銀行保險機構信息科技外包風險監管辦法

中國銀保監會辦公廳關於印發銀行保險機構信息科技外包風險監管辦法的通知

銀保監辦發〔2021〕141號

各銀保監局，各政策性銀行、大型銀行、股份制銀行、外資銀行、直銷銀行、金融資產管理公司、金融資產投資公司、理財公司，各保險集團（控股）公司、保險公司、保險資產管理公司、養老金管理公司、保險專業中介機構：

為進一步加強銀行保險機構信息科技外包風險監管，促進銀行保險機構提升信息科技外包風險管控能力，銀保監會制定了《銀行保險機構信息科技外包風險監管辦法》，現予印發，請遵照執行。

中國銀保監會辦公廳

2021年12月30日

（此件發至銀保監分局與地方法人銀行保險機構）

第一章　總則

第一條 為規範銀行保險機構的信息科技外包活動，加強信息科技外包風險管控，根據《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》《中華人民共和國保險法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規，制定本辦法。

第二條 在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、省（自治區）農村信用社聯合社，保險集團（控股）公司、保險公司、保險資產管理公司、金融資產管理公司適用本辦法。銀保監會及其派出機構監管的其他金融機構參照本辦法執行。

第三條 本辦法所適用的信息科技外包，是指銀行保險機構將原本由自身負責處理的信息科技活動委託給服務提供商進行處理的行為。

銀行保險機構與其他第三方合作當中涉及銀行保險機構重要數據和客戶個人信息處理的信息科技活動，按照本辦法相關要求進行管理，法律法規另有要求的除外。

第四條 銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由於外包而引發的風險。

第五條 銀行保險機構在實施信息科技外包時應當堅持以下原則：

（一）不得將信息科技管理責任、網路安全主體責任外包；

（二）以不妨礙核心能力建設、積極掌握關鍵技術為導向；

（三）保持外包風險、成本和效益的平衡；

（四）保障網路和信息安全，加強重要數據和個人信息保護；

（五）強調事前控制和事中監督；

（六）持續改進外包策略和風險管理措施。

第二章　信息科技外包治理

第六條 銀行保險機構應建立覆蓋董（理）事會、高管層、信息科技外包風險主管部門、信息科技外包執行團隊的信息科技外包及風險管理組織架構，明確相應層級的職責，確保信息科技外包治理架構權責清晰、運轉高效、制衡充分。

第七條 銀行保險機構董（理）事會或其授權設立的專業委員會應負責推動建立信息科技外包及其風險管理體系、審批信息科技外包戰略、審議重大外包決策，高級管理層應負責制定信息科技外包戰略，明確信息科技外包風險主管部門和信息科技外包執行團隊，明確信息科技外包及其風險管理職責，審議信息科技外包管理流程及制度，監控信息科技外包及其風險管理成效。

第八條 銀行保險機構應指定信息科技外包風險主管部門，該部門主要職責包括：

（一）根據機構總體風險政策和外包戰略，制定信息科技外包風險管理策略、制度和流程；

（二）統籌信息科技外包風險的識別、評估、監測、預警、報告及處置工作；

（三）制定保障外包服務持續性的應急管理方案，並定期組織實施演練；

（四）監督、評價外包執行團隊的管理工作，並督促外包風險管理的持續改善；

（五）向董（理）事會（或其專門委員會）或高級管理層匯報信息科技外包相關風險及管理情況。

第九條 銀行保險機構應在信息科技管理部門或信息科技外包活動執行部門內部建立信息科技外包執行團隊，並配備足夠的具有相應能力和經驗的人員履行以下職責：

（一）落實信息科技外包戰略；

（二）執行信息科技外包管理制度與流程；

（三）執行服務提供商準入、盡職調查、服務評價和退出管理工作，建立並維護服務提供商關係管理策略；

（四）持續監測外包服務的水平和質量，及時處理服務提供商出現的相關違規和用戶投訴；

（五）對外包過程中的關鍵管理活動進行監控及分析，定期與信息科技外包風險主管部門溝通外包活動及有關風險情況。

第十條 銀行保險機構應當基於機構的業務戰略、信息科技戰略、總體外包戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略，包括但不限於：外包原則和策略、不能外包的職能、資源能力建設方案等。

第十一條 銀行保險機構應當明確不能外包的信息科技職能。涉及信息科技戰略管理、信息科技風險管理、信息科技內部審計及其他有關信息科技核心競爭力的職能不得外包。

第十二條 銀行保險機構應當建立信息科技外包活動分類管理機制，針對不同類型的外包活動建立相應的管理和風控策略。信息科技外包原則上劃分為諮詢規劃類、開發測試類、運行維護類、安全服務類、業務支持類等類別。

第十三條 銀行保險機構應對信息科技外包活動及相關服務提供商進行分級管理，對重要外包和一般外包採取差異化管控措施。下列信息科技外包活動原則上屬於重要外包：

（一）信息科技工作整體外包，僅保留必要的管理團隊和核心職能；

（二）數據中心（機房）整體外包；

（三）涉及基礎設施和信息系統整體架構發生重大變化的信息科技外包；

（四）核心業務系統開發測試和運行維護的整體外包；

（五）信息科技戰略規劃（含中長期規劃）諮詢外包；

（六）安全運營的整體外包；

（七）涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息的外包；

（八）直接影響實時服務、影響賬務準確性的重要信息系統外包；

（九）其它對機構業務運營具有重要影響的外包。

第十四條 銀行保險機構應考慮重要外包終止的可能性，並制定退出策略。退出策略應至少明確：

（一）可能造成外包終止的情形；

（二）外包終止的業務影響分析；

（三）終止交接安排。

第三章　信息科技外包準入

第十五條 銀行保險機構應當充分評估擬開展的信息科技外包活動與信息科技外包戰略的一致性，充分評估擬開展的信息科技外包活動相關風險，就是否實施外包作出審慎決策。重要外包應至少向高管層報告並經過審批。

第十六條 銀行保險機構應根據信息科技外包戰略，結合風險評估情況，明確服務提供商的準入標準，對備選服務提供商進行篩選，審慎引入集中度風險較高或增加機構整體風險的服務提供商。

第十七條 銀行保險機構應在簽訂契約前，對重要外包的備選服務提供商深入開展盡職調查，必要時可聘請第三方機構協助調查。在服務提供商經營狀況未發生重大變化的前提下，盡職調查結果原則上一年內有效。盡職調查應包括但不限於：

（一）服務提供商的技術和行業經驗，人員及能力；

（二）服務提供商的內部控制和管理能力；

（三）服務提供商的網路和信息安全保障能力；

（四）服務提供商的持續經營狀況；

（五）服務提供商及其母公司或實際控制人遵守國家和銀保監會相關法律法規要求的情況；

（六）服務提供商過往配合銀行保險機構審計、評估、檢查及監管機構監督檢查情況；

（七）服務提供商與銀行保險機構的關聯性。

第十八條 對於符合重要外包條件的非駐場外包，應當進一步重點調查如下內容：

（一）服務提供商對銀行保險機構與其他機構的設施、系統和數據是否有明確、清晰的邊界；

（二）服務提供商是否有管理制度和技術措施保障銀行保險機構數據的完整性和保密性；

（三）服務提供商對涉及銀行保險機構的伺服器、存儲、網路設備、作業系統、資料庫、中間件等軟硬體基礎設施是否具有最高訪問許可權；

（四）服務提供商是否擁有或可能擁有業務系統的最高管理許可權或訪問許可權，是否能夠瀏覽、獲取重要數據或客戶個人敏感信息；

（五）服務提供商是否有完善的災難恢復設施和應急管理體系，是否有業務連續性安排；

（六）服務提供商是否存在不正當競爭或規避監管的情形。

第十九條 銀行保險機構在選擇跨境外包時，應當充分評估服務提供商所在國家或地區的政治、經濟、社會、法律、文化等經營環境。涉及信息跨境存儲、處理和分析的，應遵守我國有關法律法規的規定。

第二十條 對於關聯外包和同業外包，銀行保險機構不得降低對服務提供商的要求，嚴格防範利益衝突和利益輸送。

第二十一條 銀行保險機構在信息科技外包契約或協定中應當明確以下內容，包括但不限於：

（一）服務範圍、服務內容、服務要求、工作時限及安排、責任分配、交付物要求以及後續合作中的相關限定條件，服務質量考核評價約定。

（二）合規、內控及風險管理要求，對法律法規及銀行保險機構內部管理制度的遵守要求，監管政策的通報貫徹機制。

（三）服務持續性要求，服務提供商的服務持續性管理目標應當滿足銀行保險機構業務連續性目標要求。

（四）銀行保險機構對服務提供商進行風險評估、監測、檢查和審計的權利，及服務提供商承諾接受銀保監會對其所承擔的銀行保險機構外包服務的監督檢查。

（五）契約變更或終止的觸發條件，契約變更或終止的過渡安排。

（六）外包活動中相關信息和智慧財產權的歸屬權以及允許服務提供商使用的內容及範圍，對服務提供商使用合法軟、硬體產品的要求。

（七）資源保障條款。

（八）安全保密和消費者權益保護約定，包括但不限於：禁止服務提供商在契約允許範圍外使用或者披露銀行保險機構的信息，服務提供商不得將銀行保險機構數據以任何形式轉移、挪用或謀取外包契約約定以外的利益。

（九）爭端解決機制、違約及賠償條款，跨境外包應明確爭議解決時所適用的法律及司法管轄權，原則上應當選擇中國仲裁機構、中國法院管轄，適用中國法律解決糾紛。

（十）報告條款，至少包括常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。

第二十二條 銀行保險機構應當在契約或協定中明確要求服務提供商不得將外包服務轉包或變相轉包。在涉及外包服務分包時應當要求：

（一）不得將外包服務的主要業務分包；

（二）主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包契約或協定；

（三）主服務提供商對分包服務提供商進行監控，並對分包服務提供商的變更履行通知或報告審批義務。

第四章　信息科技外包監控評價

第二十三條 銀行保險機構應當對外包服務過程進行持續監控，及時發現和糾正服務過程中存在的各類異常情況。

第二十四條 銀行保險機構應當建立明確的信息科技外包服務目錄、服務水平協定以及服務水平監控評價機制，確保相關監控信息和評價結果的真實性和完整性，且數據至少保存到服務結束後三年。

第二十五條 銀行保險機構應當對信息科技外包服務建立服務效能和質量監控指標，並進行相應監控。常見指標包括：

（一）信息系統和設備及基礎設施的可用率；

（二）故障次數、故障解決率、故障的回響時間、故障的解決時間；

（三）服務的次數、客戶滿意度；

（四）業務需求的及時完成率、程式的缺陷數、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率；

（六）網路和信息安全指標、業務連續性指標。

第二十六條 銀行保險機構應當對服務提供商的財務、內控及安全管理進行持續監控，關注其因破產、兼併、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況，防範外包服務意外終止或服務質量的急劇下降。

第二十七條 銀行保險機構監控到信息科技外包服務出現異常情況時，應當及時督促服務提供商採取糾正措施；情節嚴重或未及時糾正的，應當及時約談服務提供商高管人員並限期整改。對於逾期未整改的服務提供商，應當暫停或取消其服務資格，並向銀保監會或其派出機構報告。

第二十八條 對於關聯外包，銀行保險機構董（理）事會和高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業績評價範圍，建立外包服務重大事件問責機制。

第二十九條 銀行保險機構應在信息科技外包服務到期前，就是否繼續外包進行評估決策。外包服務結束時，銀行保險機構應對服務提供商進行評價，評價結果作為服務提供商後續準入的重要參考依據。對具有持續性特點的外包服務，銀行保險機構終止外包或更換服務提供商前，應制定周密的退出和交接計畫。

第五章　信息科技外包風險管理

第三十條 銀行保險機構應建立並持續完善風險管理制度和流程，充分識別並評估信息科技外包可能產生的風險，包括但不限於：

（一）科技能力喪失。過度依賴外包導致失去科技控制及創新能力，影響業務創新與發展。

（二）業務中斷。支持業務運營的外包服務無法持續提供導致業務中斷。

（三）數據泄露、丟失和篡改。因服務提供商的不當行為或其服務的信息系統遭受網路攻擊，導致銀行保險機構重要數據或客戶個人信息泄露、丟失和篡改。

（四）資金損失。因服務提供商的不當行為或其服務的信息系統遭受網路攻擊，導致銀行保險機構客戶資金被盜取。

（五）服務水平下降。由於外包服務質量問題或內外部協作效率低下，使得信息科技服務水平下降。

（六）可能導致的戰略、聲譽、合規等其他風險。

第三十一條 針對可能給業務連續性管理造成重大影響的重要外包服務，銀行保險機構應當事先建立風險控制、緩釋或轉移措施，包括但不限於：

（一）事先制定退出策略和供應鏈安全保障方案，並在外包服務實施過程中持續收集服務提供商相關信息，儘早發現可能導致服務中斷或服務質量下降的情況；

（二）明確措施和方法，在服務提供商服務質量不能滿足契約要求的情況下，保障獲取其外包服務資源的優先權；

（三）要求服務提供商提供必要的應急和災備資源保障，制定應急處理預案並在預案中明確為銀行保險機構提供應急回響和恢復的優先權，原則上應為最高級；

（四）組織服務提供商參與應急計畫編制和應急演練，至少每年在綜合性演練或專項演練中納入一個或多個服務提供商開展一次相關演練；

（五）考慮預先在銀行保險機構內部配置相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。

第三十二條 銀行保險機構應當制定和落實網路和信息安全管理措施，包括但不限於：

（一）對服務提供商和外包人員進行網路和信息安全教育或培訓，增強網路和信息安全意識，服務提供商應與銀行保險機構簽訂安全保密協定，外包人員應簽署安全保密承諾書；

（二）明確外包活動需要訪問或使用的信息資產，按“必需知道”和“最小授權”原則進行訪問授權，嚴格管控遠程維護行為；

（三）對信息系統開發交付物（含擁有智慧財產權的原始碼）進行安全掃描和檢查；

（四）對客戶信息、原始碼和文檔等敏感信息採取嚴格管控措施，對敏感信息泄露風險進行持續監測；

（五）對服務提供商所提供的模型、算法及相關信息系統加強管理，確保模型和算法遵循可解釋、可驗證、透明、公平的原則；

（六）定期對外包活動進行網路和信息安全評估。

第三十三條 銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商，積極採用分散外包活動、注重外包項目智慧財產權保護、提高自身研發運維能力、儲備潛在替代服務提供商等手段，減少對個別外包服務提供商的依賴，降低集中度風險。

第三十四條 銀行保險機構應當對符合重要外包標準的非駐場外包服務進行實地檢查，原則上每三年覆蓋所有重要的非駐場外包服務。對具有行業集中度性質的服務提供商，銀行保險機構可採取聯合檢查、委託檢查等形式，減少重複性工作，減輕服務提供商的檢查負擔。

第三十五條 銀行保險機構每年應當至少開展一次全面的信息科技外包風險管理評估，並向董（理）事會或高級管理層提交評估報告。

第三十六條 銀行保險機構應當開展信息科技外包及其風險管理的審計工作，定期對信息科技外包活動進行審計，至少每三年覆蓋所有重要外包。發生重大外包風險事件後應當及時開展專項審計。銀行保險機構應承擔內部審計職能和責任，內部審計項目可委託母公司或同一集團下屬子公司實施，或聘請獨立第三方實施。

第六章　監督管理

第三十七條 銀行保險機構開展以下信息科技外包活動時，應當在外包契約簽訂前二十個工作日向銀保監會或其派出機構的信息科技監管部門報告（目錄見附屬檔案）：

（一）信息科技工作整體外包；

（二）數據中心（機房）整體外包；

（三）涉及基礎設施和信息系統整體架構發生重大變化的外包；

（四）信息科技戰略規劃（含中長期規劃）諮詢外包；

（五）符合重要外包條件的非駐場外包、關聯外包和跨境外包；

（六）其他銀保監會認為重要的信息科技外包。

第三十八條 銀行保險機構信息科技外包活動中發生以下重大風險事件時，應當按照相關突發事件監管報告要求，向銀保監會或其派出機構報告：

（一）銀行保險機構重要數據或客戶個人信息泄露；

（二）數據損毀或者重要業務運營中斷；

（三）由於不可抗力或服務提供商重大經營、財務問題，導致或可能導致多家銀行保險機構外包服務中斷;

（四）重要外包服務非正常中斷、終止或其服務提供商非正常退出；

（五）因服務提供商不當行為或其服務的信息系統遭受網路攻擊或其他原因，造成銀行保險機構客戶重大資金損失；

（六）發現重大的服務提供商違法違規事件；

（七）銀保監會規定需要報告的其他重大事件。

相關突發事件報告要求中沒有規定的，在24小時內向銀保監會或其派出機構報告。

第三十九條 銀保監會及其派出機構對銀行保險機構信息科技外包風險進行獨立評估，對銀行保險機構信息科技外包工作進行監督和檢查，並納入監管綜合評價體系。對於檢查發現涉嫌違法事項的有關單位和個人，依照相關法律規定實施延伸檢查。

第四十條 銀保監會及其派出機構持續監測銀行業保險業信息科技外包風險狀況，建立行業和區域集中度風險監測與核查機制，對重大或共性風險及時向行業發布風險提示，積極防範因信息科技外包可能引發的區域性、系統性風險。根據風險狀況，銀保監會及其派出機構可以要求銀行保險機構與服務提供商會談，就其外包服務和風險相關的重大事項作出說明。

第四十一條 銀保監會及其派出機構可組織或責令銀行保險機構對承擔銀行保險機構信息科技外包服務的服務提供商進行現場核查，也可由銀行保險機構委託其他第三方機構以審計的形式實施。銀保監會建立信息共享機制，及時向行業通報現場核查情況。

第四十二條 對於經監管評估、監督檢查或現場核查風險較高的信息科技外包服務，銀保監會及其派出機構可以對銀行保險機構採取風險提示、約見談話、監管質詢、要求暫緩和停止相關外包活動等措施。對具有重大違法違規情形的服務提供商，銀保監會可通報行業，必要時將有關情況移交司法機關。

第四十三條 銀行保險機構違反本辦法要求的，銀保監會及其派出機構依法予以糾正，並視情況予以問責或處罰。

第七章　附則

第四十四條 本辦法所稱關聯外包，是指銀行保險機構的母公司或其所屬集團子公司、關聯公司或附屬機構作為服務提供商，為其提供信息科技外包服務的行為。

同業外包，是指依法設立的由銀保監會監管的銀行保險機構為其他同行業金融機構提供外包服務的行為。

跨境外包，是指服務提供商在境外其他國家或地區實施信息科技外包服務的行為。

非駐場外包，是指服務提供商不在銀行保險機構場所提供服務的外包形式。

重要數據，包括但不限於客戶資料、交易數據、商業秘密等，參見國家法律法規和國家標準對重要數據的相關定義。

客戶個人信息和敏感信息，參見國家法律法規和國家標準對個人信息的相關定義。

第四十五條 本辦法由銀保監會負責解釋和修訂。

第四十六條 本辦法自公布之日起施行。《銀行業金融機構信息科技外包風險監管指引》（銀監發〔2013〕5號）、《中國銀監會辦公廳關於加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》（銀監辦發〔2014〕187號）、《中國銀監會辦公廳關於開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》（銀監辦發〔2014〕272號）同時廢止。

一、制定《辦法》的背景和意義是什麼

答：近幾年，銀行保險機構積極開展數位化轉型，在加大科技創新力度、更好地滿足金融消費者需求的同時，對信息科技外包服務的依賴度不斷加大。與此同時，部分銀行保險機構對信息科技外包風險管控不力，因而導致的業務中斷、敏感信息泄露等事件時有發生。此外，部分領域外包服務提供商高度集中，形成了行業集中度風險。為此，按照風險為本的導向，以彌補短板、強化監管為目標，擬通過制定《辦法》，從信息科技外包治理、準入、監控評價、風險管理等方面對銀行保險機構信息科技外包提出要求。

《辦法》的制定出台，將促進銀行保險機構建立並完善信息科技外包治理架構，加強信息科技外包風險管理體系建設，提升信息科技外包風險管控能力，促進銀行保險機構穩健開展數位化轉型工作。

二、《辦法》的主要內容是什麼

答：《辦法》共7章46條，對銀行保險機構信息科技外包風險管理提出全面要求。一是在總則中明確《辦法》的制定目的和依據、適用範圍、一般原則，明確信息科技外包風險管理的總體要求，即銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由於外包而引發的風險。二是在信息科技外包治理中對銀行保險機構的組織和職責、外包戰略、外包禁止、服務提供商管理策略、外包分類、外包分級管理、退出策略等提出明確要求。三是對信息科技外包準入提出監管要求，包括準入前評估、盡職調查、契約等進行了規定，並對非駐場集中式外包、跨境外包、同業和關聯外包提出附加要求。四是明確信息科技外包監控評價要求，對外包過程監控、效能和質量監控、服務監控及評價、服務提供商經營監控、異常糾正、關聯外包評價、外包終止做出規定。五是規範信息科技外包風險管理，對外包風險識別與評估、業務連續性管理、信息安全管理、集中度風險管理、非駐場外包實地檢查、年度風險評估和審計提出要求。六是對監管機構實施外包監督管理做出規定，包括事前報告要求、重大事件報告、監管評估和監督檢查、風險監測、監管幹預、實地核查、監管問責等內容。七是在附則中對名詞定義、解釋權、生效時間和檔案廢止做出規定。

三、《辦法》所規範的信息科技外包行為怎么界定

答：《辦法》所適用的信息科技外包，是指銀行保險機構將原本由自身負責處理的信息科技活動委託給服務提供商進行處理的行為。除了上述外包行為以外，隨著近年來銀行保險機構在各個領域與第三方的合作越來越多，其中不少合作涉及機構重要數據和客戶個人信息處理，為充分保護金融消費者權益，加強第三方合作當中的信息科技風險管理，防止敏感信息泄露和不當使用，對銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數據和客戶個人信息處理的信息科技活動，需按照《辦法》相關要求進行管理。

四、銀行保險機構實施信息科技外包應當遵循哪些原則

答：《辦法》規定，銀行保險機構在實施信息科技外包時應當堅持以下原則：（一）不得將信息科技管理責任、網路安全主體責任外包；（二）以不妨礙核心能力建設、積極掌握關鍵技術為導向；（三）保持外包風險、成本和效益的平衡；（四）保障網路和信息安全，加強個人信息保護；（五）強調事前控制和事中監督；（六）持續改進外包策略和風險管理措施。

五、《辦法》是否會提高服務提供商的準入門檻

答：《辦法》所約束的對象是銀保監會監管的銀行保險機構，對所有服務提供商一視同仁，沒有新增任何其他準入門檻，銀行保險機構自主決定服務提供商的選擇標準和準入方式。

六、銀行業之前有專門的信息科技外包風險監管指引，《辦法》發布後之前的監管指引是否還繼續有效

答：《辦法》自發布之日起實施，《銀行業金融機構信息科技外包風險監管指引》（銀監發〔2013〕5號）、《中國銀監會辦公廳關於加強銀行業金融機構非駐場集中式外包風險管理的通知》（銀監辦發〔2014〕187號）、《中國銀監會辦公廳關於開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》（銀監辦發〔2014〕272號）同時廢止。