SZJGSZJG47-2014金融機構信息技術外包風險管理規范2014-01-06發布2014-06-01實施深圳市市場監督管理局發布I 本規范由金融服務業標準聯盟提出。本規范由深圳市市場監督管理局歸口。范金融業信息技術外包風險，依照中國銀行業監督管理委員會印發的《商業銀行信息科技風險管理指引》（銀監發[2009]19號）、《銀行業金融機構外包風險管理指引》（銀監發[2010]44會印發的《保險公司信息系統安全管理指引（試行）》（保監發[2011]68號）、中國證券監督本規范規定了金融機構信息技術外包風險管理的的總體要求、管理職責、管理制度、評估與決策、服務提供商選擇、外包合同管理、持續監控管理、跨境外包與審計。本規范適用于深圳市金融服務機構以及為其提供信息技術服務的供應商。下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19000-2008質量管理體系基礎和術語(ISO9000:2005，IDT)GB/T19001—2008質量管理體系要求(ISO9001:2008，IDT)GB/T22080-2008信息技術安全技術信息安全管理體系要求(ISO/IEC27001:2005，IDT)GB/T22081-2008信息技術安全技術信息安全管理實用規則(ISO/IEC27002:2005，IDT)SZDB/78-2013金融機構信息技術服務外包質量管理規范下列術語和定義適用于本規范。注：常見的外包服務形態有信息技術咨詢服務、設計與開發服務、信息系統集成服務、數據處理和運營服24.1金融機構應根據內外部的環境和市場狀況擬定其信息技術外包的發展規劃、策略，4.2金融機構可按照服務外包的性質和重要程度對信息技術外包服務提供商進行分級管a）審議批準信息技術外包的戰略發展規劃；b）審議批準信息技術外包風險管理的政策、操作流程和內控制度；c）審議批準本機構的外包范圍及相關安排；d）定期審閱本機構外包活動的有關報告；e）定期安排內部審計，確保審計范圍涵蓋所有的外包安排。a)制定信息技術外包戰略發展規劃；b)制定信息技術外包風險管理的政策、操作流程和內控制度；c)確定信息技術外包業務的范圍及相關安排；d)確定信息技術外包管理團隊職責，并對其行為進行有效指導、管理和監督。a)執行外包風險管理的政策、操作流程和內控制度；b)負責外包活動的日常管理，包括外包需求分析、盡職調查、合同執行情況監督及風險狀況的監控等；c)向高級管理層提出有關外包活動發展和風險管控的意見和建議；d)發現服務提供商業務活動存在缺陷時，采取及時有效的措施；e)高級管理層確定的其他職責。6.1金融機構應根據其信息技術外包策略制定信息技術外包管理制度、流程6.2金融機構應定期對信息技術外包工作的實施成效進行全面評價和總結，6.3金融機構應建立全面的外包風險評估、控制機制，將信息技術外包風險在開展信息技術外包前，金融機構應對外包項目的可行性、風險情況等7.2.1金融機構應確保評估階段所發現的風險在實施外包前已得到妥善7.2.2金融機構在實施外包管理時，應根據信息技術外包項目的風險級7.2.3金融機構信息技術外包相關決策人員應根據評估結果及相應風險a)擬外包工作的交易量以及對于金融機構的重要性、關鍵性；b)擬外包工作涉及數據的敏感性及是否涉及到客戶信息處理的轉移；c)潛在服務提供商的專業水平、風險管理水平及可持續服務能力；d)金融機構對于擬外包工作的評價和監控能力；e)服務提供商未能按要求完成外包工作時對金融機構的財務、聲譽、經營造成的影響；f)外包服務意外中止時對于金融機構的影響以及可能的應急處理措施；g)其他認為需要關注的重要事項。a)信息技術工作整體外包；b)數據中心、災備中心整體外包；4c)涉及將金融機構客戶資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息技術外包；d)以非駐場服務形式實施的、涉及集中存儲客戶數據的業務交易系統外包；e)信息安全審計；f)跨境外包；g)其他一旦外包服務意外終止，短時間內就有可能對金融機構的業務運營、管理、聲譽或者安全產生嚴重、顯著影響的外包安排；h)其他在評估階段被金融機構認為是高風險級別的信息技術外包項目；i)其他金融監管機構認為是重要信息技術的外包項目。a)擬外包工作的范圍；b)外包服務水平的要求以及外包工作的標準；c)服務提供商的最低要求；d)外包監控和報告要求；e)服務開始及服務中止時過渡安排；f)合同的期限、終止和轉讓；g)賠償、保險等合同責任條款方面的要求。8.1在進行信息技術外包項目風險評估以及外包決策后，金融機構應對待選的a)在滿足金融機構需求所需的服務及支持技術方面的經驗和能力；b)在金融機構擬外包工作領域上的行業地位以及經驗；c)經營聲譽及企業文化；d)其指派的為機構提供服務的主要崗位人員的技能、經驗、穩定性等情況；e)對于服務中斷的應急處理能力；f)在擬外包工作方面的內部控制情況；g)在擬外包工作方面信息安全管理情況；h)對金融行業的熟悉程度；i)對其他金融機構提供服務的情況；j)財務狀況。8.3對于重要的信息技術外包，必要時金融機構可考慮采取以下措施了解服務a)指派內部人員開展現場調查；b)要求服務提供商提供相關獨立的專業第三方機構完成的信息安全審查、內部控制審查、財務審計報告；c)邀請獨立的專業第三方機構對服務提供商就信息技術外包領域的相關情況進行調8.4對于服務提供商為金融機構的母公司或其所屬集團設立在中國境內、外的8.5對于持續性信息技術外包項目，金融機構應定期對服務提供商進行調查，9.1金融機構應建立正式的信息技術外包合同草擬、審定及審批流程，確保信息技術外9.2金融機構開展信息技術外包活動時應當與服務提供商簽訂書面合同或協議，并根據a)信息技術外包服務的內容和方式。包括但不限于金融機構要求服務提供商實施的具體工作及時限，交付物要求、配套服務要求，變更服務內容的權力及途徑等；b)績效標準。包括但不限于最低服務級別要求以及當不能滿足合同要求時的處理措c)信息技術外包服務的安全性及保密性的安排。包括但不限于要求服務提供商按照“必須知道”和“最小授權”原則對相關人員授權、與服務提供商簽署保密協議或保密條款、禁止服務提供商非授權披露或使用金融機構及其客戶的信息、及時向金融機構報告安全漏洞或安全事件、要求服務提供商督促包括其員工、臨時工、代理等在內的相關人員遵守保密規定等；d)對服務提供商的控制要求。包括但不限于法律法規的遵從要求、監管制度的通報貫徹機制、對服務提供商內部控制的基本要求、金融機構訪問服務提供商工作記錄的要求、對服務提供商技術及管理上重要變動的通知及審批要求、溝通及報告機制的e)外包服務的審計和檢查要求。包括但不限于金融機構有權收到的審查報告的種類、對服務提供商審計或檢查的開展頻率和方式、對服務提供商日常外包服務工作檢查的權力及方式、金融機構及其監管機構開展相關審查及獲得審查結果的權力和基本f)信息技術外包的費用安排。g)信息技術外包服務的報告要求；h)知識產權及信息所有權的約定；i)外包服務的業務連續性安排；j)包括通知、審批在內的分包相關約束要求及轉包的限制條款；k)合同的期限、合同終止的條件以及合同終止或變更時的過渡安排；l)爭端的解決機制；m)罰則及充分的賠償要求。a)定期通報外包活動的有關事項，及時通報外包活動的突發性事件；b)配合金融機構接受相關監督管理機構的檢查；c)及時根據金融機構要求以認可的方式改正及改進檢查中發現的問題及不足；6d)保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，金融機構有權隨時終止外包合同；e)不得以金融機構的名義開展活動；f)不得將外包服務轉包或變相轉包，不將外包服務主要業務分包。對于存在分包情況的，主服務提供商需對服務水平負總責，承諾對分包商進行監控，并對分包商的變更履行通知或報告審批義務，以確保分包服務提供商能夠嚴格遵守外包合同或協9.4金融機構在進行信息技術外包時應當根據其預先確認的服務要求與服務提供商簽訂a)外包服務的關鍵要素；b)服務時效以及可用性；c)數據的機密性和完整性；d)變更的控制；e)安全標準的遵守情況；f)業務連續性的遵守情況；g)技術支持水平。9.5金融機構應注意監管法律、法規、規章和規范性文件的規定等對外包工作產生影響a)服務水平協議的有關要求；b)合同中的一些關鍵要素；c)外包監控開展的方式和頻率；d)監控結果的報告流程；e)出現問題時的升級流程；f)實施外包監控時與服務提供商的爭議解決程序；g)跟蹤服務提供商對外包服務進行改進的措施；h)服務終止程序。機構應確保外包監控覆蓋了信息技術外包合同中的一些關鍵要素，對于重a)信息系統或設備及基礎設施的可用率、設備的開機率；b)故障次數、故障解決率、故障響應時間；c)服務的次數、服務的客戶滿意度；d)業務需求的及時完成率、程序的缺陷數；e)外包服務的總人時、外包人員的考核質量、外包人員的離職率。10.2.5金融機構應對相關服務提供商就其所提a)要求服務提供商定期向金融機構就外包工作相關的信息安全及內控情況做出報告，并要求其承諾對報告的真實性負責；b)要求服務提供商指派符合資質的內部人員開展相關審查工作，并及時向金融機構提供有關報告。采取這一形式時，金融機構關注服務提供商內部審查人員的技術水平、專業經驗、履職能力及審查的獨立性；c)要求服務提供商邀請專業第三方機構開展相關審查工作，并及時向金融機構提供有d)金融機構指派內部專業人員或邀請外部專業第三方對服務提供商就信息技術外包相關領域的信息安全及內部控制情況進行審查。a)與服務提供商進行定期的溝通，就問題進行討論，協助及督促服務提供商進行問題b)視問題的重大程度，根據有關監管要求向監管部門進行報告；c)根據問題的性質依據預案啟動外包應急處理措施；d)根據合同規定實施罰則；e)根據合同規定終止外包服務，并做好過渡期的安排。8a)在外包服務實施的過程中持續收集服務提供商相關信息，盡早發現可能導致服務中斷的情況；b)與服務提供商事先約定在意外情況下購買其外包服務資源的優先權；c)要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；d)對于涉及重要的業務的外包服務，金融機構需考慮預先在其內部配置相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。10.4.2金融機構應針對重要外包服務中斷的a)事件場景，如重要人員流失導致服務無法持續，服務提供商主動退出，因資質變更、被收購、兼并或破產等原因導致的服務提供