期通報(bào)外包活動的有關(guān)事項(xiàng)；（二）及時(shí)通報(bào)外包活動的突發(fā)性事件；（三）配合銀行業(yè)金融機(jī)構(gòu)接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；（四）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；（五）不得以銀行業(yè)金融機(jī)構(gòu)的名義開展活動；（六）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。第十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)提供商分包的風(fēng)險(xiǎn)，并在合同中明確以下事項(xiàng)：（一）服務(wù)提供商分包的規(guī)則；（二）分包服務(wù)提供商應(yīng)當(dāng)嚴(yán)格遵守主服務(wù)提供商與銀行業(yè)金融機(jī)構(gòu)確定的外包合同或協(xié)議中的相關(guān)條款；（三）主服務(wù)商應(yīng)當(dāng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；（四）不得將外包活動的主要業(yè)務(wù)分包。第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同中約定服務(wù)提供商不得將外包活動轉(zhuǎn)包或變相轉(zhuǎn)包。第十九條 銀行業(yè)金融機(jī)構(gòu)在開展跨境外包活動時(shí)，應(yīng)當(dāng)遵守以下原則：（一）審慎評估法律和管制風(fēng)險(xiǎn)；（二）確保客戶信息的安全；（三）選擇境外服務(wù)提供商時(shí)，應(yīng)當(dāng)明確其所在國家或地區(qū)監(jiān)管當(dāng)局已與我國銀行業(yè)監(jiān)督管理機(jī)構(gòu)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先制定和建立外包突發(fā)事件應(yīng)急預(yù)案和機(jī)制。通過采取替代方案、尋求合同項(xiàng)下的保險(xiǎn)安排等措施，確保業(yè)務(wù)活動的正常經(jīng)營。第二十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)定期對外包活動進(jìn)行全面審計(jì)與評價(jià)。第四章監(jiān)督管理第二十二條 銀行業(yè)金融機(jī)構(gòu)在開展外包活動時(shí)，應(yīng)當(dāng)定期向所在地銀行業(yè)監(jiān)督管理機(jī)構(gòu)遞交本機(jī)構(gòu)外包活動的評估報(bào)告。第二十三條 銀行業(yè)金融機(jī)構(gòu)在開展外包活動時(shí)如遇到對本機(jī)構(gòu)的業(yè)務(wù)經(jīng)營、客戶信息安全、聲譽(yù)等產(chǎn)生重大影響事件，應(yīng)當(dāng)及時(shí)向所在地銀行業(yè)監(jiān)督管理機(jī)構(gòu)報(bào)告。第二十四條 銀行業(yè)監(jiān)督管理機(jī)構(gòu)及其派出機(jī)構(gòu)根據(jù)需要對外包活動進(jìn)行現(xiàn)場檢查，采集外包活動過程中數(shù)據(jù)信息和相關(guān)資料，并將檢查結(jié)果納入對該機(jī)構(gòu)的監(jiān)管評級。第二十五條 對外包活動存在以下情形的，銀行業(yè)監(jiān)督管理機(jī)構(gòu)可以要求銀行業(yè)金融機(jī)構(gòu)糾正或采取替代方案，并視情況予以問責(zé)。（一）違反相關(guān)法律、行政法規(guī)及規(guī)章；（二）違反本機(jī)構(gòu)風(fēng)險(xiǎn)管理政策、內(nèi)控制度及操作流程等；（三）存在重大風(fēng)險(xiǎn)隱患；（四）其他認(rèn)定的情形。第五章附則第二十六條 經(jīng)銀行業(yè)監(jiān)督管理機(jī)構(gòu)批準(zhǔn)的其他金融機(jī)構(gòu)開展外包活動時(shí)遵照本指引執(zhí)行。第二十七條 本指引由中國銀行業(yè)監(jiān)督管理委員會負(fù)責(zé)解釋。第二十八條 本指引自發(fā)布之日起實(shí)施。第四篇：銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)非現(xiàn)場監(jiān)管報(bào)表銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn) 非現(xiàn)場監(jiān)管報(bào)表（征求意見稿）目 錄第一部分報(bào)表..................................................1 I信息科技風(fēng)險(xiǎn)調(diào)查問卷............................................1 QR1 信息科技風(fēng)險(xiǎn)調(diào)查問卷.....................................1 II基本情況報(bào)表...................................................8 TB1 信息科技治理基本情況表...................................8 TB2 信息科技風(fēng)險(xiǎn)管理情況表..................................10 TB3 信息科技內(nèi)外部審計(jì)與評估基本情況表......................12 TB4 應(yīng)急管理基本情況表......................................14 TB5 信息科技項(xiàng)目基本情況表..................................15 TB6 災(zāi)備基本情況表..........................................16 TB7 外包基本情況表..........................................18 TB8 各類中心基本情況表......................................19 TB9 數(shù)據(jù)中心及災(zāi)備中心機(jī)房基本情況表........................20 TB10 重要信息系統(tǒng)統(tǒng)計(jì)表......................................21 TB11 網(wǎng)絡(luò)基本情況表..........................................23 TB12 電子銀行業(yè)務(wù)品種統(tǒng)計(jì)表..................................24 TB13 電子銀行業(yè)務(wù)量統(tǒng)計(jì)表....................................25 第二部分季度報(bào)表.................................................27 TB14 重要信息系統(tǒng)運(yùn)行基本情況報(bào)表............................27 TB15 組織機(jī)構(gòu)、人員重大變動表................................30 第三部分報(bào)告......................................................31 RR1 信息化建設(shè)與信息科技風(fēng)險(xiǎn)管理報(bào)告....................31 附錄參考定義.....................................................32 2 填報(bào)須知一、本報(bào)表作為銀監(jiān)會信息科技風(fēng)險(xiǎn)監(jiān)管體系的重要組成部 分及信息科技風(fēng)險(xiǎn)識別、評估工作的基礎(chǔ)和前提，旨在全面收集 和監(jiān)測銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況。二、本報(bào)表主要適用于在中華人民共和國境內(nèi)依法設(shè)立的政 策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城 市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村 信用社、外資法人銀行等銀行業(yè)金融機(jī)構(gòu)。三、本報(bào)表是為針對信息科技風(fēng)險(xiǎn)而設(shè)的專門報(bào)表，銀行業(yè) 金融機(jī)構(gòu)應(yīng)當(dāng)對所填報(bào)數(shù)據(jù)的真實(shí)性負(fù)責(zé)。四、本報(bào)表應(yīng)由風(fēng)險(xiǎn)管理部門組織填報(bào)。五、本報(bào)表分為報(bào)表、季度報(bào)表和報(bào)告。報(bào)表統(tǒng)計(jì) 周期為12個(gè)月，即上一年10月1日至本9月30日，報(bào)送截止時(shí) 間為每年10月15日；季度報(bào)表報(bào)送時(shí)間為季后10日內(nèi)；報(bào)告報(bào)送 時(shí)間為自然年后40日內(nèi)。六、報(bào)表中未特別說明統(tǒng)計(jì)范圍的，皆指全行范圍。七、填報(bào)過程中，對于需要特別說明的項(xiàng)目或問題，請?jiān)趥?注欄中描述具體情況。八、報(bào)送截止后，對于存在疑問的報(bào)表，監(jiān)管人員可要求機(jī) 構(gòu)提供詳實(shí)材料予以核實(shí)或重報(bào)；如有必要，將發(fā)起現(xiàn)場檢查，并以現(xiàn)場檢查結(jié)果為準(zhǔn)。九、本報(bào)表附有術(shù)語參考定義，填報(bào)過程中可供參考。第一部分報(bào)表I信息科技風(fēng)險(xiǎn)調(diào)查問卷QR1 信息科技風(fēng)險(xiǎn)調(diào)查問卷填報(bào)機(jī)構(gòu)： 填報(bào)人： 責(zé)任人： 填報(bào)日期： 年 月 日 編號 項(xiàng)目 填報(bào)說明 內(nèi)容 單位 備注 Q0001 對信息科技制度進(jìn)行定期 修訂以信息科技制度修訂發(fā)文為準(zhǔn)□是□否 N/A Q0002 對信息科技規(guī)劃定期評估 并修改若對信息科技規(guī)劃定期評估并修 改，請回答是 □是□否 N/A Q0003 制定了關(guān)鍵崗位輪崗計(jì)劃 并依照執(zhí)行以輪崗計(jì)劃和記錄（接替崗位后工 作至少一周）為準(zhǔn) □是□否 N/A Q0004 規(guī)定在職人員定期參加信 息安全及保密培訓(xùn)以相應(yīng)人員參與的培訓(xùn)記錄為準(zhǔn)□是□否 N/A Q0005 依據(jù)制定的審計(jì)計(jì)劃、方案 開展信息科技審計(jì)以相應(yīng)批文為準(zhǔn)□是□否 N/A Q0006 信息科技審計(jì)報(bào)告抄送風(fēng) 險(xiǎn)管理部門以提交給風(fēng)險(xiǎn)管理部門的審計(jì)報(bào) 告為準(zhǔn)□是□否 N/A Q0007 與外部審計(jì)機(jī)構(gòu)簽署保密 協(xié)議若所有的外部審計(jì)活動均與外部 審計(jì)機(jī)構(gòu)簽署保密協(xié)議，請回答是 □是□否 N/A Q0008 信息科技內(nèi)部審計(jì)覆蓋的 比例請計(jì)算最近12個(gè)月信息科技內(nèi)部 審計(jì)的分支機(jī)構(gòu)數(shù)與分支機(jī)構(gòu)數(shù) 的比值 % Q0009 發(fā)生核心業(yè)務(wù)系統(tǒng)替換或 計(jì)劃實(shí)施核心業(yè)務(wù)系統(tǒng)替 換若最近12 個(gè)月發(fā)生核心系統(tǒng)的替 換或未來12個(gè)月計(jì)劃實(shí)施，請回 答是□是□否 N/A Q0010 有多少家外部機(jī)構(gòu)將系統(tǒng) 或設(shè)備交由本機(jī)構(gòu)托管如有其他機(jī)構(gòu)（或銀行）將其系統(tǒng)、設(shè)備或業(yè)務(wù)處理交由本機(jī)構(gòu)管理（托管行為），請統(tǒng)計(jì)這些機(jī)構(gòu)的 數(shù)量 個(gè)Q0011 交由外部機(jī)構(gòu)托管的系統(tǒng) 數(shù)請統(tǒng)計(jì)交由外部機(jī)構(gòu)托管的系統(tǒng) 數(shù) 個(gè) Q0012 與本機(jī)構(gòu)發(fā)