第一篇：第十四期法律知識(shí)點(diǎn)(信息科技、業(yè)務(wù)連續(xù)性、外包風(fēng)險(xiǎn)管理)[本站推薦]

法律法規(guī)知識(shí)點(diǎn)匯編

（第十四期）

目 錄

※商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引…………………1

※商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引……………………3

※銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引…………… 7

2014年9月24日

商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

※信息科技風(fēng)險(xiǎn)：是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。(第4條)多選題：信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于下列哪些情形產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)？（ABCD）

A.自然因素 B.人為因素 C.技術(shù)漏洞 D.管理缺陷 ※信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人：商業(yè)銀行法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本指引貫徹落實(shí)。（第6條）

判斷題：商業(yè)銀行董事會(huì)是信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人。（×）

※信息科技風(fēng)險(xiǎn)管理策略：商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域：(一)信息分級(jí)與保護(hù)。(二)信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)。(三)信息科技運(yùn)行和維護(hù)。(四)訪問(wèn)控制。(五)物理安全。(六)人員安全。(七)業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處臵。(第15條)多選題：商業(yè)銀行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于以下哪些領(lǐng)域？（ABCD）

A.信息分級(jí)與保護(hù) B.信息科技運(yùn)行和維護(hù) C.物理安全 D.業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處臵 ※崗位制約：商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開(kāi)發(fā)和維護(hù)

分離，確保信息科技部門(mén)內(nèi)部的崗位制約；對(duì)數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。(第41條)單選題：商業(yè)銀行應(yīng)將（A）分離，確保信息科技部門(mén)內(nèi)部的崗位制約；對(duì)數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。

A.信息科技運(yùn)行與系統(tǒng)開(kāi)發(fā)和維護(hù) B.系統(tǒng)管理和網(wǎng)絡(luò) C.數(shù)據(jù)庫(kù)管理系統(tǒng)和網(wǎng)絡(luò) D.硬件管理和軟件管理

※大規(guī)模系統(tǒng)開(kāi)發(fā)的部門(mén)參與：商業(yè)銀行在進(jìn)行大規(guī)模系統(tǒng)開(kāi)發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門(mén)和內(nèi)部審計(jì)部門(mén)參與，保證系統(tǒng)開(kāi)發(fā)符合本銀行信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。(第66條)單選題：商業(yè)銀行在進(jìn)行大規(guī)模系統(tǒng)開(kāi)發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門(mén)和(A)參與，保證系統(tǒng)開(kāi)發(fā)符合本銀行信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。

A.內(nèi)部審計(jì)部 B.財(cái)務(wù)部 C.業(yè)務(wù)部 D.監(jiān)察部

商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引

※業(yè)務(wù)連續(xù)性管理定義：是指商業(yè)銀行為有效應(yīng)對(duì)重要業(yè)務(wù)運(yùn)營(yíng)中斷事件，建設(shè)應(yīng)急響應(yīng)、恢復(fù)機(jī)制和管理能力框架，保障重要業(yè)務(wù)持續(xù)運(yùn)營(yíng)的一整套管理過(guò)程，包括策略、組織架構(gòu)、方法、標(biāo)準(zhǔn)和程序。（第2條）

※重要業(yè)務(wù)運(yùn)營(yíng)中斷事件：是指因下述原因?qū)е滦畔⑾到y(tǒng)服務(wù)異常、重要業(yè)務(wù)停止運(yùn)營(yíng)的事件。主要包括：(一)信息技術(shù)故障：信息系統(tǒng)技術(shù)故障、配套設(shè)施故障；(二)外部服務(wù)中斷：第三方無(wú)法合作或提供服務(wù)等；(三)人為破壞：黑客攻擊、恐怖襲擊等；(四)自然災(zāi)害：火災(zāi)、雷擊、海嘯、地震、重大疫情等。（第4條）

※業(yè)務(wù)連續(xù)性管理承擔(dān)最終責(zé)任：董(理)事會(huì)是商業(yè)銀行業(yè)務(wù)連續(xù)性生管理的決策機(jī)構(gòu)，對(duì)業(yè)務(wù)連續(xù)性管理承擔(dān)最終責(zé)任。（第10條）

※業(yè)務(wù)連續(xù)性管理的部門(mén)職責(zé)：商業(yè)銀行應(yīng)當(dāng)明確業(yè)務(wù)連續(xù)性管理執(zhí)行部門(mén)，包括業(yè)務(wù)條線部門(mén)與信息科技部門(mén)。業(yè)務(wù)條線部門(mén)負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析，確定重要業(yè)務(wù)恢復(fù)目標(biāo)和恢復(fù)策略，負(fù)責(zé)業(yè)務(wù)條線重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)；信息科技部門(mén)負(fù)責(zé)信息技術(shù)應(yīng)急響應(yīng)與恢復(fù)。(第14條)多選題：商業(yè)銀行應(yīng)當(dāng)明確業(yè)務(wù)連續(xù)性管理執(zhí)行部門(mén)，包括業(yè)務(wù)條線部門(mén)與信息科技部門(mén)。業(yè)務(wù)條線部門(mén)負(fù)責(zé)(ABCD)，負(fù)責(zé)業(yè)務(wù)條線重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)。

A.風(fēng)險(xiǎn)評(píng)估 B.業(yè)務(wù)影響分析

C.確定重要業(yè)務(wù)恢復(fù)目標(biāo)和策略 D.負(fù)責(zé)重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)

※重要業(yè)務(wù)恢復(fù)時(shí)間：原則上，重要業(yè)務(wù)恢復(fù)時(shí)間目標(biāo)不得大于4小時(shí)，重要業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)不得大于半小時(shí)。(第25條)單選題：根據(jù)業(yè)務(wù)連續(xù)性管理要求，原則上重要業(yè)務(wù)恢復(fù)時(shí)間目標(biāo)不得大于(A)。

A.4小時(shí) B.2小時(shí) C.1小時(shí) D.0.5小時(shí) ※業(yè)務(wù)連續(xù)性計(jì)劃演練頻率：商業(yè)銀行應(yīng)當(dāng)至少每三年對(duì)全部重要業(yè)務(wù)開(kāi)展一次業(yè)務(wù)連續(xù)性計(jì)劃演練。在重大業(yè)務(wù)活動(dòng)、重大社會(huì)活動(dòng)等關(guān)鍵時(shí)點(diǎn)，或在關(guān)鍵資源發(fā)生重大變化之前，也應(yīng)當(dāng)開(kāi)展業(yè)務(wù)連續(xù)性計(jì)劃的專(zhuān)項(xiàng)演練。（第49條）

單選題：商業(yè)銀行應(yīng)當(dāng)至少每（D）對(duì)全部重要業(yè)務(wù)開(kāi)展一次業(yè)務(wù)連續(xù)性計(jì)劃演練。

A.半年 B.一年 C.二年 D.三年 ※新產(chǎn)品開(kāi)發(fā)的業(yè)務(wù)連續(xù)性管理：商業(yè)銀行在開(kāi)發(fā)新業(yè)務(wù)產(chǎn)品時(shí)，應(yīng)當(dāng)同步考慮是否將其納入業(yè)務(wù)連續(xù)性管理范疇。對(duì)納入業(yè)務(wù)連續(xù)性管理的，應(yīng)當(dāng)在上線前制定業(yè)務(wù)連續(xù)性計(jì)劃并實(shí)施演練。(第56條)單選題：商業(yè)銀行在開(kāi)發(fā)新業(yè)務(wù)產(chǎn)品時(shí)，應(yīng)當(dāng)同步考慮是否將其納入業(yè)務(wù)連續(xù)性管理范疇。對(duì)納入業(yè)務(wù)連續(xù)性管理的，應(yīng)當(dāng)在(A)制定業(yè)務(wù)連續(xù)性計(jì)劃并實(shí)施演練。

A.上線前 B.上線中 C.上線后 D.維護(hù)時(shí) ※運(yùn)營(yíng)中斷事件分級(jí)（節(jié)選）：銀監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)銀行業(yè)運(yùn)營(yíng)中斷事件進(jìn)行分級(jí)。當(dāng)運(yùn)營(yíng)中斷事件同時(shí)滿足多個(gè)級(jí)別的定級(jí)條件時(shí)，按最高級(jí)別確定事件等級(jí)。(一)特別重大運(yùn)營(yíng)中斷事件(Ⅰ級(jí))1.重要信息系統(tǒng)服務(wù)中斷，或重要數(shù)據(jù)損毀、丟失、泄露，造成經(jīng)濟(jì)秩序混亂或重大經(jīng)濟(jì)損失等特別嚴(yán)重?fù)p害的事件； 2.在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致一個(gè)(含)以上省的多家金融機(jī)構(gòu)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)(含)以上的事件；

3．在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致單家金融機(jī)構(gòu)兩個(gè)(含)以上省業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)(含)以上，或一個(gè)省業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)6個(gè)小時(shí)(含)以上的事件；

4.業(yè)務(wù)服務(wù)時(shí)段以外，故障或事件救治未果、可能產(chǎn)生上述1至3類(lèi)事件的事件。

(二)重大運(yùn)營(yíng)中斷事件(Ⅱ級(jí))1.重要信息系統(tǒng)服務(wù)中斷，或重要數(shù)據(jù)損毀、丟失、泄露，對(duì)銀行或客戶利益造成嚴(yán)重?fù)p害的事件；

2.在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致一個(gè)(含)以上省的多家金融機(jī)構(gòu)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)半個(gè)小時(shí)(含)以上的事件；

3.在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致單家金融機(jī)構(gòu)兩個(gè)(含)以上省業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)半個(gè)小時(shí)(含)以上，或一個(gè)省業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)(含)以上的事件；

4.業(yè)務(wù)服務(wù)時(shí)段以外，故障或事件救治未果、可能產(chǎn)生上述

1至3類(lèi)事件的事件。

(三)較大運(yùn)營(yíng)中斷事件(Ⅲ級(jí))1.重要信息系統(tǒng)服務(wù)中斷，或重要數(shù)據(jù)損毀、丟失、泄露，對(duì)銀行或客戶利益造成較大損害的事件；

2.在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)半個(gè)小時(shí)(含)以上的事件；

3.業(yè)務(wù)服務(wù)時(shí)段以外，故障或事件救治未果、可能產(chǎn)生上述1至2類(lèi)事件的事件。(第79條)多選題：下列屬于銀行業(yè)特別重大運(yùn)營(yíng)中斷事件(Ⅰ級(jí))的是（ABCD）

A.重要信息系統(tǒng)服務(wù)中斷造成特別嚴(yán)重經(jīng)濟(jì)損失的。B.在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致一個(gè)(含)以上省的多家金融機(jī)構(gòu)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)(含)以上的。

C.在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致單家金融機(jī)構(gòu)兩個(gè)以上省業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)(含)以上。

D.在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致單家金融機(jī)構(gòu)一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)6個(gè)小時(shí)(含)以上的事件。

※運(yùn)營(yíng)中斷報(bào)告：按照屬地監(jiān)管原則，銀監(jiān)機(jī)構(gòu)在商業(yè)銀行運(yùn)營(yíng)中斷事件發(fā)生后2小時(shí)內(nèi)，將事件及處臵情況上報(bào)銀監(jiān)會(huì)處臵工作小組。（第80條）

判斷題：按照屬地監(jiān)管原則，銀監(jiān)機(jī)構(gòu)在商業(yè)銀行運(yùn)營(yíng)中斷事件發(fā)生后2小時(shí)內(nèi)，應(yīng)將事件及處臵情況上報(bào)銀監(jiān)會(huì)處臵工作小組。（√）

銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引

※適用范圍：外包是指銀行業(yè)金融機(jī)構(gòu)將原來(lái)由自身負(fù)責(zé)處理的某些業(yè)務(wù)活動(dòng)委托給服務(wù)提供商進(jìn)行持續(xù)處理的行為。(第3條)單選題：《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》中的外包指銀行業(yè)金融機(jī)構(gòu)將原來(lái)由自身負(fù)責(zé)處理的某些業(yè)務(wù)活動(dòng)委托給（B）進(jìn)行持續(xù)處理的行為。

A.服務(wù)制造商 B.服務(wù)提供商 C.服務(wù)銷(xiāo)售商 D.服務(wù)維修商 ※外包活動(dòng)的最終責(zé)任主體：銀行業(yè)金融機(jī)構(gòu)的董事會(huì)和高級(jí)管理層應(yīng)當(dāng)承擔(dān)外包活動(dòng)的最終責(zé)任。(第4條)單選題：銀行業(yè)金融機(jī)構(gòu)的董事會(huì)和（C）應(yīng)當(dāng)承擔(dān)外包活動(dòng)的最終責(zé)任。

A.社員代表大會(huì) B.監(jiān)事會(huì) C.高級(jí)管理層 D.外包管理團(tuán)隊(duì) ※關(guān)聯(lián)關(guān)系調(diào)查：銀行業(yè)金融機(jī)構(gòu)的外包活動(dòng)涉及多個(gè)服務(wù)提供商時(shí)，應(yīng)當(dāng)對(duì)這些服務(wù)提供商進(jìn)行關(guān)聯(lián)關(guān)系的調(diào)查。(第13條)。

單選題：銀行業(yè)金融機(jī)構(gòu)的外包活動(dòng)涉及多個(gè)服務(wù)提供商時(shí)，應(yīng)當(dāng)對(duì)這些服務(wù)提供商進(jìn)行（D）的調(diào)查。

A.管理能力 B.盈利能力 C.技術(shù)實(shí)力 D.關(guān)聯(lián)關(guān)系 ※不宜外包的職能：銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略管理、核心管理以及內(nèi)部審計(jì)等職能不宜外包。(第7條)

多選題：銀行業(yè)金融機(jī)構(gòu)下列哪些職能不宜外包（ABC）A.戰(zhàn)略管理 B.核心管理 C.內(nèi)部審計(jì) D.績(jī)效系統(tǒng) ※外包服務(wù)提供商承諾事項(xiàng)：銀行業(yè)金融機(jī)構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項(xiàng)：

（一）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；

（二）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；

（三）配合銀行業(yè)金融機(jī)構(gòu)接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；

（四）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，銀行業(yè)金融機(jī)構(gòu)有權(quán)隨時(shí)終止外包合同；

（五）不得以銀行業(yè)金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)；

（六）銀行業(yè)金融機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。（第16條）

多選題：銀行業(yè)金融機(jī)構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項(xiàng)（ABCD）

A.定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)

B.配合銀行業(yè)金融機(jī)構(gòu)接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查 C.保障客戶信息的安全性

D.不得以銀行業(yè)金融機(jī)構(gòu)的名義開(kāi)展活動(dòng)

※不得轉(zhuǎn)包：銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同中約定服務(wù)提供商不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包。（第18條）

判斷題：銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同中約定服務(wù)提供商不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包。（√）

第二篇：信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)交流

額敏縣農(nóng)村信用合作聯(lián)社

信息科技風(fēng)險(xiǎn)管理經(jīng)驗(yàn)交流

塔城地區(qū)銀監(jiān)分局：

根據(jù)塔城地區(qū)銀監(jiān)分局《關(guān)于召開(kāi)2011年塔城地區(qū)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理聯(lián)席會(huì)議的通知》要求，現(xiàn)將和額敏縣農(nóng)村信用合作聯(lián)社信息科技風(fēng)險(xiǎn)管理情況匯報(bào)如下：

一、信息科技風(fēng)險(xiǎn)管理基本情況

為提高安全管理意識(shí)，充分認(rèn)識(shí)信息科技風(fēng)險(xiǎn)管理工作的重要性，建立了一把手負(fù)責(zé)制，明確信息科技風(fēng)險(xiǎn)管理的職責(zé)權(quán)限，逐級(jí)落實(shí)信息科技管理責(zé)任，嚴(yán)格事故追究責(zé)任制。成立了以聯(lián)社理事長(zhǎng)為組長(zhǎng)、領(lǐng)導(dǎo)班子成員為副組長(zhǎng)、各相關(guān)部門(mén)及營(yíng)業(yè)網(wǎng)點(diǎn)主任為成員的信息科技工作領(lǐng)導(dǎo)小組，制定了信息科技應(yīng)急處置預(yù)案，明確了因信息科技風(fēng)險(xiǎn)導(dǎo)致?tīng)I(yíng)業(yè)網(wǎng)點(diǎn)發(fā)生業(yè)務(wù)故障時(shí)，聯(lián)社各相關(guān)部門(mén)需采取的措施和步驟，提高了對(duì)信息科技風(fēng)險(xiǎn)的預(yù)防和處置能力。

2009年10月，自治區(qū)聯(lián)社鑒于各縣級(jí)聯(lián)社信息科技風(fēng)險(xiǎn)管理技術(shù)力量薄弱，管控能力較差等情況，以地區(qū)為單位成立了科技分中心，對(duì)各聯(lián)社信息科技工作和部分重要設(shè)備統(tǒng)一進(jìn)行管理，并每季對(duì)網(wǎng)點(diǎn)進(jìn)行一次科技風(fēng)險(xiǎn)管理巡檢。

二、聯(lián)社信息科技應(yīng)用情況

（一）網(wǎng)絡(luò)情況。目前我社各網(wǎng)點(diǎn)均通過(guò)租用電信公司專(zhuān)線與直接與塔城地區(qū)科技分中心相聯(lián)，業(yè)務(wù)專(zhuān)線與因特網(wǎng)物理隔離，可以有效的防止了網(wǎng)絡(luò)不法分子對(duì)我社業(yè)務(wù)網(wǎng)絡(luò)

攻擊和破壞。對(duì)部分重要的網(wǎng)絡(luò)設(shè)備、參數(shù)（如網(wǎng)點(diǎn)路由器）由地區(qū)科技分中心進(jìn)行備份。

目前我社網(wǎng)點(diǎn)全部建立了電話線路備份，如網(wǎng)點(diǎn)專(zhuān)線出現(xiàn)故障，通過(guò)向地區(qū)科技分中心申請(qǐng)后，可以使用電話備份線路辦理業(yè)務(wù)。

（二）生產(chǎn)環(huán)境。為提高農(nóng)村信用社的業(yè)務(wù)發(fā)展，增強(qiáng)業(yè)務(wù)處理能力，自治區(qū)農(nóng)村信用社使用了數(shù)據(jù)集中模式，數(shù)據(jù)集中到自治區(qū)聯(lián)社科技中心。各項(xiàng)應(yīng)用系統(tǒng)的維護(hù)、數(shù)據(jù)備份等由自治區(qū)科技中心操作。

（三）科技管理。

我社所有電腦均安裝網(wǎng)絡(luò)版殺毒軟件，并及時(shí)進(jìn)行更新，防止病毒傳播和有害程序注入，保證了網(wǎng)點(diǎn)和機(jī)關(guān)各部門(mén)的電腦穩(wěn)定安全運(yùn)行。

三、存在的問(wèn)題

由于縣聯(lián)社沒(méi)有專(zhuān)職或兼職科技管理人員，對(duì)縣聯(lián)社的新業(yè)務(wù)軟件上線，軟硬件的日常維護(hù)，科技分中心距離縣聯(lián)社較遠(yuǎn)，技術(shù)支掙不是很方便。如網(wǎng)點(diǎn)線路關(guān)鍵設(shè)備發(fā)生故障，不能迅速排除故障，可能造成網(wǎng)點(diǎn)停業(yè)時(shí)間較長(zhǎng)。

今后我社將在自治區(qū)聯(lián)社的領(lǐng)導(dǎo)下，在地區(qū)銀監(jiān)局的正確監(jiān)管下，加強(qiáng)信息科技風(fēng)險(xiǎn)防范，努力提高信息科技防范工作力度，做好對(duì)敏感信息的保護(hù)和應(yīng)急能力建設(shè)，確保我社信息科技工作穩(wěn)定、安全發(fā)展。

額敏縣農(nóng)村信用合作聯(lián)社

二〇一一年四月二十六日

第三篇：第十三期法律知識(shí)點(diǎn)(風(fēng)險(xiǎn)核心、杠桿率、資本管理)

法律法規(guī)知識(shí)點(diǎn)匯編

（第十三期）

目 錄

※商業(yè)銀行資本管理辦法………………………… 1

※中國(guó)銀監(jiān)會(huì)關(guān)于中國(guó)銀行業(yè)實(shí)施新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)…………………………………………………5

※商業(yè)銀行風(fēng)險(xiǎn)監(jiān)管核心指標(biāo)（試行）……………7

※商業(yè)銀行杠桿率管理辦法……………………… 9

2014年9月19日

商業(yè)銀行資本管理辦法

※商業(yè)銀行資本抵御風(fēng)險(xiǎn)：商業(yè)銀行資本應(yīng)抵御其所面臨的風(fēng)險(xiǎn)，包括個(gè)體風(fēng)險(xiǎn)和系統(tǒng)性風(fēng)險(xiǎn)。（第3條）

多選題：商業(yè)銀行應(yīng)抵御其所面臨的風(fēng)險(xiǎn)，包括（AC）

A.個(gè)體風(fēng)險(xiǎn) B.區(qū)域風(fēng)險(xiǎn) C.系統(tǒng)性風(fēng)險(xiǎn) D.深度風(fēng)險(xiǎn)

※商業(yè)銀行總資本包括內(nèi)容： 商業(yè)銀行總資本包括核心一級(jí)資本、其它一級(jí)資本和二級(jí)資本。（第20條）

多選題：商業(yè)銀行總資本包括（ABC）

A.核心一級(jí)資本

B.其他一級(jí)資本

C.二級(jí)資本 D.核心二級(jí)資本

※商業(yè)銀行風(fēng)險(xiǎn)加權(quán)資產(chǎn)包括：信用風(fēng)險(xiǎn)加權(quán)資產(chǎn)、市場(chǎng)風(fēng)險(xiǎn)加權(quán)資產(chǎn)和操作風(fēng)險(xiǎn)加權(quán)資產(chǎn)。（第21條）

多選題：《商業(yè)銀行資本管理辦法（試行）》里商業(yè)銀行風(fēng)險(xiǎn)加權(quán)資產(chǎn)包括（BCD）

A.流動(dòng)性風(fēng)險(xiǎn)加權(quán)資產(chǎn) B.信用風(fēng)險(xiǎn)加權(quán)資產(chǎn)

C.市場(chǎng)風(fēng)險(xiǎn)加權(quán)資產(chǎn)

D.操作風(fēng)險(xiǎn)加權(quán)資產(chǎn) ※儲(chǔ)備資本：商業(yè)銀行應(yīng)當(dāng)在最低資本要求的基礎(chǔ)上計(jì)提儲(chǔ)備資本。儲(chǔ)備資本要求為風(fēng)險(xiǎn)加權(quán)資產(chǎn)的2.5%，由核心一級(jí)資本來(lái)滿足。（第24條）

單選題：商業(yè)銀行應(yīng)當(dāng)在（A）要求的基礎(chǔ)上計(jì)提儲(chǔ)備資本。

A.最低資本

B.儲(chǔ)備資本和逆周期資本

C.系統(tǒng)重要性銀行附加資本

D.核心資本

※核心一級(jí)資本包括：

（一）實(shí)收資本或普通股。

（二）資本公積。

（三）盈余公積。

（四）一般風(fēng)險(xiǎn)準(zhǔn)備。

（五）未分配利潤(rùn)。

（六）少數(shù)股東資本可計(jì)入部分。（第29條）

多選題：下列屬于核心一級(jí)資本的是（ABCD）

A.實(shí)收資本或普通股 B.資本公積

C.盈余公積 D.未分配利潤(rùn)

※二級(jí)資本包括（節(jié)選）：

（一）二級(jí)資本工具及溢價(jià)。

（二）超額貸款損失準(zhǔn)備。商業(yè)銀行采用權(quán)重法計(jì)量信用風(fēng)險(xiǎn)加權(quán)資產(chǎn)的，超額貸款損失準(zhǔn)備可計(jì)入二級(jí)資本，但不得超過(guò)信用風(fēng)險(xiǎn)加權(quán)資產(chǎn)的1.25%。

（三）少數(shù)股東資本可計(jì)入部分。（第31條）

單選題：商業(yè)銀行采用權(quán)重法計(jì)量信用風(fēng)險(xiǎn)加權(quán)資產(chǎn)的，超額貸款損失準(zhǔn)備可計(jì)入二級(jí)資本，但不得超過(guò)信用風(fēng)險(xiǎn)加權(quán)資產(chǎn)的（D）。

A.1% B.2.5%

C.0.6% D.1.25%

※核心一級(jí)資本扣除項(xiàng)：計(jì)算資本充足率時(shí)，商業(yè)銀行應(yīng)當(dāng)從核心一級(jí)資本中全額扣除以下項(xiàng)目：

（一）商譽(yù)。

（二）其它無(wú)形資產(chǎn)（土地使用權(quán)除外）。

（三）由經(jīng)營(yíng)虧損引起的凈遞延稅資產(chǎn)。

（四）貸款損失準(zhǔn)備缺口。（第32條）

多選題：計(jì)算資本充足率時(shí)，商業(yè)銀行應(yīng)當(dāng)從核心一級(jí)資本中全額扣除的項(xiàng)目包括：（ABCD）

A.商譽(yù)

B.其他無(wú)形資產(chǎn)（土地使用權(quán)除外）

C.由經(jīng)營(yíng)虧損引起的凈遞延稅資產(chǎn)

D.貸款損失準(zhǔn)備缺口

※對(duì)個(gè)人債權(quán)的風(fēng)險(xiǎn)權(quán)重：商業(yè)銀行對(duì)個(gè)人債權(quán)的風(fēng)險(xiǎn)權(quán)重。

（一）個(gè)人住房抵押貸款的風(fēng)險(xiǎn)權(quán)重為50%。

（二）對(duì)已抵押房產(chǎn)，在購(gòu)房人沒(méi)有全部歸還貸款前，商業(yè)銀行以再評(píng)估后的凈值為抵押追加貸款的，追加部分的風(fēng)險(xiǎn)權(quán)重為150%。

（三）對(duì)個(gè)人其它債權(quán)的風(fēng)險(xiǎn)權(quán)重為75%。（第65條）單選題：商業(yè)銀行對(duì)個(gè)人住房抵押貸款的風(fēng)險(xiǎn)權(quán)重為（B）

A.25% B.50% C.75% D.100%

※市場(chǎng)風(fēng)險(xiǎn)資本要求之和：市場(chǎng)風(fēng)險(xiǎn)資本要求為利率風(fēng)險(xiǎn)、匯率風(fēng)險(xiǎn)、商品風(fēng)險(xiǎn)、股票風(fēng)險(xiǎn)和期權(quán)風(fēng)險(xiǎn)的資本要求之和。（第90條）

多選題：按照標(biāo)準(zhǔn)法進(jìn)行計(jì)算，市場(chǎng)風(fēng)險(xiǎn)資本要求為（ABCD）風(fēng)險(xiǎn)的資本要求之和。

A.利率 B.匯率 C.商品 D.股票和期權(quán) ※三大風(fēng)險(xiǎn)計(jì)量方法（第46、85、95）1．信用風(fēng)險(xiǎn)：權(quán)重法、內(nèi)部評(píng)級(jí)法。2．市場(chǎng)風(fēng)險(xiǎn)：標(biāo)準(zhǔn)法、內(nèi)部模型法。

3．操作風(fēng)險(xiǎn)：基本指標(biāo)法、標(biāo)準(zhǔn)法、高級(jí)計(jì)量法。多選題：下列對(duì)三大風(fēng)險(xiǎn)計(jì)量方法敘述正確的是（ABCD）。A.商業(yè)銀行可以采用權(quán)重法或內(nèi)部評(píng)級(jí)法計(jì)量信用風(fēng)險(xiǎn)加

權(quán)資產(chǎn)。

B.商業(yè)銀行可以采用標(biāo)準(zhǔn)法或內(nèi)部模型法計(jì)量市場(chǎng)風(fēng)險(xiǎn)加權(quán)資本要求。

C.商業(yè)銀行可以采用基本指標(biāo)法、標(biāo)準(zhǔn)法或高級(jí)計(jì)量法計(jì)量操作風(fēng)險(xiǎn)加權(quán)資本要求。

D.未經(jīng)銀監(jiān)會(huì)核準(zhǔn)，商業(yè)銀行不得變更信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)及操作風(fēng)險(xiǎn)計(jì)量方法。

中國(guó)銀監(jiān)會(huì)關(guān)于中國(guó)銀行業(yè)實(shí)施

新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)

※資本充足率監(jiān)管要求：

（一）將監(jiān)管資本從現(xiàn)行的兩級(jí)分類(lèi)（一級(jí)資本和二級(jí)資本）修改為三級(jí)分類(lèi)（核心一級(jí)資本、其他一級(jí)資本和二級(jí)資本）。

（二）明確三個(gè)最低資本充足率要求，即核心一級(jí)資本充足率、一級(jí)資本充足率和資本充足率分別不低于5%、6%和8%。

（三）引入逆周期資本監(jiān)管框架,包括:2.5%的留存超額資本和0-2.5%的逆周期超額資本。

（四）增加系統(tǒng)重要性銀行的附加資本要求，暫定為1%。新標(biāo)準(zhǔn)實(shí)施后，正常條件下系統(tǒng)重要性銀行和非系統(tǒng)重要性銀行的資本充足率分別不低于11.5%和10.5%。

判斷題：根據(jù)新監(jiān)管標(biāo)準(zhǔn)要求，將監(jiān)管資本從現(xiàn)行的兩級(jí)分類(lèi)（一級(jí)資本和二級(jí)資本）修改為三級(jí)分類(lèi)（核心一級(jí)資本、其他一級(jí)資本和二級(jí)資本）。（√）

單選題：1.根據(jù)《中國(guó)銀行業(yè)實(shí)施新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)》規(guī)定，核心一級(jí)資本充足率不低于（B）

A.4% B.5% C.6% D.8% 2.根據(jù)《中國(guó)銀行業(yè)實(shí)施新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)》規(guī)定，一級(jí)資本充足率不低于（C）

A.4% B.5% C.6% D.8% 3.根據(jù)《中國(guó)銀行業(yè)實(shí)施新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)》規(guī)定，資本充足率分別不低于（D）

A.4% B.5% C.6% D.8% 4.根據(jù)《中國(guó)銀行業(yè)實(shí)施新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)》規(guī)定，新監(jiān)管標(biāo)準(zhǔn)實(shí)施后，正常條件下非系統(tǒng)重要性銀行的資本充足率分別不低于（D）

A.5% B.6.5% C.8% D.10.5% ※杠桿率指標(biāo)：即一級(jí)資本占調(diào)整后表內(nèi)外資產(chǎn)余額的比例不低于4%。

※流動(dòng)性覆蓋率、凈穩(wěn)定融資比例: 流動(dòng)性覆蓋率、凈穩(wěn)定融資比例均不得低于100%。銀行業(yè)金融機(jī)構(gòu)應(yīng)于2013年底和2016年底前分別達(dá)到流動(dòng)性覆蓋率和凈穩(wěn)定融資比例的監(jiān)管要求。

單選題：根據(jù)《中國(guó)銀行業(yè)實(shí)施新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)》規(guī)定，流動(dòng)性覆蓋率、凈穩(wěn)定融資比例均不得低于（C）

A.25% B.50% C.100% D.150% ※強(qiáng)化貸款損失準(zhǔn)備監(jiān)管：貸款撥備率（貸款損失準(zhǔn)備占貸款的比例）不低于2.5%，撥備覆蓋率（貸款損失準(zhǔn)備占不良貸款的比例）不低于150%，原則上按兩者孰高的方法確定銀行業(yè)金融機(jī)構(gòu)貸款損失準(zhǔn)備監(jiān)管要求。

單選題：根據(jù)《中國(guó)銀行業(yè)實(shí)施新監(jiān)管標(biāo)準(zhǔn)的指導(dǎo)意見(jiàn)》規(guī)定，貸款撥備率和撥備覆蓋率應(yīng)分別不低于（C）

A.2.5%，100% B.1.5% ,150% C.2.5%，150% D.1.5%，100%

商業(yè)銀行風(fēng)險(xiǎn)監(jiān)管核心指標(biāo)（試行）

※流動(dòng)性風(fēng)險(xiǎn)指標(biāo)：流動(dòng)性比例為流動(dòng)性資產(chǎn)余額與流動(dòng)性負(fù)債余額之比，衡量商業(yè)銀行流動(dòng)性的總體水平，不應(yīng)低于25%。

核心負(fù)債比例為核心負(fù)債與負(fù)債總額之比，不應(yīng)低于60%。（第8條）

單選題：核心負(fù)債比例為核心負(fù)債與負(fù)債總額之比，不應(yīng)低于？（B）

A.50% B.60% C.70% D.80% ※信用風(fēng)險(xiǎn)指標(biāo)（節(jié)選）：包括不良資產(chǎn)率、單一集團(tuán)客戶授信集中度、全部關(guān)聯(lián)度三類(lèi)指標(biāo)。

（一）不良資產(chǎn)率為不良資產(chǎn)與資產(chǎn)總額之比，不應(yīng)高于4%；不良貸款率為不良貸款與貸款總額之比，不應(yīng)高于5%。

（二）單一集團(tuán)客戶授信集中度為最大一家集團(tuán)客戶授信總額與資本凈額之比，不應(yīng)高于15%；單一客戶貸款集中度為最大一家客戶貸款總額與資本凈額之比，不應(yīng)高于10%。

（三）全部關(guān)聯(lián)度為全部關(guān)聯(lián)授信與資本凈額之比，不應(yīng)高于50%。（第9條）

單選題：1.單一集團(tuán)客戶授信集中度為最大一家集團(tuán)客戶授信總額與資本凈額之比，不應(yīng)高于（D）。

A.8% B.9% C.10% D.15% 2.單一客戶貸款集中度為最大一家客戶貸款總額與資本凈額之比，不應(yīng)高于（C）。

A.8% B.9% C.10% D.15% 3.全部關(guān)聯(lián)度為全部關(guān)聯(lián)授信與資本凈額之比，不應(yīng)高于（C）。

A.20% B.40% C.50% D.80% ※風(fēng)險(xiǎn)抵補(bǔ)類(lèi)指標(biāo)：衡量商業(yè)銀行抵補(bǔ)風(fēng)險(xiǎn)損失的能力，包括盈利能力、準(zhǔn)備金充足程度和資本充足程度三個(gè)方面。

（一）盈利能力指標(biāo)包括成本收入比、資產(chǎn)利潤(rùn)率和資本利潤(rùn)率。

（二）資產(chǎn)利潤(rùn)率為稅后凈利潤(rùn)與平均資產(chǎn)總額之比，不應(yīng)低于0.6%；

（三）資本利潤(rùn)率為稅后凈利潤(rùn)與平均凈資產(chǎn)之比，不應(yīng)低于11%。（第13條）

多選題：根據(jù)《商業(yè)銀行風(fēng)險(xiǎn)監(jiān)管核心指標(biāo)》（試行）的規(guī)定，盈利能力指標(biāo)包括：（ABC）

A.成本收入比 B.資產(chǎn)利潤(rùn)率 C.資本利潤(rùn)率 D.不良資產(chǎn)率

單選題：1.資產(chǎn)利潤(rùn)率為稅后凈利潤(rùn)與平均資產(chǎn)總額之比，不應(yīng)低于？（B）

A.0.5% B.0.6% C.0.7% D.0.8% 2.資本利潤(rùn)率為稅后凈利潤(rùn)與平均凈資產(chǎn)之比，不應(yīng)低于？（C）

A.9% B.10% C.11% D.12% ※商業(yè)銀行董事會(huì)職責(zé)：應(yīng)定期審查各項(xiàng)指標(biāo)的實(shí)際值，并督促管理層采取糾正措施。（第17條）

判斷題：商業(yè)銀行監(jiān)事會(huì)應(yīng)定期審查各項(xiàng)指標(biāo)的實(shí)際值，并

督促管理層采取糾正措施。答案（×）

商業(yè)銀行杠桿率管理辦法

※適用范圍：本辦法適用于在中華人民共和國(guó)境內(nèi)設(shè)立的商業(yè)銀行，包括中資銀行、外商獨(dú)資銀行和中外合資銀行。（第2條）

農(nóng)村信用社參照本辦法執(zhí)行。（第18條）

※商業(yè)銀行并表和未并表的杠桿率均不得低于4%。（第4條）

單選題：商業(yè)銀行并表和未并表的杠桿率均不得低于? 答案(C)A.8% B.5% C.4% D.10% ※商業(yè)銀行董事會(huì)責(zé)任：承擔(dān)杠桿率管理的最終責(zé)任，商業(yè)銀行高級(jí)管理層負(fù)責(zé)杠桿率管理的實(shí)施工作。(第13條)※達(dá)標(biāo)時(shí)間：銀監(jiān)會(huì)確定的系統(tǒng)重要性銀行應(yīng)當(dāng)于2013年底前達(dá)到最低杠桿率要求，非系統(tǒng)重要性銀行應(yīng)當(dāng)于2016年底前達(dá)到最低杠桿率要求。在過(guò)渡期內(nèi)，未達(dá)到最低杠桿率要求的銀行應(yīng)當(dāng)制定達(dá)標(biāo)規(guī)劃，并向銀監(jiān)會(huì)報(bào)告。（第19條）

第四篇：銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引

中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)

銀監(jiān)發(fā)[2013]5號(hào)

中國(guó)銀監(jiān)會(huì)關(guān)于印發(fā)銀行業(yè)金融機(jī)構(gòu)信息科技外

包風(fēng)險(xiǎn)監(jiān)管指引的通知

各銀監(jiān)局，各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行、金融資產(chǎn)管理公司，郵儲(chǔ)銀行，各省級(jí)農(nóng)村信用聯(lián)社，銀監(jiān)會(huì)直接監(jiān)管的信托公司、企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司：

現(xiàn)將《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》印發(fā)給你們，請(qǐng)遵照?qǐng)?zhí)行。

2013年2月16日

銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引

第一章 總則

第一條

為規(guī)范銀行業(yè)金融機(jī)構(gòu)的信息科技外包活動(dòng)，降低信息科技外包風(fēng)險(xiǎn)，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》等法律法規(guī)，制定本指引。

第二條

在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省（自治區(qū)）農(nóng)村信用社聯(lián)合社適用本指引。銀監(jiān)會(huì)監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。第三條

本指引所稱信息科技外包是指銀行業(yè)金融機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為，包含項(xiàng)目外包、人力資源外包等形式。原則上包括以下類(lèi)型：

（一）研發(fā)咨詢類(lèi)外包：科技管理及科技治理等咨詢?cè)O(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開(kāi)發(fā)、測(cè)試外包；

（二）系統(tǒng)運(yùn)行維護(hù)類(lèi)外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；

（三）業(yè)務(wù)外包中的信息科技活動(dòng)：市場(chǎng)拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處臵等外包中的系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。

第四條

本指引所稱關(guān)聯(lián)外包是指服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)的母公司或其所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)提供信息科技外包。

第五條

信息科技外包可能產(chǎn)生如下風(fēng)險(xiǎn)，并導(dǎo)致銀行業(yè)金融機(jī)構(gòu)的戰(zhàn)略、聲譽(yù)、合規(guī)風(fēng)險(xiǎn)：

（一）科技能力喪失：銀行業(yè)金融機(jī)構(gòu)過(guò)度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；

（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運(yùn)營(yíng)的外包服務(wù)無(wú)法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；

（三）信息泄露：包含客戶信息在內(nèi)的銀行業(yè)金融機(jī)構(gòu)非公開(kāi)數(shù)據(jù)被服務(wù)提供商非法獲得或泄露；

（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問(wèn)題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)水平下降。

第六條

本指引所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。

第七條

本指引所稱同業(yè)托管機(jī)構(gòu)是指作為外包服務(wù)提供商為其他同行業(yè)金融機(jī)構(gòu)提供信息科技外包服務(wù)的銀行業(yè)金融機(jī)構(gòu)。

第八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。

第九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包管理組織架構(gòu)，制定外包管理戰(zhàn)略，定期進(jìn)行外包風(fēng)險(xiǎn)評(píng)估，通過(guò)服務(wù)提供商準(zhǔn)入、評(píng)價(jià)、退出等手段建立及維護(hù)符合自身戰(zhàn)略目標(biāo)的供應(yīng)商關(guān)系管理策略。

第十條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：

（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；

（二）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；

（三）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；

（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì)，持續(xù)改進(jìn)外包策略和措施。

第十一條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施信息科技外包時(shí)，不得將信息科技管理責(zé)任外包。

第十二條

對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購(gòu)、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn)，按照本指引第五章要求進(jìn)行管理。

第二章 外包管理組織架構(gòu)

第十三條

銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險(xiǎn)管理的主管部門(mén)，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。

第十四條

信息科技外包風(fēng)險(xiǎn)主管部門(mén)的主要職責(zé)包括：

（一）對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示；

（二）監(jiān)督、評(píng)價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；

（三）向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)管理情況；

（四）董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。

第十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在信息科技管理部門(mén)或信息科技外包活動(dòng)執(zhí)行部門(mén)內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì)，并配備足夠人員履行以下職責(zé)：

（一）實(shí)施信息科技外包戰(zhàn)略；

（二）制定并執(zhí)行信息科技外包管理制度與流程；

（三）執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；

（四）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；

（五）對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門(mén)報(bào)告外包活動(dòng)情況。

第三章 信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理

第一節(jié) 信息科技外包戰(zhàn)略

第十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)以提升信息科技隊(duì)伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標(biāo)，基于信息科技戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略。

第十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)自身信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)及其他有關(guān)信息科技核心競(jìng)爭(zhēng)力的職能不得外包。第十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案，通過(guò)補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式，有針對(duì)性地獲取或提升管理及技術(shù)能力，降低對(duì)服務(wù)提供商的依賴。

第十九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立與自身規(guī)模、市場(chǎng)地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。通過(guò)準(zhǔn)入和退出機(jī)制合理管控各類(lèi)高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量，實(shí)現(xiàn)以下目標(biāo)：防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn)，通過(guò)引入適當(dāng)?shù)母?jìng)爭(zhēng)在降低采購(gòu)成本的同時(shí)提高服務(wù)質(zhì)量，合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。

第二十條

銀行業(yè)金融機(jī)構(gòu)可以按照外包服務(wù)性質(zhì)和重要性程度對(duì)服務(wù)提供商進(jìn)行分級(jí)管理，對(duì)不同級(jí)別的服務(wù)提供商采取差異化的管控措施，在有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本。

第二十一條

銀行業(yè)金融機(jī)構(gòu)要同母公司或集團(tuán)公司協(xié)同做好外包服務(wù)及服務(wù)提供商的管理工作，但應(yīng)當(dāng)保持關(guān)聯(lián)外包有關(guān)決策的獨(dú)立性，避免因關(guān)聯(lián)關(guān)系而降低外包活動(dòng)的風(fēng)險(xiǎn)控制水平。

第二節(jié) 信息科技外包風(fēng)險(xiǎn)管理

第二十二條

銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理部門(mén)應(yīng)當(dāng)至少每年開(kāi)展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估，保持評(píng)估的獨(dú)立性，并向高級(jí)管理層提交評(píng)估報(bào)告。評(píng)估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場(chǎng)變化對(duì)外包服務(wù)的影響分析等。

第二十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估，保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評(píng)估內(nèi)容包括：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。

第二十四條

銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門(mén)應(yīng)當(dāng)定期開(kāi)展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開(kāi)展專(zhuān)項(xiàng)審計(jì)。

第四章 信息科技外包管理

第一節(jié) 外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入

第二十五條

外包項(xiàng)目立項(xiàng)前，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，制定相應(yīng)的風(fēng)險(xiǎn)處臵措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高管層報(bào)告。

第二十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對(duì)備選服務(wù)提供商進(jìn)行初步篩選，防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商。

第二十七條

對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。

第二節(jié) 服務(wù)提供商盡職調(diào)查

第二十八條

對(duì)重要的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)在與其簽訂合同前應(yīng)當(dāng)深入開(kāi)展盡職調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。

第二十九條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等。

第三十條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等。

第三十一條

銀行業(yè)金融機(jī)構(gòu)在盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況，包括但不限于：從業(yè)時(shí)間、市場(chǎng)地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。

第三十二條

對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因關(guān)聯(lián)關(guān)系而降低對(duì)服務(wù)提供商的要求，應(yīng)當(dāng)在盡職調(diào)查階段詳細(xì)分析服務(wù)提供商技術(shù)、內(nèi)控和管理水平，確認(rèn)其有足夠能力實(shí)施外包

服務(wù)、處理突發(fā)事件等。

第三十三條

對(duì)于外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行管理。

第三節(jié) 外包服務(wù)合同及要求

第三十四條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施外包服務(wù)項(xiàng)目前，應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及盡職調(diào)查結(jié)果確定詳細(xì)程度和重點(diǎn)。

第三十五條

銀行業(yè)金融機(jī)構(gòu)在合同或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：

（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；

（二）合規(guī)與內(nèi)控要求，對(duì)法律法規(guī)及銀行業(yè)金融機(jī)構(gòu)內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施；

（三）服務(wù)連續(xù)性要求，服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性目標(biāo)要求；

（四）銀行業(yè)金融機(jī)構(gòu)監(jiān)控和檢查的權(quán)利、頻率，服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查，及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任；

（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過(guò)渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過(guò)渡安排，包括信息、資料和設(shè)施的交接處臵等過(guò)渡期間相關(guān)服務(wù)的安排；

（六）外包服務(wù)過(guò)程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；

（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)當(dāng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等；

（八）爭(zhēng)端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭(zhēng)端的解決機(jī)制；

（九）報(bào)告條款，至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。

第三十六條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確服務(wù)提供商在安全和保密方面的責(zé)任，以及針對(duì)安全及保密要求需采取的具體措施。包括但不限于：

（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行業(yè)金融機(jī)構(gòu)的信息，以防止信息被非授權(quán)使用；

（二）在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款；

（三）在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的銀行業(yè)金融機(jī)構(gòu)名義開(kāi)展活動(dòng)；

（四）服務(wù)提供商接觸銀行業(yè)金融機(jī)構(gòu)信息時(shí)，需滿足安全和保密相關(guān)條款的要求；

（五）在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類(lèi)突發(fā)事件時(shí)，服務(wù)提供商應(yīng)及時(shí)向銀行業(yè)金融機(jī)構(gòu)報(bào)告，包括事件的影響以及處臵

和糾正措施。

第三十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：

（一）不得將外包服務(wù)的主要業(yè)務(wù)分包；

（二）主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議；

（三）主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控，并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。

第四節(jié) 外包服務(wù)安全管理

第三十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。具體措施包括：

（一）對(duì)外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)管理意識(shí)，確保信息安全管控措施在外包服務(wù)過(guò)程中有效落實(shí)；

（二）明確外包活動(dòng)需要訪問(wèn)或使用的信息資產(chǎn)，包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問(wèn)控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問(wèn)授權(quán)；

（三）對(duì)重要或核心的信息系統(tǒng)開(kāi)發(fā)交付物進(jìn)行源代碼檢查和安全掃描；

（四）定期對(duì)服務(wù)提供商進(jìn)行安全檢查，獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。

第三十九條

銀行業(yè)金融機(jī)構(gòu)對(duì)關(guān)聯(lián)外包服務(wù)提供商定期進(jìn)行的安全檢查，不得以服務(wù)提供商的自評(píng)估替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性。

第四十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時(shí)完善信息安全管控體系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。

第五節(jié) 外包服務(wù)監(jiān)控與評(píng)價(jià)

第四十一條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控，要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類(lèi)異常情況。

第四十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo)，并進(jìn)行相應(yīng)監(jiān)控。常見(jiàn)指標(biāo)包括：

（一）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開(kāi)機(jī)率；

（二）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；

（三）服務(wù)的次數(shù)、客戶滿意度；

（四）各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率。

第四十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立明確的服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制,并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性，且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。

第四十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

第四十五條

銀行業(yè)金融機(jī)構(gòu)監(jiān)控到異常情況時(shí)，應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施，情節(jié)嚴(yán)重的或未及時(shí)糾正的，應(yīng)當(dāng)約談服務(wù)提供商高管人員并限期整改。

第四十六條

外包服務(wù)結(jié)束時(shí)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。

第四十七條

對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)董事會(huì)及高級(jí)管理層應(yīng)當(dāng)推動(dòng)母公司或所屬集團(tuán)將外包服務(wù)質(zhì)量納入對(duì)服務(wù)提供商的業(yè)績(jī)?cè)u(píng)價(jià)范圍，建立外包服務(wù)重大事件問(wèn)責(zé)機(jī)制。同時(shí)，應(yīng)當(dāng)要求服務(wù)提供商在其內(nèi)部建立與外包服務(wù)水平相關(guān)的績(jī)效考核機(jī)制。

第六節(jié) 外包服務(wù)中斷與終止

第四十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)考慮信息科技外包的引入對(duì)業(yè)務(wù)連續(xù)性管理的影響，有針對(duì)性地完善業(yè)務(wù)連續(xù)性管理計(jì)劃，包括但不限于：

（一）識(shí)別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源；

（二）通過(guò)合同、協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源；

（三）對(duì)服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控，并評(píng)價(jià)其管理水平；

（四）在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相關(guān)的服務(wù)提供商納入演練范圍。

第四十九條

為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：

（一）在外包服務(wù)實(shí)施過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；

（二）與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán)；

（三）要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；

（四）對(duì)于涉及重要業(yè)務(wù)的外包服務(wù)，銀行業(yè)金融機(jī)構(gòu)需考慮預(yù)先在其內(nèi)部配臵相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。

第五十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景，擬定相應(yīng)的應(yīng)急計(jì)劃，并定期進(jìn)行演練，考慮因素包括但不限于以下內(nèi)容：

（一）事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；

（二）事件持續(xù)時(shí)間和恢復(fù)可能性；

（三）事件影響范圍和可能的應(yīng)急措施；

（四）服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；

（五）備選的服務(wù)提供商以及外包服務(wù)遷移方案；

（六）外包服務(wù)過(guò)渡給銀行業(yè)金融機(jī)構(gòu)自行運(yùn)作的可能性、時(shí)效及資源需求。

第五十一條

對(duì)于無(wú)法滿足外包服務(wù)要求或發(fā)生重大事件的情況，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求服務(wù)提供商終止服務(wù)，情節(jié)特別嚴(yán)重的，可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出機(jī)制的落實(shí)。

第五章 機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理

第五十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比，服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場(chǎng)占比情況，識(shí)別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。同時(shí)，還應(yīng)識(shí)別服務(wù)提供商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)所產(chǎn)生的機(jī)構(gòu)集中度風(fēng)險(xiǎn)。

第五十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式，降低機(jī)構(gòu)集中度，減少對(duì)外包服務(wù)提供商的依賴。

第五十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù)，證明其內(nèi)部控制和管理能力、持續(xù)運(yùn)營(yíng)能力等。

第五十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為銀行業(yè)金融機(jī)構(gòu)配備相對(duì)獨(dú)立的資源，包括服務(wù)團(tuán)隊(duì)、場(chǎng)地、系統(tǒng)、設(shè)備等；并對(duì)資源進(jìn)行定期檢查，確保資源及時(shí)到位。

第五十六條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商在外包服務(wù)中斷應(yīng)急預(yù)案中，明確外包服務(wù)的優(yōu)先級(jí)，并進(jìn)行服務(wù)中斷應(yīng)急演練，服務(wù)提供商應(yīng)當(dāng)至少參與服務(wù)交接、敏感信息處臵等演練過(guò)程。

第五十七條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)特別加強(qiáng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、內(nèi)控、安全管理情況的持續(xù)監(jiān)控，建立信息收集機(jī)制，及時(shí)掌握風(fēng)險(xiǎn)事件情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對(duì)本機(jī)構(gòu)產(chǎn)生大面積影響。

第五十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商增強(qiáng)監(jiān)督頻率與力度，必要時(shí)可指派專(zhuān)人進(jìn)行現(xiàn)場(chǎng)監(jiān)督。

第五十九條

對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理。

第六章 跨境及非駐場(chǎng)外包管理

第一節(jié) 跨境外包風(fēng)險(xiǎn)管理

第六十條

跨境外包是指在境外其他國(guó)家或地區(qū)實(shí)施的信息科技外包服務(wù)活動(dòng)。

第六十一條

跨境外包除具有本指引前述風(fēng)險(xiǎn)外，還包括由于某一國(guó)家或地區(qū)經(jīng)濟(jì)、政治、社會(huì)變化及事件而產(chǎn)生的國(guó)別風(fēng)險(xiǎn)，及由于外包實(shí)施場(chǎng)地遠(yuǎn)離銀行業(yè)金融機(jī)構(gòu)而產(chǎn)生的非駐場(chǎng)風(fēng)險(xiǎn)。

第六十二條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)充分了解并持續(xù)監(jiān)控服務(wù)提供商所在國(guó)家或地區(qū)狀況，通過(guò)建立業(yè)務(wù)連續(xù)性計(jì)劃防范跨境外包所帶來(lái)的國(guó)別風(fēng)險(xiǎn)。

第六十三條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)關(guān)注國(guó)外法律法規(guī)、監(jiān)管要求對(duì)其獲取服務(wù)提供商外包管理信息可能造成的影響。實(shí)施跨境外包應(yīng)當(dāng)以不妨礙銀行業(yè)金融機(jī)構(gòu)有效履行外包服務(wù)監(jiān)控管理職能及監(jiān)管機(jī)構(gòu)延伸檢查為前提。

第六十四條

銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，應(yīng)當(dāng)明確其所在國(guó)家或地區(qū)監(jiān)管當(dāng)局已與銀監(jiān)會(huì)簽訂諒解備忘錄或雙方認(rèn)可的其他約定。

第六十五條

銀行業(yè)金融機(jī)構(gòu)在選擇跨境外包時(shí)，還應(yīng)當(dāng)充分審查評(píng)估服務(wù)提供商保護(hù)客戶信息的能力，并將其作為選擇服務(wù)提供商的重要指標(biāo)。涉及客戶信息的跨境外包，應(yīng)當(dāng)在符合監(jiān)管法規(guī)政策并獲得客戶授權(quán)的前提下開(kāi)展。

第六十六條

銀行業(yè)金融機(jī)構(gòu)在實(shí)施跨境外包時(shí)，其合同應(yīng)當(dāng)包括法律選擇和司法管轄權(quán)的約定，明確爭(zhēng)議解決時(shí)所適用的法律及司法管轄權(quán)，原則上應(yīng)當(dāng)要求服務(wù)提供商依照中國(guó)的法律解決糾紛。

第二節(jié) 非駐場(chǎng)外包風(fēng)險(xiǎn)管理

第六十七條

非駐場(chǎng)外包是指服務(wù)提供商不在銀行業(yè)金融機(jī)構(gòu)現(xiàn)場(chǎng)提供服務(wù)的外包形式。由于銀行業(yè)金融機(jī)構(gòu)不能對(duì)其內(nèi)部控制及風(fēng)險(xiǎn)管理措施進(jìn)行直接管控，應(yīng)當(dāng)在信息安全、知識(shí)產(chǎn)權(quán)保護(hù)、質(zhì)量監(jiān)控、法律合規(guī)等方面加強(qiáng)對(duì)服務(wù)提供商的風(fēng)險(xiǎn)管理。

第六十八條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)建立針對(duì)非駐場(chǎng)外包服務(wù)的內(nèi)部控制及風(fēng)險(xiǎn)管理要求的最低標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)應(yīng)當(dāng)作為選擇服務(wù)提供商的最低要求。

第六十九條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)對(duì)重要的非駐場(chǎng)外包服務(wù)進(jìn)行實(shí)地檢查。實(shí)地檢查原則上一年不少于一次，檢查結(jié)果作為外包服務(wù)提供商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)。

第七十條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對(duì)外包服務(wù)提供商非駐場(chǎng)外包服務(wù)內(nèi)部控制、質(zhì)量管理、信息安全的有效性評(píng)估，評(píng)估結(jié)果作為供應(yīng)商準(zhǔn)入的重要依據(jù)。對(duì)于高風(fēng)險(xiǎn)的服務(wù)提供商，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)責(zé)令其進(jìn)行限期整改，對(duì)于逾期未改的服務(wù)提供商應(yīng)當(dāng)暫?；蛉∠浞?wù)資格。

第七十一條

對(duì)于非駐場(chǎng)外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行業(yè)金融機(jī)構(gòu)可以參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理，但同業(yè)托管機(jī)構(gòu)須將為其他同行業(yè)金融機(jī)構(gòu)提供的信息科技外包服務(wù)視同自身信息科技服務(wù)的重要組成部分，不得區(qū)別對(duì)待，降低對(duì)自身提供外包服務(wù)的風(fēng)險(xiǎn)管控水平。

第七章 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求

第七十二條

銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù)，同時(shí)滿足下述條件，如其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷，造成經(jīng)濟(jì)損失的機(jī)構(gòu)，具體條件如下：

(一)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)；且上述服務(wù)均為非駐場(chǎng)外包服務(wù)。

(二)服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場(chǎng)份額的三分之一以上；或服務(wù)的跨區(qū)域經(jīng)營(yíng)法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上；或服務(wù)的其他類(lèi)型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。

第七十三條 銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示，按照如下要求進(jìn)行管理：

(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人實(shí)體，注冊(cè)資本和實(shí)收資本不少于1000萬(wàn)，注冊(cè)成立時(shí)間不少于3年。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)擁有健全的組織架構(gòu)，并針對(duì)所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu)，至少應(yīng)當(dāng)建立由公司高級(jí)管理層直接領(lǐng)導(dǎo)、針對(duì)銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專(zhuān)職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì)，為持續(xù)的外包服務(wù)提供保證。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行。

(四)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境，滿足外包服務(wù)的質(zhì)量和安全管理要求。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場(chǎng)地應(yīng)當(dāng)設(shè)臵在中國(guó)境內(nèi)。第七十四條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)要求銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證:(一)具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。

(二)具有完善的質(zhì)量管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。

(三)承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，其機(jī)房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達(dá)到國(guó)家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)。

(四)承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，應(yīng)當(dāng)具有完善的運(yùn)行服務(wù)管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。

第七十五條

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)在風(fēng)險(xiǎn)管理、審計(jì)方面對(duì)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)提出如下要求：

(一)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系，有效識(shí)別、監(jiān)測(cè)、評(píng)估和控制風(fēng)險(xiǎn)。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)至少每季度向所服務(wù)的銀行業(yè)金融機(jī)構(gòu)報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告，針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件，及時(shí)采取控制或緩釋措施。

(二)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)每年聘請(qǐng)獨(dú)立的審計(jì)機(jī)構(gòu),對(duì)自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估報(bào)告需報(bào)送所服務(wù)的銀行業(yè)金融機(jī)構(gòu)，并抄送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

(三)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過(guò)往無(wú)不良記錄，且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。

第八章 監(jiān)督管理

第七十六條

銀行業(yè)金融機(jī)構(gòu)開(kāi)展以下信息科技外包服務(wù)時(shí),應(yīng)當(dāng)在外包合同簽訂前二十個(gè)工作日向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告，針對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)，銀監(jiān)會(huì)及其派出機(jī)構(gòu)可以采取風(fēng)險(xiǎn)提示、約見(jiàn)談話、監(jiān)管質(zhì)詢等措施。

（一）信息科技工作整體外包；

（二）數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包；

（三）涉及將銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包；

（四）以非駐場(chǎng)形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包；

（五）關(guān)聯(lián)外包；

（六）涉及跨境的信息科技外包；

（七）其他銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。

第七十七條

銀行業(yè)金融機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生如下重大事件時(shí)，應(yīng)當(dāng)在兩個(gè)工作日內(nèi)向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。

（一）銀行業(yè)金融機(jī)構(gòu)客戶信息等敏感數(shù)據(jù)泄露；

（二）數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷；

（三）由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問(wèn)題，導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷;

（四）其他重大的服務(wù)提供商違法違規(guī)事件；

（五）銀監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。

第七十八條

銀行業(yè)金融機(jī)構(gòu)在開(kāi)展外包風(fēng)險(xiǎn)管理評(píng)估工作后，應(yīng)當(dāng)將風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

第七十九條

銀監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技外包工作進(jìn)行監(jiān)督和檢查，監(jiān)督檢查結(jié)果納入對(duì)銀行業(yè)金融機(jī)構(gòu)的監(jiān)管評(píng)級(jí)。

第八十條

對(duì)于風(fēng)險(xiǎn)較高的信息科技外包服務(wù)，銀監(jiān)會(huì)或其派出機(jī)構(gòu)可以要求銀行業(yè)金融機(jī)構(gòu)暫緩、中止該類(lèi)外包服務(wù)，直至銀行業(yè)金融機(jī)構(gòu)、外包服務(wù)提供商有效改正。

第八十一條

銀行業(yè)金融機(jī)構(gòu)違反本指引規(guī)定的，銀監(jiān)會(huì)或其派出機(jī)構(gòu)可要求其糾正或采取替代方案，并視情況予以問(wèn)責(zé)。因管理過(guò)失導(dǎo)致外包活動(dòng)嚴(yán)重危及銀行業(yè)金融機(jī)構(gòu)穩(wěn)健運(yùn)行、損害存款人和其他客戶合法權(quán)益的，依法追究銀行業(yè)金融機(jī)構(gòu)管理責(zé)任。

第八十二條

銀監(jiān)會(huì)實(shí)行銀行業(yè)信息科技外包服務(wù)活動(dòng)風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，定期對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)布銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)名單和風(fēng)險(xiǎn)提示，防范因高機(jī)構(gòu)集中度外包服務(wù)導(dǎo)致的系統(tǒng)性、區(qū)域性信息科技風(fēng)險(xiǎn)。第八十三條

銀監(jiān)會(huì)應(yīng)當(dāng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的銀行業(yè)金融機(jī)構(gòu)信息科技外包服務(wù)進(jìn)行重點(diǎn)風(fēng)險(xiǎn)監(jiān)測(cè)、評(píng)估，根據(jù)需要，可以要求銀行業(yè)金融機(jī)構(gòu)與重點(diǎn)外包服務(wù)機(jī)構(gòu)會(huì)談，就其外包服務(wù)活動(dòng)和風(fēng)險(xiǎn)的重大事項(xiàng)作出說(shuō)明。

第八十四條

銀監(jiān)會(huì)應(yīng)當(dāng)組織銀行業(yè)金融機(jī)構(gòu)實(shí)地核查銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)承擔(dān)的銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)，原則上每?jī)赡赀M(jìn)行一次，也可以委托其他第三方機(jī)構(gòu)審計(jì)的形式實(shí)施。

第八十五條

銀監(jiān)會(huì)可以根據(jù)銀行業(yè)金融機(jī)構(gòu)信息科技服務(wù)活動(dòng)風(fēng)險(xiǎn)評(píng)估和實(shí)地核查結(jié)果，對(duì)銀行業(yè)金融機(jī)構(gòu)發(fā)出監(jiān)管提示，要求其督促銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)問(wèn)題實(shí)施整改。

第八十六條

銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)配合銀行業(yè)金融機(jī)構(gòu)及銀監(jiān)會(huì)的風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地核查。

第八十七條

銀監(jiān)會(huì)組織相關(guān)銀行業(yè)金融機(jī)構(gòu)對(duì)銀行業(yè)信息科技外包服務(wù)提供商建立服務(wù)管理記錄，并對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)。

第八十八條

服務(wù)提供商在外包服務(wù)中存在以下情形的，銀監(jiān)會(huì)定期向銀行業(yè)發(fā)布服務(wù)提供商風(fēng)險(xiǎn)預(yù)警，公布機(jī)構(gòu)名單、服務(wù)信息等，要求銀行業(yè)金融機(jī)構(gòu)禁止相關(guān)服務(wù)提供商承擔(dān)銀行業(yè)信息科技外包服務(wù)，禁止期至少為兩年。外包服務(wù)提供商兩年內(nèi)仍未整改的，延長(zhǎng)其禁止期。

（一）違反國(guó)家法律、法規(guī)和監(jiān)管政策，情節(jié)嚴(yán)重的；

（二）竊取、泄露銀行業(yè)金融機(jī)構(gòu)敏感信息，情節(jié)嚴(yán)重的；

（三）因管理過(guò)失，多次發(fā)生重要信息系統(tǒng)服務(wù)中斷或數(shù)據(jù)損毀、丟失、泄露事件的；

（四）服務(wù)質(zhì)量低下并給多家銀行業(yè)金融機(jī)構(gòu)造成損失，多次提示仍未整改的；

（五）對(duì)風(fēng)險(xiǎn)監(jiān)測(cè)和實(shí)地檢查發(fā)現(xiàn)的問(wèn)題，逾期仍未整改的；

（六）存在其他違法違規(guī)行為，或發(fā)生其他重大信息科技風(fēng)險(xiǎn)事件的。

第八十九條

銀監(jiān)會(huì)負(fù)責(zé)監(jiān)督銀行業(yè)金融機(jī)構(gòu)對(duì)信息科技外包服務(wù)提供商實(shí)施準(zhǔn)入管理。對(duì)于存在重大風(fēng)險(xiǎn)的外包活動(dòng)，銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)立即評(píng)估外包的適當(dāng)性，對(duì)信息科技外包服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)預(yù)警提示，要求其進(jìn)行整改并設(shè)定期限；逾期未整改的，禁止其承擔(dān)信息科技外包服務(wù)。

第九章 附則

第九十條

本指引由銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第九十一條

本指引自公布之日起施行。

第五篇：建議關(guān)注信用卡催收外包業(yè)務(wù)的法律風(fēng)險(xiǎn)

建議關(guān)注信用卡催收外包業(yè)務(wù)的法律風(fēng)險(xiǎn)

隨著信用卡業(yè)務(wù)的普及，信用卡欠款總額也隨之上升，單憑銀行已經(jīng)難以完成信用卡債務(wù)的催收工作，因此，許多銀行出于加快信用卡逾期欠款回收、降低經(jīng)營(yíng)成本的考慮，將信用卡欠款的催收業(yè)務(wù)外包給一些第三方催收公司。這種做法雖然一定程度上減少了銀行成本壓力，加快了催收回款的速度，但從現(xiàn)有實(shí)踐看，催收外包業(yè)務(wù)一旦開(kāi)展不慎，將會(huì)對(duì)銀行聲譽(yù)、客戶利益，乃至于社會(huì)帶來(lái)很大的負(fù)面影響，各類(lèi)報(bào)刊對(duì)此類(lèi)問(wèn)題的報(bào)道也是屢見(jiàn)不鮮。因此，發(fā)卡銀行在開(kāi)展催收外包業(yè)務(wù)時(shí)一定要謹(jǐn)慎。結(jié)合目前的法律法規(guī)，建議各行在開(kāi)展催收外包業(yè)務(wù)時(shí)應(yīng)注意以下幾點(diǎn)：

一、催收外包公司的主體合法性。信用卡催收外包公司作為第三方機(jī)構(gòu)，是否擁有合法性一直引發(fā)社會(huì)的質(zhì)疑。國(guó)家有關(guān)部門(mén)對(duì)社會(huì)上的“討債公司”及“討債行為”曾頒布過(guò)禁止性文件，而第三方催收公司大多數(shù)是游離于法律法規(guī)之外的“討債公司”，既沒(méi)有國(guó)家頒發(fā)的經(jīng)營(yíng)許可牌照，又缺乏相關(guān)法律法規(guī)的約束與管理，這些都導(dǎo)致了此類(lèi)第三方催收公司承擔(dān)催收業(yè)務(wù)的非法性。因此，銀行在選擇催收外包公司時(shí)，應(yīng)注意選擇有催收外包業(yè)務(wù)經(jīng)營(yíng)資質(zhì)的第三方公司進(jìn)行合作。

二、委外催收授權(quán)的合法性。信用卡客戶透支后，銀行與客戶之間就形成了債權(quán)債務(wù)關(guān)系，銀行有權(quán)要求用戶還款。委托催收外包公司進(jìn)行催收，實(shí)際上是銀行將要求客戶還款的催收權(quán)利授權(quán)委托給催收公司，在此過(guò)程中，授權(quán)范圍是否明確，授權(quán)權(quán)限是否合法，催收公司催收手段是否合法，都將影響委外催收是否合法有效。授權(quán)不明、非法催收所帶來(lái)的法律后果將由銀行和催收外包公司共同承擔(dān)。從理論上講，催收外包公司所能行使的權(quán)利只能是提醒信用卡欠款客戶還款，無(wú)論是采用電話還是上門(mén)面談方式，都不能行使除提醒之外的任何手段進(jìn)行催收。因此，銀行在委托催收公司行使催收權(quán)利時(shí)，應(yīng)當(dāng)以書(shū)面授權(quán)或簽署協(xié)議的形式授權(quán)催收公司行使催收權(quán)利，明確催收的權(quán)利范圍，要求催收公司采取合法方式進(jìn)行催收。同時(shí)，加強(qiáng)對(duì)催收公司催收方式與手段的監(jiān)控，對(duì)催收公司采取諸如電話騷擾、威脅恐嚇、哄騙敲詐等非法手段進(jìn)行催收的，應(yīng)及時(shí)予以制止乃至終止授權(quán)。

三、客戶信息的保密義務(wù)。銀行授權(quán)催收外包公司進(jìn)行催收業(yè)務(wù)時(shí)需要提交相關(guān)客戶信息，例如姓名、身份證號(hào)碼、聯(lián)系電話及信用卡卡號(hào)等，這就存在客戶信息被泄露的風(fēng)險(xiǎn)。一旦不法催收外包公司利用銀行在發(fā)行信用卡環(huán)節(jié)的漏洞，盜用這些信息申請(qǐng)信用卡，或?qū)⒖蛻粜畔⑿孤督o第三人，就有可能使銀行承擔(dān)違反保密義務(wù)的違約責(zé)任，也可能給客戶造成嚴(yán)重的經(jīng)濟(jì)損失。因此，銀行在授權(quán)第三方公司進(jìn)行委外催收時(shí)，應(yīng)嚴(yán)格控制客戶信息的提供范圍，與催收外包公司明確各項(xiàng)保密義務(wù)及違約責(zé)任，避免因客戶信息泄露可能導(dǎo)致的各種法律后果。（福建行辦公室）