中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知

监管政策银监办发[2014]272号 · 银保监会 2014-11-02 阅读：6365

关键词：监管 外包 中国 银行业金融机构 通知

根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号），为进一步做好对非驻场集中式外包服务的风险评估，加强监督管理，防范银行业区域性、系统性信息科技风险，现就开展非驻场集中式外包服务监管评估工作有关事项通知如下。

中国银监会办公厅关于

开展银行业金融机构信息科技

非驻场集中式外包监管评估工作的通知

各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：

根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号），为进一步做好对非驻场集中式外包服务的风险评估，加强监督管理，防范银行业区域性、系统性信息科技风险，现就开展非驻场集中式外包服务监管评估工作有关事项通知如下：

一、本通知中监管评估是指根据非驻场集中式外包服务商接受风险监督的主动申请，银监会及其派出机构对非驻场集中式外包服务开展信息科技风险监测、现场核查、评级和处置的过程。

二、村镇银行信息系统交由发起行管理、农村金融机构信息系统交由省级农村信用联社管理、外资银行信息系统交由母行管理的，不纳入本通知监管评估范围。

三、纳入监管评估的非驻场集中式外包服务类型包括：

(一) 机房运营服务，包括机房基础设施运维，设备运维、虚拟化资源服务等计算机基础设施服务。

(二) 应用系统托管服务，包括：

1．数据中心（灾备中心）整体运维及系统管理；

2．应用系统服务，包括核心银行、电子银行、银行卡、网站、电子商城等业务处理系统开发与运维；

3．金融自助设备整体运维，即自助设备(含多媒体终端)产权为外包服务商所有或由外包服务商向第三方租赁，监控、运维管理由外包商独立完成。

(三) 数据分析与处理服务，包括涉及客户数据的电子化信息处理业务文档、影像、票据等录入、扫描与处理，以及远程数据备份、存储与分析，银行卡制卡等。

(四) 软件开发服务，包括非驻场的集中式外包开发、系统测试外包。

其它信息科技外包服务可参照非驻场集中式外包服务进行监管评估管理。

四、银行业金融机构开展非驻场集中式外包服务时，应当加强尽职调查、风险评估和审慎决策，承担外包服务的全部风险管理责任。

五、银行业金融机构应按照《银行业金融机构国别风险管理指引》要求，充分识别服务提供商提供的外包服务国别风险，计提相应风险准备金，确保该类国别风险处于较低水平。对于中资比例低于50%（含）的服务提供商，应严格管理，加强风险评估、监测，并向银监会及其派出机构报告。

六、根据银行业区域性、系统性外包风险防控的需要，银监会及派出机构组织银行业、第三方专业技术力量，实施对非驻场集中式外包服务活动及服务商的监管评估。

七、外包服务商可自愿提出申请，经银监会审核达到附件1所列条件的，将其非驻场集中式外包服务纳入监管评估。对于委托第三方监管评估过程中产生的费用由外包服务商承担。

八、申请纳入监管评估的非驻场集中式外包服务商应签署《外包服务商履行义务承诺书》，履行下述义务：

(一) 遵从银监会信息科技监管政策、规范要求；

(二) 向银监会或其派出机构及时报送与其所开展的银行业信息科技外包服务相关的重大活动及风险信息；

(三) 配合银监会及其派出机构对其所开展的银行业信息科技外包服务的风险监测、现场核查和信息科技风险事件处置；

(四) 按照银监会要求，完成自查和问题整改，防范信息科技风险；

(五) 配合所服务的银行业金融机构对其信息科技外包风险开展检查和评估；

(六) 发生外包服务突发事件时，按照银监会有关要求，向银行业金融机构和银监会及其派出机构报告。

九、跨省（自治区、直辖市）提供服务的外包服务商应向银监会信息科技监管部门提出纳入监管评估的申请，其他外包服务商向所服务的银行业金融机构所在地银监局提出申请，监管评估申请材料按照附件2、3的要求提交。

十、银监会或其派出机构对外包服务商提交的申请资料初审通过后，委托经认可的、公立的第三方评估机构，对外包服务商的技术保障、风险控制能力进行技术测评。同时，银监会或其派出机构对外包服务商进行现场调查，调查可组织银行业科技外包联合监管平台成员单位、其他银行业金融机构和外部技术专家实施。

十一、综合技术测评和现场调查结果，对审核通过的非驻场集中式外包服务，银监会向外包服务商正式复函确认其纳入监管评估，明确外包服务名称、外包服务类型、监管评估有效期等。银监会派出机构审核通过的外包服务，应向银监会报备。

十二、银监会定期向银行业金融机构发布纳入监管评估的非驻场集中式外包服务名单，并在银监会官方网站公布。

十三、银监会对纳入监管评估的非驻场集中式外包服务实行分类管理，包括A、B、C三个类别。

(一) A类服务：服务对象覆盖全国范围内各类银行业金融机构，服务机构数量没有规模约束；

(二) B类服务：服务对象包括除全国性商业银行之外的银行业金融机构，服务机构总数原则上不超过30家，或服务对象是非银行金融机构，服务机构数量没有规模约束；

(三) C类服务：服务对象包括资产规模1000亿元以下的城市商业银行、农村中融机构（包括农村商业银行、农村合作银行、农村信用社及村镇银行）及其他非银行金融机构，且服务范围不超过2个省（自治区、直辖市，含），服务机构总数原则上不超过10家。

十四、纳入监管评估的非驻场集中式外包服务，其外包服务商发生以下变更时，应当在变更后一个月内向银监会或其派出机构报告:

(一) 企业名称、注册地、法人、主要投资人变更，重大的组织架构调整、财务变化；

(二) 减少纳入监管评估的外包服务业务种类；

(三) 软件开发服务类外包的服务场所变更。

十五、因服务的银行业金融机构对象变化导致外包服务监管评估隶属关系变化时，外包服务商应向银监局报告，同时抄送银监会，由银监会审核并调整负责监管评估的银监局。

十六、纳入监管评估的非驻场集中式外包服务，其外包服务商新增外包服务业务种类或提高服务类别等级时，应向银监会或其派出机构重新提交监管评估申请；注册资本金中资比例低至50%以下时，外包服务商应向银监会或其派出机构报告；对于国别风险较高的，由银监会取消其纳入监管评估的资格。

十七、纳入监管评估的机房运营和应用系统托管类外包的服务场所变更、符合《银行业金融机构重要信息系统投产及变更管理办法》中应用系统基础架构发生重大变化、重大的基础设施和信息系统升级的，外包服务商应提前30个工作日向银监会或其派出机构报告。

十八、纳入监管评估的非驻场集中式外包服务，其外包服务商应于每年12月31日前向银监会或其派出机构报送如下信息：

(一) 本年度为银行业金融机构提供的非驻场集中式外包服务合同的履约情况；

(二) 本年度对银行业金融机构非驻场集中式外包服务的工作报告，包括服务内容、服务规模、合同完成情况、服务水平与质量控制，风险制度规范、风险管控机制、基础设施和信息系统的建设、升级情况，下年度外包服务工作安排；

(三) 本年度对非驻场集中式外包的风险自评估报告，包括内、外部审计或第三方机构风险评估报告。

十九、发生如下事件时，纳入监管评估的外包服务商应当立即向银监会或其派出机构报告：

(一) 银行业金融机构的客户信息等敏感数据泄露；

(二) 银行业金融机构的数据损毁或者重要业务运营中断，达到《银行业信息系统突发事件应急管理规范》中突发事件的报告级别；

(三) 由于不可抗力或发生重大经营、财务问题，导致或可能导致多家银行业金融机构外包服务中断；

(四) 违法违规事件。

二十、银监会或其派出机构每两年对纳入监管评估的非驻场集中式外包服务活动进行现场核查，遇有突发事件或重大风险问题发生时应立即开展现场核查和风险处置。核查可以银监会组织银行业科技外包联合监管平台、委托银行业金融机构或第三方评估、外部审计的形式开展。对于服务质量稳定、连续两次监管评估无重大风险问题的外包服务商，下次监管评估可免予现场核查。

二十一、银监会或其派出机构对纳入监管评估的非驻场集中式外包服务进行风险评级评价，于次年2月10日前形成年度监管评估报告，由银监会统一向银行业公布。

二十二、对监管评估中发现的问题，银行业金融机构应督促外包服务商完成整改。对管控不力、风险隐患突出的外包服务商，由银监会在银行业内警示通报，银行业金融机构应当审慎安排与其外包合作。

二十三、外包服务商存在以下情形的，由银监会取消其服务纳入监管评估的资格，且五年内不接受其外包服务纳入监管评估的申请：

(一) 违反国家法律、法规和监管政策；

(二) 未履行接受监管评估的承诺和义务，多次提示仍未整改；

(三) 窃取、泄露银行业金融机构敏感信息；

(四) 因管理过失，连续两年发生重要信息系统服务中断或数据损毁、丢失、泄露事件，按照《银行业信息系统突发事件应急管理规范》两起（含）以上达到重大级别或三起（含）以上达到较大级别；

(五) 服务质量低下并给多家银行业金融机构造成损失，多次提示仍未整改；

(六) 现场核查发现问题逾期仍未整改的；

(七) 因管理过失或服务质量低下被三家（含）以上银行业金融机构投诉；

(八) 存在非法经营或其他违法、违规行为。

二十四、银行业金融机构应逐步终止与被取消监管评估资格的外包服务商间的合作；终止外包服务合同时，应做好数据接收工作。

二十五、银行业金融机构应当参照非驻场集中式外包服务监管评估要求，加强对未纳入监管评估的非驻场集中式外包服务的风险管理，深入开展尽职调查，建立全面的外包服务质量、风险监测指标和风险管理程序，应至少每两年进行一次现场的风险评估并向银监会或其派出机构报告。

二十六、对未纳入监管评估的非驻场集中式外包服务，银监会及其派出机构应当加强对银行业金融机构的监督，每年进行抽查或现场检查，检查结果纳入对银行业金融机构的信息科技监管评级。因外包管理不力，发生重要信息系统服务中断或数据损毁、丢失等事件的，或监管检查发现有较大风险的，应降低银行业金融机构信息科技监管评级级别并追究责任。

二十七、对因管理过失导致外包服务活动危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的外包服务商，银监会及其派出机构应督促银行业金融机构要求外包服务商承担赔偿责任。

自本文印发之日起，银监会及其派出机构开始受理非驻场集中式外包的监管评估申请。请各银行业金融机构将此文发送行内所有外包服务商。

联系电话：010-66278563

联系邮箱：kjwb@cbrc.gov.cn

附件信息

附件1 银行业信息科技非驻场集中式外包服务纳入监管评估基本条件.doc

附件2 银行业金融机构信息科技非驻场集中式外包服务监管评估申请表.doc

附件3 银行业金融机构信息科技非驻场集中式外包服务监管评估申请材料目录及格式要求.doc

专题推荐：金融毛细血管

零壹智库推出“金融毛细血管系列策划”，通过系列文章、系列视频、系列报告、系列研讨会和专著，系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。