第四十一条 银保监会及其派出机构可构造或责令银行保险机构对负担银行保险机构信息科技外包效劳的效劳供给商停止现场核对，也可由银行保险机构拜托其他第三方机构以审计的情势施行

　　第四十一条 银保监会及其派出机构可构造或责令银行保险机构对负担银行保险机构信息科技外包效劳的效劳供给商停止现场核对，也可由银行保险机构拜托其他第三方机构以审计的情势施行。银保监会成立信息同享机制，实时向行业传递现场核对状况。

　　（一）效劳范畴、效劳内容、效劳请求、事情时限及摆设、义务分派、托付物请求和后续协作中的相干限制前提，效劳质量查核评价商定。

　　第三十八条 银行保险机构信息科技外包举动中发作以下严重风险变乱时当明天下科技开展，该当按拍照关突发变乱羁系陈述请求，向银保监会或其派出机构陈述：

　　第十五条 银行保险机构该当充实评价拟展开的信息科技外包举动与信息科技外包计谋的分歧性，充实评价拟展开的信息科技外包举动相干风险，就可以否施行外包作出谨慎决议计划。主要外包应最少向高管层陈述并颠末审批。

　　第二十六条 银行保险机构该当对效劳供给商的财政、内控及宁静办理停止连续监控，存眷其因停业、吞并、枢纽职员流失、投入不敷和办理不善等身分激发的财政情况恶化及内部办理紊乱等状况，防备外包效劳不测停止或效劳质量的急剧降落。

　　（三）请求效劳供给商供给须要的应急和灾备资本保证，订定应急处置预案并在预案中明白为银行保险机构供给应急呼应和规复的优先级，准绳上应为第一流；

　　第二十条 关于联系关系外包和同业外包，银行保险机构不得低落对效劳供给商的请求，严厉防备长处抵触和长处运送。

　　第三十三条 银行保险机构应辨认对本机构具有集合度风险的外包效劳及其供给商，主动接纳分离外包举动、重视外包项目常识产权庇护、进步本身研发运维才能、储蓄潜伏替换效劳供给商等手腕，削减对个体外包效劳供给商的依靠，低落集合度风险。

　　第三条 本法子所合用的信息科技外包，是指银行保险机构将本来由本身卖力处置的信息科技举动拜托给效劳供给商停止处置的举动。

　　第六条 银行保险机构应成立笼盖董（理）事会、高管层、信息科技外包风险主管部分、信息科技外包施行团队的信息科技外包及风险办理构造架构，明白响应层级的职责，确保信息科技外保证理架构权责明晰、运转高效、制衡充实。

　　（一）对效劳供给商和外包职员停止收集和信息宁静教诲或培训，加强收集和信息宁静认识，效劳供给商应与银行保险机构签署宁静失密和谈，外包职员应签订宁静失密许诺书；

　　第三十六条 银行保险机构该当展开信息科技外包及其风险办理的审计事情，按期对信息科技外包举动停止审计，最少每三年笼盖一切主要外包。发作严重外包风险变乱后该当实时展开专项审计。银行保险机构答允担内部审计本能机能和义务科技作品手工，内部审计项目可拜托母公司或统一团体部属子公司施行，或延聘自力第三方施行。

　　（二）明白外包举动需求会见或利用的信息资产，按“必须晓得”和“最小受权”准绳停止会见受权，严厉管控长途保护举动；

　　第三十四条 银行保险机构该当对契合主要外包尺度的非驻场外包效劳停止实地查抄，准绳上每三年笼盖一切主要的非驻场外包效劳。对具有行业集合度性子的效劳供给商，银行保险机构可采纳结合查抄、拜托查抄等情势，削减反复性事情，减轻效劳供给商的查抄承担。

　　（九）争端处理机制、违约及补偿条目，跨境外包应明白争议处理时所合用的法令及司法统领权，准绳上该当挑选中国仲裁机构、中法律王法公法院统领，合用中法律王法公法律处理纠葛。

　　（五）对效劳供给商所供给的模子、算法及相干信息体系增强办理，确保模子和算法遵照可注释、可考证、通明、公允的准绳；

　　第三十九条 银保监会及其派出机构对银行保险机构信息科技外包风险停止自力评价，对银行保险机构信息科技外包事情停止监视和查抄，并归入羁系综合评价系统。关于查抄发明涉嫌违法事项的有关单元和小我私家，依拍照关法令划定施行延长查抄。

　　第二十四条 银行保险机构该当成立明白的信息科技外包效劳目次、效劳程度和谈和效劳程度监控评价机制，确保相干监控信息和评价成果的实在性和完好性，且数据最少保留到效劳完毕后三年。

　　（六）外包举动中相干信息和常识产权的归属权和许可效劳供给商利用的内容及范畴，对效劳供给商利用正当软、硬件产物的请求。

　　主要数据，包罗但不限于客户材料、买卖数据、贸易机密等，拜见国度法令法例和国度尺度对主要数据的相干界说。

　　第三十一条 针对能够给营业持续性办理形成严重影响的主要外包效劳，银行保险机构该当事前成立风险掌握、缓释或转移步伐当明天下科技开展，包罗但不限于：

　　第十二条 银行保险机构该当成立信息科技外包举动分类办理机制，针对差别范例的外包举动成立响应的办理微风控战略。信息科技外包准绳上分别为征询计划类、开辟测试类、运转保护类、宁静效劳类、营业撑持类等种别。

　　同业外包，是指依法设立的由银保监会羁系的银行保险机构为其他偕行业金融机构供给外包效劳的举动。

　　（三）效劳连续性请求，效劳供给商的效劳连续性办理目的该当满意银行保险机构营业持续性目的请求。

　　为确保最好阅读结果，倡议您利用以下阅读器版本：IE阅读器9.0版本及以上； Google Chrome阅读器 63版本及以上； 360阅读器9.1版本及以上，且IE内核9.0及以上。

　　（八）宁静失密和消耗者权益庇护商定，包罗但不限于：制止效劳供给商在条约许可范畴外利用大概表露银行保险机构的信息，效劳供给商不得将银行保险机构数据以任何情势转移、调用或谋取外包条约商定之外的长处。

　　第二十五条 银行保险机构该当对信息科技外包效劳成立效劳效能和质量监控目标，并停止响应监控。常见目标包罗：

　　（三）效劳供给商对触及银行保险机构的效劳器、存储、收集装备、操纵体系、数据库、中心件等软硬件根底设备能否具有最高会见权限；

　　宁静效劳类。包罗但不限于：宁静运营效劳，宁静加固效劳，宁静装备运转保护，安整日记处置与阐发，宁静测试效劳，密钥办理及运转保护，数据宁静效劳，和触及以上效劳的人力外包。

　　第四条 银行保险机构该当成立与本机构信息科技计谋目的相顺应的信息科技外包揽理系统，将信息科技外包风险归入片面风险办理系统，有用掌握因为外包而激发的风险。

　　（四）银行保险机构对效劳供给商停止风险评价、监测、查抄和审计的权益，及效劳供给商许诺承受银保监会对其所负担的银行保险机构外包效劳的监视查抄科技作品手工。

　　第十七条 银行保险机构应在签署条约前，对主要外包的备选效劳供给商深化展开失职查询拜访，须要时可延聘第三方机构辅佐查询拜访。在效劳供给商运营情况未发作严重变革的条件下，失职查询拜访成果准绳上一年内有用。失职查询拜访应包罗但不限于：

　　第三十条 银行保险机构应成立并连续完美风险办理轨制和流程，充实辩认并评价信息科技外包能够发生的风险，包罗但不限于：

　　第四十二条 关于经羁系评价、监视查抄或现场核对风险较高的信息科技外包效劳，银保监会及其派出机构能够对银行保险机构采纳风险提醒、约见说话、羁系质询、请求暂和缓截至相干外包举动等步伐。对具有严重违法违规情况的效劳供给商，银保监会可传递行业，须要时将有关状况移交司法构造。

　　各银保监局，各政策性银行、大型银行、股分制银行、外资银行、直销银行、金融资产办理公司、金融资产投资公司、理财公司，各保险团体（控股）公司、保险公司、保险资产办理公司、养老金办理公司、保险专业中介机构：

　　第二十二条 银行保险机构该当在条约或和谈中明白请求效劳供给商不得将外包效劳转包或变相转包。在触及外包效劳分包时该当请求：

　　（二）明白步伐和办法，在效劳供给商效劳质量不克不及满意条约请求的状况下，保证获得其外包效劳资本的优先权；

　　第二十七条 银行保险机构监控到信息科技外包效劳呈现非常状况时，该当实时催促效劳供给商采纳改正步伐；情节严峻或未实时改正的，该当实时约谈效劳供给商高管职员并限日整改。关于过期未整改的效劳供给商，该当停息或打消其效劳资历，并向银保监会或其派出机构陈述。

　　第二条 在中华群众共和国境内设立的政策性银行、贸易银行、乡村协作银行、省（自治区）乡村信誉社结合社，保险团体（控股）公司、保险公司、保险资产办理公司、金融资产办理公司合用本法子。银保监会及其派出机构羁系的其他金融机构参照本法子施行。

　　第十六条 银行保险机构应按照信息科技外包计谋，分离风险评价状况，明白效劳供给商的准入尺度，对备选效劳供给商停止挑选，谨慎引入集合度风险较高或增长机构团体风险的效劳供给商。

　　（一）事前订定退出战略和供给链宁静保证计划，并在外包效劳施行过程当中连续搜集效劳供给商相干信息，尽早发明能够招致效劳中止或效劳质量降落的状况；

　　（三）因为不成抗力或效劳供给商严重运营、财政成绩，招致或能够招致多家银行保险机构外包效劳中止;

　　（四）效劳供给商能否具有或能够具有营业体系的最高办理权限或会见权限，能否可以阅读、获得主要数据或客户小我私家敏感信息；

　　为进一步增强银行保险机构信息科技外包风险羁系，增进银行保险机构提拔信息科技外包风险管控才能，银保监会订定了《银行保险机构信息科技外包风险羁系法子》，现予印发，请依照施行。

　　（四）资金丧失。因效劳供给商的不妥举动或其效劳的信息体系蒙受收集进犯，招致银行保险机构客户资金被偷取科技作品手工。

　　（五）思索预先在银行保险机构内部设置响应的人力资本，把握须要的妙技，以在外包效劳中止时期自行保持最低限度的效劳才能。

　　第二十九条 银行保险机构应在信息科技外包效劳到期前，就可以否持续外包停止评价决议计划。外包效劳完毕时，银行保险机构应对效劳供给商停止评价，评价成果作为效劳供给商后续准入的主要参考根据。对具有连续性特性的外包效劳，银行保险机构停止外包或改换效劳供给商前，应订定缜密的退出和交代方案。

　　运转保护类。包罗但不限于：数据中间（机房）物理情况的托管或运转保护，软硬件根底设备托管或运转保护，使用体系运转保护，电子机具运转保护，终端等办公装备的运转保护，和触及以上运转保护的人力外包。

　　第四十三条 银行保险机构违背本法子请求的，银保监会及其派出机构依法予以改正，并视状况予以问责或惩罚。

　　第九条 银行保险机构应在信息科技办理部分或信息科技外包举动施行部分内部成立信息科技外包施行团队，并装备充足的具有响应才能和经历的职员实行以下职责：

　　第十条 银行保险机构该当基于机构的营业计谋、信息科技计谋、整体外包计谋、外包市场情况、本身风险掌握才能微风险偏好订定信息科技外包计谋，包罗但不限于：外包准绳和战略、不克不及外包的本能机能、资本才能建立计划等。

　　（三）数据保守、丧失和窜改。因效劳供给商的不妥举动或其效劳的信息体系蒙受收集进犯，招致银行保险机构主要数据或客户小我私家信息保守、丧失和窜改。

　　第七条 银行保险机构董（理）事会或其受权设立的专业委员会应卖力鞭策成立信息科技外包及其风险办理系统、审批信息科技外包计谋、审议严重外包决议计划，初级办理层应卖力订定信息科技外包计谋，明白信息科技外包风险主管部分和信息科技外包施行团队，明白信息科技外包及其风险办理职责，审议信息科技外包揽理流程及轨制，监控信息科技外包及其风险办理效果。

　　（五）因效劳供给商不妥举动或其效劳的信息体系蒙受收集进犯或其他缘故原由，形成银行保险机构客户严重资金丧失；

　　第三十五条 银行保险机构每一年该当最少展开一次片面的信息科技外包风险办理评价，并向董（理）事会或初级办理层提交评价陈述。

　　（五）对外包过程当中的枢纽办理举动停止监控及阐发，按期与信息科技外包风险主管部分相同外包举动及有关风险状况。

　　（四）构造效劳供给商到场应急方案体例和应急练习训练，最少每一年在综合性练习训练或专项练习训练中归入一个或多个效劳供给商展开一次相干练习训练；

　　第四十六条 本法子自宣布之日起实施。《银行业金融机构信息科技外包风险羁系指引》（银监发〔2013〕5号）、《中国银监会办公厅关于增强银行业金融机构信息科技非驻场集合式外包风险办理的告诉》（银监办发〔2014〕187号）、《中国银监会办公厅关于展开银行业金融机构信息科技非驻场集合式外包羁系评价事情的告诉》（银监办发〔2014〕272号）同时废除。

　　（三）施行效劳供给商准入、失职查询拜访、效劳评价和退出办理事情，成立并保护效劳供给商干系办理战略；

　　征询计划类。包罗但不限于：信息科技计谋计划（含中持久计划）征询，数据中间（机房）团体建立征询和计划，信息科技管理（含数据管理）、信息科技风险办理系统、信息宁静办理系统、营业持续性办理系统等办理类征询和计划，主要信息体系架构和建立相干的征询和计划，新兴手艺使用征询和计划。

　　第十一条 银行保险机构该当明白不克不及外包的信息科技本能机能。触及信息科技计谋办理、信息科技风险办理、信息科技内部审计及其他有关信息科技中心合作力的本能机能不得外包。

　　第二十三条 银行保险机构该当对外包效劳历程停止连续监控，实时发明和改正效劳过程当中存在的各种非常状况。

　　银行保险机构与其他第三方协作傍边触及银行保险机构主要数据和客户小我私家信息处置的信息科技举动，根据本法子相干请求停止办理，法令法例还有请求的除外。

　　第四十四条 本法子所称联系关系外包，是指银行保险机构的母公司或其所属团体子公司、联系关系公司或从属机构作为效劳供给商，为其供给信息科技外包效劳的举动。

　　第二十八条 关于联系关系外包，银行保险机构董（理）事会和初级办理层该当鞭策母公司或所属团体将外包效劳质量归入对效劳供给商的功绩评价范畴，成立外包效劳严重变乱问责机制。

　　第十三条 银行保险机构应对信息科技外包举动及相干效劳供给商停止分级办理，对主要外包和普通外包采纳差同化管控步伐科技作品手工。以下信息科技外包举动准绳上属于主要外包：

　　5. 影响的营业范例：渠道办理类、客户办理类、产物办理类、财政办理类、决议计划撑持类、同享撑持类等；

　　（三）主效劳供给商对分包效劳供给商停止监控，并对分包效劳供给商的变动实行告诉或陈述审批任务。

　　第十九条 银行保险机构在挑选跨境外包时，该当充实评价效劳供给商地点国度或地域的政治、经济、社会、法令、文明等运营情况。触及信息跨境存储、处置和阐发的，应服从我国有关法令法例的划定。

　　第四十条 银保监会及其派出机构连续监测银行业保险业信息科技外包风险情况，成立行业和地区集合度风险监测与核对机制，对严重或共性风险实时向行业公布风险提醒，主动防备因信息科技外包能够激发的地区性当明天下科技开展、体系性风险。按照风险情况，银保监会及其派出机构能够请求银行保险机构与效劳供给商谈判，就其外包效劳微风险相干的严重事项作出阐明。

　　（二）合规、内控及风险办理请求，对法令法例及银行保险机构内部办理轨制的服从请求，羁系政策的传递贯彻机制。

　　第一条 为标准银行保险机构的信息科技外包举动科技作品手工，增强信息科技外包风险管控，按照《中华群众共和国银行业监视办理法》《中华群众共和国贸易银行法》《中华群众共和国保险法》《中华群众共和国收集宁静法》《中华群众共和国数据宁静法》《中华群众共和国小我私家信息庇护法》等法令法例，订定本法子。

　　第三十七条 银行保险机构展开以下信息科技外包举动时，该当在外包条约签署前二十个事情日向银保监会或其派出机构的信息科技羁系部分陈述（目次见附件）：

　　营业撑持类。包罗但不限于：市场拓展、营业运营（集合功课、呼唤中间等）科技作品手工、企业办理、资产处理、数据处置、数据操纵等营业外包或第三方协作傍边触及银行保险机构的主要数据或客户小我私家信息处置的信息科技举动，法令法例还有请求的除外。