銀行業金融機構信息科技外包風險

① 銀行信息科技如何發揮引領作用

1. 發布《中資商業銀行行政許可事項實施辦法》。在簡政放權的大背景下，《辦法》對很多准入條件進行了刪減，但對信息科技的准入標准反而有所加強，對機構設立、業務准入等都提出了明確的信息科技核準的條件。首次將首席信息官（CIO）納入商業銀行高級管理層，對其任職資格制定了標准。這顯示了銀監會對商業銀行信息科技風險的重視，強調了信息科技風險管控前移至准入關口的機制安排。

2. 推動成立信息科技外包風險聯合監督平台和外包合作自律組織。銀監會出台了《銀行業金融機構信息科技外包風險監管指引》，開展外包風險的專項治理工作，以提高銀行業信息科技外包風險的防範能力。

3. 建立銀行業自主可控信息技術創新戰略聯盟。推動銀行機構、企業和大學把資源聯合起來，圍繞國產信息技術應用落地的關鍵問題開展技術合作，實施技術轉移，加快科技成果的商業化運用，以應用和市場需求倒逼技術創新，培育國產信息技術在銀行業發展應用的良性生態環境。

4. 守住信息安全底線。科技與金融的融合，以信息科技為基礎和核心，信息安全是構建互聯網金融信任體系的基石。2013年以來，銀行業信息科技突發事件數量有所下降。雖然突發事件不可預知，但某些事件源起於管理疏漏，說明銀行在增強內控、提高責任心方面要投入更多精力。

5. 開展信息科技頂層設計。不謀萬世者不足謀一時，不謀全局者不足謀一域。當前信息科技工作很多矛盾的根源在於缺乏頂層設計，無論是重建設輕管理、重開發輕運維的矛盾，還是業務和科技脫節，創新不足的問題，都源於此。

6. 改革發展沒有止境，科技創新沒有盡頭。銀行業在牢牢守住信息安全底線、切實開展科技頂層設計、全面激發自主創新活力的總體要求下，加強科技引領作用，不斷提高銀行業整體競爭實力，增強風險抵禦能力，切實推動「自主可控、持續發展、科技創新」三大戰略目標的實現，使信息科技工作引領銀行業走向下一個輝煌。
   

② 銀行信息科技風險應該如何管控

銀行業的外包風險管理是近幾年銀行監管的重點，銀監會為此先後發過幾回個文：
《中國銀答監會辦公廳關於開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》；
《銀行業金融機構信息科技外包風險管理指引》；
《中國銀監會辦公廳關於加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》；
這幾份文件都對如何實施信息科技風險管理起到指導性意見，可以進行參考。
實施供應商的風險管理可以從供應商服務的全生命周期入手，在供應商准入、供應商采購和合同、供應商服務監控、服務結束/終止、績效評估各個階段分別實施管理和技術方面的管理。

如果還需要更細化的操作方式可以找咨詢機構幫忙，安言咨詢有專門負責銀行業的總監應該能幫到你。

③ 銀行業信息科技非駐場集中式外包服務納入監管評估哪個單位負責

銀行業的外包復風險管理是近幾制年銀行監管的重點，銀監會為此先後發過幾個文： 《中國銀監會辦公廳關於開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》； 《銀行業金融機構信息科技外包風險管理指引》； 《中國銀監會辦公廳關於加...9994

④ 銀行業金融機構信息系統風險管理指引的主要要求是什麼

機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構，完善內部組織結構和工作機制，防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責：
（一）貫徹執行國家有關信息系統管理的法律、法規和技術標准，落實銀監會相關監管要求；
（二）建立有效的信息安全保障體系和內部控制規程，明確信息系統風險管理崗位責任制度，並監督落實；
（三）負責組織對本機構信息系統風險進行檢查、評估、分析，及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息；
（四）及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件，並按有關預案快速響應；
（五）每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告；
（六）做好本機構信息系統審計工作；
（七）配合銀監會及其派出機構做好信息系統風險監督檢查工作，並按照監管意見進行整改；
（八）組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓；
（九）開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理；信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略，統籌信息系統項目建設，定期評估、報告本機構信息系統風險狀況，為決策層提供建議，採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門，統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控，提供日常科技服務和運行技術支持；建立或明確專門信息系統風險管理部門，建立、健全信息系統風險管理規章、制度，並協助業務部門及信息科技部門嚴格執行，提供相關的監管信息；設立審計部門或專門審計崗位，建立健全信息系統風險審計制度，配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求：
（一）具備良好的職業道德，掌握履行信息系統相關崗位職責所需的專業知識和技能；
（二）未經崗前培訓或培訓不合格者不得上崗；經考核不適宜的工作人員，應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設，建立人才激勵機制，適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃，制定明確、持續的風險管理策略，按照信息系統的敏感程度對各個集成要素進行分析和評估，並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅，防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等；明確與信息系統相關人員的職責許可權，建立制約機制，實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構，應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准，參照有關國際准則，積極推進信息安全標准化，實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試，及時進行修補和更新，以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准，省域數據中心至少應達到國家B類機房標准，省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施，未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護，使用正版軟體，加強軟體版本管理，優先使用具有中國自主知識產權的軟、硬體產品；積極研發具有自主知識產權的信息系統和相關金融產品，並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程，選用的設備應經過技術論證，測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設；網路設備應兼備技術先進性和產品成熟性；網路設備和線路應有冗餘備份；嚴格線路租用合同管理，按照業務和交易流量要求保證傳輸帶寬；建立完善的網管中心，監測和管理通信線路及網路設備，保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離；加強無線網、互聯網接入邊界控制；使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段，有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理，不得脫離系統採集加工、傳輸、存取數據；優化系統和資料庫安全設置，嚴格按授權使用系統和資料庫，採用適當的數據加密技術以保護敏感數據的傳輸和存取，保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取許可權、方式和授權使用范圍，嚴格審批和登記手續。

第二十九條 銀行業金融機構應制定信息系統應急預案，並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存，省域數據中心至少實現異地數據實時備份，全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理；技術文檔資料和重要數據應保留副本並異地存放，按規定年限保存，調用時應嚴格授權。信息系統的技術文檔資料包括：系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括：交易數據、賬務數據、客戶數據，以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時，應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組，重大項目還應成立項目領導小組，並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成，具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識，小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略，在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境，以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷，提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃，並進行演練。

第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護，除應急外，其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求：
（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；
（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日誌的查詢等；
（三）提供機房環境、設備使用、網路運行、系統運行等監控信息；
（四）記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求：
（一）除對信息系統設備和系統環境的維護外，對軟體或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過櫃員終端，不得對資料庫進行直接操作；
（二）具備各種詳細的日誌信息，包括交易日誌和審計日誌等，以便維護和審計；
（三）提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求：
（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，並遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；
（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；
（三）應採用軟體工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；
（四）軟體版本變更後應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內，應組織對系統的後評價，並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報並處理，必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時，應根據風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關規章制度，制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質，具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同，明確雙方的權利、義務，並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響，並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序，審慎管理外包產生的風險，提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略，並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制，並制定在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統，以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時，應遵守國家有關法律法規，符合銀監會的有關規定，經過董事會或其他決策機構批准，並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。

⑤ IT外包有何風險及如何防範

在控制it外包風險與安全方面，做到心中有底、手中有招、控制有術，建立事前預防、事中控制、事後監督的三道防線。（一）事前預防
在日常工作中，各種外包風險的前期預兆是會表現出來的，關鍵是沒有及時發現，馬上糾正或是對發現的問題思想麻痹，錯誤擴大化變成案件，形成損失並為糾正錯誤付出高昂代價。因此，把風險消滅在萌芽狀態，才是風險控制的重點。
1、制定IT業務外包戰略。銀監會頒布的《銀行信息科技風險管理指引》和《商業銀行外包風險管理指引》中對外包業務都提出了要求，重點考慮IT業務外包要能促進公司的科技業務發展、信息系統安全運營和科技業務管理水平，緊密配合公司業務發展規劃，全面權衡外包的利益與風險，決定將哪些IT業務外包，制定IT業務外包戰略規劃。
2、建立IT業務風險與安全管理體系。體系制定要做到統一框架，統一標准、統一措施、統一監督管理，內容由IT業務風險與安全管理策略、管理制度與規范、技術標准、指引、流程、操作手冊等組成。通過制定風險與安全管理體系，指導公司IT業務風險與安全管理工作的開展，使其符合國際、國內的有關安全標准和我國的法律法規；在公司內部形成一個信息科技風險與安全管理機制，確保落實，保護公司所有信息科技資源和資產的安全；明確信息系統的防護、檢測和應急恢復等各項信息科技風險與安全管理指標、原則和違規行為的處理措施；對與公司合作組織、商業夥伴、承包商和服務提供者提出相關的安全約束。項目管理者聯盟
3、做好IT業務風險與安全的認知與培訓。通過舉辦培訓班、研討會、發送郵件、贈送報刊等方式，為公司科技人員和業務人員提供IT業務風險與安全方面知識的培訓，通過持續不斷的培訓學習，掌握本公司IT業務風險與安全管理制度規范，提高全員風險與安全防範意識，積極參與信息科技風險與安全防範工作中，形成全員參與信息科技安全管理的風險管理文化。
4、建立IT業務外包供應商信息管理系統，設計科學、全面的風險指標評估體系。西格瑪中有句名言：有什麼樣的指標、就有什麼樣的結果。建立科學的IT業務外包供應商評估指標體系，有利於統一供應商與銀行的IT業務發展目標。該指標體系需要從質量、成本、交付、服務、技術、資產、流程這些方面入手，確定外包供應商成立及上市時間、行業經驗、規模、安全、人力、財務、問題響應時間、是否有產品保險、企業文化以及各種認證等重點內容，詳細設計3K（KCS、KCSA和KRI）指標，每一項指標都要給出相應的分值區間，通過建立外包供應商信息管理系統，把設計的評估指標納入系統中，詳細記錄外包供應商及其供應鏈上的各方面信息，通過系統統計分析，從而科學有效的評估外包供應商的服務能力。
（二）事中控制
銀行與外包合作商簽署合同，項目正式進入合作操作階段，在日常IT項目運營過程中，銀行作為甲方應做好如下幾方面的工作。
1、認真執行制度、不斷完善制度
從出現的有關銀行計算機系統風險安全與犯罪案件分析中，大多數都是因為沒有章不循，沒有按制度辦事，按業務處理流程辦事造成的，這就要求銀行加強對制度執行嚴肅性的管理，違章必究，否則制定的各項制度規范形同虛設，起不到應用的作用。同時，還要注意IT業務外包供應商風險與安全管理制度規范建設與信息系統同步規劃、同步建設、同步管理，能緊隨銀行信息科技業務的發展、環境的變化、中心工作的更替、創新的要求，及時得到調整、修訂和補充。
2、選擇適合自己的外包供應商，簽署合作合同
簽署合同是IT業務外包不可避免的風險。因此，根據前期對市場的調研分析，搜集的供應商信息，尋找合格的IT服務供應商，詢價和報價，通過招投標方式，建立適合公司科技與業務經營發展需要的供應商，並協同法律部門做好外包合同文本的制定和簽署，合理規避和防範合同風險的發生。
3、加強與外包供應商的合作與交流
一旦項目簽署合同開始啟動，銀行作為甲方要提供項目研發辦公條件，盡快讓外包商到行里來工作，向同事一樣給予相關方面的必要幫助。同時，銀行科技人員以及業務人員要參與到項目建設中，既可以讓自己的技術和業務人員與外包公司技術人員熟悉、了解掌握產品技術性能和業務功能，便於項目研發過程中問題的溝通交流，還可以全程對項目進度、質量進行跟蹤，以便於在規定的時間內，高質量的完成軟體項目的研發投產，讓項目利益所有者都滿意。
4、建立外包供應商服務評價體系
因很多外包公司特別是跨國公司，外包、分包普遍存在，也就降低了供應鏈的透明性和可追溯性，有意無意的形成漏洞，加大了供應鏈風險。所以，要採取日常業績跟蹤和階段性評比方法，更加深入的了解外包供應商及其供應鏈的一些情況，避免信息不對稱，便於更好地建立外包供應商信息管理系統，根據有關業績的跟蹤記錄，對供應商的業績表現進行綜合考核，全面、正確的評價外包商工作情況。
5、做好項目建設的計劃與控制
為避免人員頻繁變動、項目延期、交付的技術文檔不齊全及系統上線後支持服務跟不上等現象。要求銀行科技人員與外包項目經理及項目組成員建立項目進度與質量控制溝通機制（如周例會、項目周報、問題跟蹤管理報告等），定期監測與度量項目進展情況，識別有否偏離計劃之處，及時發現問題、反饋問題、了解原因、解決問題，確保實現項目目標。
6、建立應急管理機制，保持業務持續性
你不能防範每種風險，但是你卻可以迅速發現問題，並提前思考解決方法，動員所有的選擇，這才是風險與安全管理的精髓。銀行要制定可行的外包供應商應急管理計劃，項目外包會使得銀行對外包供應商產生依賴，如果外包供應商不能如期履行合同，而導致銀行業務中斷所引起的後果必須高度重視。這就需要銀行要嚴格審查外包供應商提供的執行方案，並針對外包供應商不履行合同或者發生緊急事件制定應急應對方案。
（三）事後監督
外包項目完成後，銀行相關職能部門應做好對外包項目從立項、招投標、建設、投產使用等全過程進行檢查審計，主要做好如下幾方面工作。
1、與完善規章制度相結合，實現各項工作制度化
在事後監督檢查過程中，加強檢查IT業務外包制度是否建立健全、科學有效、符合工作實際，不斷完善規章制度，使外包各項工作有章可依，工作制度化。
2、與獎懲相結合，維護法規與制度的嚴肅性
適當的處罰，能促進責任人改正錯誤，增強法律法規觀念，更好的促進工作，依據制定的IT業務外包風險與安全管理制度規范，檢查項目外包實施過程中各項工作是否按制度辦事，針對檢查出來的問題，要查明原因，對於不按制度辦事的違章行為要給予處罰，做的好的要表彰，做到獎罰分明，維護制度的嚴肅性。
3、與內審計相結合，制定外審策略
在做好內審的同時，也可以邀請外審機構對外包商以及外包供應鏈上公司的風險與安全管理能力等進行全面的評估。
4、與規范化管理相結合，實現業務操作程序化
事後監督工作要深入到科技業務一線，認真執行規范化操作規程，從細節入手，查找不足、堵塞漏洞，促進外包供應商管理制度化、程序化、規范化。
5、與IT服務內容相結合，做好多外包商的監督管理
監督、定期重新評估外包風險，並把所搜集信息和評估結果納入外包供應商信息系統管理，通過合同和SLA協議管理供應商，要注重周期性地審查外包合同，並根據環境和銀行業務發展的需要及時修改合同、重新設定外包服務標准。
總的來說，it外包要在國家法律法規和公司的制度規范內展開，要建立健全IT業務外包過程中信息披露和檢查監督及考核機制，建立一個功能完善的外包供應商信息管理系統，有效防範IT業務外包風險，確保信息安全。
參考資料： http://www.ppwaibao.com/news/details.php?id=132

⑥ 商業銀行信息科技風險管理指引的第八章 外包管理

第五十五條 商業銀行不得將其信息科技管理責任外包，應合理謹慎監督外包職能的履行。
第五十六條 商業銀行實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在准備實施重要外包時應以書面材料正式報告銀監會或其派出機構。
第五十七條 商業銀行在簽署外包協議或對外包協議進行重大變更前，應做好相關准備，其中包括：
（一） 分析外包是否適合商業銀行的組織結構和報告路線、業務戰略、總體風險控制，是否滿足商業銀行履行對外包服務商的監督義務。
（二） 考慮外包協議是否允許商業銀行監測和控制與外包相關的操作風險。
（三） 充分審查、評估外包服務商的財務穩定性和專業經驗，對外包服務商進行風險評估，考查其設施和能力是否足以承擔相應的責任。
（四） 考慮外包協議變更前後實施的平穩過渡（包括終止合同可能發生的情況）。
（五） 關注可能存在的集中風險，如多家商業銀行共用同一外包服務商帶來的潛在業務連續性風險。
第五十八條 商業銀行在與外包服務商合同談判過程中，應考慮的因素包括但不限於：
（一） 對外包服務商的報告要求和談判必要條件。
（二） 銀行業監管機構和內部審計、外部審計能執行足夠的監督。
（三） 通過界定信息所有權、簽署保密協議和採取技術防護措施保護客戶信息和其他信息。
（四） 擔保和損失賠償是否充足。
（五） 外包服務商遵守商業銀行有關信息科技風險制度和流程的意願及相關措施。
（六） 外包服務商提供的業務連續性保障水平，以及提供相關專屬資源的承諾。
（七） 第三方供應商出現問題時，保證軟體持續可用的相關措施。
（八） 變更外包協議的流程，以及商業銀行或外包服務商選擇變更或終止外包協議的條件，例如：
1. 商業銀行或外包服務商的所有權或控制權發生變化。
2. 商業銀行或外包服務商的業務經營發生重大變化。
3. 外包服務商提供的服務不充分，造成商業銀行不能履行監督義務。
第五十九條 商業銀行在實施雙方關系管理，以及起草服務水平協議時，應考慮的因素包括但不限於：
（一） 提出定性和定量的績效指標，評估外包服務商為商業銀行及其相關客戶提供服務的充分性。
（二） 通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。
（三） 針對績效不達標的情況調整流程，採取整改措施。
第六十條 商業銀行應加強信息科技相關外包管理工作，確保商業銀行的客戶資料等敏感信息的安全，包括但不限於採取以下措施：
（一） 實現本銀行客戶資料與外包服務商其他客戶資料的有效隔離。
（二） 按照「必需知道」和「最小授權」原則對外包服務商相關人員授權。
（三） 要求外包服務商保證其相關人員遵守保密規定。
（四） 應將涉及本銀行客戶資料的外包作為重要外包，並告知相關客戶。
（五） 嚴格控制外包服務商再次對外轉包，採取足夠措施確保商業銀行相關信息的安全。
（六） 確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。
第六十一條 商業銀行應建立恰當的應急措施，應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協議的意外終止。
第六十二條 商業銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業銀行應設立流程定期審閱和修訂服務水平協議。

⑦ 商業銀行信息科技風險管理指引的第三章 信息科技風險管理

第十四條 商業銀行應制定符合銀行總體業務規劃的信息科技戰略、信息科技運行計劃和信息科技風險評估計劃，確保配置足夠人力、財力資源，維持穩定、安全的信息科技環境。
第十五條 商業銀行應制定全面的信息科技風險管理策略，包括但不限於下述領域：
（一） 信息分級與保護。
（二） 信息系統開發、測試和維護。
（三） 信息科技運行和維護。
（四） 訪問控制。
（五） 物理安全。
（六） 人員安全。
（七） 業務連續性計劃與應急處置。
第十六條 商業銀行應制定持續的風險識別和評估流程，確定信息科技中存在隱患的區域，評價風險對其業務的潛在影響，對風險進行排序，並確定風險防範措施及所需資源的優先順序別（包括外包供應商、產品供應商和服務商）。
第十七條 商業銀行應依據信息科技風險管理策略和風險評估結果，實施全面的風險防範措施。防範措施應包括：
（一） 制定明確的信息科技風險管理制度、技術標准和操作規程等，定期進行更新和公示。
（二） 確定潛在風險區域，並對這些區域進行詳細和獨立的監控，實現風險最小化。建立適當的控制框架，以便於檢查和平衡風險；定義每個業務級別的控制內容，包括：
1. 最高許可權用戶的審查。
2. 控制對數據和系統的物理和邏輯訪問。
3. 訪問授權以「必需知道」和「最小授權」為原則。
4. 審批和授權。
5. 驗證和調節。
第十八條 商業銀行應建立持續的信息科技風險計量和監測機制，其中應包括：
（一） 建立信息科技項目實施前及實施後的評價機制。
（二） 建立定期檢查系統性能的程序和標准。
（三） 建立信息科技服務投訴和事故處理的報告機制。
（四） 建立內部審計、外部審計和監管發現問題的整改處理機制。
（五） 安排供應商和業務部門對服務水平協議的完成情況進行定期審查。
（六） 定期評估新技術發展可能造成的影響和已使用軟體面臨的新威脅。
（七） 定期進行運行環境下操作風險和管理控制的檢查。
（八） 定期進行信息科技外包項目的風險狀況評價。
第十九條 中資商業銀行在境外設立的機構及境內的外資商業銀行，應當遵守境內外監管機構關於信息科技風險管理的要求，並防範因監管差異所造成的風險。

⑧ 銀行信息科技如何發揮引領作用

監管思路和工作籌劃
銀行監管將把握監管和指導相結合的基本原則，重點是加強機制建設，加強統籌和引導。
發布《中資商業銀行行政許可事項實施辦法》。在簡政放權的大背景下，《辦法》對很多准入條件進行了刪減，但對信息科技的准入標准反而有所加強，對機構設立、業務准入等都提出了明確的信息科技核準的條件。首次將首席信息官（CIO）納入商業銀行高級管理層，對其任職資格制定了標准。這顯示了銀監會對商業銀行信息科技風險的重視，強調了信息科技風險管控前移至准入關口的機制安排。
推動成立信息科技外包風險聯合監督平台和外包合作自律組織。銀監會出台了《銀行業金融機構信息科技外包風險監管指引》，開展外包風險的專項治理工作，以提高銀行業信息科技外包風險的防範能力。同時，在目前外包行業整體不成熟、競爭不充分的現實情況下，要充分發揮銀行和社會化的力量，一方面成立銀行業外包風險聯合監督平台，對外包風險進行持續性監控和現場核查，形成對外包服務業的風險管理壓力，促進規范化運作，防範系統性風險發生；另一方面，推動自律承諾，接受平台監督，通過自律組織自我約束、自我完善，推動銀行業信息科技外包服務的規范化和行業自律，共同防範風險。
建立銀行業自主可控信息技術創新戰略聯盟。推動銀行機構、企業和大學把資源聯合起來，圍繞國產信息技術應用落地的關鍵問題開展技術合作，實施技術轉移，加快科技成果的商業化運用，以應用和市場需求倒逼技術創新，培育國產信息技術在銀行業發展應用的良性生態環境。
信息科技完善路徑
守住信息安全底線。科技與金融的融合，以信息科技為基礎和核心，信息安全是構建互聯網金融信任體系的基石。2013年以來，銀行業信息科技突發事件數量有所下降。雖然突發事件不可預知，但某些事件源起於管理疏漏，說明銀行在增強內控、提高責任心方面要投入更多精力。在把握創新發展的同時，要牢牢守住信息安全底線。要著眼全局，系統性解決信息的安全問題，不能再用支離破碎的眼光對待安全問題，要系統規劃，形成適合自己的管理框架，通過技術和流程，在信息系統的開發、運行、維護全生命周期落實防範措施，推廣一體化運維經驗。注重時效，及時了解安全短板，彌補缺陷，加強脆弱性評估和滲透性測試，至少每年一次。計劃出台《商業銀行信息科技風險評估規范》，用技術手段開展專業化的測試和評估。深挖風險的根源，防止其傳播，前車之覆，後車之鑒，為什麼同樣的問題在不同的銀行反復發生，甚至在同一家銀行反復發生。各銀行機構要提升科技風險的意識，特別是對內外部事件提高敏感度和關注度，注重日常的風險分析和評估，及時查漏補缺。加強協作，互通有無，互幫互助。科技部門與業務部門之間、銀行與銀行之間、銀行與電信、公安等其他部門之間，要建立協作聯動機制，並且要落到實處，不能空轉。
開展信息科技頂層設計。不謀萬世者不足謀一時，不謀全局者不足謀一域。當前信息科技工作很多矛盾的根源在於缺乏頂層設計，無論是重建設輕管理、重開發輕運維的矛盾，還是業務和科技脫節，創新不足的問題，都源於此。面對內外部的嚴峻形勢，我們要切實拿出銀行信息科技工作的體制、機制的改革措施，首當其沖的是要完成頂層設計工作，要完善信息科技治理架構，落實CIO（首席信息官）制度，建立科技績效考評機制和科技人才培養機制，同時要發揮市場的作用，整體推進和重點突破相結合。改善決策機制，讓科技充分參與決策，加強業務戰略和科技戰略的協調性，還要以整體效益最優為導向，暢通業務和科技之間的協作機制，提高決策科學性，形成業務和科技協調發展的合力。科學規劃三道防線。從目前情況看，科技風險的第二道、第三道防線相對薄弱，各行要尋找差距，加強機制建設和人才培養，落實每一道防線的制度和流程，並形成有效的監督約束機制。
激發自主創新的活力。加快轉變經濟增長方式，加快建設創新型國家，是我國當前的重要任務。從全球來看，創新驅動是大勢所趨，新一輪科技革命和創業變革正在興起，全球化和信息化交叉發展，為我們帶來了難得的發展機遇。銀行業信息科技人員必須增強憂患意識，把握機遇，通過創新驅動戰略提升銀行核心競爭能力，保持持續快速發展。要營造良好的科技創新政策環境，理順科技創新機制，建立科技創新評價和獎勵機制，建立創新基金，尊重科技人員的主體創新地位，調動他們創新的積極性。要完善人才發展機制，培育金融、科技復合型人才，組建專業創新團隊。深化科技和業務的融合，以市場為導向，依託公眾需求開展創新，加快金融理念的創新、結構創新、服務產品創新，利用科技創新帶動管理水平提升，推動傳統業務流程優化，全面提升銀行精細化的管理能力。立足核心技術自主可控，增強自主創新能力。從實際出發，總結國內成功的做法，借鑒國外有益的經驗，努力掌握關鍵核心技術，尋找一條切實可行的自主可控之路，在此基礎上不斷提升創新能力。加強創新成果的管理，積極開展專利、軟體著作權的申請、登記工作。
改革發展沒有止境，科技創新沒有盡頭。銀行業在牢牢守住信息安全底線、切實開展科技頂層設計、全面激發自主創新活力的總體要求下，加強科技引領作用，不斷提高銀行業整體競爭實力，增強風險抵禦能力，切實推動「自主可控、持續發展、科技創新」三大戰略目標的實現，使信息科技工作引領銀行業走向下一個輝煌。