銀行外包風險控制矩陣模版

《銀行外包風險控制矩陣模版》由會員分享，可在線閱讀，更多相關《銀行外包風險控制矩陣模版（52頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、國家開發(fā)銀行IT外包專項審計風險與控制清單組組織織環(huán)環(huán)境境層層面面1 1ITIT外外包包組組織織環(huán)環(huán)境境管管理理1.1IT外包戰(zhàn)略及規(guī)劃1.2IT外包制度與流程1.3IT外包組織架構1.4IT外包風險管理1.5流程創(chuàng)新與改進1.6IT外包成熟度管理1.7IT外包外部監(jiān)管外外包包流流程程層層面面2 2ITIT外外包包采采購購管管理理3 3ITIT外外包包項項目目管管理理4 4交交付付管管理理5 5財財務務管管理理2.1準入管理3.1IT外包項目實施生命周期管理4.1IT外包項目驗收及交付質量管理5.1預算管理2.2采購需求管理3.2IT外包項目計劃4.2IT外包項目后評估管理2.3選擇與盡職調查

2、3.3IT外包項目審閱與監(jiān)控4.3IT供應商評價2.4合同與SLA簽訂操操作作管管理理層層面面6 6安安全全管管理理7 7日日常常管管理理8 8重重要要供供應應商商管管理理6.1物理安全7.1IT外包資產(chǎn)管理8.1高集中度供應商管理6.2數(shù)據(jù)安全7.2IT外包人員管理8.2行業(yè)重點供應商管理6.3邏輯訪問控制7.3供方管理8.3重要非駐場及跨境供應商管理6.4公共媒介安全7.4問題管理與根源分析6.5通訊及操作安全7.5服務連續(xù)性管理6.6業(yè)務連續(xù)性管理流流程程風風險險法法律律合合規(guī)規(guī)戰(zhàn)戰(zhàn)略略風風險險操操作作風風險險一一級級領領域域二二級級領領域域違違反反法法律律或或監(jiān)監(jiān)管管要要求求違違背背I

3、TIT戰(zhàn)戰(zhàn)略略信信息息泄泄露露IT外包組織環(huán)境管理IT外包戰(zhàn)略及規(guī)劃IT外包制度與流程IT外包組織架構IT外包風險管理流程創(chuàng)新與改進IT外包成熟度管理IT外包外部監(jiān)管IT外包采購管理準入管理采購需求管理選擇與盡職調查合同與SLA簽訂IT外包項目管理IT外包項目實施生命周期管理IT外包項目計劃IT外包項目審閱與監(jiān)控交付管理IT外包項目驗收及交付質量管理IT外包項目后評估管理IT供應商評價財務管理預算管理安全管理物理安全數(shù)據(jù)安全邏輯訪問控制公共媒介安全通訊及操作安全業(yè)務連續(xù)性管理日常管理IT外包資產(chǎn)管理IT外包人員管理供方管理問題管理與根源分析服務連續(xù)性管理重要供應商管理高集中度供應商管理行業(yè)重點

4、供應商管理重要非駐場及跨境供應商管理風風險險控控制制牽牽頭頭方方聲聲譽譽風風險險國國別別風風險險管管理理有有效效性性降降低低行行員員技技術術水水平平下下降降外外包包服服務務中中斷斷供供應應商商依依賴賴聲聲譽譽損損失失國國別別風風險險外外包包管管理理室室/運運行行調調度度室室風風險險操操作作風風險險安安全全內內控控室室安安全全管管理理室室綜綜合合管管理理室室預預算算管管理理相相關關部部室室項項目目實實施施團團隊隊風風險險控控制制牽牽頭頭方方銀銀行行業(yè)業(yè)金金融融機機構構信信息息科科技技外外包包風風險險管管理理指指引引風風險險控控制制矩矩陣陣中中的的相相應應控控制制條條款款編編號號內內容容第第一一章

5、章 總總則則第一條 為規(guī)范銀行業(yè)金融機構的信息科技外包活動，降低信息科技外包風險，根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、中華人民共和國商業(yè)銀行法等法律法規(guī)，制定本指引。不適用不適用第二條 在中華人民共和國境內設立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、?。ㄗ灾螀^(qū)）農(nóng)村信用社聯(lián)合社適用本指引。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機構參照本指引執(zhí)行。不適用不適用第三條 本指引所稱信息科技外包是指銀行業(yè)金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資源外包等形式，原則上包括以下類型：不適用不適用（一）研發(fā)咨詢類外包：科技管理及科技治理

6、等咨詢設計外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包；不適用不適用（二）系統(tǒng)運行維護類外包：包括數(shù)據(jù)中心（災備中心）、機房配套設施、網(wǎng)絡、系統(tǒng)的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包；不適用不適用（三）業(yè)務外包中的信息科技活動：市場拓展、業(yè)務操作、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動。不適用不適用第四條 本指引所稱關聯(lián)外包是指服務提供商為銀行業(yè)金融機構的母公司或其所屬集團子公司、關聯(lián)公司或附屬機構信息科技外包。不適用不適用第五條 信息科技的外包可能產(chǎn)生如下風險，并導致銀行業(yè)金融機構的戰(zhàn)略、聲譽、合規(guī)風險：不適用不適用（一）科技能力喪失：銀行業(yè)金融機構過度依

7、賴外部資源導致失去科技控制及創(chuàng)新能力，影響業(yè)務創(chuàng)新與發(fā)展；不適用不適用（二）業(yè)務中斷：支持業(yè)務運營的外包服務無法持續(xù)提供導致業(yè)務中斷；不適用不適用（三）信息泄露：包含客戶信息在內的銀行業(yè)金融機構非公開數(shù)據(jù)被服務提供商非法獲得或泄露；不適用不適用（四）服務水平下降：由于外包服務質量問題或內外部協(xié)作效率低下，使得銀行業(yè)金融機構信息科技服務水平下降。不適用不適用第六條 本指引所稱機構集中度風險是指銀行業(yè)金融機構將信息科技外包服務集中交由少量服務提供商承接而產(chǎn)生的風險，該風險可能造成集中性的服務中斷、質量下降、安全事件等。不適用不適用第七條 本指引所稱同業(yè)托管機構是指作為外包服務提供商為其他同行業(yè)金融

8、機構提供信息科技外包服務的銀行業(yè)金融機構。不適用不適用第八條 銀行業(yè)金融機構應當將信息科技外包管理納入全面風險管理體系，建立與本機構信息科技戰(zhàn)略目標相適應的外包管理體系，控制或降低由于外包而引發(fā)的風險。1.1.1.1應建立明確的IT外包管理戰(zhàn)略，將外包管理納入全面風險管理體系第九條 銀行業(yè)金融機構應當建立信息科技外包管理組織架構，制定外包管理戰(zhàn)略，定期進行外包風險評估，通過服務提供商準入、評價、退出等手段建立及維護符合其戰(zhàn)略目標的供應商關系管理策略。對照風險控制模型對照風險控制模型第十條 銀行業(yè)金融機構在實施信息科技外包時應當堅持以下原則：1.1.1.3IT外包戰(zhàn)略的制定應包括如下內容：（1）

9、建立選擇和實施戰(zhàn)略的方針，確定指導外包行為的總則（2）建立外包戰(zhàn)略長期目標和短期目標-盈利能力、財力資源、產(chǎn)品、研究與創(chuàng)新、組織結構與活動等（3）決定用以實現(xiàn)外包目標的戰(zhàn)略，明確外包管理原則，確保風險、成本和效益的平衡，明確外包邊界，掌握核心技術的發(fā)展趨勢（一）以不妨礙核心能力建設、積極掌握關鍵技術為導向；1.1.1.3IT外包戰(zhàn)略的制定應包括如下內容：（1）建立選擇和實施戰(zhàn)略的方針，確定指導外包行為的總則（2）建立外包戰(zhàn)略長期目標和短期目標-盈利能力、財力資源、產(chǎn)品、研究與創(chuàng)新、組織結構與活動等（3）決定用以實現(xiàn)外包目標的戰(zhàn)略，明確外包管理原則，確保風險、成本和效益的平衡，明確外包邊界，掌握

10、核心技術的發(fā)展趨勢（二）保持外包風險、成本和效益的平衡；1.1.1.3IT外包戰(zhàn)略的制定應包括如下內容：（1）建立選擇和實施戰(zhàn)略的方針，確定指導外包行為的總則（2）建立外包戰(zhàn)略長期目標和短期目標-盈利能力、財力資源、產(chǎn)品、研究與創(chuàng)新、組織結構與活動等（3）決定用以實現(xiàn)外包目標的戰(zhàn)略，明確外包管理原則，確保風險、成本和效益的平衡，明確外包邊界，掌握核心技術的發(fā)展趨勢（三）強調外包風險的事前控制，保持管控力度；1.1.1.3IT外包戰(zhàn)略的制定應包括如下內容：（1）建立選擇和實施戰(zhàn)略的方針，確定指導外包行為的總則（2）建立外包戰(zhàn)略長期目標和短期目標-盈利能力、財力資源、產(chǎn)品、研究與創(chuàng)新、組織結構與活

11、動等（3）決定用以實現(xiàn)外包目標的戰(zhàn)略，明確外包管理原則，確保風險、成本和效益的平衡，明確外包邊界，掌握核心技術的發(fā)展趨勢（四）根據(jù)外包管理及技術發(fā)展趨勢，持續(xù)改進外包策略和措施。1.1.1.3IT外包戰(zhàn)略的制定應包括如下內容：（1）建立選擇和實施戰(zhàn)略的方針，確定指導外包行為的總則（2）建立外包戰(zhàn)略長期目標和短期目標-盈利能力、財力資源、產(chǎn)品、研究與創(chuàng)新、組織結構與活動等（3）決定用以實現(xiàn)外包目標的戰(zhàn)略，明確外包管理原則，確保風險、成本和效益的平衡，明確外包邊界，掌握核心技術的發(fā)展趨勢第十一條 銀行業(yè)金融機構在實施信息科技外包時，不得將其信息科技管理責任外包。1.1.1.4應在外包戰(zhàn)略中明確外包

12、邊界，不將信息科技管理責任外包第十二條 對于不涉及銀行客戶及內部信息轉移的信息科技產(chǎn)品采購、維保，及通訊線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎設施服務，銀行業(yè)金融機構應當充分評估其信息科技風險，按照本指引第五章要求進行管理。8.1高集中度供應商管理第第二二章章 外外包包管管理理組組織織架架構構第十三條 銀行業(yè)金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責,明確信息科技外包風險管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風險管理效果。1.3.1.1應建立相應制度，對IT外包管理組織進行規(guī)定，包括但不限于如下內容：

13、1.IT外包管理架構2.管理角色與具體職責分工3.性能審閱后采取的行動的監(jiān)控4.與管理層針對IT外包管理的溝通和時間升級方式5.架構變更流程第十四條 信息科技外包風險主管部門的主要職責包括：1.3.1.3信息科技外包風險主管部門的主要職責包括對外包風險進行識別、評估、處置、監(jiān)控和報告（一）對外包風險進行識別、評估與風險提示；1.3.1.3信息科技外包風險主管部門的主要職責包括對外包風險進行識別、評估、處置、監(jiān)控和報告（二）監(jiān)督、評價外包管理工作，并督促外包風險管理的持續(xù)改善；1.3.1.3信息科技外包風險主管部門的主要職責包括對外包風險進行識別、評估、處置、監(jiān)控和報告（三）向高級管理層定期匯報

14、信息科技外包活動開展相關風險管理情況；1.3.1.3信息科技外包風險主管部門的主要職責包括對外包風險進行識別、評估、處置、監(jiān)控和報告（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。1.3.1.3信息科技外包風險主管部門的主要職責包括對外包風險進行識別、評估、處置、監(jiān)控和報告第十五條 銀行業(yè)金融機構應當在信息科技管理部門或信息科技外包活動執(zhí)行部門內建立信息科技外包管理執(zhí)行團隊，并配備足夠人員履行以下職責：1.3.1.1應建立外包管理部門，對IT外包管理組織進行規(guī)定，包括但不限于如下內容：1.IT外包管理架構2.管理角色與具體職責分工3.性能審閱后采取的行動的監(jiān)控4.與管理層針對IT外

15、包管理的溝通和時間升級方式5.架構變更流程（一）實施信息科技外包戰(zhàn)略；1.1.1.1應建立明確的IT外包管理戰(zhàn)略，將外包管理納入全面風險管理體系（二）制定并執(zhí)行信息科技外包管理制度與流程；1.2.2.1應建立正式的制度，包括但不限于如下內容：1.針對新流程的指引 -審閱與批準規(guī)則 -溝通與發(fā)布規(guī)則2.針對已有流程的維護的指引 -變更管理規(guī)則 -定制及客戶化流程（根據(jù)項目種類不同）3.針對流程中生成物的保管及相應的訪問控制機制的指引（三）執(zhí)行供應商準入、評價、退出管理，建立并維護供應商關系管理策略；247.3IT外包采購管理交付管理供方管理（四）制定保障外包服務持續(xù)性的應急管理方案，并組織實施定

16、期演練；7.5服務連續(xù)性管理（五）對外包過程中的各項管理活動進行監(jiān)控及分析，定期向信息科技及外包風險管理的主管部門報告外包活動情況。3.3IT外包項目審閱與監(jiān)控第第三三章章 信信息息科科技技外外包包戰(zhàn)戰(zhàn)略略及及風風險險管管理理第第一一節(jié)節(jié) 信信息息科科技技外外包包戰(zhàn)戰(zhàn)略略第十六條 銀行業(yè)金融機構應當以提升信息科技隊伍能力，提高科技管理及創(chuàng)新水平，掌握信息科技核心技能為目標?；谛畔⒖萍紤?zhàn)略、外包市場環(huán)境、自身風險控制能力和風險偏好制定信息科技外包戰(zhàn)略，包括：不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。1.1.1.1應建立明確的IT外包管理戰(zhàn)略第十七條 銀行業(yè)金融機構

17、應當根據(jù)自身的信息科技戰(zhàn)略明確不能外包的職能。涉及戰(zhàn)略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不得外包。1.1.1.4應在外包戰(zhàn)略中明確外包邊界，不將信息科技管理責任外包第十八條 銀行業(yè)金融機構應當根據(jù)外包戰(zhàn)略制定資源、能力建設方案，通過補充人員、提升技能、知識轉移等方式，有針對性地獲取或提升管理及技術能力，降低對服務提供商的依賴。1.1.1.3IT外包戰(zhàn)略的制定應包括如下內容：（1）建立選擇和實施戰(zhàn)略的方針，確定指導外包行為的總則（2）建立外包戰(zhàn)略長期目標和短期目標-盈利能力、財力資源、產(chǎn)品、研究與創(chuàng)新、組織結構與活動等（3）決定用以實現(xiàn)外包目標的戰(zhàn)略，明確外包管理原則，確

18、保風險、成本和效益的平衡，掌握核心技術的發(fā)展趨勢（4）加強自身能力建設，降低對供應商的依賴第十九條 銀行業(yè)金融機構應當建立與自身規(guī)模、市場地位相適應的供應商關系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數(shù)量，實現(xiàn)以下目標：防范行業(yè)壟斷和機構集中度風險，通過引入適當?shù)母偁幵诮档筒少彸杀镜耐瑫r提高服務質量，合理管控服務提供商的數(shù)量從而降低風險及管理成本等。7.3.1.1應建立供應商關系管理策略，明確角色與職責，對不同關系的供應商進行有重點的管控，降低管理成本，加強風險管控第二十條 銀行業(yè)金融機構可按照外包服務性質和重要性程度對服務提供商進行分級管理，對不同級別的服務提供商采取差異化

19、的管控措施，在有效管理重要風險的前提下降低管理成本。7.3.1.12應針對不同關系的供應商建立不同的應用實例，區(qū)分風險管控力度和方法，從而提高管理效率第二十一條 銀行業(yè)金融機構要同母公司或集團公司協(xié)同做好外包服務及服務提供商的管理工作，但應當保持管理外包有關決策的獨立性，避免因關聯(lián)關系而降低外包活動的風險控制水平。1.1.1.5應在外包戰(zhàn)略中考慮分行及子公司的相關外包，制定整體戰(zhàn)略，保持分行及子公司管理外包有關決策的獨立性，避免因關聯(lián)關系而降低外包活動的風險控制水平第第二二節(jié)節(jié) 信信息息科科技技外外包包風風險險管管理理第二十二條 銀行業(yè)金融機構信息科技外包風險主管部門應當至少每年開展一次全面的

20、外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告。評估內容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機構集中度、服務連續(xù)性、服務質量、政策及市場變化對外包服務的影響分析等。1.4.1.11應當至少每年開展一次全面的外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告第二十三條 銀行業(yè)金融機構應當對重要的外包服務提供商進行定期風險評估，保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括：服務提供商合規(guī)情況、服務的執(zhí)行效果等，評估結果應當作為服務提供商準入及退出的重要依據(jù)。1.4.1.10定期審閱供應商的風險控制矩陣，對重要的外包服務提供商進行定期風險

21、評估，三年內覆蓋所有供應商第二十四條 銀行業(yè)金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發(fā)生外包風險事件后應及時開展專項審計。1.4.1.12內部審計部門應當定期開展信息科技外包風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發(fā)生外包風險事件后應及時開展專項審計第第四四章章 信信息息科科技技外外包包管管理理第第一一節(jié)節(jié) 外外包包風風險險評評估估及及準準入入第二十五條 外包項目立項前，銀行業(yè)金融機構應當審慎檢查項目與信息科技外包戰(zhàn)略的一致性，根據(jù)項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處置措施，

22、不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。2.3.1.1 外包項目立項前，應當審慎檢查項目與信息科技外包戰(zhàn)略的一致性，根據(jù)項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處置措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。第二十六條 銀行業(yè)金融機構應當根據(jù)供應商關系管理策略，結合風險評估結果及服務提供商的準入標準，對備選服務提供商進行初步篩選，防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。2.1準入管理第二十七條 對于外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行管理

23、。2.1.1.4同業(yè)托管供應商準入管理與其他供應商保持一致第第二二節(jié)節(jié) 服服務務提提供供商商盡盡職職調調查查第二十八條 對重要的服務提供商，銀行業(yè)金融機構在與其簽訂合同前應當深入開展盡職調查，必要時可聘請第三方機構協(xié)助調查。2.3.5.1應對重要供應商進行背景調查，必要時可聘請第三方機構協(xié)助調查；如果有需要，確定對特殊業(yè)務涉及的外包人員進行了額外的背景調查；在盡職調查時應當關注供應商的技術和行業(yè)經(jīng)驗、內部控制和管理能力、持續(xù)經(jīng)營狀況第二十九條 銀行業(yè)金融機構在盡職調查時應當關注服務提供商的技術和行業(yè)經(jīng)驗，包括但不限于：服務能力和支持技術、服務經(jīng)驗、服務人員技能、市場評價、監(jiān)管評價等。2.3.5

24、.1應對重要供應商進行背景調查，必要時可聘請第三方機構協(xié)助調查；如果有需要，確定對特殊業(yè)務涉及的外包人員進行了額外的背景調查；在盡職調查時應當關注供應商的技術和行業(yè)經(jīng)驗、內部控制和管理能力、持續(xù)經(jīng)營狀況第三十條 銀行業(yè)金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力，包括但不限于：內部控制機制和管理流程的完善程度、內部控制技術和工具等。2.3.5.1應對重要供應商進行背景調查，必要時可聘請第三方機構協(xié)助調查；如果有需要，確定對特殊業(yè)務涉及的外包人員進行了額外的背景調查；在盡職調查時應當關注供應商的技術和行業(yè)經(jīng)驗、內部控制和管理能力、持續(xù)經(jīng)營狀況第三十一條 銀行業(yè)金融機構在盡職調查時應

25、當關注服務提供商的持續(xù)經(jīng)營狀況，包括但不限于：從業(yè)時間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。2.3.5.1應對重要供應商進行背景調查，必要時可聘請第三方機構協(xié)助調查；如果有需要，確定對特殊業(yè)務涉及的外包人員進行了額外的背景調查；在盡職調查時應當關注供應商的技術和行業(yè)經(jīng)驗、內部控制和管理能力、持續(xù)經(jīng)營狀況第三十二條 對于關聯(lián)外包，銀行業(yè)金融機構不得因關聯(lián)關系而降低對服務提供商的要求，應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平，確認其有足夠能力實施外包服務、處理突發(fā)事件等。2.3.5.2對于關聯(lián)外包，不得因關聯(lián)關系而降低對供應商的要求，應當在盡職調查階段詳細分析服務提供

26、商技術、內控和管理水平，確認其有足夠能力實施外包服務、處理突發(fā)事件等第三十三條 對于外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行管理。2.3.5.2對于關聯(lián)外包或同業(yè)托管，不得因關聯(lián)關系而降低對供應商的要求，應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平，確認其有足夠能力實施外包服務、處理突發(fā)事件等第第三三節(jié)節(jié) 外外包包服服務務合合同同及及要要求求第三十四條 銀行業(yè)金融機構在實施外包服務項目前，應當與服務提供商簽訂服務合同。合同應當根據(jù)外包服務需求、風險評估及盡職調查結果確定其詳細程度和重點。2.4.1.1應建立簽訂合同及定期審閱逾期合同、續(xù)期合同、補充合

27、同，并上報給管理層的管理機制第三十五條 銀行業(yè)金融機構在合同或協(xié)議中應當明確以下內容，包括但不限于：2.4合同與SLA簽訂（一）服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續(xù)合作中的相關限定條件；2.4.2.2合同主文件中應包含如下基本內容：（1）外包服務的范圍和標準；（2）外包服務的保密性和安全性的安排；（3）外包服務的業(yè)務連續(xù)性的安排；（4）外包服務的審計和檢查；（5）外包爭端的解決機制；（6）合同或協(xié)議變更或終止的過渡安排；（7）違約責任；（8）對于具有專業(yè)技術性的外包活動，可簽訂服務水平協(xié)議。（二）合規(guī)與內控要求，對法律法規(guī)及銀行業(yè)金融機構內部管理制度的遵從要求、監(jiān)管

28、政策的通報貫徹機制、服務提供商的內控措施；2.4.2.2合同主文件中應包含如下基本內容：（1）外包服務的范圍和標準；（2）外包服務的保密性和安全性的安排；（3）外包服務的業(yè)務連續(xù)性的安排；（4）外包服務的審計和檢查；（5）外包爭端的解決機制；（6）合同或協(xié)議變更或終止的過渡安排；（7）違約責任；（8）對于具有專業(yè)技術性的外包活動，可簽訂服務水平協(xié)議。（三）服務連續(xù)性要求，服務提供商的服務連續(xù)性管理目標應當滿足銀行業(yè)金融機構業(yè)務連續(xù)性目標要求；2.4.2.2合同主文件中應包含如下基本內容：（1）外包服務的范圍和標準；（2）外包服務的保密性和安全性的安排；（3）外包服務的業(yè)務連續(xù)性的安排；（4）外

29、包服務的審計和檢查；（5）外包爭端的解決機制；（6）合同或協(xié)議變更或終止的過渡安排；（7）違約責任；（8）對于具有專業(yè)技術性的外包活動，可簽訂服務水平協(xié)議。（四）銀行業(yè)金融機構監(jiān)控和檢查的權利、頻率，服務提供商配合其內、外部審計機構檢查，及配合銀行業(yè)監(jiān)管機構檢查的責任；2.4.2.2合同主文件中應包含如下基本內容：（1）外包服務的范圍和標準；（2）外包服務的保密性和安全性的安排；（3）外包服務的業(yè)務連續(xù)性的安排；（4）外包服務的審計和檢查；（5）外包爭端的解決機制；（6）合同或協(xié)議變更或終止的過渡安排；（7）違約責任；（8）對于具有專業(yè)技術性的外包活動，可簽訂服務水平協(xié)議。（五）政策或環(huán)境變化

30、因素等在內的合同變更或終止的觸發(fā)條件，外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和設施的交接處置等過渡期間相關服務的安排；2.4.1.2應建立合同變更的流程與制度，包括但不限于補充合同模板（六）外包服務過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權的歸屬權以及允許服務提供商使用的內容及范圍，對服務提供商使用合法軟、硬件產(chǎn)品的要求；2.4.2.7合同中應對知識轉移及知識產(chǎn)權的管理進行規(guī)定（七）服務要求或服務水平條款，至少應包括如下內容：外包服務的關鍵要素、服務時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等；2.4.2.2合

31、同主文件中應包含如下基本內容：（1）外包服務的范圍和標準；（2）外包服務的保密性和安全性的安排；（3）外包服務的業(yè)務連續(xù)性的安排；（4）外包服務的審計和檢查；（5）外包爭端的解決機制；（6）合同或協(xié)議變更或終止的過渡安排；（7）違約責任；（8）對于具有專業(yè)技術性的外包活動，可簽訂服務水平協(xié)議。（八）爭端解決機制、違約及賠償條款，至少包括如下內容：服務質量違約、安全違約、知識產(chǎn)權違約等，及在各種違約情況下的賠償以及外包爭端的解決機制；2.4.2.2合同主文件中應包含如下基本內容：（1）外包服務的范圍和標準；（2）外包服務的保密性和安全性的安排；（3）外包服務的業(yè)務連續(xù)性的安排；（4）外包服務的審

32、計和檢查；（5）外包爭端的解決機制；（6）合同或協(xié)議變更或終止的過渡安排；（7）違約責任；（8）對于具有專業(yè)技術性的外包活動，可簽訂服務水平協(xié)議。（九）報告條款，至少包括常規(guī)報告內容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。2.4.2.3合同文件中應包含如下需供應商承諾的內容：（1）定期通報外包活動的有關事項；（2）及時通報外包活動的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機構的檢查；（4）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；（5）不得以銀行業(yè)金融機構的名義開展活動；（6）銀行業(yè)金融機構認為應當承諾的其他事項。第三十六

33、條 銀行業(yè)金融機構應當在合同或協(xié)議中明確服務提供商在安全和保密方面的責任，以及針對安全及保密要求需采取的具體措施，包括但不限于：2.4.2.3合同文件中應包含如下需供應商承諾的內容：（1）定期通報外包活動的有關事項；（2）及時通報外包活動的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機構的檢查；（4）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；（5）不得以銀行業(yè)金融機構的名義開展活動；（6）銀行業(yè)金融機構認為應當承諾的其他事項。（一）禁止服務提供商在合同允許范圍外使用或者披露銀行業(yè)金融機構的信息，以防止信息被非授權的使用；2.4.2.3合同文

34、件中應包含如下需供應商承諾的內容：（1）定期通報外包活動的有關事項；（2）及時通報外包活動的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機構的檢查；（4）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；（5）不得以銀行業(yè)金融機構的名義開展活動；（6）銀行業(yè)金融機構認為應當承諾的其他事項。（二）在合同或協(xié)議中約定服務提供商對銀行客戶信息安全和銀行客戶權力的保護條款、事故處理方式及違約賠償條款；2.4.2.3合同文件中應包含如下需供應商承諾的內容：（1）定期通報外包活動的有關事項；（2）及時通報外包活動的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機

35、構的檢查；（4）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；（5）不得以銀行業(yè)金融機構的名義開展活動；（6）銀行業(yè)金融機構認為應當承諾的其他事項。銀銀行行業(yè)業(yè)金金融融機機構構信信息息科科技技外外包包風風險險管管理理指指引引風風險險控控制制矩矩陣陣中中的的相相應應控控制制條條款款編編號號內內容容（三）在合同或協(xié)議中約定服務提供商不得以所服務的銀行業(yè)金融機構名義開展活動；6.4.1.5未經(jīng)授權，供應商不得以銀行的名義參加其他組織舉辦的任何形式的會議，或為其他組織或個人提供咨詢、建議等服務（四）服務提供商接觸銀行業(yè)金融機構信息時，需滿足安全和保密相

36、關條款的要求；2.4.2.2合同主文件中應包含如下基本內容：（1）外包服務的范圍和標準；（2）外包服務的保密性和安全性的安排；（3）外包服務的業(yè)務連續(xù)性的安排；（4）外包服務的審計和檢查；（5）外包爭端的解決機制；（6）合同或協(xié)議變更或終止的過渡安排；（7）違約責任；（8）對于具有專業(yè)技術性的外包活動，可簽訂服務水平協(xié)議。（五）在發(fā)生銀監(jiān)會規(guī)定的信息安全突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風險類突發(fā)事件時，服務提供商應及時向銀行業(yè)金融機構報告，包括事件的影響以及處置和糾正措施。2.4.2.3合同文件中應包含如下需供應商承諾的內容：（1）定期通報外包活動的有關事項；（2）及時通報

37、外包活動的突發(fā)性事件；（3）配合銀行接受銀行業(yè)監(jiān)督管理機構的檢查；（4）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業(yè)金融機構有權隨時終止外包合同；（5）不得以銀行業(yè)金融機構的名義開展活動；（6）銀行業(yè)金融機構認為應當承諾的其他事項。第三十七條 銀行業(yè)金融機構應當在合同或協(xié)議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求：2.4.2.4合同文件中應包含（1）服務提供商分包的規(guī)則；（2）分包服務提供商應當嚴格遵守主供應商與銀行確定的外包合同或協(xié)議中的相關條款；（3）主服務商應當確認在業(yè)務分包后繼續(xù)保證對服務水平和系統(tǒng)控制負總責；（4）不得將外包

38、活動的主要業(yè)務分包；（5）服務提供商不得將外包活動轉包或變相轉包（一）不得將外包服務的主要業(yè)務分包；2.4.2.4合同文件中應包含（1）服務提供商分包的規(guī)則；（2）分包服務提供商應當嚴格遵守主供應商與銀行確定的外包合同或協(xié)議中的相關條款；（3）主服務商應當確認在業(yè)務分包后繼續(xù)保證對服務水平和系統(tǒng)控制負總責；（4）不得將外包活動的主要業(yè)務分包；（5）服務提供商不得將外包活動轉包或變相轉包（二）主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包合同或協(xié)議；2.4.2.4合同文件中應包含（1）服務提供商分包的規(guī)則；（2）分包服務提供商應當嚴格遵守主供應商與銀行確定的外包合同或協(xié)議中的相

39、關條款；（3）主服務商應當確認在業(yè)務分包后繼續(xù)保證對服務水平和系統(tǒng)控制負總責；（4）不得將外包活動的主要業(yè)務分包；（5）服務提供商不得將外包活動轉包或變相轉包（三）主服務提供商對分包商進行監(jiān)控，并對分包商的變更履行通知或報告審批義務。2.4.2.4合同文件中應包含（1）服務提供商分包的規(guī)則；（2）分包服務提供商應當嚴格遵守主供應商與銀行確定的外包合同或協(xié)議中的相關條款；（3）主服務商應當確認在業(yè)務分包后繼續(xù)保證對服務水平和系統(tǒng)控制負總責；（4）不得將外包活動的主要業(yè)務分包；（5）服務提供商不得將外包活動轉包或變相轉包第第四四節(jié)節(jié) 外外包包服服務務安安全全管管理理第三十八條 銀行業(yè)金融機構應當制

40、定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設施遭受破壞等風險，具體措施包括：6安全管理（一）對外包人員進行信息安全培訓，提高風險管理意識，確保信息安全管控措施在外包服務過程中有效落實；6.3.7.26.6.5.4應加強對使用移動辦公的外包人員的安全培訓，提高其對移動辦公可能導致的附加風險的防范意識應定期舉行災難恢復計劃的培訓，并保留培訓的記錄，確保外包人員了解自身的職責與操作（二）明確外包活動需要訪問或使用的信息資產(chǎn)，包括場地、辦公設施、計算機、服務器、軟件、數(shù)據(jù)、信息、物理訪問控制設備、賬號、網(wǎng)絡寬帶、網(wǎng)絡端口等，按“必需知道“和“最小

41、授權”原則進行訪問授權；6安全管理（三）對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描；6.5.4.1應對供應商提供的重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描（四）定期對服務提供商進行安全檢查，獲取服務提供商自評估或第三方評估報告。6.1.1.46.2.1.56.3.1.66.5.1.116.6.1.2定期對供應商進行物理安全檢查，獲取供應商自評估或第三方評估報告；在對關聯(lián)供應商進行定期安全檢查時，不得以供應商的自評估來替代，不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性第三十九條 銀行業(yè)金融機構在對關聯(lián)外包的服務提供商定期進行的安全檢查，不得以服務提供商的自評估來替

42、代，不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性。6.1.1.46.2.1.56.3.1.66.5.1.116.6.1.2定期對供應商進行物理安全檢查，獲取供應商自評估或第三方評估報告；在對關聯(lián)供應商進行定期安全檢查時，不得以供應商的自評估來替代，不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性第四十條 銀行業(yè)金融機構應當關注外包服務引入的新技術或新應用對現(xiàn)有治理模式及安全架構的沖擊，及時完善信息安全管控體系，避免因新技術或應用的引入而增加額外的信息安全風險。6.5.3.4應對外包服務引入的新技術或應用對現(xiàn)有治理模式及安全架構的沖擊進行分析，及時完善現(xiàn)有的管控體系，避免額外的信息安全風險第

43、第五五節(jié)節(jié) 外外包包服服務務監(jiān)監(jiān)控控與與評評價價第四十一條 銀行業(yè)金融機構應當對外包服務過程進行持續(xù)監(jiān)控，要求服務提供商建立階段性服務目標及任務，并跟蹤任務的執(zhí)行情況，及時發(fā)現(xiàn)和糾正服務過程中存在的各類異常情況。3.3IT外包項目審閱與監(jiān)控第四十二條 銀行業(yè)金融機構應當根據(jù)信息科技的外包需求、合同、服務水平協(xié)議等建立明確的服務質量監(jiān)控指標，并進行相應的監(jiān)控。常見指標包括：3.3.3過程質量監(jiān)控（一）信息系統(tǒng)和設備及基礎設施的可用率、設備的開機率；3.3.3過程質量監(jiān)控（二）故障次數(shù)、故障解決率、故障的響應時間；3.3.3過程質量監(jiān)控（三）服務的次數(shù)、客戶滿意度；3.3.3過程質量監(jiān)控（四）各階

44、段業(yè)務需求的及時完成率、程序的缺陷數(shù)、需求變更率；3.3.3過程質量監(jiān)控（五）外包人員工作飽和率、外包人員的考核合格率。3.3.3過程質量監(jiān)控第四十三條 銀行業(yè)金融機構應當建立明確的服務目錄,服務水平協(xié)議以及服務水平監(jiān)控評價機制,并確保外包服務監(jiān)控基礎數(shù)據(jù)和評價結果的真實性和完整性，且數(shù)據(jù)至少需保存到服務結束后一年。2.4.1.14.1.1.104.3.1.7應建立簽訂合同及定期審閱逾期合同、續(xù)期合同、補充合同，并上報給管理層的管理機制。合同及SLA應至少保存到服務結束后一年。階段性驗收報告和最終驗收報告應由驗收小組進行簽字，并根據(jù)采購制度提交管理層審批并保存至少一年完成的答題應由相應答題部門

45、的管理層對答題結果進行確認與審批，答題結果應保存至少一年第四十四條 銀行業(yè)金融機構應當對服務提供商的財務、內控及安全管理進行持續(xù)監(jiān)控，關注其因破產(chǎn)、兼并、關鍵人員流失、投入不足和管理不善等因素引發(fā)的財務狀況惡化及內部管理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。3.3.5.1項目執(zhí)行過程中應對存在的IT外包風險進行持續(xù)監(jiān)控，對可能影響項目進展的技術、管理、經(jīng)濟風險進行及時控制與回報第四十五條 銀行業(yè)金融機構監(jiān)控到異常情況時，應當及時督促服務提供商采取糾正措施，情節(jié)嚴重的或未及時糾正的，應當約談服務提供商高管人員并限期整改。4.3.2.1應結合對外包人員的日常合規(guī)檢查及定期抽查，建立

46、供應商合規(guī)考核的評價機制，對供應商的異常情況進行及時糾正第四十六條 外包服務結束時，銀行業(yè)金融機構應當對服務提供商進行評價，評價結果應當作為服務提供商準入的重要參考依據(jù)。4.3.1.2應建立供應商績效考核的評價機制，識別與明確供應商評價的指標與計量方式4.3.3.1應根據(jù)供應商績效考核/合規(guī)考核結果觸發(fā)相應的結果應用，實行對供應商的獎懲機制第四十七條 對于關聯(lián)外包，銀行業(yè)金融機構董事會及高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業(yè)績評價范圍，建立外包服務重大事件問責機制。同時，應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。4.3.3.5關聯(lián)供應商應納入

47、供應商績效考核的范圍內第第六六節(jié)節(jié) 外外包包服服務務中中斷斷與與終終止止第四十八條 銀行業(yè)金融機構應當考慮信息科技外包的引入對業(yè)務連續(xù)性管理的影響，有針對性的完善業(yè)務連續(xù)性管理計劃，包括但不限于：7.5服務連續(xù)性管理（一）識別出重要業(yè)務所涉及的服務提供商和資源；7.5.2.1應針對重要外包服務中斷的場景制定組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；2.識別出重要業(yè)務所涉及的供應商和資源；3.事件持續(xù)時間和恢復可能性；4.事件影響范圍和可能的應急措施；5.服務提供商自行恢

48、復服務的可能性和時間；6.備選的服務提供商以及外包服務遷移方案；7.外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。（二）通過合同、協(xié)議等形式明確要求服務提供商提前準備并維護好相關資源；7.5.1.3應要求供應商制定服務中斷相關的應急處理預案，作為合同附件,并對應急處理預案定期進行檢查更新。（三）對服務提供商業(yè)務連續(xù)性管理進行監(jiān)控，并評價其管理水平；6.5.1.2定期對供應商進行業(yè)務連續(xù)性管理安全檢查，獲取供應商自評估或第三方評估報告；在對關聯(lián)供應商進行定期安全檢查時，不得以供應商的自評估來替代，不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性（四）在進行業(yè)務連續(xù)性計劃演練時將相

49、關的服務提供商納入演練范圍。7.5.2.4應定期對項目級應急預案進行演練，總結分析演練結果，并要求相應供應商參與演練。第四十九條 為降低外包突發(fā)事件的可能性及影響，銀行業(yè)金融機構應當事先對業(yè)務連續(xù)性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施，包括但不限于以下內容：7.5服務連續(xù)性管理（一）在外包服務實施的過程中持續(xù)收集服務提供商相關信息，盡早發(fā)現(xiàn)可能導致服務中斷的情況；7.5.1.5在外包服務實施過程中，應持續(xù)收集供應商相關信息，盡早發(fā)現(xiàn)可能導致服務中斷的情況（二）與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優(yōu)先權；7.5.1.2應與供應商約定在其不

50、能提供持續(xù)服務的情況下購買其外包服務資源的優(yōu)先權（三）要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；7.5.1.3應要求供應商制定服務中斷相關的應急處理預案，作為合同附件,并對應急處理預案定期進行檢查更新。（四）對于涉及重要業(yè)務的外包服務，銀行業(yè)金融機構需考慮預先在其內部配置相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。7.5.1.4針對業(yè)務連續(xù)性管理造成重大影響的外包服務：1.應要求供應商針對非正常退出的情況購買商業(yè)保險或預支風險擔保金；2.銀行應為外包服務的關鍵角色配備相應的行內人力資源，以在外包服務中斷期間自行維持最低限度的服務能力。第五

51、十條 銀行業(yè)金融機構應當針對重要外包服務中斷的場景，擬定相應的應急計劃，并定期進行演練，應考慮的因素包括但不限于以下內容：7.5.2.1應針對重要外包服務中斷的場景制定組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；2.事件持續(xù)時間和恢復可能性；3.事件影響范圍和可能的應急措施；4.服務提供商自行恢復服務的可能性和時間；5.備選的服務提供商以及外包服務遷移方案；6.外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。銀銀行行業(yè)業(yè)金金融融機機構構信信息息科科技技外外包

52、包風風險險管管理理指指引引風風險險控控制制矩矩陣陣中中的的相相應應控控制制條條款款編編號號內內容容（一）事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；7.5.2.1應針對重要外包服務中斷的場景制定組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；2.事件持續(xù)時間和恢復可能性；3.事件影響范圍和可能的應急措施；4.服務提供商自行恢復服務的可能性和時間；5.備選的服務提供商以及外包服務遷移方案；7.外包

53、服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。（二）事件持續(xù)時間和恢復可能性；7.5.2.1應針對重要外包服務中斷的場景制定組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；2.事件持續(xù)時間和恢復可能性；3.事件影響范圍和可能的應急措施；4.服務提供商自行恢復服務的可能性和時間；5.備選的服務提供商以及外包服務遷移方案；8.外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。（三）事件影響范圍和可能的應急措施；7.5.2.1應針對重要外包服務中斷的場景制定

54、組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；2.事件持續(xù)時間和恢復可能性；3.事件影響范圍和可能的應急措施；4.服務提供商自行恢復服務的可能性和時間；5.備選的服務提供商以及外包服務遷移方案；9.外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。（四）服務提供商自行恢復服務的可能性和時間；7.5.2.1應針對重要外包服務中斷的場景制定組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并

55、或破產(chǎn)等原因導致的服務提供商被動退出等；2.事件持續(xù)時間和恢復可能性；3.事件影響范圍和可能的應急措施；4.服務提供商自行恢復服務的可能性和時間；5.備選的服務提供商以及外包服務遷移方案；10.外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。（五）備選的服務提供商以及外包服務遷移方案；7.5.2.1應針對重要外包服務中斷的場景制定組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；2.事件持續(xù)時間和恢復可能性；3.事件影響范圍和可能的應急措施；4.服務提供商自行恢復

56、服務的可能性和時間；5.備選的服務提供商以及外包服務遷移方案；11.外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。（六）外包服務過渡給銀行業(yè)金融機構自行運作的可能性、時效及資源需求。7.5.2.1應針對重要外包服務中斷的場景制定組織級應急預案，考慮因素包括但不限于：1.事件場景，如重要人員流失導致服務無法持續(xù)，服務提供商主動退出，因資質變更、被收購、兼并或破產(chǎn)等原因導致的服務提供商被動退出等；2.事件持續(xù)時間和恢復可能性；3.事件影響范圍和可能的應急措施；4.服務提供商自行恢復服務的可能性和時間；5.備選的服務提供商以及外包服務遷移方案；12.外包服務過渡給銀行業(yè)金融機構自行運

57、作的可能性、時效及資源需求。第五十一條 對于無法滿足外包服務要求或發(fā)生重大事件的情況，銀行業(yè)金融機構應當在充分評估其影響及制定退出計劃的前提下，考慮主動要求服務提供商終止服務，情節(jié)特別嚴重的，可考慮取消準入資質，并報監(jiān)管機構申請對其備案。對于關聯(lián)外包，銀行業(yè)金融機構不得因為關聯(lián)關系而影響服務提供商退出機制的落實。4.3.2.1應結合對外包人員的日常合規(guī)檢查及定期抽查，建立供應商合規(guī)考核的評價機制，對供應商的異常情況進行及時糾正第第五五章章 機機構構集集中中度度風風險險管管理理第五十二條 銀行業(yè)金融機構應當依據(jù)服務提供商所承接外包服務的數(shù)量、金額在本行重要信息科技服務中的占比，服務提供商所承接外

58、包服務在銀行業(yè)服務市場占比情況，識別具有機構集中度特點的外包服務提供商。同時，還應識別服務提供商之間為集團子公司、關聯(lián)公司或附屬機構所產(chǎn)生的機構集中度風險。8.1.1.28.1.1.3應根據(jù)供應商承接外包項目數(shù)量、金額在銀行重要信息科技服務中的產(chǎn)比以及供應商所承接項目再銀行業(yè)服務市場占比情況，識別高集中度供應商應識別供應商為集團子公司、關聯(lián)公司或服務機構提供外包服務產(chǎn)生的集中度風險第五十三條 銀行業(yè)金融機構應當積極采用分散信息科技外包活動、提高自主研發(fā)運行能力等形式，降低機構集中度，減少對外包服務提供商的依賴。8.1.2.1應采用分散信息科技外包活動、提高自主研發(fā)運行能力等形式，降低機構集中度

59、，減少對供應商的依賴第五十四條 銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據(jù)，證明其內部控制和管理能力、持續(xù)運營能力等。8.1.2.2應向高集中度供應商獲取證明其內部控制、管理能力和持續(xù)運營能力能充分證據(jù)，并對其財務、內控、安全管理等情況持續(xù)監(jiān)控，以確保其服務連續(xù)性第五十五條 銀行業(yè)金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業(yè)金融機構配備相對獨立的資源，包括服務團隊、場地、系統(tǒng)、設備等；并對資源進行定期檢查，確保資源及時到位。8.1.2.3高集中度供應商應向銀行提供相對獨立的服務資源，并進行定期檢查，確保資源到位第五十六條 銀行業(yè)金融機構應當要求具有機構

60、集中度特點的外包服務提供商在外包服務中斷應急預案中，明確外包服務的優(yōu)先級，并進行服務中斷應急演練，服務提供商應至少參與服務交接、敏感信息處置等演練過程。8.1.2.4應建立高集中度供應商服務中斷應急預案，并進行應急演練；供應商應至少散瘀服務交接、敏感信息處置等演練過程第五十七條 銀行業(yè)金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況持續(xù)監(jiān)控，建立信息收集機制，及時掌握風險事件情況，防范外包服務意外終止或服務質量急劇下降對本機構產(chǎn)生大面積影響。8.1.2.2應向高集中度供應商獲取證明其內部控制、管理能力和持續(xù)運營能力能充分證據(jù)，并對其財務、內控、安全管理等情況持

61、續(xù)監(jiān)控，以確保其服務連續(xù)性第五十八條 銀行業(yè)金融機構應當對具有機構集中度特點的外包服務提供商增強監(jiān)督頻率與力度，必要時可指派專人進行現(xiàn)場監(jiān)督。8.1.2.5應對高集中度供應商加強監(jiān)督頻率與力度，必要時指派專人進行現(xiàn)場監(jiān)督第五十九條 對于具有機構集中度特性的外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行外包管理。8.1.2.6對于具有機構集中度特性的外包服務提供商為同業(yè)托管機構的情況，應參照本節(jié)內容對其進行外包管理第第六六章章 跨跨境境及及非非駐駐場場外外包包管管理理第第一一節(jié)節(jié) 跨跨境境外外包包風風險險管管理理第六十條 跨境外包是指在境外其他國家或地區(qū)實施的信息科技外

62、包服務活動。不適用不適用第六十一條 跨境外包除具有本指引前述風險外，還包括由于某一國家或地區(qū)經(jīng)濟、政治、社會變化及事件而產(chǎn)生的國別風險，及由于外包實施場地遠離銀行業(yè)金融機構而產(chǎn)生的非駐場風險。8.3.1.1應對跨境供應商所在國家或地區(qū)的經(jīng)濟、政治、社會情況進行持續(xù)監(jiān)控第六十二條 銀行業(yè)金融機構應當充分了解并持續(xù)監(jiān)控服務提供商所在國家或地區(qū)的經(jīng)濟、政治、社會狀況，通過建立應急預案、服務持續(xù)性計劃防范跨境外包所帶來的國別風險。8.3.1.1應對跨境供應商所在國家或地區(qū)的經(jīng)濟、政治、社會情況進行持續(xù)監(jiān)控第六十三條 銀行業(yè)金融機構應當關注國外法律法規(guī)、監(jiān)管要求對其獲取服務提供商外包管理信息可能的影響。

63、實施跨境外包時，應當以不妨礙銀行業(yè)金融機構有效履行外包服務監(jiān)控管理職能及監(jiān)管機構的延伸檢查為前提。8.3.1.2應關注跨境供應商所在的國家或地區(qū)的法律法規(guī)、監(jiān)管要求第六十四條 銀行業(yè)金融機構在選擇跨境外包時，應當明確其所在國家或地區(qū)監(jiān)管當局已與中國銀監(jiān)會簽訂諒解備忘錄或雙方認可的其他約定。8.3.1.3在選擇跨境外包時，應當明確其供應商所在國家或地區(qū)監(jiān)管當局已與中國銀監(jiān)會簽訂諒解備忘錄或雙方認可的其他約定第六十五條 銀行業(yè)金融機構在選擇跨境外包時，還應當充分審查評估服務提供商保護客戶信息的能力，并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包,應在符合監(jiān)管法規(guī)政策并獲得客戶授權的前提

64、下開展。8.3.1.4應加強對跨境外包服務的客戶信息保護，確保其服務的開展符合監(jiān)管法規(guī)政策第六十六條 銀行業(yè)金融機構在實施跨境外包時，其合同應當包括法律選擇和司法管轄權的約定，明確爭議解決時所適用的法律及司法管轄權，原則上應當要求服務提供商依照中國的法律解決糾紛。8.3.1.5在選擇跨境供應商時，合同應當包括法律選擇和司法管轄權的約定，明確爭議解決時所適用的法律及司法管轄權，原則上應當要求供應商依照中國的法律解決糾紛第第二二節(jié)節(jié) 非非駐駐場場外外包包風風險險管管理理第六十七條 非駐場外包是指服務提供商不在銀行業(yè)金融機構現(xiàn)場提供服務的外包形式。由于銀行業(yè)金融機構不能對其內部控制及風險管理措施進行

65、直接管控，應當在信息安全、知識產(chǎn)權保護、質量監(jiān)控、法律合規(guī)等方面加強對服務提供商的風險管理。8.3.2.1應建立針對非駐場外包服務的內部控制及風險管理要求的標準第六十八條 銀行業(yè)金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準，該標準應當作為選擇服務提供商的最低要求。8.3.2.1應建立針對非駐場外包服務的內部控制及風險管理要求的標準第六十九條 銀行業(yè)金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次，檢查結果作為外包服務提供商項目考核及準入的重要指標。8.3.2.2應對重要的非主場供應商至少每年一次進行實地檢查第七十條 銀行業(yè)金融機構應當加強對服

66、務商非駐場外包服務內部控制、質量管理、信息安全的有效性評估，評估結果應作為供應商準入的重要依據(jù)。對于高風險的服務提供商，銀行業(yè)金融機構應責令其進行限期整改，對于逾期未改的服務提供商應暫?；蛉∠浞召Y格。8.3.2.3應加強對非駐場供應商內部控制、質量管理、信息安全的有效性評估并作為其準入依據(jù)第七十一條 對于非駐場外包服務提供商為同業(yè)托管機構的情況，銀行業(yè)金融機構可參照本節(jié)內容對其進行外包管理，但同業(yè)托管機構須將為其他同行業(yè)金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分，不應區(qū)別對待，降低對自身提供外包服務的風險管控水平。8.3.2.4同業(yè)托管機構作為非駐場供應商時，不應區(qū)別對待以降低對自身提供外包服務的風險管控水平第第七七章章 銀銀行行業(yè)業(yè)重重點點外外包包服服務務機機構構風風險險管管理理要要求求第七十二條 銀行業(yè)重點外包服務機構是指集中為銀行業(yè)金融機構提供外包服務，同時滿足下述條件，如其外包服務失敗可能導致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務中斷，造成經(jīng)濟損失的機構，具體條件如下：8.2.1.1應建立行業(yè)重點供應商的管理策略，明確行業(yè)重點供應商的識別標準與