文章属性
∙【制定机关】中国银行业监督管理委员会(已撤销)
∙【公布日期】2014.12.02
建设银行卡种类∙【文 号】银监办发[2014]272号
∙【施行日期】2014.12.02
∙【效力等级】部门规范性文件
∙【时效性】失效
∙【主题分类】银行业监督管理
正文
中国银监会办公厅关于开展
银行业金融机构信息科技非驻场集中式外包监管评估工作的通知
银监办发[2014]272号
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号),为进一步做好对非驻场集中式外包服务的风险评估,加强监督管理,防范银行业区域性、系统性信息科技风险,现就开展非驻场集中式外包服务监管评估工作有关事项通知如下:
一、本通知中监管评估是指根据非驻场集中式外包服务商接受风险监督的主动申请,银监会及其派出机构对非驻场集中式外包服务开展信息科技风险监测、现场核查、评级和处置的过程。
二、村镇银行信息系统交由发起行管理、农村金融机构信息系统交由省级农村信用联社管
理、外资银行信息系统交由母行管理的,不纳入本通知监管评估范围。
三、纳入监管评估的非驻场集中式外包服务类型包括:
(一) 机房运营服务,包括机房基础设施运维,设备运维、虚拟化资源服务等计算机基础设施服务。
(二) 应用系统托管服务,包括:
1.数据中心(灾备中心)整体运维及系统管理;
2.应用系统服务,包括核心银行、电子银行、银行卡、网站、电子商城等业务处理系统开发与运维;
3.金融自助设备整体运维,即自助设备(含多媒体终端)产权为外包服务商所有或由外包服务商向第三方租赁,监控、运维管理由外包商独立完成。
(三) 数据分析与处理服务,包括涉及客户数据的电子化信息处理业务文档、影像、票据等录入、扫描与处理,以及远程数据备份、存储与分析,银行卡制卡等。
(四) 软件开发服务,包括非驻场的集中式外包开发、系统测试外包。
其它信息科技外包服务可参照非驻场集中式外包服务进行监管评估管理。
四、银行业金融机构开展非驻场集中式外包服务时,应当加强尽职调查、风险评估和审慎决策,承担外包服务的全部风险管理责任。
五、银行业金融机构应按照《银行业金融机构国别风险管理指引》要求,充分识别服务提供商提供的外包服务国别风险,计提相应风险准备金,确保该类国别风险处于较低水平。对于中资比例低于50%(含)的服务提供商,应严格管理,加强风险评估、监测,并向银监会及其派出机构报告。
六、根据银行业区域性、系统性外包风险防控的需要,银监会及派出机构组织银行业、第三方专业技术力量,实施对非驻场集中式外包服务活动及服务商的监管评估。
七、外包服务商可自愿提出申请,经银监会审核达到附件1所列条件的,将其非驻场集中式外包服务纳入监管评估。对于委托第三方监管评估过程中产生的费用由外包服务商承担。
八、申请纳入监管评估的非驻场集中式外包服务商应签署《外包服务商履行义务承诺书》,履行下述义务:
(一) 遵从银监会信息科技监管政策、规范要求;
(二) 向银监会或其派出机构及时报送与其所开展的银行业信息科技外包服务相关的重大活动及风险信息;
(三) 配合银监会及其派出机构对其所开展的银行业信息科技外包服务的风险监测、现场核查和信息科技风险事件处置;
(四) 按照银监会要求,完成自查和问题整改,防范信息科技风险;
(五) 配合所服务的银行业金融机构对其信息科技外包风险开展检查和评估;
(六) 发生外包服务突发事件时,按照银监会有关要求,向银行业金融机构和银监会及其派出机构报告。
九、跨省(自治区、直辖市)提供服务的外包服务商应向银监会信息科技监管部门提出纳
入监管评估的申请,其他外包服务商向所服务的银行业金融机构所在地银监局提出申请,监管评估申请材料按照附件2、3的要求提交。
十、银监会或其派出机构对外包服务商提交的申请资料初审通过后,委托经认可的、公立的第三方评估机构,对外包服务商的技术保障、风险控制能力进行技术测评。同时,银监会或其派出机构对外包服务商进行现场调查,调查可组织银行业科技外包联合监管平台成员单位、其他银行业金融机构和外部技术专家实施。
十一、综合技术测评和现场调查结果,对审核通过的非驻场集中式外包服务,银监会向外包服务商正式复函确认其纳入监管评估,明确外包服务名称、外包服务类型、监管评估有效期等。银监会派出机构审核通过的外包服务,应向银监会报备。
十二、银监会定期向银行业金融机构发布纳入监管评估的非驻场集中式外包服务名单,并在银监会公布。
十三、银监会对纳入监管评估的非驻场集中式外包服务实行分类管理,包括A、B、C三个类别。
(一) A类服务:服务对象覆盖全国范围内各类银行业金融机构,服务机构数量没有规模约束;
(二) B类服务:服务对象包括除全国性商业银行之外的银行业金融机构,服务机构总数原则上不超过30家,或服务对象是非银行金融机构,服务机构数量没有规模约束;
(三) C类服务:服务对象包括资产规模1000亿元以下的城市商业银行、农村中小金融机构(包括农村商业银行、农村合作银行、农村信用社及村镇银行)及其他非银行金融机构,且服务范围不超过2个省(自治区、直辖市,含),服务机构总数原则上不超过10家。
十四、纳入监管评估的非驻场集中式外包服务,其外包服务商发生以下变更时,应当在变更后一个月内向银监会或其派出机构报告:
(一) 企业名称、注册地、法人、主要投资人变更,重大的组织架构调整、财务变化;
(二) 减少纳入监管评估的外包服务业务种类;
(三) 软件开发服务类外包的服务场所变更。
十五、因服务的银行业金融机构对象变化导致外包服务监管评估隶属关系变化时,外包服务商应向银监局报告,同时抄送银监会,由银监会审核并调整负责监管评估的银监局。
十六、纳入监管评估的非驻场集中式外包服务,其外包服务商新增外包服务业务种类或提高服务类别等级时,应向银监会或其派出机构重新提交监管评估申请;注册资本金中资比例低至50%以下时,外包服务商应向银监会或其派出机构报告;对于国别风险较高的,由银监会取消其纳入监管评估的资格。
十七、纳入监管评估的机房运营和应用系统托管类外包的服务场所变更、符合《银行业金融机构重要信息系统投产及变更管理办法》中应用系统基础架构发生重大变化、重大的基础设施和信息系统升级的,外包服务商应提前30个工作日向银监会或其派出机构报告。
十八、纳入监管评估的非驻场集中式外包服务,其外包服务商应于每年12月31日前向银监会或其派出机构报送如下信息:
(一) 本年度为银行业金融机构提供的非驻场集中式外包服务合同的履约情况;
(二) 本年度对银行业金融机构非驻场集中式外包服务的工作报告,包括服务内容、服务规
模、合同完成情况、服务水平与质量控制,风险制度规范、风险管控机制、基础设施和信息系统的建设、升级情况,下年度外包服务工作安排;
(三) 本年度对非驻场集中式外包的风险自评估报告,包括内、外部审计或第三方机构风险评估报告。
十九、发生如下事件时,纳入监管评估的外包服务商应当立即向银监会或其派出机构报告:
(一) 银行业金融机构的客户信息等敏感数据泄露;
(二) 银行业金融机构的数据损毁或者重要业务运营中断,达到《银行业信息系统突发事件应急管理规范》中突发事件的报告级别;
(三) 由于不可抗力或发生重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(四) 违法违规事件。
二十、银监会或其派出机构每两年对纳入监管评估的非驻场集中式外包服务活动进行现场核查,遇有突发事件或重大风险问题发生时应立即开展现场核查和风险处置。核查可以银监会组织银行业科技外包联合监管平台、委托银行业金融机构或第三方评估、外部审计的形式开展。对于服务质量稳定、连续两次监管评估无重大风险问题的外包服务商,下次监管评估可免予现场核查。
发布评论