发布时间 : 星期六 文章中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外更新完毕开始阅读1dbe788ea31614791711cc7931b765ce04087a4d
局。
十六、纳入监管评估的非驻场集中式外包服务,其外包服务商新增外包服务业务种类或提高服务类别等级时,应向银监会或其派出机构重新提交监管评估申请;注册资本金中资比例低至50%以下时,外包服务商应向银监会或其派出机构报告;对于国别风险较高的,由银监会取消其纳入监管评估的资格。
十七、纳入监管评估的机房运营和应用系统托管类外包的服务场所变更、符合《银行业金融机构重要信息系统投产及变更管理办法》中应用系统基础架构发生重大变化、重大的基础设施和信息系统升级的,外包服务商应提前30个工作日向银监会或其派出机构报告。
十八、纳入监管评估的非驻场集中式外包服务,其外包服务商应于每年12月31日前向银监会或其派出机构报送如下信息:
(一)本年度为银行业金融机构提供的非驻场集中式外包服务合同的履约情况; (二)本年度对银行业金融机构非驻场集中式外包服务的工作报告,包括服务内容、服务规模、合同完成情况、服务水平与质量控制,风险制度规范、风险管控机制、基础设施和信息系统的建设、升级情况,下年度外包服务工作安排;
(三) 本年度对非驻场集中式外包的风险自评估报告,包括内、外部审计或第三方机构风险评估报告。
十九、发生如下事件时,纳入监管评估的外包服务商应当立即向银监会或其派出机构报告:
(一)银行业金融机构的客户信息等敏感数据泄露;
(二)银行业金融机构的数据损毁或者重要业务运营中断,达到《银行业信息系统突发事件应急管理规范》中突发事件的报告级别;
(三)由于不可抗力或发生重大经营、财务问题,导致或可能导致多家银行业金融机构 5 / 7
外包服务中断;
(四) 违法违规事件。
二十、银监会或其派出机构每两年对纳入监管评估的非驻场集中式外包服务活动进行现场核查,遇有突发事件或重大风险问题发生时应立即开展现场核查和风险处置。核查可以银监会组织银行业科技外包联合监管平台、委托银行业金融机构或第三方评估、外部审计的形式开展。对于服务质量稳定、连续两次监管评估无重大风险问题的外包服务商,下次监管评估可免予现场核查。
二十一、银监会或其派出机构对纳入监管评估的非驻场集中式外包服务进行风险评级评价,于次年2月10日前形成年度监管评估报告,由银监会统一向银行业公布。 二十二、对监管评估中发现的问题,银行业金融机构应督促外包服务商完成整改。对管控不力、风险隐患突出的外包服务商,由银监会在银行业内警示通报,银行业金融机构应当审慎安排与其外包合作。
二十三、外包服务商存在以下情形的,由银监会取消其服务纳入监管评估的资格,且五年内不接受其外包服务纳入监管评估的申请: (一)违反国家法律、法规和监管政策;
(二)未履行接受监管评估的承诺和义务,多次提示仍未整改; (三)窃取、泄露银行业金融机构敏感信息;
(四)因管理过失,连续两年发生重要信息系统服务中断或数据损毁、丢失、泄露事件,按照《银行业信息系统突发事件应急管理规范》两起(含)以上达到重大级别或三起(含)以上达到较大级别;
(五)服务质量低下并给多家银行业金融机构造成损失,多次提示仍未整改; (六)现场核查发现问题逾期仍未整改的;
(七)因管理过失或服务质量低下被三家(含)以上银行业金融机构投诉; 6 / 7
(八)存在非法经营或其他违法、违规行为。
二十四、银行业金融机构应逐步终止与被取消监管评估资格的外包服务商间的合作;终止外包服务合同时,应做好数据接收工作。
二十五、银行业金融机构应当参照非驻场集中式外包服务监管评估要求,加强对未纳入监管评估的非驻场集中式外包服务的风险管理,深入开展尽职调查,建立全面的外包服务质量、风险监测指标和风险管理程序,应至少每两年进行一次现场的风险评估并向银监会或其派出机构报告。
二十六、对未纳入监管评估的非驻场集中式外包服务,银监会及其派出机构应当加强对银行业金融机构的监督,每年进行抽查或现场检查,检查结果纳入对银行业金融机构的信息科技监管评级。因外包管理不力,发生重要信息系统服务中断或数据损毁、丢失等事件的,或监管检查发现有较大风险的,应降低银行业金融机构信息科技监管评级级别并追究责任。
7 / 7