【正文】 務(wù)會(huì)計(jì)制度的相關(guān)數(shù)據(jù)。第十六條 銀行業(yè)金融機(jī)構(gòu)董事會(huì)應(yīng)當(dāng)根據(jù)國(guó)民經(jīng)濟(jì)發(fā)展?fàn)顩r、市場(chǎng)變化、自身發(fā)展戰(zhàn)略和風(fēng)險(xiǎn)偏好等因素，審批確定審慎、可行的經(jīng)營(yíng)計(jì)劃。第十七條 銀行業(yè)金融機(jī)構(gòu)高級(jí)管理層應(yīng)當(dāng)按照董事會(huì)批準(zhǔn)的經(jīng)營(yíng)計(jì)劃，制定本行績(jī)效考評(píng)制度和指標(biāo)體系，并對(duì)績(jī)效考評(píng)負(fù)最終責(zé)任。第十八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)指定專門部門，負(fù)責(zé)績(jī)效考評(píng)的制度建設(shè)、組織實(shí)施和質(zhì)量控制。第二十條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立規(guī)范的績(jī)效考評(píng)管理流程，確?？?jī)效考評(píng)指標(biāo)體系和實(shí)施過(guò)程公開透明，并與考評(píng)對(duì)象及其員工進(jìn)行有效溝通。第二十二條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)績(jī)效考評(píng)結(jié)果的應(yīng)用管理，建立科學(xué)合理的績(jī)效考評(píng)結(jié)果掛鉤機(jī)制。商業(yè)銀行在核定考評(píng)對(duì)象的績(jī)效薪酬總額和確定高級(jí)管理人員的績(jī)效薪酬時(shí)，應(yīng)當(dāng)符合《商業(yè)銀行穩(wěn)健薪酬監(jiān)管指引》相關(guān)規(guī)定。第二十四條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)培育公開透明、審慎穩(wěn)健的績(jī)效考評(píng)文化，充分發(fā)揮績(jī)效考評(píng)對(duì)經(jīng)營(yíng)管理和業(yè)務(wù)發(fā)展的引領(lǐng)作用。銀行業(yè)金融機(jī)構(gòu)審計(jì)和監(jiān)察部門應(yīng)當(dāng)對(duì)績(jī)效考評(píng)實(shí)施情況進(jìn)行檢查，對(duì)將業(yè)務(wù)費(fèi)用變相作為績(jī)效獎(jiǎng)勵(lì)、弄虛作假、違規(guī)操作等問(wèn)題嚴(yán)肅問(wèn)責(zé)。第二十七條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)于年初將董事會(huì)批準(zhǔn)的經(jīng)營(yíng)計(jì)劃和高級(jí)管理層制定的績(jī)效考評(píng)制度報(bào)送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)在期間對(duì)績(jī)效考評(píng)進(jìn)行調(diào)整的，應(yīng)當(dāng)將調(diào)整情況及時(shí)報(bào)送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。第二十九條 銀監(jiān)會(huì)對(duì)銀行業(yè)金融機(jī)構(gòu)績(jī)效考評(píng)進(jìn)行監(jiān)督管理。第三十條 銀行業(yè)金融機(jī)構(gòu)績(jī)效考評(píng)實(shí)施情況納入監(jiān)管評(píng)價(jià)，并與監(jiān)管激勵(lì)措施掛鉤：（一）與考評(píng)對(duì)象設(shè)立機(jī)構(gòu)掛鉤；（二）與考評(píng)對(duì)象開辦新業(yè)務(wù)掛鉤；（三）與考評(píng)對(duì)象高級(jí)管理人員任職資格核準(zhǔn)掛鉤。第三十二條 銀行業(yè)金融機(jī)構(gòu)及其考評(píng)對(duì)象績(jī)效考評(píng)工作不符合本指引要求的，根據(jù) 《 中華人民共和國(guó)銀行業(yè)監(jiān)督管理法 》 的相關(guān)規(guī)定責(zé)令限期整改，整改不到位的，依法實(shí)施監(jiān)管措施或行政處罰。銀行業(yè)金融機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)管理、內(nèi)控合規(guī)、內(nèi)部審計(jì)等部門的績(jī)效考評(píng)，應(yīng)當(dāng)有利于其獨(dú)立、全面地履行職能。第三十五條 按照并表管理原則，銀行業(yè)金融機(jī)構(gòu)對(duì)全資或控股的非銀行金融機(jī)構(gòu)的考評(píng)參照本指引執(zhí)行。第三十七條 本指引自印發(fā)之日起施行。第二條 本指引所稱銀行業(yè)金融機(jī)構(gòu)是指依法在中國(guó)境內(nèi)設(shè)立的各類銀行業(yè)金融機(jī)構(gòu)法人，以及外國(guó)銀行業(yè)金融機(jī)構(gòu)在中國(guó)境內(nèi)設(shè)立的分支機(jī)構(gòu)。本指引所稱銀行業(yè)監(jiān)管機(jī)構(gòu)，是指中國(guó)銀監(jiān)會(huì)及其派出機(jī)構(gòu)。銀行業(yè)金融機(jī)構(gòu)董事會(huì)對(duì)外部審計(jì)負(fù)最終責(zé)任。對(duì)合格外審機(jī)構(gòu)的評(píng)估包括但不限于以下因素：（一）在形式和實(shí)質(zhì)上均保持獨(dú)立性；（二）具有與委托銀行業(yè)金融機(jī)構(gòu)資產(chǎn)規(guī)模、業(yè)務(wù)復(fù)雜程度等相匹配的規(guī)模、資源和風(fēng)險(xiǎn)承受能力；（三）擁有足夠數(shù)量的具有銀行業(yè)金融機(jī)構(gòu)審計(jì)經(jīng)驗(yàn)的注冊(cè)會(huì)計(jì)師，具備審計(jì)銀行業(yè)金融機(jī)構(gòu)的專業(yè)勝任能力；（四）熟悉金融法規(guī)、銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)及流程、內(nèi)部控制制度以及各種風(fēng)險(xiǎn)管理政策；（五）具有完善的內(nèi)部管理制度和健全的質(zhì)量控制體系；（六）具有良好的職業(yè)聲譽(yù)，無(wú)重大不良記錄。第六條 外審機(jī)構(gòu)存在下列情況之一的，銀行業(yè)金融機(jī)構(gòu)不宜委托其從事外部審計(jì)業(yè)務(wù)：（一）專業(yè)勝任能力、從事銀行業(yè)金融機(jī)構(gòu)審計(jì)的經(jīng)驗(yàn)、風(fēng)險(xiǎn)承受能力明顯不足的；（二）存在欺詐和舞弊行為，在執(zhí)業(yè)經(jīng)歷中受過(guò)行政處罰、刑事處罰且未滿三年的；（三）與被審計(jì)機(jī)構(gòu)存在關(guān)聯(lián)關(guān)系，可能影響審計(jì)獨(dú)立性的。第八條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)與外審機(jī)構(gòu)充分溝通，了解審計(jì)進(jìn)展情況，及時(shí)將審計(jì)過(guò)程中出現(xiàn)的重大事項(xiàng)報(bào)告銀行業(yè)監(jiān)管機(jī)構(gòu)。第十條 銀行業(yè)監(jiān)管機(jī)構(gòu)可以對(duì)外審機(jī)構(gòu)的審計(jì)報(bào)告質(zhì)量進(jìn)行評(píng)估，并對(duì)存在重大疑問(wèn)的事項(xiàng)要求銀行業(yè)金融機(jī)構(gòu)委托其他外審機(jī)構(gòu)進(jìn)行專項(xiàng)審計(jì)。第十二條 銀行業(yè)金融機(jī)構(gòu)不宜委托負(fù)責(zé)其外部審計(jì)的外審機(jī)構(gòu)提供咨詢服務(wù)。第十四條 銀行業(yè)監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)外審機(jī)構(gòu)存在下列問(wèn)題時(shí)，可以要求銀行業(yè)金融機(jī)構(gòu)立即評(píng)估委托該外審機(jī)構(gòu)的適當(dāng)性：（一）審計(jì)結(jié)果嚴(yán)重失實(shí)的；（二）存在嚴(yán)重舞弊行為的；（三）嚴(yán)重違背中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則，存在應(yīng)發(fā)現(xiàn)而未發(fā)現(xiàn)的重大問(wèn)題的。第十五條 銀行業(yè)金融機(jī)構(gòu)或外審機(jī)構(gòu)單方要求終止審計(jì)委托時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)及時(shí)報(bào)告銀行業(yè)監(jiān)管機(jī)構(gòu)。第十七條 外審機(jī)構(gòu)根據(jù)審計(jì)準(zhǔn)則向銀行業(yè)監(jiān)管機(jī)構(gòu)報(bào)告銀行業(yè)金融機(jī)構(gòu)以下情況的，銀行業(yè)金融機(jī)構(gòu)不得阻撓：（一）嚴(yán)重違反法律法規(guī)、行業(yè)規(guī)范或章程；（二）影響持續(xù)經(jīng)營(yíng)的事項(xiàng)或情況；（三）出具非標(biāo)準(zhǔn)審計(jì)報(bào)告；（四）管理層有重大舞弊行為；（五）決策機(jī)構(gòu)內(nèi)部發(fā)生嚴(yán)重沖突或關(guān)鍵職能部門負(fù)責(zé)人突然離職。第六章 審計(jì)結(jié)果的利用第十九條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在收到外審機(jī)構(gòu)出具的審計(jì)報(bào)告和管理建議書后及時(shí)將副本報(bào)送銀行業(yè)監(jiān)管機(jī)構(gòu)。第二十一條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)重視并積極整改外部審計(jì)發(fā)現(xiàn)的問(wèn)題，并將整改結(jié)果報(bào)送銀行業(yè)監(jiān)管機(jī)構(gòu)。第二十三條 本指引自公布之日起施行。2013年2月16日銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引第一章 總則第一條為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng)，降低信息科技外包風(fēng)險(xiǎn)，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》等法律法規(guī)，制定本指引。銀監(jiān)會(huì)監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。原則上包括以下類型：（一）研發(fā)咨詢類外包：科技管理及科技治理等咨詢?cè)O(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測(cè)試外包；（二）系統(tǒng)運(yùn)行維護(hù)類外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；（三）業(yè)務(wù)外包中的信息科技活動(dòng)：市場(chǎng)拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。第五條信息科技外包可能產(chǎn)生如下風(fēng)險(xiǎn)，并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn)：（一）科技能力喪失：銀行業(yè)金融機(jī)構(gòu)過(guò)度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無(wú)法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；（三）信息泄露：包含客戶信息在內(nèi)的銀行業(yè)金融機(jī)構(gòu)非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露；（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問(wèn)題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。第七條本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。第九條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定期進(jìn)行外包風(fēng)險(xiǎn)評(píng)估，通過(guò)服務(wù)提供商準(zhǔn)入、評(píng)價(jià)、退出等手段建立及維護(hù)符合自身戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。第十一條銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)，不得將信息科技管理責(zé)任外包。第二章 外包管理組織架構(gòu)第十三條銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險(xiǎn)管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。第十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門或信息科技外包活動(dòng)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì)，并配備足夠人員履行以下職責(zé)：（一）實(shí)施信息科技外包戰(zhàn)略；（二）制定并執(zhí)行信息科技外包管理制度與流程；（三）執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；（四）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；（五）對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門報(bào)告外包活動(dòng)情況。第十七條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。第十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案，通過(guò)補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式，有針對(duì)性地獲取或提升管理及技術(shù)能力，降低對(duì)服務(wù)提供商的依賴。通過(guò)準(zhǔn)入和退出機(jī)制合理管控各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量，實(shí)現(xiàn)以下目標(biāo)：防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn)，通過(guò)引入適當(dāng)?shù)母?jìng)爭(zhēng)在降低采購(gòu)成本的同時(shí)提高服務(wù)質(zhì)量，合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。第二十一條銀行業(yè)金融機(jī)構(gòu)要同母公司或集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作，但應(yīng)當(dāng)保持關(guān)聯(lián)外包有關(guān)決策的獨(dú)立性，避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平。評(píng)估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場(chǎng)變化對(duì)外包服務(wù)的影響分析等。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。第二十四條銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。第四章 信息科技外包管理第一節(jié) 外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入第二十五條外包項(xiàng)目立項(xiàng)前，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，制定相應(yīng)的風(fēng)險(xiǎn)處臵措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。第二十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對(duì)備選服務(wù)提供商進(jìn)行初步篩選，防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。第二節(jié) 服務(wù)提供商盡職調(diào)查第二十八條對(duì)重要的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開展盡職調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。第三十條銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。第三十二條對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對(duì)服務(wù)提供商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包服務(wù)、處理突發(fā)事件等。第三節(jié) 外包服務(wù)合同及要求第三十四條銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前，應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。第三十五條銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；（二）合規(guī)與內(nèi)控要求，對(duì)法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施；（三）服務(wù)連續(xù)性要求，服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求；（四）銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)利、頻率，服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查，及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任；（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過(guò)渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過(guò)渡安排，包括信息、資料和設(shè)施的交接處臵等過(guò)渡期間相關(guān)服務(wù)的安排；（六）外包服務(wù)過(guò)程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)當(dāng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等；（八）爭(zhēng)端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭(zhēng)端的解決機(jī)制；（九）報(bào)告條款，至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。包括但不限于：（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息，以防止信息被非授權(quán)使用；（二）在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款；（三）在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開展活動(dòng)；（四）服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí)，需滿足安全和保密相關(guān)條款的要求；（五）在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類突發(fā)事件時(shí)，服務(wù)提供商應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告，包括事件的影響以及處臵和糾正措施。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；（二）主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議；（三）主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控，并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。具體措施包括：（一）對(duì)外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)管理意識(shí)，確保信息安全管控措施在外包服務(wù)過(guò)程中有效落實(shí)；（二）明確外包活動(dòng)需要訪問(wèn)或使用的信息資產(chǎn)，包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問(wèn)控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問(wèn)授權(quán)；（三）對(duì)重要或核心的信息系統(tǒng)開發(fā)交付物進(jìn)行源代碼檢查和安全掃描；（四）定期對(duì)服務(wù)提供商進(jìn)行安全檢查，獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。第四十條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時(shí)完善信息安全管控體系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。第四十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo)，