中国银保监会办公厅关于印发银行保险机构信息科技外 包风险监管办法的通知 银保监办发〔2021〕141 号 各银保监局，各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融 资产管理公司、金融资产投资公司、理财公司，各保险集团（控股）公司、保险公 司、保险资产管理公司、养老金管理公司、保险专业中介机构： 为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升 信息科技外包风险管控能力，银保监会制定了《银行保险机构信息科技外包风险监 管办法》，现予印发，请遵照执行。 中国银保监会办公厅 2021 年 12 月 30 日 （此件发至银保监分局与地方法人银行保险机构） 银行保险机构信息科技外包风险监管办法 第一章 总则 第一条 为规范银行保险机构的信息科技外包活动，加强信息科技外包风险管 控，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中 华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全 法》《中华人民共和国个人信息保护法》等法律法规，制定本办法。 第二条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、 省（自治区）农村信用社联合社，保险集团（控股）公司、保险公司、保险资产管 理公司、金融资产管理公司适用本办法。银保监会及其派出机构监管的其他金融机 构参照本办法执行。 第三条 本办法所适用的信息科技外包，是指银行保险机构将原本由自身负责 处理的信息科技活动委托给服务提供商进行处理的行为。 银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人 信息处理的信息科技活动，按照本办法相关要求进行管理，法律法规另有要求的除 外。 第四条 银行保险机构应当建立与本机构信息科技战略目标相适应的信息科 技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包 而引发的风险。 第五条 银行保险机构在实施信息科技外包时应当坚持以下原则： （一）不得将信息科技管理责任、网络安全主体责任外包； （二）以不妨碍核心能力建设、积极掌握关键技术为导向； （三）保持外包风险、成本和效益的平衡； （四）保障网络和信息安全，加强重要数据和个人信息保护； （五）强调事前控制和事中监督； （六）持续改进外包策略和风险管理措施。 第二章 信息科技外包治理 第六条 银行保险机构应建立覆盖董（理）事会、高管层、信息科技外包风险 主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构，明确相应 层级的职责，确保信息科技外包治理架构权责清晰、运转高效、制衡充分。 第七条 银行保险机构董（理）事会或其授权设立的专业委员会应负责推动建 立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策， 高级管理层应负责制定信息科技外包战略，明确信息科技外包风险主管部门和信息 科技外包执行团队，明确信息科技外包及其风险管理职责，审议信息科技外包管理 流程及制度，监控信息科技外包及其风险管理成效。 第八条 银行保险机构应指定信息科技外包风险主管部门，该部门主要职责包 括： （一）根据机构总体风险政策和外包战略，制定信息科技外包风险管理策略、 制度和流程； （二）统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作； （三）制定保障外包服务持续性的应急管理方案，并定期组织实施演练； （四）监督、评价外包执行团队的管理工作，并督促外包风险管理的持续改 善； （五）向董（理）事会（或其专门委员会）或高级管理层汇报信息科技外包 相关风险及管理情况。 第九条 银行保险机构应在信息科技管理部门或信息科技外包活动执行部门 内部建立信息科技外包执行团队，并配备足够的具有相应能力和经验的人员履行以 下职责： （一）落实信息科技外包战略； （二）执行信息科技外包管理制度与流程； （三）执行服务提供商准入、尽职调查、服务评价和退出管理工作，建立并 维护服务提供商关系管理策略； （四）持续监测外包服务的水平和质量，及时处理服务提供商出现的相关违 规和用户投诉； （五）对外包过程中的关键管理活动进行监控及分析，定期与信息科技外包 风险主管部门沟通外包活动及有关风险情况。 第十条 银行保险机构应当基于机构的业务战略、信息科技战略、总体外包战 略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括但 不限于：外包原则和策略、不能外包的职能、资源能力建设方案等。 第十一条 银行保险机构应当明确不能外包的信息科技职能。涉及信息科技战 略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的 职能不得外包。 第十二条 银行保险机构应当建立信息科技外包活动分类管理机制，针对不同 类型的外包活动建立相应的管理和风控策略。信息科技外包原则上划分为咨询规划 类、开发测试类、运行维护类、安全服务类、业务支持类等类别。 第十三条 银行保险机构应对信息科技外包活动及相关服务提供商进行分级 管理，对重要外包和一般外包采取差异化管控措施。下列信息科技外包活动原则上 属于重要外包： （一）信息科技工作整体外包，仅保留必要的管理团队和核心职能； （二）数据中心（机房）整体外包； （三）涉及基础设施和信息系统整体架构发生重大变化的信息科技外包； （四）核心业务系统开发测试和运行维护的整体外包； （五）信息科技战略规划（含中长期规划）咨询外包； （六）安全运营的整体外包； （七）涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外 包； （八）直接影响实时服务、影响账务准确性的重要信息系统外包； （九）其它对机构业务运营具有重要影响的外包。 第十四条 银行保险机构应考虑重要外包终止的可能性，并制定退出策略。退 出策略应至少明确： （一）可能造成外包终止的情形； （二）外包终止的业务影响分析； （三）终止交接安排。 第三章 信息科技外包准入 第十五条 银行保险机构应当充分评估拟开展的信息科技外包活动与信息科 技外包战略的一致性，充分评估拟开展的信息科技外包活动相关风险，就是否实施 外包作出审慎决策。重要外包应至少向高管层报告并经过审批。 第十六条 银行保险机构应根据信息科技外包战略，结合风险评估情况，明确 服务提供商的准入标准，对备选服务提供商进行筛选，审慎引入集中度风险较高或 增加机构整体风险的服务提供商。 第十七条 银行保险机构应在签订合同前，对重要外包的备选服务提供商深入 开展尽职调查，必要时可聘请第三方机构协助调查。在服务提供商经营状况未发生 重大变化的前提下，尽职调查结果原则上一年内有效。尽职调查应包括但不限于： （一）服务提供商的技术和行业经验，人员及能力； （二）服务提供商的内部控制和管理能力； （三）服务提供商的网络和信息安全保障能力； （四）服务提供商的持续经营状况； （五）服务提供商及其母公司或实际控制人遵守国家和银保监会相关法律法 规要求的情况； （六）服务提供商过往配合银行保险机构审计、评估、检查及监管机构监督 检查情况； （七）服务提供商与银行保险机构的关联性。 第十八条 对于符合重要外包条件的非驻场外包，应当进一步重点调查如下内 容： （一）服务提供商对银行保险机构与其他机构的设施、系统和数据是否有明 确、清晰的边界； （二）服务提供商是否有管理制度和技术措施保障银行保险机构数据的完整 性和保密性； （三）服务提供商对涉及银行保险机构的服务器、存储、网络设备、操作系 统、数据库、中间件等软硬件基础设施是否具有最高访问权限； （四）服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限， 是否能够浏览、获取重要数据或客户个人敏感信息； （五）服务提供商是否有完善的灾难恢复设施和应急管理体系，是否有业务 连续性安排； （六）服务提供商是否存在不正当竞争或规避监管的情形。 第十九条 银行保险机构在选择跨境外包时，应当充分评估服务提供商所在国 家或地区的政治、经济、社会、法律、文化等经营环境。涉及信息跨境存储、处理 和分析的，应遵守我国有关法律法规的规定。 第二十条 对于关联外包和同业外包，银行保险机构不得降低对服务提供商的 要求，严格防范利益冲突和利益输送。 第二十一条 银行保险机构在信息科技外包合同或协议中应当明确以下内容， 包括但不限于： （一）服务范围、服务内容、服务要求、工作时限及安排、责任分配、交付 物要求以及后续合作中的相关限定条件，服务质量考核评价约定。 （二）合规、内控及风险管理要求，对法律法规及银行保险机构内部管理制 度的遵守要求，监管政策的通报贯彻机制。 （三）服务持续性要求，服务提供商的服务持续性管理目标应当满足银行保 险机构业务连续性目标要求。 （四）银行保险机构对服务提供商进行风险评估、监测、检查和审计的权利， 及服务提供商承诺接受银保监会对其所承担的银行保险机构外包服务的监督检查。 （五）合同变更或终止的触发条件，合同变更或终止的过渡安排。 （六）外包活动中相关信息和知识产权的归属权以及允许服务提供商使用的 内容及范围，对服务提供商使用合法软、硬件产品的要求。 （七）资源保障条款。 （八）安全保密和消费者权益保护约定，包括但不限于：禁止服务提供商在 合同允许范围外使用或者披露银行保险机构的信息，服务提供商不得将银行保险机 构数据以任何形式转移、挪用或谋取外包合同约定以外的利益。 （九）争端解决机制、违约及赔偿条款，跨境外包应明确争议解决时所适用 的法律及司法管辖权，原则上应当选择中国仲裁机构、中国法院管辖，适用中国法 律解决纠纷。 （十）报告条款，至少包括常规报告内容和报告频度、突发事件时的报告路 线、报告方式及时限要求。 第二十二条 银行保险机构应当在合同或协议中明确要求服务提供商不得将 外包服务转包或变相转包。在涉及外包服务分包时应当要求： （一）不得将外包服务的主要业务分包； （二）主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守 外包合同或协议； （三）主服务提供商对分包服务提供商进行监控，并对分包服务提供商的变 更履行通知或报告审批义务。 第四章 信息科技外包监控评价 第二十三条 银行保险机构应当对外包服务过程进行持续监控，及时发现和纠 正服务过程中存在的各类异常情况。 第二十四条 银行保险机构应当建立明确的信息科技外包服务目录、服务水平 协议以及服务水平监控评价机制，确保相关监控信息和评价结果的真实性和完整性， 且数据至少保存到服务结束后三年。 第二十五条 银行保险机构应当对信息科技外包服务建立服务效能和质量监 控指标，并进行相应监控。常见指标包括： （一）信息系统和设备及基础设施的可用率； （二）故障次数、故障解决率、故障的响应时间、故障的解决时间； （三）服务的次数、客户满意度； （四）业务需求的及时完成率、程序的缺陷数、需求变更率； （五）外包人员工作饱和