銀監(jiān)辦發(fā)〔2014〕272號《中國銀監(jiān)會辦公廳關于開展銀行業(yè)金融機構信息科技非駐場集中式外包監(jiān)管評估工作的通知》【全文廢止】

中國銀監(jiān)會辦公廳關于開展銀行業(yè)金融機構信息科技非駐場集中式外包監(jiān)管評估工作的通知【全文廢止】






銀監(jiān)辦發(fā)〔2014〕272號

全文廢止，廢止依據(jù)：2021年12月30日發(fā)布的《中國銀保監(jiān)會辦公廳關于印發(fā)銀行保險機構信息科技外包風險監(jiān)管辦法的通知》（銀保監(jiān)辦發(fā)〔2021〕141號）

各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產管理公司，郵儲銀行，各省級農村信用聯(lián)社，銀監(jiān)會直接監(jiān)管的信托公司、企業(yè)集團財務公司、金融租賃公司：

根據(jù)《中國銀監(jiān)會辦公廳關于加強銀行業(yè)金融機構信息科技非駐場集中式外包風險管理的通知》（銀監(jiān)辦發(fā)〔2014〕187號），為進一步做好對非駐場集中式外包服務的風險評估，加強監(jiān)督管理，防范銀行業(yè)區(qū)域性、系統(tǒng)性信息科技風險，現(xiàn)就開展非駐場集中式外包服務監(jiān)管評估工作有關事項通知如下：

一、本通知中監(jiān)管評估是指根據(jù)非駐場集中式外包服務商接受風險監(jiān)督的主動申請，銀監(jiān)會及其派出機構對非駐場集中式外包服務開展信息科技風險監(jiān)測、現(xiàn)場核查、評級和處置的過程。

二、村鎮(zhèn)銀行信息系統(tǒng)交由發(fā)起行管理、農村金融機構信息系統(tǒng)交由省級農村信用聯(lián)社管理、外資銀行信息系統(tǒng)交由母行管理的，不納入本通知監(jiān)管評估范圍。

三、納入監(jiān)管評估的非駐場集中式外包服務類型包括：

（一）機房運營服務，包括機房基礎設施運維，設備運維、虛擬化資源服務等計算機基礎設施服務。

（二）應用系統(tǒng)托管服務，包括：

1．數(shù)據(jù)中心（災備中心）整體運維及系統(tǒng)管理；

2．應用系統(tǒng)服務，包括核心銀行、電子銀行、銀行卡、網站、電子商城等業(yè)務處理系統(tǒng)開發(fā)與運維；

3．金融自助設備整體運維，即自助設備（含多媒體終端）產權為外包服務商所有或由外包服務商向第三方租賃，監(jiān)控、運維管理由外包商獨立完成。

（三）數(shù)據(jù)分析與處理服務，包括涉及客戶數(shù)據(jù)的電子化信息處理業(yè)務文檔、影像、票據(jù)等錄入、掃描與處理，以及遠程數(shù)據(jù)備份、存儲與分析，銀行卡制卡等。

（四）軟件開發(fā)服務，包括非駐場的集中式外包開發(fā)、系統(tǒng)測試外包。

其它信息科技外包服務可參照非駐場集中式外包服務進行監(jiān)管評估管理。

四、銀行業(yè)金融機構開展非駐場集中式外包服務時，應當加強盡職調查、風險評估和審慎決策，承擔外包服務的全部風險管理責任。

五、銀行業(yè)金融機構應按照《銀行業(yè)金融機構國別風險管理指引》要求，充分識別服務提供商提供的外包服務國別風險，計提相應風險準備金，確保該類國別風險處于較低水平。對于中資比例低于50%（含）的服務提供商，應嚴格管理，加強風險評估、監(jiān)測，并向銀監(jiān)會及其派出機構報告。

六、根據(jù)銀行業(yè)區(qū)域性、系統(tǒng)性外包風險防控的需要，銀監(jiān)會及派出機構組織銀行業(yè)、第三方專業(yè)技術力量，實施對非駐場集中式外包服務活動及服務商的監(jiān)管評估。

七、外包服務商可自愿提出申請，經銀監(jiān)會審核達到附件1所列條件的，將其非駐場集中式外包服務納入監(jiān)管評估。對于委托第三方監(jiān)管評估過程中產生的費用由外包服務商承擔。

八、申請納入監(jiān)管評估的非駐場集中式外包服務商應簽署《外包服務商履行義務承諾書》，履行下述義務：

（一）遵從銀監(jiān)會信息科技監(jiān)管政策、規(guī)范要求；

（二）向銀監(jiān)會或其派出機構及時報送與其所開展的銀行業(yè)信息科技外包服務相關的重大活動及風險信息；

（三）配合銀監(jiān)會及其派出機構對其所開展的銀行業(yè)信息科技外包服務的風險監(jiān)測、現(xiàn)場核查和信息科技風險事件處置；

（四）按照銀監(jiān)會要求，完成自查和問題整改，防范信息科技風險；

（五）配合所服務的銀行業(yè)金融機構對其信息科技外包風險開展檢查和評估；

（六）發(fā)生外包服務突發(fā)事件時，按照銀監(jiān)會有關要求，向銀行業(yè)金融機構和銀監(jiān)會及其派出機構報告。

九、跨?。ㄗ灾螀^(qū)、直轄市）提供服務的外包服務商應向銀監(jiān)會信息科技監(jiān)管部門提出納入監(jiān)管評估的申請，其他外包服務商向所服務的銀行業(yè)金融機構所在地銀監(jiān)局提出申請，監(jiān)管評估申請材料按照附件2、3的要求提交。

十、銀監(jiān)會或其派出機構對外包服務商提交的申請資料初審通過后，委托經認可的、公立的第三方評估機構，對外包服務商的技術保障、風險控制能力進行技術測評。同時，銀監(jiān)會或其派出機構對外包服務商進行現(xiàn)場調查，調查可組織銀行業(yè)科技外包聯(lián)合監(jiān)管平臺成員單位、其他銀行業(yè)金融機構和外部技術專家實施。

十一、綜合技術測評和現(xiàn)場調查結果，對審核通過的非駐場集中式外包服務，銀監(jiān)會向外包服務商正式復函確認其納入監(jiān)管評估，明確外包服務名稱、外包服務類型、監(jiān)管評估有效期等。銀監(jiān)會派出機構審核通過的外包服務，應向銀監(jiān)會報備。

十二、銀監(jiān)會定期向銀行業(yè)金融機構發(fā)布納入監(jiān)管評估的非駐場集中式外包服務名單，并在銀監(jiān)會官方網站公布。

十三、銀監(jiān)會對納入監(jiān)管評估的非駐場集中式外包服務實行分類管理，包括A、B、C三個類別。

（一）A類服務：服務對象覆蓋全國范圍內各類銀行業(yè)金融機構，服務機構數(shù)量沒有規(guī)模約束；

（二）B類服務：服務對象包括除全國性商業(yè)銀行之外的銀行業(yè)金融機構，服務機構總數(shù)原則上不超過30家，或服務對象是非銀行金融機構，服務機構數(shù)量沒有規(guī)模約束；

（三）C類服務：服務對象包括資產規(guī)模1000億元以下的城市商業(yè)銀行、農村中小金融機構（包括農村商業(yè)銀行、農村合作銀行、農村信用社及村鎮(zhèn)銀行）及其他非銀行金融機構，且服務范圍不超過2個?。ㄗ灾螀^(qū)、直轄市，含），服務機構總數(shù)原則上不超過10家。

十四、納入監(jiān)管評估的非駐場集中式外包服務，其外包服務商發(fā)生以下變更時，應當在變更后一個月內向銀監(jiān)會或其派出機構報告:

（一）企業(yè)名稱、注冊地、法人、主要投資人變更，重大的組織架構調整、財務變化；

（二）減少納入監(jiān)管評估的外包服務業(yè)務種類；

（三）軟件開發(fā)服務類外包的服務場所變更。

十五、因服務的銀行業(yè)金融機構對象變化導致外包服務監(jiān)管評估隸屬關系變化時，外包服務商應向銀監(jiān)局報告，同時抄送銀監(jiān)會，由銀監(jiān)會審核并調整負責監(jiān)管評估的銀監(jiān)局。

十六、納入監(jiān)管評估的非駐場集中式外包服務，其外包服務商新增外包服務業(yè)務種類或提高服務類別等級時，應向銀監(jiān)會或其派出機構重新提交監(jiān)管評估申請；注冊資本金中資比例低至50%以下時，外包服務商應向銀監(jiān)會或其派出機構報告；對于國別風險較高的，由銀監(jiān)會取消其納入監(jiān)管評估的資格。

十七、納入監(jiān)管評估的機房運營和應用系統(tǒng)托管類外包的服務場所變更、符合《銀行業(yè)金融機構重要信息系統(tǒng)投產及變更管理辦法》中應用系統(tǒng)基礎架構發(fā)生重大變化、重大的基礎設施和信息系統(tǒng)升級的，外包服務商應提前30個工作日向銀監(jiān)會或其派出機構報告。

十八、納入監(jiān)管評估的非駐場集中式外包服務，其外包服務商應于每年12月31日前向銀監(jiān)會或其派出機構報送如下信息：

（一）本年度為銀行業(yè)金融機構提供的非駐場集中式外包服務合同的履約情況；

（二）本年度對銀行業(yè)金融機構非駐場集中式外包服務的工作報告，包括服務內容、服務規(guī)模、合同完成情況、服務水平與質量控制，風險制度規(guī)范、風險管控機制、基礎設施和信息系統(tǒng)的建設、升級情況，下年度外包服務工作安排；

（三）本年度對非駐場集中式外包的風險自評估報告，包括內、外部審計或第三方機構風險評估報告。

十九、發(fā)生如下事件時，納入監(jiān)管評估的外包服務商應當立即向銀監(jiān)會或其派出機構報告：

（一）銀行業(yè)金融機構的客戶信息等敏感數(shù)據(jù)泄露；

（二）銀行業(yè)金融機構的數(shù)據(jù)損毀或者重要業(yè)務運營中斷，達到《銀行業(yè)信息系統(tǒng)突發(fā)事件應急管理規(guī)范》中突發(fā)事件的報告級別；

（三）由于不可抗力或發(fā)生重大經營、財務問題，導致或可能導致多家銀行業(yè)金融機構外包服務中斷；

（四）違法違規(guī)事件。

二十、銀監(jiān)會或其派出機構每兩年對納入監(jiān)管評估的非駐場集中式外包服務活動進行現(xiàn)場核查，遇有突發(fā)事件或重大風險問題發(fā)生時應立即開展現(xiàn)場核查和風險處置。核查可以銀監(jiān)會組織銀行業(yè)科技外包聯(lián)合監(jiān)管平臺、委托銀行業(yè)金融機構或第三方評估、外部審計的形式開展。對于服務質量穩(wěn)定、連續(xù)兩次監(jiān)管評估無重大風險問題的外包服務商，下次監(jiān)管評估可免予現(xiàn)場核查。

二十一、銀監(jiān)會或其派出機構對納入監(jiān)管評估的非駐場集中式外包服務進行風險評級評價，于次年2月10日前形成年度監(jiān)管評估報告，由銀監(jiān)會統(tǒng)一向銀行業(yè)公布。

二十二、對監(jiān)管評估中發(fā)現(xiàn)的問題，銀行業(yè)金融機構應督促外包服務商完成整改。對管控不力、風險隱患突出的外包服務商，由銀監(jiān)會在銀行業(yè)內警示通報，銀行業(yè)金融機構應當審慎安排與其外包合作。

二十三、外包服務商存在以下情形的，由銀監(jiān)會取消其服務納入監(jiān)管評估的資格，且五年內不接受其外包服務納入監(jiān)管評估的申請：

（一）違反國家法律、法規(guī)和監(jiān)管政策；

（二）未履行接受監(jiān)管評估的承諾和義務，多次提示仍未整改；

（三）竊取、泄露銀行業(yè)金融機構敏感信息；

（四）因管理過失，連續(xù)兩年發(fā)生重要信息系統(tǒng)服務中斷或數(shù)據(jù)損毀、丟失、泄露事件，按照《銀行業(yè)信息系統(tǒng)突發(fā)事件應急管理規(guī)范》兩起（含）以上達到重大級別或三起（含）以上達到較大級別；

（五）服務質量低下并給多家銀行業(yè)金融機構造成損失，多次提示仍未整改；

（六）現(xiàn)場核查發(fā)現(xiàn)問題逾期仍未整改的；

（七）因管理過失或服務質量低下被三家（含）以上銀行業(yè)金融機構投訴；

（八）存在非法經營或其他違法、違規(guī)行為。

二十四、銀行業(yè)金融機構應逐步終止與被取消監(jiān)管評估資格的外包服務商間的合作；終止外包服務合同時，應做好數(shù)據(jù)接收工作。

二十五、銀行業(yè)金融機構應當參照非駐場集中式外包服務監(jiān)管評估要求，加強對未納入監(jiān)管評估的非駐場集中式外包服務的風險管理，深入開展盡職調查，建立全面的外包服務質量、風險監(jiān)測指標和風險管理程序，應至少每兩年進行一次現(xiàn)場的風險評估并向銀監(jiān)會或其派出機構報告。

二十六、對未納入監(jiān)管評估的非駐場集中式外包服務，銀監(jiān)會及其派出機構應當加強對銀行業(yè)金融機構的監(jiān)督，每年進行抽查或現(xiàn)場檢查，檢查結果納入對銀行業(yè)金融機構的信息科技監(jiān)管評級。因外包管理不力，發(fā)生重要信息系統(tǒng)服務中斷或數(shù)據(jù)損毀、丟失等事件的，或監(jiān)管檢查發(fā)現(xiàn)有較大風險的，應降低銀行業(yè)金融機構信息科技監(jiān)管評級級別并追究責任。

二十七、對因管理過失導致外包服務活動危及銀行業(yè)金融機構穩(wěn)健運行、損害存款人和其他客戶合法權益的外包服務商，銀監(jiān)會及其派出機構應督促銀行業(yè)金融機構要求外包服務商承擔賠償責任。

自本文印發(fā)之日起，銀監(jiān)會及其派出機構開始受理非駐場集中式外包的監(jiān)管評估申請。請各銀行業(yè)金融機構將此文發(fā)送行內所有外包服務商。

聯(lián)系電話：010-66278563

聯(lián)系郵箱：kjwb@cbrc.gov.cn




附件（略）

1、銀行業(yè)信息科技非駐場集中式外包服務納入監(jiān)管評估基本條件

2、銀行業(yè)金融機構信息科技非駐場集中式外包服務監(jiān)管評估申請表

3、銀行業(yè)金融機構信息科技非駐場集中式外包服務監(jiān)管評估申請材料目錄及格式要求

本文鏈接：http://www.koko360.com/feizhi/126553.html

本文關鍵詞： 銀監(jiān)辦發(fā), 中國銀監(jiān)會, 辦公廳, 銀行業(yè), 金融機構, 信息, 科技, 駐場, 集中, 外包, 監(jiān)管, 評估, 通知, 全文廢止