第八章 外 包
第五十五條 商業銀行不得將其信息科技管理責任外包,應合理謹慎監督外包職能的履行。
第五十六條 商業銀行實施重要外包(如數據中心和信息科技基礎設施等)應格外謹慎,在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。
第五十七條 商業銀行在簽署外包協議或對外包協議進行重大變更前,應做好相關準備,其中包括:
(一) 分析外包是否適合商業銀行的組織結構和報告路線、業務戰略、總體風險控制,是否滿足商業銀行履行對外包服務商的監督義務。
(二) 考慮外包協議是否允許商業銀行監測和控制與外包相關的操作風險。
(三) 充分審查、評估外包服務商的財務穩定性和專業經驗,對外包服務商進行風險評估,考查其設施和能力是否足以承擔相應的責任。
(四) 考慮外包協議變更前后實施的平穩過渡(包括終止合同可能發生的情況)。
(五) 關注可能存在的集中風險,如多家商業銀行共用同一外包服務商帶來的潛在業務連續性風險。
第五十八條 商業銀行在與外包服務商合同談判過程中,應考慮的因素包括但不限于:
(一) 對外包服務商的報告要求和談判必要條件。
(二) 銀行業監管機構和內部審計、外部審計能執行足夠的監督。
(三) 通過界定信息所有權、簽署保密協議和采取技術防護措施保護客戶信息和其他信息。
(四) 擔保和損失賠償是否充足。
(五) 外包服務商遵守商業銀行有關信息科技風險制度和流程的意愿及相關措施。
(六) 外包服務商提供的業務連續性保障水平,以及提供相關專屬資源的承諾。
(七) 第三方供應商出現問題時,保證軟件持續可用的相關措施。
(八) 變更外包協議的流程,以及商業銀行或外包服務商選擇變更或終止外包協議的條件,例如:
1. 商業銀行或外包服務商的所有權或控制權發生變化。
2. 商業銀行或外包服務商的業務經營發生重大變化。
3. 外包服務商提供的服務不充分,造成商業銀行不能履行監督義務。
第五十九條 商業銀行在實施雙方關系管理,以及起草服務水平協議時,應考慮的因素包括但不限于:
(一) 提出定性和定量的績效指標,評估外包服務商為商業銀行及其相關客戶提供服務的充分性。
(二) 通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。
(三) 針對績效不達標的情況調整流程,采取整改措施。
第六十條 商業銀行應加強信息科技相關外包管理工作,確保商業銀行的客戶資料等敏感信息的安全,包括但不限于采取以下措施:
(一) 實現本銀行客戶資料與外包服務商其他客戶資料的有效隔離。
(二) 按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。
(三) 要求外包服務商保證其相關人員遵守保密規定。
(四) 應將涉及本銀行客戶資料的外包作為重要外包,并告知相關客戶。
(五) 嚴格控制外包服務商再次對外轉包,采取足夠措施確保商業銀行相關信息的安全。
(六) 確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。
第六十一條 商業銀行應建立恰當的應急措施,應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失,重大財務損失和重要人員的變動,以及外包協議的意外終止。
第六十二條 商業銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業銀行應設立流程定期審閱和修訂服務水平協議。
第九章 內部審計
第六十三條 商業銀行內部審計部門應根據業務的性質、規模和復雜程度,對相關系統及其控制的適當性和有效性進行監測。內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員,獨立于本銀行的日常活動,具有適當的授權訪問本銀行的記錄。
第六十四條 商業銀行內部信息科技審計的責任包括:
(一) 制定、實施和調整審計計劃,檢查和評估商業銀行信息科技系統和內控機制的充分性和有效性。
(二) 按照第(一)款規定完成審計工作,在此基礎上提出整改意見。
(三) 檢查整改意見是否得到落實。
(四) 執行信息科技專項審計。信息科技專項審計,是指對信息科技安全事故進行的調查、分析和評估,或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。
第六十五條 商業銀行應根據業務性質、規模和復雜程度,信息科技應用情況,以及信息科技風險評估結果,決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。
第六十六條 商業銀行在進行大規模系統開發時,應要求信息科技風險管理部門和內部審計部門參與,保證系統開發符合本銀行信息科技風險管理標準。
|
