資源描述:
《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》由會員上傳分享�����,免費在線閱讀��,更多相關(guān)內(nèi)容在應用文檔-天天文庫��。
1����、中國銀行業(yè)監(jiān)督管理委員會銀監(jiān)發(fā)[2013]5號中國銀監(jiān)會關(guān)于印發(fā)銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引的通知各銀監(jiān)局,各政策性銀行�、國有商業(yè)銀行、股份制商業(yè)銀行����、金融資產(chǎn)管理公司,郵儲銀行�,各省級農(nóng)村信用聯(lián)社,銀監(jiān)會直接監(jiān)管的信托公司�����、企業(yè)集團財務公司、金融租賃公司:現(xiàn)將《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》印發(fā)給你們�,請遵照執(zhí)行。2013年2月16日銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引第一章總則第一條為規(guī)范銀行業(yè)金融機構(gòu)的信息科技外包活動���,降低信息科技外包風險����,根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)�����,制定本指引
2�����、�����。第二條在中華人民共和國境內(nèi)設(shè)立的政策性銀行��、商業(yè)銀行�����、農(nóng)村合作銀行���、省(自治區(qū))農(nóng)村信用社聯(lián)合社適用本指引���。銀監(jiān)會監(jiān)管的其他金融機構(gòu)參照本指引執(zhí)行���。第一條本指引所稱信息科技外包是指銀行業(yè)金融機構(gòu)將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為���,包含項目外包、人力資源外包等形式�。原則上包括以下類型:(一)研發(fā)咨詢類外包:科技管理及科技治理等咨詢設(shè)計外包,規(guī)劃�、需求����、系統(tǒng)開發(fā)、測試外包����;(二)系統(tǒng)運行維護類外包:包括數(shù)據(jù)中心(災備中心)、機房配套設(shè)施��、網(wǎng)絡(luò)����、系統(tǒng)的運維外包���,自助設(shè)備����、POS機等遠程終端及辦公設(shè)備的運維外包;(三)業(yè)務外包中的信息
3�、科技活動:市場拓展、業(yè)務操作����、企業(yè)管理�、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動��。第二條本指引所稱關(guān)聯(lián)外包是指服務提供商為銀行業(yè)金融機構(gòu)的母公司或其所屬集團子公司����、關(guān)聯(lián)公司或附屬機構(gòu)提供信息科技外包。第三條信息科技外包可能產(chǎn)生如下風險���,并導致銀行業(yè)金融機構(gòu)的戰(zhàn)略�����、聲譽��、合規(guī)風險:(一)科技能力喪失:銀行業(yè)金融機構(gòu)過度依賴外部資源導致失去科技控制及創(chuàng)新能力�����,影響業(yè)務創(chuàng)新與發(fā)展��;(二)業(yè)務中斷:支持業(yè)務運營的外包服務無法持續(xù)提供導致業(yè)務中斷�����;(三)信息泄露:包含客戶信息在內(nèi)的銀行業(yè)金融機構(gòu)非公開數(shù)據(jù)被服務提供商非法獲得或泄露�����;(一)服務水平下降:由于外
4����、包服務質(zhì)量問題或內(nèi)外部協(xié)作效率低下����,使得銀行業(yè)金融機構(gòu)信息科技服務水平下降。第一條本指引所稱機構(gòu)集中度風險是指銀行業(yè)金融機構(gòu)將信息科技外包服務集中交由少量服務提供商承接而產(chǎn)生的風險���,該風險可能造成集中性的服務中斷����、質(zhì)量下降�����、安全事件等�����。第二條本指引所稱同業(yè)托管機構(gòu)是指作為外包服務提供商為其他同行業(yè)金融機構(gòu)提供信息科技外包服務的銀行業(yè)金融機構(gòu)�����。第三條銀行業(yè)金融機構(gòu)應當將信息科技外包管理納入全面風險管理體系��,建立與本機構(gòu)信息科技戰(zhàn)略目標相適應的外包管理體系�,控制或降低由于外包而引發(fā)的風險����。第四條銀行業(yè)金融機構(gòu)應當建立信息科技外包管理組織架構(gòu),制定外包管理戰(zhàn)略�,定
5、期進行外包風險評估��,通過服務提供商準入、評價��、退出等手段建立及維護符合自身戰(zhàn)略目標的供應商關(guān)系管理策略���。第五條銀行業(yè)金融機構(gòu)在實施信息科技外包時應當堅持以下原則:(一)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導向����;(二)保持外包風險、成本和效益的平衡�;(三)強調(diào)外包風險的事前控制,保持管控力度����;(四)根據(jù)外包管理及技術(shù)發(fā)展趨勢,持續(xù)改進外包策略和措施�。第六條銀行業(yè)金融機構(gòu)在實施信息科技外包時,不得將信息科技管理責任外包�。第一條對于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購、維保���,及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務,銀行業(yè)金融機構(gòu)
6��、應當充分評估其信息科技風險���,按照本指引第五章要求進行管理。第一章外包管理組織架構(gòu)第二條銀行業(yè)金融機構(gòu)董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關(guān)職責,明確信息科技外包風險管理的主管部門���,制定并審批信息科技外包戰(zhàn)略����,審議信息科技外包管理流程及制度��,督促并監(jiān)控信息科技外包風險管理效果����。第三條信息科技外包風險主管部門的主要職責包括:(一)對外包風險進行識別、評估與風險提示�����;(二)監(jiān)督��、評價外包管理工作�,并督促外包風險管理的持續(xù)改善;(三)向高級管理層定期匯報信息科技外包活動相關(guān)風險管理情況�;(四)董事會或高級管理層確定的其他信息科技外包風險管理職責�����。第
7��、四條銀行業(yè)金融機構(gòu)應當在信息科技管理部門或信息科技外包活動執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團隊�����,并配備足夠人員履行以下職責:(一)實施信息科技外包戰(zhàn)略�;(二)制定并執(zhí)行信息科技外包管理制度與流程���;(三)執(zhí)行供應商準入、評價�、退出管理,建立并維護供應商關(guān)系管理策略����;(四)制定保障外包服務持續(xù)性的應急管理方案,并組織實施定期演練���;(五)對外包過程中的各項管理活動進行監(jiān)控及分析�,定期向信息科技及外包風險管理主管部門報告外包活動情況。第一章信息科技外包戰(zhàn)略及風險管理第一節(jié)信息科技外包戰(zhàn)略第一條銀行業(yè)金融機構(gòu)應當以提升信息科技隊伍能力���,提高科技管理及創(chuàng)新水平���,掌握信
8、息科技核心技能為目標����,基于信息科技戰(zhàn)略���、外包市場環(huán)境
