第一篇：銀行業(yè)金融機構信息科技外包風險監(jiān)管指引

中國銀行業(yè)監(jiān)督管理委員會

銀監(jiān)發(fā)[2013]5號

中國銀監(jiān)會關于印發(fā)銀行業(yè)金融機構信息科技外

包風險監(jiān)管指引的通知

各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司，郵儲銀行，各省級農(nóng)村信用聯(lián)社，銀監(jiān)會直接監(jiān)管的信托公司、企業(yè)集團財務公司、金融租賃公司：

現(xiàn)將《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》印發(fā)給你們，請遵照執(zhí)行。

2013年2月16日

銀行業(yè)金融機構信息科技外包風險監(jiān)管指引

第一章 總則

第一條

為規(guī)范銀行業(yè)金融機構的信息科技外包活動，降低信息科技外包風險，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本指引。

第二條

在中華人民共和國境內設立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū)）農(nóng)村信用社聯(lián)合社適用本指引。銀監(jiān)會監(jiān)管的其他金融機構參照本指引執(zhí)行。第三條

本指引所稱信息科技外包是指銀行業(yè)金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資源外包等形式。原則上包括以下類型：

（一）研發(fā)咨詢類外包：科技管理及科技治理等咨詢設計外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包；

（二）系統(tǒng)運行維護類外包：包括數(shù)據(jù)中心（災備中心）、機房配套設施、網(wǎng)絡、系統(tǒng)的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包；

（三）業(yè)務外包中的信息科技活動：市場拓展、業(yè)務操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動。

第四條

本指引所稱關聯(lián)外包是指服務提供商為銀行業(yè)金融機構的母公司或其所屬集團子公司、關聯(lián)公司或附屬機構提供信息科技外包。

第五條

信息科技外包可能產(chǎn)生如下風險，并導致銀行業(yè)金融機構的戰(zhàn)略、聲譽、合規(guī)風險：

（一）科技能力喪失：銀行業(yè)金融機構過度依賴外部資源導致失去科技控制及創(chuàng)新能力，影響業(yè)務創(chuàng)新與發(fā)展；

（二）業(yè)務中斷：支持業(yè)務運營的外包服務無法持續(xù)提供導致業(yè)務中斷；

（三）信息泄露：包含客戶信息在內的銀行業(yè)金融機構非公開數(shù)據(jù)被服務提供商非法獲得或泄露；

（四）服務水平下降：由于外包服務質量問題或內外部協(xié)作效率低下，使得銀行業(yè)金融機構信息科技服務水平下降。

第六條

本指引所稱機構集中度風險是指銀行業(yè)金融機構將信息科技外包服務集中交由少量服務提供商承接而產(chǎn)生的風險，該風險可能造成集中性的服務中斷、質量下降、安全事件等。

第七條

本指引所稱同業(yè)托管機構是指作為外包服務提供商為其他同行業(yè)金融機構提供信息科技外包服務的銀行業(yè)金融機構。

第八條

銀行業(yè)金融機構應當將信息科技外包管理納入全面風險管理體系，建立與本機構信息科技戰(zhàn)略目標相適應的外包管理體系，控制或降低由于外包而引發(fā)的風險。

第九條

銀行業(yè)金融機構應當建立信息科技外包管理組織架構，制定外包管理戰(zhàn)略，定期進行外包風險評估，通過服務提供商準入、評價、退出等手段建立及維護符合自身戰(zhàn)略目標的供應商關系管理策略。

第十條

銀行業(yè)金融機構在實施信息科技外包時應當堅持以下原則：

（一）以不妨礙核心能力建設、積極掌握關鍵技術為導向；

（二）保持外包風險、成本和效益的平衡；

（三）強調外包風險的事前控制，保持管控力度；

（四）根據(jù)外包管理及技術發(fā)展趨勢，持續(xù)改進外包策略和措施。

第十一條

銀行業(yè)金融機構在實施信息科技外包時，不得將信息科技管理責任外包。

第十二條

對于不涉及銀行客戶及內部信息轉移的信息科技產(chǎn)品采購、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎設施服務，銀行業(yè)金融機構應當充分評估其信息科技風險，按照本指引第五章要求進行管理。

第二章 外包管理組織架構

第十三條

銀行業(yè)金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風險管理效果。

第十四條

信息科技外包風險主管部門的主要職責包括：

（一）對外包風險進行識別、評估與風險提示；

（二）監(jiān)督、評價外包管理工作，并督促外包風險管理的持續(xù)改善；

（三）向高級管理層定期匯報信息科技外包活動相關風險管理情況；

（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。

第十五條

銀行業(yè)金融機構應當在信息科技管理部門或信息科技外包活動執(zhí)行部門內建立信息科技外包管理執(zhí)行團隊，并配備足夠人員履行以下職責：

（一）實施信息科技外包戰(zhàn)略；

（二）制定并執(zhí)行信息科技外包管理制度與流程；

（三）執(zhí)行供應商準入、評價、退出管理，建立并維護供應商關系管理策略；

（四）制定保障外包服務持續(xù)性的應急管理方案，并組織實施定期演練；

（五）對外包過程中的各項管理活動進行監(jiān)控及分析，定期向信息科技及外包風險管理主管部門報告外包活動情況。

第三章 信息科技外包戰(zhàn)略及風險管理

第一節(jié) 信息科技外包戰(zhàn)略

第十六條

銀行業(yè)金融機構應當以提升信息科技隊伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標，基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風險控制能力和風險偏好制定信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。

第十七條

銀行業(yè)金融機構應當根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不得外包。第十八條

銀行業(yè)金融機構應當根據(jù)外包戰(zhàn)略制定資源、能力建設方案，通過補充人員、提升技能、知識轉移等方式，有針對性地獲取或提升管理及技術能力，降低對服務提供商的依賴。

第十九條

銀行業(yè)金融機構應當建立與自身規(guī)模、市場地位相適應的供應商關系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數(shù)量，實現(xiàn)以下目標：防范行業(yè)壟斷和機構集中度風險，通過引入適當?shù)母偁幵诮档筒少彸杀镜耐瑫r提高服務質量，合理管控服務提供商的數(shù)量從而降低風險及管理成本等。

第二十條

銀行業(yè)金融機構可以按照外包服務性質和重要性程度對服務提供商進行分級管理，對不同級別的服務提供商采取差異化的管控措施，在有效管理重要風險的前提下降低管理成本。

第二十一條

銀行業(yè)金融機構要同母公司或集團公司協(xié)同做好外包服務及服務提供商的管理工作，但應當保持關聯(lián)外包有關決策的獨立性，避免因關聯(lián)關系而降低外包活動的風險控制水平。

第二節(jié) 信息科技外包風險管理

第二十二條

銀行業(yè)金融機構信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告。評估內容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機構集中度、服務連續(xù)性、服務質量、政策及市場變化對外包服務的影響分析等。

第二十三條

銀行業(yè)金融機構應當對重要的外包服務提供商進行定期的風險評估，保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括：服務提供商合規(guī)情況、服務的執(zhí)行效果等，評估結果應當作為服務提供商準入及退出的重要依據(jù)。

第二十四條

銀行業(yè)金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發(fā)生外包風險事件后應當及時開展專項審計。

第四章 信息科技外包管理

第一節(jié) 外包風險評估及準入

第二十五條

外包項目立項前，銀行業(yè)金融機構應當審慎檢查項目與信息科技外包戰(zhàn)略的一致性，根據(jù)項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處臵措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。

第二十六條

銀行業(yè)金融機構應當根據(jù)供應商關系管理策略，結合風險評估結果及服務提供商的準入標準，對備選服務提供商進行初步篩選，防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。

第二十七條

對于外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行管理。

第二節(jié) 服務提供商盡職調查

第二十八條

對重要的服務提供商，銀行業(yè)金融機構在與其簽訂合同前應當深入開展盡職調查，必要時可聘請第三方機構協(xié)助調查。

第二十九條

銀行業(yè)金融機構在盡職調查時應當關注服務提供商的技術和行業(yè)經(jīng)驗，包括但不限于：服務能力和支持技術、服務經(jīng)驗、服務人員技能、市場評價、監(jiān)管評價等。

第三十條

銀行業(yè)金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力，包括但不限于：內部控制機制和管理流程的完善程度、內部控制技術和工具等。

第三十一條

銀行業(yè)金融機構在盡職調查時應當關注服務提供商的持續(xù)經(jīng)營狀況，包括但不限于：從業(yè)時間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。

第三十二條

對于關聯(lián)外包，銀行業(yè)金融機構不得因關聯(lián)關系而降低對服務提供商的要求，應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平，確認其有足夠能力實施外包

服務、處理突發(fā)事件等。

第三十三條

對于外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行管理。

第三節(jié) 外包服務合同及要求

第三十四條

銀行業(yè)金融機構在實施外包服務項目前，應當與服務提供商簽訂服務合同。合同應當根據(jù)外包服務需求、風險評估及盡職調查結果確定詳細程度和重點。

第三十五條

銀行業(yè)金融機構在合同或協(xié)議中應當明確以下內容，包括但不限于：

（一）服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續(xù)合作中的相關限定條件；

（二）合規(guī)與內控要求，對法律法規(guī)及銀行業(yè)金融機構內部管理制度的遵從要求、監(jiān)管政策的通報貫徹機制、服務提供商的內控措施；

（三）服務連續(xù)性要求，服務提供商的服務連續(xù)性管理目標應當滿足銀行業(yè)金融機構業(yè)務連續(xù)性目標要求；

（四）銀行業(yè)金融機構監(jiān)控和檢查的權利、頻率，服務提供商配合其內、外部審計機構檢查，及配合銀行業(yè)監(jiān)管機構檢查的責任；

（五）政策或環(huán)境變化因素等在內的合同變更或終止的觸發(fā)條件，外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和設施的交接處臵等過渡期間相關服務的安排；

（六）外包服務過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權的歸屬權以及允許服務提供商使用的內容及范圍，對服務提供商使用合法軟、硬件產(chǎn)品的要求；

（七）服務要求或服務水平條款，至少應當包括如下內容：外包服務的關鍵要素、服務時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等；

（八）爭端解決機制、違約及賠償條款，至少包括如下內容：服務質量違約、安全違約、知識產(chǎn)權違約等，及在各種違約情況下的賠償以及外包爭端的解決機制；

（九）報告條款，至少包括常規(guī)報告內容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。

第三十六條 銀行業(yè)金融機構應當在合同或協(xié)議中明確服務提供商在安全和保密方面的責任，以及針對安全及保密要求需采取的具體措施。包括但不限于：

（一）禁止服務提供商在合同允許范圍外使用或者披露銀行業(yè)金融機構的信息，以防止信息被非授權使用；

（二）在合同或協(xié)議中約定服務提供商對銀行客戶信息安全和銀行客戶權利的保護條款、事故處理方式及違約賠償條款；

（三）在合同或協(xié)議中約定服務提供商不得以所服務的銀行業(yè)金融機構名義開展活動；

（四）服務提供商接觸銀行業(yè)金融機構信息時，需滿足安全和保密相關條款的要求；

（五）在發(fā)生銀監(jiān)會規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風險類突發(fā)事件時，服務提供商應及時向銀行業(yè)金融機構報告，包括事件的影響以及處臵

和糾正措施。

第三十七條

銀行業(yè)金融機構應當在合同或協(xié)議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求：

（一）不得將外包服務的主要業(yè)務分包；

（二）主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包合同或協(xié)議；

（三）主服務提供商對分包商進行監(jiān)控，并對分包商的變更履行通知或報告審批義務。

第四節(jié) 外包服務安全管理

第三十八條

銀行業(yè)金融機構應當制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設施遭受破壞等風險。具體措施包括：

（一）對外包人員進行信息安全培訓，提高風險管理意識，確保信息安全管控措施在外包服務過程中有效落實；

（二）明確外包活動需要訪問或使用的信息資產(chǎn)，包括場地、辦公設施、計算機、服務器、軟件、數(shù)據(jù)、信息、物理訪問控制設備、賬號、網(wǎng)絡寬帶、網(wǎng)絡端口等，按“必需知道”和“最小授權”原則進行訪問授權；

（三）對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描；

（四）定期對服務提供商進行安全檢查，獲取服務提供商自評估或第三方評估報告。

第三十九條

銀行業(yè)金融機構對關聯(lián)外包服務提供商定期進行的安全檢查，不得以服務提供商的自評估替代，不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性。

第四十條

銀行業(yè)金融機構應當關注外包服務引入的新技術或新應用對現(xiàn)有治理模式及安全架構的沖擊，及時完善信息安全管控體系，避免因新技術或應用的引入而增加額外的信息安全風險。

第五節(jié) 外包服務監(jiān)控與評價

第四十一條

銀行業(yè)金融機構應當對外包服務過程進行持續(xù)監(jiān)控，要求服務提供商建立階段性服務目標及任務，并跟蹤任務的執(zhí)行情況，及時發(fā)現(xiàn)和糾正服務過程中存在的各類異常情況。

第四十二條

銀行業(yè)金融機構應當根據(jù)信息科技外包需求、合同、服務水平協(xié)議等建立明確的服務質量監(jiān)控指標，并進行相應監(jiān)控。常見指標包括：

（一）信息系統(tǒng)和設備及基礎設施的可用率、設備的開機率；

（二）故障次數(shù)、故障解決率、故障的響應時間；

（三）服務的次數(shù)、客戶滿意度；

（四）各階段業(yè)務需求的及時完成率、程序的缺陷數(shù)、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率。

第四十三條

銀行業(yè)金融機構應當建立明確的服務目錄、服務水平協(xié)議以及服務水平監(jiān)控評價機制,并確保外包服務監(jiān)控基礎數(shù)據(jù)和評價結果的真實性和完整性，且數(shù)據(jù)至少需保存到服務結束后一年。

第四十四條

銀行業(yè)金融機構應當對服務提供商的財務、內控及安全管理進行持續(xù)監(jiān)控，關注其因破產(chǎn)、兼并、關鍵人員流失、投入不足和管理不善等因素引發(fā)的財務狀況惡化及內部管理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。

第四十五條

銀行業(yè)金融機構監(jiān)控到異常情況時，應當及時督促服務提供商采取糾正措施，情節(jié)嚴重的或未及時糾正的，應當約談服務提供商高管人員并限期整改。

第四十六條

外包服務結束時，銀行業(yè)金融機構應當對服務提供商進行評價，評價結果應當作為服務提供商準入的重要參考依據(jù)。

第四十七條

對于關聯(lián)外包，銀行業(yè)金融機構董事會及高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業(yè)績評價范圍，建立外包服務重大事件問責機制。同時，應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。

第六節(jié) 外包服務中斷與終止

第四十八條

銀行業(yè)金融機構應當考慮信息科技外包的引入對業(yè)務連續(xù)性管理的影響，有針對性地完善業(yè)務連續(xù)性管理計劃，包括但不限于：

（一）識別出重要業(yè)務所涉及的服務提供商和資源；

（二）通過合同、協(xié)議等形式明確要求服務提供商提前準備并維護好相關資源；

（三）對服務提供商業(yè)務連續(xù)性管理進行監(jiān)控，并評價其管理水平；

（四）在進行業(yè)務連續(xù)性計劃演練時將相關的服務提供商納入演練范圍。

第四十九條

為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機構應當事先對業(yè)務連續(xù)性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施，包括但不限于以下內容：

（一）在外包服務實施過程中持續(xù)收集服務提供商相關信息，盡早發(fā)現(xiàn)可能導致服務中斷的情況；

（二）與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優(yōu)先權；

（三）要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；

（四）對于涉及重要業(yè)務的外包服務，銀行業(yè)金融機構需考慮預先在其內部配臵相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。

第五十條

銀行業(yè)金融機構應當針對重要外包服務中斷的場景，擬定相應的應急計劃，并定期進行演練，考慮因素包括但不限于以下內容：

（一）事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；

（二）事件持續(xù)時間和恢復可能性；

（三）事件影響范圍和可能的應急措施；

（四）服務提供商自行恢復服務的可能性和時間；

（五）備選的服務提供商以及外包服務遷移方案；

（六）外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。

第五十一條

對于無法滿足外包服務要求或發(fā)生重大事件的情況，銀行業(yè)金融機構應當在充分評估其影響及制定退出計劃的前提下，考慮主動要求服務提供商終止服務，情節(jié)特別嚴重的，可考慮取消準入資質，并報監(jiān)管機構申請對其備案。對于關聯(lián)外包，銀行業(yè)金融機構不得因為關聯(lián)關系而影響服務提供商退出機制的落實。

第五章 機構集中度風險管理

第五十二條

銀行業(yè)金融機構應當依據(jù)服務提供商所承接外包服務的數(shù)量、金額在本行重要信息科技服務中的占比，服務提供商所承接外包服務在銀行業(yè)服務市場占比情況，識別具有機構集中度特點的外包服務提供商。同時，還應識別服務提供商之間為集團子公司、關聯(lián)公司或附屬機構所產(chǎn)生的機構集中度風險。

第五十三條

銀行業(yè)金融機構應當積極采用分散信息科技外包活動、提高自主研發(fā)運行能力等形式，降低機構集中度，減少對外包服務提供商的依賴。

第五十四條

銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據(jù)，證明其內部控制和管理能力、持續(xù)運營能力等。

第五十五條

銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業(yè)金融機構配備相對獨立的資源，包括服務團隊、場地、系統(tǒng)、設備等；并對資源進行定期檢查，確保資源及時到位。

第五十六條

銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中，明確外包服務的優(yōu)先級，并進行服務中斷應急演練，服務提供商應當至少參與服務交接、敏感信息處臵等演練過程。

第五十七條

銀行業(yè)金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況的持續(xù)監(jiān)控，建立信息收集機制，及時掌握風險事件情況，防范外包服務意外終止或服務質量急劇下降對本機構產(chǎn)生大面積影響。

第五十八條

銀行業(yè)金融機構應當對具有機構集中度特點的外包服務提供商增強監(jiān)督頻率與力度，必要時可指派專人進行現(xiàn)場監(jiān)督。

第五十九條

對于具有機構集中度特點的外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行外包管理。

第六章 跨境及非駐場外包管理

第一節(jié) 跨境外包風險管理

第六十條

跨境外包是指在境外其他國家或地區(qū)實施的信息科技外包服務活動。

第六十一條

跨境外包除具有本指引前述風險外，還包括由于某一國家或地區(qū)經(jīng)濟、政治、社會變化及事件而產(chǎn)生的國別風險，及由于外包實施場地遠離銀行業(yè)金融機構而產(chǎn)生的非駐場風險。

第六十二條

銀行業(yè)金融機構應當充分了解并持續(xù)監(jiān)控服務提供商所在國家或地區(qū)狀況，通過建立業(yè)務連續(xù)性計劃防范跨境外包所帶來的國別風險。

第六十三條

銀行業(yè)金融機構應當關注國外法律法規(guī)、監(jiān)管要求對其獲取服務提供商外包管理信息可能造成的影響。實施跨境外包應當以不妨礙銀行業(yè)金融機構有效履行外包服務監(jiān)控管理職能及監(jiān)管機構延伸檢查為前提。

第六十四條

銀行業(yè)金融機構在選擇跨境外包時，應當明確其所在國家或地區(qū)監(jiān)管當局已與銀監(jiān)會簽訂諒解備忘錄或雙方認可的其他約定。

第六十五條

銀行業(yè)金融機構在選擇跨境外包時，還應當充分審查評估服務提供商保護客戶信息的能力，并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包，應當在符合監(jiān)管法規(guī)政策并獲得客戶授權的前提下開展。

第六十六條

銀行業(yè)金融機構在實施跨境外包時，其合同應當包括法律選擇和司法管轄權的約定，明確爭議解決時所適用的法律及司法管轄權，原則上應當要求服務提供商依照中國的法律解決糾紛。

第二節(jié) 非駐場外包風險管理

第六十七條

非駐場外包是指服務提供商不在銀行業(yè)金融機構現(xiàn)場提供服務的外包形式。由于銀行業(yè)金融機構不能對其內部控制及風險管理措施進行直接管控，應當在信息安全、知識產(chǎn)權保護、質量監(jiān)控、法律合規(guī)等方面加強對服務提供商的風險管理。

第六十八條

銀行業(yè)金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準，該標準應當作為選擇服務提供商的最低要求。

第六十九條

銀行業(yè)金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次，檢查結果作為外包服務提供商項目考核及準入的重要指標。

第七十條

銀行業(yè)金融機構應當加強對外包服務提供商非駐場外包服務內部控制、質量管理、信息安全的有效性評估，評估結果作為供應商準入的重要依據(jù)。對于高風險的服務提供商，銀行業(yè)金融機構應當責令其進行限期整改，對于逾期未改的服務提供商應當暫?；蛉∠浞召Y格。

第七十一條

對于非駐場外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可以參照本節(jié)內容對其進行外包管理，但同業(yè)托管機構須將為其他同行業(yè)金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分，不得區(qū)別對待，降低對自身提供外包服務的風險管控水平。

第七章 銀行業(yè)重點外包服務機構風險管理要求

第七十二條

銀行業(yè)重點外包服務機構是指集中為銀行業(yè)金融機構提供外包服務，同時滿足下述條件，如其外包服務失敗可能導致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務中斷，造成經(jīng)濟損失的機構，具體條件如下：

(一)承擔集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包服務；或承擔銀行業(yè)金融機構客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務；或承擔銀行業(yè)金融機構數(shù)據(jù)中心、災備中心機房及基礎設施外包服務；且上述服務均為非駐場外包服務。

(二)服務的法人銀行業(yè)金融機構數(shù)量、服務合同金額占有本服務領域市場份額的三分之一以上；或服務的跨區(qū)域經(jīng)營法人銀行業(yè)金融機構數(shù)量達到3家或以上；或服務的其他類型法人銀行業(yè)金融機構數(shù)量達到10家或以上。

第七十三條 銀行業(yè)金融機構應當根據(jù)監(jiān)管機構發(fā)布的銀行業(yè)重點外包服務機構風險提示，按照如下要求進行管理：

(一)銀行業(yè)重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體，注冊資本和實收資本不少于1000萬，注冊成立時間不少于3年。

(二)銀行業(yè)重點外包服務機構應當擁有健全的組織架構，并針對所提供的外包服務建立有效的風險治理架構，至少應當建立由公司高級管理層直接領導、針對銀行業(yè)金融機構外包服務的、專職信息科技風險管理團隊，為持續(xù)的外包服務提供保證。

(三)銀行業(yè)重點外包服務機構應當建立與所承擔的服務范圍和規(guī)模相適應的服務管理體系，建立完善的信息安全、服務質量、服務持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機制，確保管理規(guī)范有效執(zhí)行。

(四)銀行業(yè)重點外包服務機構應當具有足夠的技術能力、人力資源和設施、環(huán)境，滿足外包服務的質量和安全管理要求。銀行業(yè)重點外包服務機構承擔的銀行業(yè)金融機構外包服務場地應當設臵在中國境內。第七十四條

銀行業(yè)金融機構應當要求銀行業(yè)重點外包服務機構具有如下相關領域資質認證:(一)具有完善的信息安全管理體系、業(yè)務連續(xù)性管理體系，并通過業(yè)界公認較為權威的信息安全管理和業(yè)務連續(xù)性管理資質認證。

(二)具有完善的質量管理體系，并通過業(yè)界公認較為權威的質量管理資質認證。

(三)承擔銀行業(yè)金融機構數(shù)據(jù)中心、災備中心機房及基礎設施外包服務的銀行業(yè)重點外包服務機構，其機房及基礎設施應當達到國家電子計算機機房最高標準。

(四)承擔集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包服務，或承擔銀行業(yè)金融機構客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務的銀行業(yè)重點外包服務機構，應當具有完善的運行服務管理體系，并通過業(yè)界公認較為權威的運行服務管理資質認證。

第七十五條

銀行業(yè)金融機構應當在風險管理、審計方面對銀行業(yè)重點外包服務機構提出如下要求：

(一)銀行業(yè)重點外包服務機構應當具有信息科技風險的管理體系，有效識別、監(jiān)測、評估和控制風險。銀行業(yè)重點外包服務機構應當至少每季度向所服務的銀行業(yè)金融機構報送外包風險監(jiān)控報告，針對監(jiān)控發(fā)現(xiàn)的潛在風險或風險事件，及時采取控制或緩釋措施。

(二)銀行業(yè)重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,年度風險評估報告需報送所服務的銀行業(yè)金融機構，并抄送銀監(jiān)會或其派出機構。

(三)銀行業(yè)重點外包服務機構應當對其外包服務團隊成員進行背景調查，確保其過往無不良記錄，且應當與項目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。

第八章 監(jiān)督管理

第七十六條

銀行業(yè)金融機構開展以下信息科技外包服務時,應當在外包合同簽訂前二十個工作日向銀監(jiān)會或其派出機構報告，針對銀行業(yè)金融機構信息科技外包風險，銀監(jiān)會及其派出機構可以采取風險提示、約見談話、監(jiān)管質詢等措施。

（一）信息科技工作整體外包；

（二）數(shù)據(jù)中心或災備中心整體外包；

（三）涉及將銀行業(yè)金融機構客戶資料、交易數(shù)據(jù)等敏感信息交由服務提供商進行分析或處理的信息科技外包；

（四）以非駐場形式實施的、集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包；

（五）關聯(lián)外包；

（六）涉及跨境的信息科技外包；

（七）其他銀監(jiān)會認為重要的信息科技外包。

第七十七條

銀行業(yè)金融機構信息科技外包活動中發(fā)生如下重大事件時，應當在兩個工作日內向銀監(jiān)會或其派出機構報告。

（一）銀行業(yè)金融機構客戶信息等敏感數(shù)據(jù)泄露；

（二）數(shù)據(jù)損毀或者重要業(yè)務運營中斷；

（三）由于不可抗力或服務提供商重大經(jīng)營、財務問題，導致或可能導致多家銀行業(yè)金融機構外包服務中斷;

（四）其他重大的服務提供商違法違規(guī)事件；

（五）銀監(jiān)會規(guī)定需要報告的其他重大事件。

第七十八條

銀行業(yè)金融機構在開展年度外包風險管理評估工作后，應當將年度風險評估報告報送銀監(jiān)會或其派出機構。

第七十九條

銀監(jiān)會及其派出機構對銀行業(yè)金融機構信息科技外包工作進行監(jiān)督和檢查，監(jiān)督檢查結果納入對銀行業(yè)金融機構的監(jiān)管評級。

第八十條

對于風險較高的信息科技外包服務，銀監(jiān)會或其派出機構可以要求銀行業(yè)金融機構暫緩、中止該類外包服務，直至銀行業(yè)金融機構、外包服務提供商有效改正。

第八十一條

銀行業(yè)金融機構違反本指引規(guī)定的，銀監(jiān)會或其派出機構可要求其糾正或采取替代方案，并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業(yè)金融機構穩(wěn)健運行、損害存款人和其他客戶合法權益的，依法追究銀行業(yè)金融機構管理責任。

第八十二條

銀監(jiān)會實行銀行業(yè)信息科技外包服務活動風險監(jiān)測機制，定期對銀行業(yè)金融機構發(fā)布銀行業(yè)重點外包服務機構名單和風險提示，防范因高機構集中度外包服務導致的系統(tǒng)性、區(qū)域性信息科技風險。第八十三條

銀監(jiān)會應當對具有機構集中度特點的銀行業(yè)金融機構信息科技外包服務進行重點風險監(jiān)測、評估，根據(jù)需要，可以要求銀行業(yè)金融機構與重點外包服務機構會談，就其外包服務活動和風險的重大事項作出說明。

第八十四條

銀監(jiān)會應當組織銀行業(yè)金融機構實地核查銀行業(yè)重點外包服務機構承擔的銀行業(yè)金融機構信息科技服務活動，原則上每兩年進行一次，也可以委托其他第三方機構審計的形式實施。

第八十五條

銀監(jiān)會可以根據(jù)銀行業(yè)金融機構信息科技服務活動風險評估和實地核查結果，對銀行業(yè)金融機構發(fā)出監(jiān)管提示，要求其督促銀行業(yè)重點外包服務機構對風險問題實施整改。

第八十六條

銀行業(yè)重點外包服務機構應當配合銀行業(yè)金融機構及銀監(jiān)會的風險監(jiān)測和實地核查。

第八十七條

銀監(jiān)會組織相關銀行業(yè)金融機構對銀行業(yè)信息科技外包服務提供商建立服務管理記錄，并對其進行風險評估和評級。

第八十八條

服務提供商在外包服務中存在以下情形的，銀監(jiān)會定期向銀行業(yè)發(fā)布服務提供商風險預警，公布機構名單、服務信息等，要求銀行業(yè)金融機構禁止相關服務提供商承擔銀行業(yè)信息科技外包服務，禁止期至少為兩年。外包服務提供商兩年內仍未整改的，延長其禁止期。

（一）違反國家法律、法規(guī)和監(jiān)管政策，情節(jié)嚴重的；

（二）竊取、泄露銀行業(yè)金融機構敏感信息，情節(jié)嚴重的；

（三）因管理過失，多次發(fā)生重要信息系統(tǒng)服務中斷或數(shù)據(jù)損毀、丟失、泄露事件的；

（四）服務質量低下并給多家銀行業(yè)金融機構造成損失，多次提示仍未整改的；

（五）對風險監(jiān)測和實地檢查發(fā)現(xiàn)的問題，逾期仍未整改的；

（六）存在其他違法違規(guī)行為，或發(fā)生其他重大信息科技風險事件的。

第八十九條

銀監(jiān)會負責監(jiān)督銀行業(yè)金融機構對信息科技外包服務提供商實施準入管理。對于存在重大風險的外包活動，銀行業(yè)金融機構應當立即評估外包的適當性，對信息科技外包服務提供商進行風險預警提示，要求其進行整改并設定期限；逾期未整改的，禁止其承擔信息科技外包服務。

第九章 附則

第九十條

本指引由銀監(jiān)會負責解釋、修訂。第九十一條

本指引自公布之日起施行。

第二篇：銀行業(yè)金融機構信息科技外包風險監(jiān)管指引-正式發(fā)文版

銀行業(yè)金融機構

信息科技外包風險監(jiān)管指引

第一章 總則

第一條

為規(guī)范銀行業(yè)金融機構的信息科技外包活動，降低信息科技外包引發(fā)的風險，保持信息科技核心能力，促進銀行業(yè)信息科技健康有序發(fā)展，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本指引。

第二條

在中華人民共和國境內設立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū)）農(nóng)村信用社聯(lián)合社適用本指引。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機構參照本指引執(zhí)行。

第三條

本指引所稱信息科技外包是指銀行業(yè)金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資源外包等形式，原則上包括以下類型：

（一）研發(fā)咨詢類外包：科技管理及IT治理等咨詢設計外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包；

（二）系統(tǒng)運行維護類外包：包括數(shù)據(jù)中心（災備中心）、機房配套設施、網(wǎng)絡、系統(tǒng)的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包；

（三）業(yè)務外包中的信息科技活動：市場拓展、業(yè)務操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動；

第四條

本指引所稱關聯(lián)外包指服務提供商為銀行業(yè)金融機構的母公司或其所屬集團子公司、關聯(lián)公司或附屬機構的信息科技外包。

第五條

信息科技的外包可能產(chǎn)生如下風險，并導致銀行業(yè)金融機構的戰(zhàn)略、聲譽、合規(guī)風險：

（一）科技能力喪失：銀行業(yè)金融機構過度依賴外部資源導致失去科技創(chuàng)新及控制能力，影響業(yè)務創(chuàng)新與發(fā)展；

（二）業(yè)務中斷：支持業(yè)務運營的外包服務無法持續(xù)提供導致業(yè)務中斷；

（三）信息泄露：包含客戶信息在內的銀行非公開數(shù)據(jù)被服務提供商非法獲得或泄露；

（四）服務水平下降：由于外包服務質量問題或內外部協(xié)作效率低下，使得銀行業(yè)金融機構信息科技服務水平下降。

第六條

本指引所稱機構集中度風險是指銀行業(yè)金融機構將信息科技外包服務集中交由少量服務提供商承接而產(chǎn)生的風險，該風險可能造成集中性的服務中斷、質量下降、安全事件等。

第七條

本指引所稱同業(yè)托管機構是指作為外包服務提供商為其他同行業(yè)金融機構提供信息科技外包服務的銀行業(yè)金融機構。

第八條

銀行業(yè)金融機構應當將信息科技外包管理納入全 2 面風險管理體系，建立與本機構信息科技戰(zhàn)略目標相適應的外包管理體系，控制或降低由于外包而引發(fā)的風險。

第九條

銀行業(yè)金融機構應當建立信息科技外包管理組織架構，制定外包管理戰(zhàn)略，定期進行外包風險評估，通過服務提供商準入、評價、退出等手段建立及維護符合其戰(zhàn)略目標的供應商關系管理策略。

第十條

銀行業(yè)金融機構在實施信息科技外包時應當堅持以下原則：

（四）以不妨礙核心能力建設、積極掌握關鍵技術為導向；

（五）保持外包風險、成本和效益的平衡；

（六）強調外包風險的事前控制，保持管控力度；

（七）根據(jù)外包管理及技術發(fā)展趨勢，持續(xù)改進外包策略和措施。

第十一條

銀行業(yè)金融機構在實施信息科技外包時，不得將其信息科技管理責任外包。

第十二條

對于不涉及銀行客戶及內部信息轉移的信息科技產(chǎn)品采購、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎設施服務，銀行業(yè)金融機構應當充分評估其信息科技風險，按照本指引第五章要求進行管理。

第二章 外包管理組織架構

第十三條

銀行業(yè)金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風險管理效果。

第十四條

信息科技外包風險主管部門主要職責包括：

（一）對外包風險進行識別、評估與風險提示；

（二）監(jiān)督、評價外包管理工作，并督促外包風險管理的持續(xù)改善；

（三）向高級管理層定期匯報信息科技外包活動開展相關風險管理情況；

（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。

第十五條

銀行業(yè)金融機構應當在信息科技管理部門或信息科技外包活動執(zhí)行部門內建立信息科技外包管理執(zhí)行團隊，并配備足夠人員履行以下職責：

（一）實施信息科技外包戰(zhàn)略；

（二）制定并執(zhí)行信息科技外包管理制度與流程；

（三）執(zhí)行供應商準入、評價、退出管理，建立并維護供應商關系管理策略；

（四）制定保障外包服務持續(xù)性的應急管理方案，并組織 4 實施定期演練；

（五）對外包過程中的各項管理活動進行監(jiān)控及分析，定期向信息科技及外包風險管理的主管部門報告外包活動情況。

第三章 信息科技外包戰(zhàn)略及風險管理

第一節(jié) 信息科技外包戰(zhàn)略

第十六條

銀行業(yè)金融機構應當以提升信息科技隊伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標。基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風險控制能力和風險偏好制定其信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。

第十七條

銀行業(yè)金融機構應當根據(jù)自身的信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不應外包。

第十八條

銀行業(yè)金融機構應當根據(jù)外包戰(zhàn)略制定資源、能力建設方案，通過補充人員、提升技能、知識轉移等方式，有針對性地獲取或提升管理及技術能力，降低對服務提供商的依賴。

第十九條

銀行業(yè)金融機構應當建立與自身規(guī)模、市場地位相適應的供應商關系管理策略，通過準入和退出機制控制各類高風險服務提供商的數(shù)量，實現(xiàn)以下目標：防范行業(yè)壟斷和機構集中度風險，通過引入適當?shù)母偁幵诮档筒少彸杀镜耐瑫r提高服務 5 質量，合理控制服務提供商的數(shù)量從而降低風險及管理成本等。

第二十條

銀行業(yè)金融機構可按照外包服務性質和重要性程度對服務提供商進行分級管理，對不同級別的服務提供商采取嚴格程度差異化的管控措施，從而達到有效管理重要風險的前提下降低管理成本。

第二十一條

對于關聯(lián)外包，銀行業(yè)金融機構應當保持外包有關決策的獨立性，要求其母公司或其所屬的集團公司協(xié)同做好外包服務及服務提供商的管理工作，避免因關聯(lián)關系而降低銀行業(yè)金融機構對外包活動的風險控制水平。

第二節(jié) 信息科技外包風險管理

第二十二條

銀行業(yè)金融機構信息科技外包風險主管部門應當至少每年開展一次全面的外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告。評估內容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機構集中度、服務連續(xù)性、服務質量、政策及市場變化對外包服務的影響分析等。

第二十三條

銀行業(yè)金融機構應當對重要的外包服務提供商進行定期風險評估，保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括：服務提供商合規(guī)情況、服務的執(zhí)行效果等，評估結果應當作為服務提供商準入及退出的重要依據(jù)。

第二十四條

銀行業(yè)金融機構內部審計部門應當定期開展信 6 息科技外包風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發(fā)生外包風險事件后應及時開展專項審計。

第四章 信息科技外包管理

第一節(jié)

外包風險評估及準入

第二十五條

外包項目立項前，銀行業(yè)金融機構應當審慎檢查項目與信息科技外包戰(zhàn)略的一致性，應當根據(jù)項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處臵措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。

第二十六條

銀行業(yè)金融機構應當根據(jù)供應商關系管理策略，結合風險評估結果及服務提供商的準入標準，對備選服務提供商進行初步篩選，防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。

第二十七條

對于外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行管理。

第二節(jié)

服務提供商盡職調查

第二十八條

對重要的服務提供商，銀行業(yè)金融機構在與其簽訂合同前應當深入開展盡職調查，必要時可聘請第三方機構協(xié)助調查。

第二十九條

銀行業(yè)金融機構在盡職調查時應當關注服務提供商的技術和行業(yè)經(jīng)驗，包括但不限于：服務能力和支持技術、服務經(jīng)驗、服務人員技能、市場評價、監(jiān)管評價等。

第三十條

銀行業(yè)金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力，包括但不限于：內部控制機制和管理流程的完善程度、內部控制技術和工具等。

第三十一條

銀行業(yè)金融機構在盡職調查時應當關注服務提供商的持續(xù)經(jīng)營狀況，包括但不限于：從業(yè)時間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。

第三十二條

對于關聯(lián)外包，銀行業(yè)金融機構不得因關聯(lián)關系而降低對服務提供商的要求，應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平，確認其有足夠能力實施外包服務、處理突發(fā)事件等。

第三十三條

對于外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行管理。

第三節(jié) 外包服務合同及要求

第三十四條

銀行業(yè)金融機構在實施外包服務項目前，應當與服務提供商簽訂服務合同。合同應當根據(jù)外包服務需求、風險評估及盡職調查結果確定其詳細程度和重點。

第三十五條

銀行業(yè)金融機構在合同或協(xié)議中應當明確以下內容，包括但不限于：

（一）服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續(xù)合作中的相關限定條件；

（二）合規(guī)與內控要求，對法律法規(guī)及銀行業(yè)金融機構內部管理制度的遵從要求、監(jiān)管政策的通報貫徹機制、服務提供商的內控措施；

（三）服務連續(xù)性要求，服務提供商的服務連續(xù)性管理目標應當滿足銀行業(yè)金融機構業(yè)務連續(xù)性目標要求；

（四）銀行業(yè)金融機構監(jiān)控和檢查的權力、頻率，服務提供商配合其內、外部審計機構檢查，及配合銀行業(yè)金融機構接受銀行業(yè)監(jiān)督管理機構檢查的責任；

（五）政策或環(huán)境變化因素等在內的合同變更或終止的觸發(fā)條件，外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和設施的交接處臵等過渡期間相關服務的安排；

（六）外包服務過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權的歸屬權以及允許服務提供商使用的內容及范圍，對服務提供商使用合法軟、硬件產(chǎn)品的要求；

（七）服務要求或服務水平條款，至少應包括如下內容：外包服務的關鍵要素、服務時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等；

（八）爭端解決機制、違約及賠償條款，至少包括如下內容：服務質量違約、安全違約、知識產(chǎn)權違約等，及在各種違約情況下的賠償以及外包爭端的解決機制；

（九）報告條款，至少包括如下內容：常規(guī)報告內容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。

第三十六條

銀行業(yè)金融機構應當在合同或協(xié)議中明確服務提供商在安全和保密方面的責任，以及針對安全及保密要求需采取的具體措施，包括但不限于：

（一）禁止服務提供商在合同允許范圍外使用或者披露銀行業(yè)金融機構的信息，以防止信息被非授權的使用；

（二）在合同或協(xié)議中約定服務提供商對銀行客戶信息安全和銀行客戶權力的保護條款、事故處理方式及違約賠償條款；

（三）在合同或協(xié)議中約定服務提供商不得以所提供服務的銀行業(yè)金融機構名義開展活動；

（四）服務提供商接觸銀行業(yè)金融機構信息時，需滿足安全和保密相關條款的要求；

（五）服務提供商在其發(fā)生信息安全事件時必須及時向銀行業(yè)金融機構報告事件的影響以及處臵和糾正措施。

第三十七條

銀行業(yè)金融機構應當在合同或協(xié)議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求：

（一）不得將外包服務的主要業(yè)務分包；

（二）主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包合同或協(xié)議；

（三）主服務提供商對分包商進行監(jiān)控，并對分包商的變 10 更履行通知或報告審批義務。

第四節(jié) 外包服務安全管理

第三十八條

銀行業(yè)金融機構應當制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設施遭受破壞等風險，具體措施包括：

（一）對外包人員進行信息安全培訓，提高風險管理意識，確保信息安全管控措施在外包服務過程中有效落實；

（二）明確外包活動需要訪問或使用的信息資產(chǎn)，包括場地、辦公設施、計算機、服務器、軟件、數(shù)據(jù)、信息、物理訪問控制設備、賬號、網(wǎng)絡寬帶、網(wǎng)絡端口等，按“必需知道“和“最小授權”原則進行訪問授權；

（三）對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描；

（四）定期對服務提供商進行安全檢查，獲取服務提供商自評估或第三方評估報告。

第三十九條

銀行業(yè)金融機構在對關聯(lián)外包的服務提供商進行定期安全檢查時，不得以服務提供商的自評估來替代，不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性。

第四十條

銀行業(yè)金融機構應當關注外包服務引入的新技術或新應用對現(xiàn)有治理模式及安全架構的沖擊，及時完善信息安全管控體系，避免因新技術或應用的引入而增加額外的信息安全風險。

第五節(jié) 外包服務監(jiān)控與評價

第四十一條

銀行業(yè)金融機構應當對外包服務過程進行持續(xù)監(jiān)控，要求服務提供商建立階段性服務目標及任務，并跟蹤任務的執(zhí)行情況，及時發(fā)現(xiàn)和糾正服務過程中存在的各類異常情況。

第四十二條

銀行業(yè)金融機構應當根據(jù)信息科技的外包需求、合同、服務水平協(xié)議等建立明確的服務質量監(jiān)控指標，并進行相應的監(jiān)控。常見指標包括：

（一）信息系統(tǒng)和設備及基礎設施的可用率、設備的開機率；

（二）故障次數(shù)、故障解決率、故障的響應時間；

（三）服務的次數(shù)、客戶滿意度；

（四）各階段業(yè)務需求的及時完成率、程序的缺陷數(shù)、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率。

第四十三條

銀行業(yè)金融機構應當建立明確的服務目錄,服務水平協(xié)議以及服務水平監(jiān)控評價機制,并確保外包服務監(jiān)控基礎數(shù)據(jù)和評價結果的真實性和完整性，且數(shù)據(jù)至少需保存到服務結束后一年。

第四十四條

銀行業(yè)金融機構應當對服務提供商的財務、內控及安全管理進行持續(xù)監(jiān)控，關注其因破產(chǎn)、兼并、關鍵人員 12 流失、投入不足和管理不善等因素引發(fā)的財務狀況惡化及內部管理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。

第四十五條

銀行業(yè)金融機構監(jiān)控到異常情況時，應當及時督促服務提供商采取糾正措施，情節(jié)嚴重的或未及時糾正的，應約談服務提供商高管人員并限期整改。

第四十六條

外包服務結束時，銀行業(yè)金融機構應當對服務提供商進行評價，評價結果應當作為服務提供商準入的重要參考依據(jù)。

第四十七條

對于關聯(lián)外包，銀行業(yè)金融機構董事會及高級管理層應當推動母公司或其所屬集團將外包服務質量納入對服務提供商的業(yè)績評價范圍，建立外包服務重大事件問責機制。同時，應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。

第六節(jié) 外包服務中斷與終止

第四十八條

銀行業(yè)金融機構應當考慮信息科技外包的引入對業(yè)務連續(xù)性管理的影響，有針對性的完善業(yè)務連續(xù)性管理計劃，包括但不限于：

（一）識別出重要業(yè)務所涉及的服務提供商和資源；

（二）通過合同協(xié)議等形式明確要求服務提供商提前準備并維護好相關資源；

（三）對服務提供商業(yè)務連續(xù)性管理進行監(jiān)控，并評價其 13 管理水平；

（四）在進行業(yè)務連續(xù)性計劃演練時將相關的服務提供商納入演練范圍。

第四十九條

為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機構應當事先對業(yè)務連續(xù)性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施，包括但不限于以下內容：

（一）在外包服務實施的過程中持續(xù)收集服務提供商相關信息，盡早發(fā)現(xiàn)可能導致服務中斷的情況；

（二）與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優(yōu)先權；

（三）要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；

（四）對于涉及重要業(yè)務的外包服務，銀行業(yè)金融機構需考慮預先在其內部配臵相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。

第五十條

銀行業(yè)金融機構應當針對重要外包服務中斷的場景，擬定相應的應急計劃，并定期進行演練，應考慮的因素包括但不限于以下內容：

（一）事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；

（二）事件持續(xù)時間和恢復可能性；

（三）事件影響范圍和可能的應急措施；

（四）服務提供商自行恢復服務的可能性和時間；

（五）備選的服務提供商以及外包服務遷移方案；

（六）外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。

第五十一條

對于無法滿足外包服務要求或發(fā)生重大事件的情況，銀行業(yè)金融機構應當在充分評估其影響及制定退出計劃的前提下，考慮主動要求服務提供商終止服務，情節(jié)特別嚴重的，可考慮取消準入資質，并報監(jiān)管機構申請對其備案。對于關聯(lián)外包，銀行業(yè)金融機構不得因為關聯(lián)關系而影響服務提供商退出機制的落實。

第五章 機構集中度風險管理

第五十二條

銀行業(yè)金融機構應當依據(jù)服務提供商所承接外包服務的數(shù)量、金額在本行重要信息科技服務中的占比，服務提供商所承接外包服務在銀行業(yè)服務市場占比情況，識別具有機構集中度特點的外包服務提供商。同時，還應識別服務提供商之間為集團子公司、關聯(lián)公司或附屬機構所產(chǎn)生的機構集中度風險。

第五十三條

銀行業(yè)金融機構應當積極采用分散信息科技外包活動、提高自主研發(fā)運行能力等形式，降低機構集中度，減少對外包服務提供商的依賴。

第五十四條

銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據(jù)，證明其內部控制和管理能力、持續(xù)運營能力等。

第五十五條

銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業(yè)金融機構配備相對獨立的資源，包括服務團隊、場地、系統(tǒng)、設備等；并對資源進行定期檢查，確保資源及時到位。

第五十六條

銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中，明確外包服務的優(yōu)先級，并進行服務中斷應急演練，服務提供商應至少參與服務交接、敏感信息處臵等演練過程。

第五十七條

銀行業(yè)金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況持續(xù)監(jiān)控，建立信息收集機制，及時掌握風險事件情況，防范外包服務意外終止或服務質量急劇下降對本機構產(chǎn)生大面積影響。

第五十八條

銀行業(yè)金融機構應當對具有機構集中度特點的外包服務提供商增強監(jiān)督頻率與力度，必要時可指派專人進行現(xiàn)場監(jiān)督。

第五十九條

對于具有機構集中度特點的外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行外包管理。

第六章 跨境及非駐場外包管理

第一節(jié) 跨境外包風險管理

第六十條

跨境外包是指在境外其他國家或地區(qū)實施的信息科技外包服務活動。

第六十一條

跨境外包除具有本指引前述風險外，還包括由于某一國家或地區(qū)經(jīng)濟、政治、社會變化及事件而產(chǎn)生的國別風險，及由于外包實施場地遠離銀行業(yè)金融機構而產(chǎn)生的非駐場風險。

第六十二條

銀行業(yè)金融機構應當充分了解并持續(xù)監(jiān)控服務提供商所在國家或地區(qū)的經(jīng)濟、政治、社會狀況，通過建立應急預案、服務持續(xù)性計劃防范跨境外包所帶來的國別風險。

第六十三條

銀行業(yè)金融機構應當關注國外法律法規(guī)、監(jiān)管要求對其獲取服務提供商外包管理信息可能的影響。實施跨境外包時，不應妨礙銀行業(yè)金融機構有效履行外包服務監(jiān)控管理職能及監(jiān)管機構的延伸檢查。

第六十四條

銀行業(yè)金融機構在選擇跨境外包時，應當明確其所在國家或地區(qū)監(jiān)管當局已與中國銀監(jiān)會簽訂諒解備忘錄或雙方認可的其他約定。

第六十五條

銀行業(yè)金融機構在實施跨境外包時，其合同應當包括法律選擇和司法管轄權的約定，明確爭議解決時所適用的法律及司法管轄權，原則上應當要求服務提供商依照中國的法律解決糾紛。

第六十六條

銀行業(yè)金融機構在開展跨境外包時，應當充分審查評估服務提供商保護客戶信息的能力，并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包,應在符合監(jiān)管法規(guī)政策并獲得客戶授權的前提下開展。

第二節(jié) 非駐場外包風險管理

第六十七條

非駐場外包是指服務提供商不在銀行業(yè)金融機構現(xiàn)場提供服務的外包形式。由于銀行業(yè)金融機構不能對其內部控制及風險管理措施進行直接管控，應當在信息安全、知識產(chǎn)權保護、質量監(jiān)控、法律合規(guī)等方面加強對服務提供商的風險管理。

第六十八條

銀行業(yè)金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準，該標準應當作為選擇服務提供商的最低要求。

第六十九條

銀行業(yè)金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次，檢查結果應作為外包服務提供商項目考核及準入的重要指標。

第七十條

銀行業(yè)金融機構應當加強對服務商非駐場外包服務內部控制、質量管理、信息安全的有效性評估，評估結果應作為供應商準入的重要依據(jù)。對于高風險的服務提供商，銀行業(yè)金融機構應責令其進行限期整改，對于逾期未改的服務提供商應暫?；蛉∠浞召Y格。

第七十一條

對于非駐場外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行外包管理，但同業(yè)托管機構須將為其他同行業(yè)金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分，不應區(qū)別對待而降低對自身提供外包服務的風險管控水平。

第七章 銀行業(yè)重點外包服務機構風險管理要求

第七十二條

銀行業(yè)重點外包服務機構是指集中為銀行業(yè)金融機構提供外包服務，同時滿足下述條件，如其外包服務失敗可能導致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務中斷，造成經(jīng)濟損失的機構，具體條件如下：

(一)承擔集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包服務；或承擔銀行業(yè)金融機構客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務；或承擔銀行業(yè)金融機構數(shù)據(jù)中心、災備中心機房及基礎設施外包服務；且上述服務均為非駐場外包服務；

(二)服務的法人銀行業(yè)金融機構數(shù)量、服務合同金額占有本服務領域市場份額的三分之一以上；或服務的國有、股份制法人銀行業(yè)金融機構數(shù)量達到3家或以上；或服務的其它類型法人銀行業(yè)金融機構數(shù)量達到10家或以上。

第七十三條

銀行業(yè)金融機構應根據(jù)監(jiān)管機構發(fā)布的銀行業(yè)重點外包服務機構風險提示，按照如下要求進行管理：

19(一)銀行業(yè)重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體，注冊資本和實收資本不少于1000萬，注冊成立時間應不少于3年。

(二)銀行業(yè)重點外包服務機構應當擁有健全的組織架構，并針對所提供的外包服務建立有效的風險治理架構，至少應當建立由公司高級管理層直接領導、針對銀行業(yè)金融機構外包服務的、專職信息科技風險管理團隊，為持續(xù)的外包服務提供保證。

(三)銀行業(yè)重點外包服務機構應當建立與所承擔的服務范圍和規(guī)模相適應的服務管理體系，建立完善的信息安全、服務質量、服務持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機制，確保管理規(guī)范有效執(zhí)行。

(四)銀行業(yè)重點外包服務機構應當具有足夠的技術能力、人員隊伍和設施、環(huán)境，滿足外包服務的質量和安全管理要求。銀行業(yè)重點外包服務機構承擔的銀行業(yè)金融機構外包服務場地應設臵在中國境內。

第七十四條 銀行業(yè)金融機構應要求銀行業(yè)重點外包服務機構具有如下相關領域資質認證:(一)具有完善的信息安全管理體系、業(yè)務連續(xù)性管理體系，并通過業(yè)界公認較為權威的信息安全管理和業(yè)務連續(xù)性管理資質認證。

(二)具有完善的質量管理體系，并通過業(yè)界公認較為權威的質量管理資質認證。

20(三)承擔銀行業(yè)金融機構數(shù)據(jù)中心、災備中心機房及基礎設施外包服務的銀行業(yè)重點外包服務機構，其機房及基礎設施應達到國家電子計算機機房最高標準。

(四)承擔集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包服務，或承擔銀行業(yè)金融機構客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務的銀行業(yè)重點外包服務機構，應具有完善的運行服務管理體系，并通過業(yè)界公認較為權威的運行服務管理資質認證。

第七十五條 銀行業(yè)金融機構應在風險管理、審計方面對銀行業(yè)重點外包服務機構做出如下要求：

(一)銀行業(yè)重點外包服務機構應當具有信息科技風險的管理體系，有效識別、監(jiān)測、評估和控制風險。銀行業(yè)重點外包服務機構應至少每季度向所服務的銀行業(yè)金融機構報送外包風險監(jiān)控報告，針對監(jiān)控發(fā)現(xiàn)的潛在風險或風險事件，及時采取控制或緩釋措施。

(二)銀行業(yè)重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,風險評估報告需報送所服務的銀行業(yè)金融機構，并抄送銀行業(yè)監(jiān)督管理委員會或其派出機構。

(三)銀行業(yè)重點外包服務機構應當對其外包服務團隊成員進行背景調查，確保其過往無犯罪或其他不良記錄，且應當與項目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。

第八章 監(jiān)督管理

第七十六條

銀行業(yè)金融機構開展以下信息科技外包服務時,應在外包合同簽訂前二十個工作日向中國銀監(jiān)會或其派出機構報告。報告內容見附件《信息科技外包服務報告材料目錄》。

（一）信息科技工作整體外包；

（二）數(shù)據(jù)中心或災備中心整體外包；

（三）涉及將銀行業(yè)金融機構客戶資料、交易數(shù)據(jù)等敏感信息交由服務提供商進行分析或處理的信息科技外包；

（四）以非駐場形式實施的、集中存貯客戶數(shù)據(jù)的業(yè)務交易系統(tǒng)外包；

（五）關聯(lián)外包；

（六）涉及跨境的信息科技外包；

（七）其他中國銀監(jiān)會認為重要的信息科技外包。第七十七條

銀行業(yè)金融機構信息科技外包活動中發(fā)生如下重大事件時，應在兩個工作日內向中國銀監(jiān)會或其派出機構報告。

（一）銀行業(yè)金融機構客戶信息等敏感數(shù)據(jù)泄露；

（二）數(shù)據(jù)損毀或者重要業(yè)務運營中斷；

（三）由于不可抗力或服務提供商重大經(jīng)營、財務問題，導致或可能導致多家銀行業(yè)金融機構外包服務中斷;22

（四）其他重大的服務提供商違法違規(guī)事件；

（五）中國銀監(jiān)會規(guī)定需要報告的其他重大事件。第七十八條

銀行業(yè)金融機構在開展外包風險管理評估工作后，應將風險評估報告報送中國銀監(jiān)會或其派出機構。報告內容見附件《信息科技外包服務報告材料目錄》。

第七十九條

中國銀監(jiān)會及其派出機構對銀行業(yè)金融機構信息科技外包工作進行監(jiān)督和檢查，監(jiān)督檢查結果應納入對銀行業(yè)金融機構的監(jiān)管評級。

第八十條

對于風險較高的信息科技外包服務，銀監(jiān)會或其派出機構可要求銀行業(yè)金融機構暫緩、中止該類外包服務，直至銀行業(yè)金融機構、外包服務提供商有效改正。

第八十一條

銀行業(yè)金融機構違反本指引規(guī)定的，中國銀監(jiān)會或其派出機構可要求銀行業(yè)金融機構糾正或采取替代方案，并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業(yè)金融機構穩(wěn)健運行、損害存款人和其他客戶合法權益的，將依法追究銀行業(yè)金融機構管理責任。

第八十二條

中國銀監(jiān)會實行對銀行業(yè)信息科技外包服務活動風險監(jiān)測機制，定期對銀行業(yè)金融機構發(fā)布銀行業(yè)重點外包服務機構名單和風險提示，防范因高機構集中度外包服務導致的行業(yè)性、區(qū)域性信息科技風險。

第八十三條

中國銀監(jiān)會應對具有機構集中度特點的銀行業(yè)金融機構信息科技外包服務活動進行重點風險監(jiān)測、評估。根 23 據(jù)履行職責的需要，中國銀監(jiān)會可要求銀行業(yè)金融機構與銀行業(yè)重點外包服務機構會談，就其外包服務活動和風險的重大事項作出說明。

第八十四條

中國銀監(jiān)會應組織銀行業(yè)金融機構，實地核查銀行業(yè)重點外包服務機構承擔的銀行業(yè)金融機構信息科技服務活動，原則上每兩年進行一次，也可以委托其他第三方機構審計的形式實施。

第八十五條

中國銀監(jiān)會可根據(jù)銀行業(yè)金融機構信息科技服務活動風險評估和實地核查結果，對銀行業(yè)金融機構發(fā)出監(jiān)管提示，要求其督促銀行業(yè)重點外包服務機構對風險問題實施整改。

第八十六條

銀行業(yè)重點外包服務機構應當配合銀行業(yè)金融機構及中國銀監(jiān)會的風險監(jiān)測和實地核查。發(fā)現(xiàn)外包服務中發(fā)生可能引發(fā)行業(yè)性、區(qū)域性信息科技風險的突發(fā)事件時，應及時向銀行業(yè)金融機構報告。

第八十七條

中國銀監(jiān)會組織相關銀行業(yè)金融機構對銀行業(yè)信息科技外包服務提供商建立服務管理記錄，并對其風險評估和評級。

第八十八條

服務提供商在外包服務中存在以下情形的，中國銀監(jiān)會將定期向銀行業(yè)發(fā)布服務提供商風險預警，公布機構名單、服務信息等，要求銀行業(yè)金融機構禁止服務提供商承擔銀行業(yè)信息科技外包服務，禁止期至少為兩年。外包服務提供商兩年內仍未整改的，將延長其禁止期。

（一）違反國家法律、法規(guī)和監(jiān)管政策，情節(jié)嚴重的；

（二）竊取、泄露銀行業(yè)金融機構敏感信息，情節(jié)嚴重的；

（三）因管理過失，多次發(fā)生重要信息系統(tǒng)服務中斷或數(shù)據(jù)損毀、丟失、泄露事件；

（四）服務質量低下并給多家銀行業(yè)金融機構造成損失，多次提示仍未整改；

（五）對風險監(jiān)測和實地檢查發(fā)現(xiàn)的問題，逾期仍未整改；

（六）存在其他違法違規(guī)行為，或發(fā)生其它重大信息科技風險事件。

第八十九條

中國銀監(jiān)會將監(jiān)督銀行業(yè)金融機構實施對信息科技外包服務提供商的準入及“黑名單”管理。對于存在重大風險的外包活動，銀行業(yè)金融機構應立即評估外包的適當性，對擬進入“黑名單”的信息科技外包服務提供商進行風險預警提示，要求其進行整改并設定期限。逾期未整改的，將進入“黑名單”。

第九章 附則

第九十條

本指引由中國銀監(jiān)會負責解釋、修訂。第九十一條

本指引自發(fā)布之日起施行。

附錄 《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》信息科技外包服務監(jiān)管報告材料目錄

一、信息科技外包監(jiān)管報告材料

（一）外包服務基本情況，包括：

1.外包服務名稱；

2.外包服務類型：研發(fā)咨詢類、系統(tǒng)運行維護類、業(yè)務外包中的信息科技活動等； 3.外包服務的主要內容；

4.實施方式：駐場外包、非駐場外包；

5.影響的業(yè)務類型：渠道管理類、客戶管理類、產(chǎn)品管理類、財務管理類、決策支持類、共享支持類等； 6.外包服務起止時間。

（二）服務提供商基本情況，包括：

1.服務提供商全稱、國別； 2.盡職調查報告； 3.法人代表； 4.注冊資本； 5.上級機構/母機構； 6.成立時間； 7.企業(yè)性質；

（三）中國銀監(jiān)會規(guī)定的其他材料。

二、信息科技外包情況報送材料

（一）銀行業(yè)金融機構外包風險評估報告；

（二）銀行業(yè)重點外包服務機構風險評估報告；

（三）本內正在執(zhí)行或終止的重要信息科技外包服務情況，包括：

1.外包服務名稱；

2.外包服務重大事件情況； 3.外包服務變更情況；

4.本期終止的，還應當提供外包服務評價。

（四）中國銀監(jiān)會規(guī)定的其他材料。

第三篇：銀行業(yè)金融機構外包風險管理指引

銀行業(yè)金融機構外包風險管理指引

第一章 總則

第一條 為了規(guī)范銀行業(yè)金融機構的外包活動，保障銀行業(yè)金融機構業(yè)務持續(xù)經(jīng)營，依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等有關法律法規(guī)，制定本指引。

第二條 在中華人民共和國境內設立的銀行業(yè)金融機構適用本指引。

第三條 本指引中的外包是指銀行業(yè)金融機構將原來由自身負責處理的某些業(yè)務活動委托給服務提供商進行持續(xù)處理的行為。服務提供商包括獨立第三方，銀行業(yè)金融機構母公司或其所屬集團設立在中國境內、外的子公司、關聯(lián)公司或附屬機構。

第四條 銀行業(yè)金融機構的董事會和高級管理層應當承擔外包活動的最終責任。

第五條 銀行業(yè)金融機構開展外包活動應當制定外包的風險管理框架以及相關制度，并將其納入全面風險管理體系。

第六條 銀行業(yè)金融機構應當根據(jù)審慎經(jīng)營原則制定其外包戰(zhàn)略發(fā)展規(guī)劃，確定與其風險管理水平相適宜的外包活動范圍。

第七條 銀行業(yè)金融機構的戰(zhàn)略管理、核心管理以及內部審計等職能不宜外包。

第二章組織結構

第八條 銀行業(yè)金融機構外包管理的組織架構應當包括董事會、高級管理層及外包管理團隊。

第九條 董事會的職責主要包括以下方面：

（一）審議批準外包的戰(zhàn)略發(fā)展規(guī)劃；

（二）審議批準外包的風險管理制度；

（三）審議批準本機構的外包范圍及相關安排；

（四）定期審閱本機構外包活動相關報告；

（五）定期安排內部審計，確保審計范圍涵蓋所有的外包安排。

第十條 高級管理層的職責主要包括以下方面：

（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；

（二）制定外包風險管理的政策、操作流程和內控制度；

（三）確定外包業(yè)務的范圍及相關安排；

（四）確定外包管理團隊職責，并對其行為進行有效監(jiān)督。

第十一條 外包管理團隊的職責主要包括以下方面：

（一）執(zhí)行外包風險管理的政策、操作流程和內控制度；

（二）負責外包活動的日常管理，包括盡職調查、合同執(zhí)行情況的監(jiān)督及風險狀況的監(jiān)督；

（三）向高級管理層提出有關外包活動發(fā)展和風險管控的意見和建議；

（四）在發(fā)現(xiàn)外包服務提供商業(yè)的業(yè)務活動存在缺陷時，采取及時有效的措施；

（五）高級管理層確定的其他職責

第三章風險管理

第十二條 銀行業(yè)金融機構在制定外包活動政策時，應當評估以下風險因素：

（一）銀行業(yè)金融機構應當關注外包活動的戰(zhàn)略風險、法律風險、聲譽風險、合規(guī)風險、操作風險、國別風險等風險；

（二）影響外包活動的外部因素；

（三）本機構對外包活動的風險管控能力；

（四）服務提供商的技術能力及專業(yè)能力，業(yè)務策略和業(yè)務規(guī)模，業(yè)務連續(xù)性及破產(chǎn)風險，風險控制能力及外包服務的集中度；

（五）其他關注的事項。

第十三條 銀行業(yè)金融機構在進行外包活動時應當對服務提供商進行盡職調查，盡職調查應當包括以下事項：

（一）管理能力和行業(yè)地位；

（二）財務穩(wěn)健性；

（三）經(jīng)營聲譽和企業(yè)文化；

（四）技術實力和服務質量；

（五）突發(fā)事件應對能力；

（六）對銀行業(yè)的熟悉程度；

（七）對其他銀行業(yè)金融機構提供服務的情況；

（八）銀行業(yè)金融機構認為重要的其他事項。銀行業(yè)金融機構的外包活動涉及多個服務提供商時，應當對這些服務提供商進行關聯(lián)關系的調查。

第十四條 銀行業(yè)金融機構開展外包活動時應當簽訂書面合同或協(xié)議，明確雙方的權利義務。合同或協(xié)議應當包括但不限于以下內容：

（一）外包服務的范圍和標準；

（二）外包服務的保密性和安全性的安排；

（三）外包服務的業(yè)務連續(xù)性的安排；

（四）外包服務的審計和檢查；

（五）外包爭端的解決機制；

（六）合同或協(xié)議變更或終止的過渡安排；

（七）違約責任。

對于具有專業(yè)技術性的外包活動，可簽訂服務標準協(xié)議。

第十五條 銀行業(yè)金融機構在外包活動中應當建立嚴格的客戶信息保密制度，并依法履行告知義務。

第十六條 銀行業(yè)金融機構在外包合同中應當要求外包服務提供商承諾以下事項：

（一）定期通報外包活動的有關事項；

（二）及時通報外包活動的突發(fā)性事件；

（三）配合銀行業(yè)金融機構接受銀行業(yè)監(jiān)督管理機構的檢查；

（四）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；

（五）不得以銀行業(yè)金融機構的名義開展活動；

（六）銀行業(yè)金融機構認為應當承諾的其他事項。第十七條 銀行業(yè)金融機構應當關注外包服務提供商分包的風險，并在合同中明確以下事項：

（一）服務提供商分包的規(guī)則；

（二）分包服務提供商應當嚴格遵守主服務提供商與銀行業(yè)金融機構確定的外包合同或協(xié)議中的相關條款；

（三）主服務商應當確認在業(yè)務分包后繼續(xù)保證對服務水平和系統(tǒng)控制負總責；

（四）不得將外包活動的主要業(yè)務分包。

第十八條 銀行業(yè)金融機構應當在合同中約定服務提供商不得將外包活動轉包或變相轉包。

第十九條 銀行業(yè)金融機構在開展跨境外包活動時，應當遵守以下原則：

（一）審慎評估法律和管制風險；

（二）確?？蛻粜畔⒌陌踩?；

（三）選擇境外服務提供商時，應當明確其所在國家或地區(qū)監(jiān)管當局已與我國銀行業(yè)監(jiān)督管理機構簽訂諒解備忘錄或雙方認可的其他約定。

第二十條 銀行業(yè)金融機構應當事先制定和建立外包突發(fā)事件應急預案和機制。通過采取替代方案、尋求合同項下的保險安排等措施，確保業(yè)務活動的正常經(jīng)營。

第二十一條 銀行業(yè)金融機構應當定期對外包活動進行全面審計與評價。

第四章監(jiān)督管理

第二十二條 銀行業(yè)金融機構在開展外包活動時，應當定期向所在地銀行業(yè)監(jiān)督管理機構遞交本機構外包活動的評估報告。

第二十三條 銀行業(yè)金融機構在開展外包活動時如遇到對本機構的業(yè)務經(jīng)營、客戶信息安全、聲譽等產(chǎn)生重大影響事件，應當及時向所在地銀行業(yè)監(jiān)督管理機構報告。

第二十四條 銀行業(yè)監(jiān)督管理機構及其派出機構根據(jù)需要對外包活動進行現(xiàn)場檢查，采集外包活動過程中數(shù)據(jù)信息和相關資料，并將檢查結果納入對該機構的監(jiān)管評級。

第二十五條 對外包活動存在以下情形的，銀行業(yè)監(jiān)督管理機構可以要求銀行業(yè)金融機構糾正或采取替代方案，并視情況予以問責。

（一）違反相關法律、行政法規(guī)及規(guī)章；

（二）違反本機構風險管理政策、內控制度及操作流程等；

（三）存在重大風險隱患；

（四）其他認定的情形。

第五章附則

第二十六條 經(jīng)銀行業(yè)監(jiān)督管理機構批準的其他金融機構開展外包活動時遵照本指引執(zhí)行。

第二十七條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責解釋。

第二十八條 本指引自發(fā)布之日起實施。

第四篇：銀行業(yè)金融機構信息科技風險非現(xiàn)場監(jiān)管報表

銀行業(yè)金融機構信息科技風險 非現(xiàn)場監(jiān)管報表

（征求意見稿）目 錄

第一部分報表..................................................1 I信息科技風險調查問卷............................................1 Q-R-1 信息科技風險調查問卷.....................................1 II基本情況報表...................................................8 T-B-1 信息科技治理基本情況表...................................8 T-B-2 信息科技風險管理情況表..................................10 T-B-3 信息科技內外部審計與評估基本情況表......................12 T-B-4 應急管理基本情況表......................................14 T-B-5 信息科技項目基本情況表..................................15 T-B-6 災備基本情況表..........................................16 T-B-7 外包基本情況表..........................................18 T-B-8 各類中心基本情況表......................................19 T-B-9 數(shù)據(jù)中心及災備中心機房基本情況表........................20 T-B-10 重要信息系統(tǒng)統(tǒng)計表......................................21 T-B-11 網(wǎng)絡基本情況表..........................................23 T-B-12 電子銀行業(yè)務品種統(tǒng)計表..................................24 T-B-13 電子銀行業(yè)務量統(tǒng)計表....................................25 第二部分季度報表.................................................27 T-B-14 重要信息系統(tǒng)運行基本情況報表............................27 T-B-15 組織機構、人員重大變動表................................30 第三部分報告......................................................31 R-R-1 信息化建設與信息科技風險管理報告....................31 附錄參考定義.....................................................32 2 填報須知

一、本報表作為銀監(jiān)會信息科技風險監(jiān)管體系的重要組成部 分及信息科技風險識別、評估工作的基礎和前提，旨在全面收集 和監(jiān)測銀行業(yè)金融機構信息科技風險狀況。

二、本報表主要適用于在中華人民共和國境內依法設立的政 策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城 市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、城市信用社、農(nóng)村 信用社、外資法人銀行等銀行業(yè)金融機構。

三、本報表是為針對信息科技風險而設的專門報表，銀行業(yè) 金融機構應當對所填報數(shù)據(jù)的真實性負責。

四、本報表應由風險管理部門組織填報。

五、本報表分為報表、季度報表和報告。報表統(tǒng)計 周期為12個月，即上一年10月1日至本9月30日，報送截止時 間為每年10月15日；季度報表報送時間為季后10日內；報告報送 時間為自然年后40日內。

六、報表中未特別說明統(tǒng)計范圍的，皆指全行范圍。

七、填報過程中，對于需要特別說明的項目或問題，請在備 注欄中描述具體情況。

八、報送截止后，對于存在疑問的報表，監(jiān)管人員可要求機 構提供詳實材料予以核實或重報；如有必要，將發(fā)起現(xiàn)場檢查，并以現(xiàn)場檢查結果為準。

九、本報表附有術語參考定義，填報過程中可供參考。第一部分報表

I信息科技風險調查問卷

Q-R-1 信息科技風險調查問卷

填報機構： 填報人： 責任人： 填報日期： 年 月 日 編號 項目 填報說明 內容 單位 備注 1.信息科技風險管理 Q0001 對信息科技制度進行定期 修訂

以信息科技制度修訂發(fā)文為準□是□否 N/A Q0002 對信息科技規(guī)劃定期評估 并修改

若對信息科技規(guī)劃定期評估并修 改，請回答是 □是□否 N/A Q0003 制定了關鍵崗位輪崗計劃 并依照執(zhí)行

以輪崗計劃和記錄（接替崗位后工 作至少一周）為準 □是□否 N/A Q0004 規(guī)定在職人員定期參加信 息安全及保密培訓

以相應人員參與的培訓記錄為準□是□否 N/A 2.審計 Q0005 依據(jù)制定的審計計劃、方案 開展信息科技審計

以相應批文為準□是□否 N/A Q0006 信息科技審計報告抄送風 險管理部門

以提交給風險管理部門的審計報 告為準

□是□否 N/A Q0007 與外部審計機構簽署保密 協(xié)議

若所有的外部審計活動均與外部 審計機構簽署保密協(xié)議，請回答是 □是□否 N/A Q0008 信息科技內部審計覆蓋的 比例

請計算最近12個月信息科技內部 審計的分支機構數(shù)與分支機構數(shù) 的比值 % 3.重要信息系統(tǒng) Q0009 發(fā)生核心業(yè)務系統(tǒng)替換或 計劃實施核心業(yè)務系統(tǒng)替 換

若最近12 個月發(fā)生核心系統(tǒng)的替 換或未來12個月計劃實施，請回 答是

□是□否 N/A Q0010 有多少家外部機構將系統(tǒng) 或設備交由本機構托管

如有其他機構（或銀行）將其系統(tǒng)、設備或業(yè)務處理交由本機構管理（托管行為），請統(tǒng)計這些機構的 數(shù)量 個

Q0011 交由外部機構托管的系統(tǒng) 數(shù)

請統(tǒng)計交由外部機構托管的系統(tǒng) 數(shù) 個 Q0012 與本機構發(fā)生數(shù)據(jù)交換的 外聯(lián)系統(tǒng)數(shù)量

請統(tǒng)計所有與本機構發(fā)生數(shù)據(jù)交 換的外聯(lián)系統(tǒng)總數(shù)，以運行部門的 記錄或外部接口文件（EIF）記錄 為準 個 Q0013 生產(chǎn)環(huán)境中具有高耦合度 的信息系統(tǒng)數(shù)

若系統(tǒng)的耦合度高，單一系統(tǒng)出現(xiàn) 故障時會導致其他多個系統(tǒng)無法 正常運行，請分析和統(tǒng)計能導致此 類情況的系統(tǒng)總數(shù)。以系統(tǒng)結構圖 或內部邏輯接口文件（ILF）為準 個 Q0014 仍在使__________用供應商已正式宣 布停止支持的系統(tǒng)平臺的 重要信息系統(tǒng)數(shù)

系統(tǒng)平臺包括：操作系統(tǒng)、數(shù)據(jù)庫、中間件、服務器等 個 Q0015 核心業(yè)務系統(tǒng)中相互邏輯 分離的數(shù)據(jù)庫數(shù)

例如，對公業(yè)務使用的數(shù)據(jù)庫和對 私業(yè)務使用的數(shù)據(jù)庫是邏輯分離 的，其中一個數(shù)據(jù)庫失效不會影響 另一個數(shù)據(jù)庫的正常運行，就記作 2 個相互邏輯分離的數(shù)據(jù)庫 個 Q0016 重要信息系統(tǒng)當前容量規(guī) 劃可滿足業(yè)務發(fā)展需求的 最少年數(shù)

以容量規(guī)劃文檔為準年 4.系統(tǒng)開發(fā)與測試 Q0017 項目實施部門定期向信息 科技管理委員會提交重大 項目進度報告

以提交的進度報告為準□是□否 N/A Q0018 在重大項目各階段均進行 風險評估，并向項目管理組 織溝通風險點，確定處臵方 案

以各階段風險評估報告記錄為準□是□否 N/A Q0019 業(yè)務和系統(tǒng)需求等經(jīng)業(yè)務 部門和科技部門共同確認

以需求、設計相關文檔為準□是□否 N/A Q0020 將信息安全要求納入系統(tǒng) 設計

以需求、設計相關文檔為準。信息 安全要求主要包括數(shù)據(jù)安全、身份 驗證、權限管理等內容 □是□否 N/A Q0021 系統(tǒng)投產(chǎn)前，準生產(chǎn)驗證環(huán) 境的軟件與生產(chǎn)環(huán)境相同

準生產(chǎn)驗證環(huán)境的軟件包括操作 系統(tǒng)、數(shù)據(jù)庫、中間件、應用程序。以生產(chǎn)驗證環(huán)境和生產(chǎn)環(huán)境的配 臵項清單為準 □是□否 N/A Q0022 總行科技部門現(xiàn)行項目中，有獨立質量保證人員參與 的項目總數(shù)

請統(tǒng)計目前分配有質量保證人員 的項目總數(shù) 個 Q0023 完成用戶驗收測試的項目 數(shù)

請統(tǒng)計最近12個月完成用戶驗收 測試的項目數(shù) 個 Q0024 用戶驗收測試（UAT）前已 完成代碼安全檢查的項目 數(shù)

請統(tǒng)計最近12個月上線的信息系 統(tǒng)在UAT前已完成代碼安全檢查工 作的項目數(shù) 個

5.信息系統(tǒng)變更

Q0025 建立變更的授權審批機制 對信息系統(tǒng)變更進行分級，針對不 同等級的信息系統(tǒng)變更明確相應 的審批管理程序。以相關變更授權 審批制度為準 □是□否 N/A 3 Q0026 所有涉及生產(chǎn)環(huán)境的變更，變更前有回退和應急方案

在系統(tǒng)變更前，變_______更申請部門制訂 回退和應急方案。以相關方案文檔 為準

□是□否 N/A Q0027 涉及生產(chǎn)環(huán)境的變更由業(yè) 務部門與科技部門共同審 批

以審批流程文檔和審批人員清單 為準

□是□否 N/A Q0028 所有涉及生產(chǎn)環(huán)境的變更 由獨立人員進行復核

以相關規(guī)定以及復核人員清單為 準

□是□否 N/A Q0029 所有變更都留有記錄，并由 內部審計人員或信息安全 人員定期核查

以變更記錄和審查記錄為準□是□否 N/A Q0030 重要信息系統(tǒng)緊急變更數(shù) 請統(tǒng)計最近12個月內重要信息系 統(tǒng)緊急變更的次數(shù)。以系統(tǒng)運行部 門的記錄為準 次

Q0031 涉及生產(chǎn)環(huán)境的變更數(shù) 請統(tǒng)計最近12個月內涉及生產(chǎn)環(huán) 境的變更總數(shù)（包括各信息科技生 產(chǎn)部門的重要信息系統(tǒng)和非重要 信息系統(tǒng)的變更）。以系統(tǒng)運行部 門的記錄為準 次 Q0032 未在測試環(huán)境中進行驗證 的變更數(shù)

請統(tǒng)計最近12個月內未在測試環(huán) 境中進行驗證的變更數(shù)，以驗證記 錄為準 次

6.信息系統(tǒng)運行 Q0033 系統(tǒng)運行、維護、開發(fā)人員 的崗位相互完全分離且不 存在兼崗

以崗位清單和崗位職責定義為準□是□否 N/A Q0034 為所有關鍵崗位配備規(guī)范、準確的操作手冊以指導運 行人員操作

以操作手冊為準□是□否 N/A Q0035 運行人員對生產(chǎn)系統(tǒng)的操 作由獨立人員復核

若運行人員對生產(chǎn)系統(tǒng)的操作有 獨立人員復合，請回答是 □是□否 N/A Q0036 運行人員對生產(chǎn)系統(tǒng)的任 何操作保留操作記錄

以操作記錄文檔和記錄方法說明 為準

□是□否 N/A Q0037 對數(shù)據(jù)庫均通過菜單、數(shù)據(jù) 流操作

若所有對數(shù)據(jù)庫的操作均通過菜 單、數(shù)據(jù)流，而非直接操作數(shù)據(jù)庫，請回答是 □是□否 N/A Q0038 批處理過程有專人監(jiān)控，記 錄操作及執(zhí)行情況，并處理 異常事件

若批處理過程有專人監(jiān)控，記錄操 作及執(zhí)行情況，并處理異常事件，請回答是 □是□否 N/A Q0039 利用實時監(jiān)控工具對系統(tǒng) 運行環(huán)境、重要信息系統(tǒng)運 行狀況等進行監(jiān)控

以監(jiān)控系統(tǒng)相關文檔為準□是□否 N/A Q0040 實時監(jiān)控工具具有自動4 納預 警功

第五篇：銀行業(yè)信息科技風險監(jiān)管報告

探索銀行業(yè)信息科技風險監(jiān)管框架

銀行業(yè)信息科技風險監(jiān)管概述

信息科技風險是隨著信息科技技術廣泛應用而新生的詞匯，最早出現(xiàn)在上世紀九十年代，目前業(yè)界對此缺乏統(tǒng)一的定義。中國銀監(jiān)會定義的信息科技風險是指信息科技在商業(yè)銀行運用過程中，由于自然因素、人為因素、技術漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽等風險。

2001年巴塞爾新資本協(xié)議草案明確了銀行業(yè)資本監(jiān)管的發(fā)展趨勢，即將資本要求與銀行風險管理緊密相連。新資本協(xié)議以監(jiān)管當局對資本計量的要求為基礎，通過約束銀行資本，達到控制行業(yè)規(guī)模和風險的目的。在新資本協(xié)議關注的三大風險中，信息科技風險被默認為操作風險的一部分，未對信息科技風險的管理提出具體要求。

信息科技穩(wěn)定運行是銀行業(yè)務正常經(jīng)營的基本條件，銀行數(shù)據(jù)集中造成了風險的高度集中，科技風險成為唯一能使銀行瞬間癱瘓的風險。信息科技風險具有區(qū)別于其他操作風險的特殊性：一是風險因素復雜，大量使用外包和新技術使得風險控制的復雜度大幅提高；二是由于管理因素、技術因素多重作用，導致偶發(fā)性和不確定性突出；三是信息科技一般不直接造成經(jīng)濟損失，其造成的間接損失難以計量；四是單個信息系統(tǒng)可影響多個業(yè)務，影響范圍廣且具有不確定性。

科技風險與操作風險當前處在不同的發(fā)展階段，其管理理論、管理方法等方面有著一定的差異性。在管理體系方面，信息科技風險管理的理論已進入風險導向的科技風險管理階段，但以風險為導向的識別、監(jiān)測、計量方面尚不成體系；在管理方法方面，信息科技風險的特殊性在于產(chǎn)品和技術層面的風險也是其重要風險因素；在損失特點方面，信息科技風險通常不產(chǎn)生直接的風險損失，這決定了通常情況下科技風險損失往往難以使用貨幣金額方式進行表示；在風險計量方面，目前尚缺乏有效計量信息科技風險資本的方法。

當前銀行業(yè)大多將信息科技風險作為操作風險的一部分，納入銀行全面風險管理體系。但是，隨著行業(yè)發(fā)展和技術進步，在操作風險模式下管理信息科技風險也存在一定的困難：一是目前的操作風險管理方法中對科技風險的管理方法涉及較少，難以兼顧到信息科技風險的專業(yè)技術特性，難以實現(xiàn)對信息科技風險的有效管理 ；二是風險監(jiān)管資本計量未能充分考慮信息科技風險因素，信息科技風險造成的損失及其相應的監(jiān)管資本計量存在困難?；诳萍硷L險特點及其作為操作風險一部分進行管理遇到的問題，將信息科技風險從操作風險中拆分并獨立管理，能更有效的管理信息科技風險。

信息科技風險應被視為一種獨立的、重要的風險類型被單獨管理，與操作風險的管理分開；應根據(jù)信息科技損失的特點設計與操作風險標準法和高級法匹配的計量模型，體現(xiàn)信息科技風險對銀行資本的影響和敏感性。

銀行業(yè)信息科技風險核心監(jiān)管指標

在實施“風險為本”的監(jiān)管框架中，需要探索建立一套可量化、相對簡單、可動態(tài)監(jiān)測的核心監(jiān)管指標體系，來動態(tài)監(jiān)測信息科技風險狀況，直觀評估銀行信息科技風險的管理水平。

核心監(jiān)管指標作為監(jiān)管機構識別和預警銀行風險的重要手段和方法，對健全內部風險制衡機制，完善風險管理政策和流程，優(yōu)化風險計量工具，進行有效的風險控制起到了積極的促進作用。信息科技風險核心監(jiān)管指標可以分為兩類，一類是結果性指標，另一類是過程性指標。結果性指標是以目標為導向，對已經(jīng)發(fā)生的科技風險事件和信息安全事件進行統(tǒng)計后建立的量化指標，其反映的是風險狀況和發(fā)展趨勢。過程性指標主要反映銀行風險控制和管理能力。這樣兩類指標相互補充，起到全面評估機構風險水平的目的。

信息科技風險監(jiān)管具體目標包括業(yè)務連續(xù)性、信息安全、公眾滿意度以及合法合規(guī)。從信息科技風險監(jiān)管目標出發(fā)，可逐層分解出系統(tǒng)可利用率、業(yè)務量等指標，它們相對簡單、直觀、容易測算和計量，可以成為結果性指標。另外一類是過程性指標，這類指標基于當前銀行業(yè)信息科技管理最佳實踐，對信息科技的每個領域都能夠起關鍵控制作用。監(jiān)管指標一方面可以用來監(jiān)測銀行業(yè)整體風險狀況，評估銀行業(yè)風險水平，同時也可以與監(jiān)管手段相結合，提高信息科技風險監(jiān)管水平。

銀行業(yè)信息科技風險資本計量

信息科技風險是巴塞爾新資本協(xié)議全面風險計量框架中的組成部分，科技風險資本計量是科技風險管理的重要手段。

計量信息科技風險可以借鑒當前相對成熟的操作風險的計量方法。但是，直接用操作風險計量方法計量信息科技風險存在挑戰(zhàn)，主要表現(xiàn)如下：一是信息科技風險與總收入、業(yè)務交易量、客戶數(shù)或業(yè)務交易金額等指標的關聯(lián)并不密切；二是大部分信息科技風險的損失不是顯性的，除少數(shù)信息科技風險事件（如引發(fā)客戶索賠、延誤罰息）有“直接損失”外，大部分信息科技風險事件的影響體現(xiàn)為業(yè)務中斷、聲譽受損等“間接損失”；三是信息科技風險損失數(shù)據(jù)相對較少，極端嚴重事件的數(shù)據(jù)更少，計量 “尾部風險”面臨挑戰(zhàn)。

基于高級法的計量思路是在操作風險的統(tǒng)一計量框架下對信息科技風險這一類型單獨計量，可將信息風險損失定義為金額損失和時間損失兩個維度，建立時間與金額的轉換關系，擬合頻率分布和嚴重度分布，之后整合為總損失分布，根據(jù)置信度確定未來一定時期內的非預期損失，最后用內部衡量法進行調整得出計量結果。將科技風險持續(xù)時間轉換為間接損失金額有兩種方法，分別為解析法和映射法。解析法是考量信息系統(tǒng)對銀行利潤貢獻度，即某個信息系統(tǒng)單位時間對銀行產(chǎn)生的利潤，根據(jù)系統(tǒng)中斷時間、影響范圍、系統(tǒng)重要性進行計算，得出信息科技風險事件的間接損失。映射法是根據(jù)影響范圍和系統(tǒng)重要程度將影響時間加權計算轉化為“標準”的影響時間，然后建立標準影響時間與損失金額之間的映射關系，從而確定損失。

未來，隨著信息技術的飛速發(fā)展，銀行業(yè)對信息科技的依賴越來越大，云計算、物聯(lián)網(wǎng)等新技術既加快了銀行創(chuàng)新發(fā)展，對信息科技風險管理提出了更高的要求；快速變化的外部環(huán)境，開放的互聯(lián)網(wǎng)環(huán)境，技術類企業(yè)、第三方平臺等非金融機構與銀行業(yè)的業(yè)務服務不斷融合等，所有這些都使得信息科技風險管理與監(jiān)管面臨著更加現(xiàn)實的挑戰(zhàn)，需要我們不斷地思考和研究，提高信息科技風險管理能力。

（本文是中國金融四十人論壇內部課題《銀行業(yè)金融機構信息科技風險監(jiān)管研究》的報告簡本，課題得到中國金融四十人論壇立項資助并組織專家評審）