信息科技外包风险检查表

/
/ 1、调阅外包服务风险评估报 银监会《银行业金
告； 2、调阅提交高管层记录； 1、调阅外包服务风险审计报 告； 2、调阅提交高管层记录； 3、调研外包风险事件审计报 告 1、调阅外包服务风险评估报 告； 2、向监管机构上报的报告； 融机构信息科技外 包风险监管指引》 第二十二条 银监会《银行业金 融机构信息科技外 包风险监管指引》 第二十四条
管理检查指标体系－－外包管理部分
检查方法 1、调阅信息科技外包管理制 度，查看可以外包的服务范围 和外包商的资格要求； 2、查看对于重要项目外包进行 了风险评估；（重要项目外包 风险评估） 3、访谈分管人员对于重要外 包，是否通知了银监会（通知 银监会的记录） 1、调阅信息科技外包管理制 度，查看外包管理目标、相关 部门职责分工、配套流程； 2、调阅信息科技外包合同、协 议清单（外包项目清单、管理 记录等） 1、调阅信息科技外包管理制 度，查看对于董（理）事会管 理职责的规定 指标依据 现状描述 符合性分析 风险分析 风险级别
银监会《银行业金 融机构信息科技外 包风险监管指引》 第十条、第十一条
银监会《银行业金 融机构信息科技外 包风险监管指引》 第八条
银监会《银行业金 融机构信息科技外 2 、访谈董（理）事会成员，了 包风险监管指引》 解其对自身管理职责的理解和 第十三条 执行情况 1、调阅信息科技外包管理制 度，查看对于主管部门及其管 理职责的规定 2 、访谈信息科技风险管理岗位 银监会《银行业金 人员，了解其对自身管理职责 融机构信息科技外 包风险监管指引》 的理解和执行情况 第十四条 / 1、调阅信息科技外包管理制 度，查看对于执行部门及其管 理职责的规定 2 、访谈信息科技部门执行团队 1、银监会《银行业 成员，了解其对自身管理职责 金融机构信息科技 外包风险监管指引 的理解和执行情况 》第十五条 / 1、银监会《银行业 1 、访谈风险管理部信息科技风 金融机构信息科技 险管理岗位人员，了解信息科 外包风险监管指引 技外包战略的制订和维护情况 》第十六条至第二 2、银监会《商业银 2、调阅信息科技外包战略文件 行信息科技风险管 3 、调阅信息科技外包战略文件 理指引》第五十五 条 制订、修订、审议、批准的过 1 、访谈信息科技部门内控管理 银监会《银行业金 岗位人员，了解信息科技外包 融机构信息科技外 制度的建立和维护情况 包风险监管指引》 2 、调阅信息科技外包管理制度 第十五条、第五十 文件，及修订维护的过程记录 二条至第五十九条 、第六十七条至第 七十一条、第七十 二条至第七十五条 、
信息科技 外包服务 OM.14 1、建立并实施针对外包服务提供商的安全管 项目安全 控措施 控制 （安全管 理） 6、信息科技外包项目管理 1、在外包实施过程中，依据服务水平设定的 信息科技 目标，对外包服务提供商的服务水平进行持 外包服务 续监控，监控数据至少保留1年 OM.15 水平监控 2、监控中发现问题，要求外包服务提供商及 与评价 时进行纠正整改 3、外包项目结束时，对服务提供商服务水平 进行总结评价 1、针对重要外包服务中断情况，要求提供商 信息科技 制订急处置预案，同时自身也制订应急处置 外包服务 预案，并进行演练 2、建立针对无法满足服务要求的服务终止和 OM.16 连续性管 理 服务提供商退出管理机制 3、对可能影响重要业务连续性的信息科技外 包服务，建立风险控制机制 信息科技 1、在外包实施过程中，适当配置内部人员， 外包服务 掌握必要技能 OM.17 2 、外包项目结束时，建立知识承接管理机 项目知识 制，不因外包服务终止导致信息科技风险上 承接 升
1、银监会《银行业 1 、调阅信息科技外包管理制度 金融机构信息科技 对于信息安全管控的规定 外包风险监管指引 》第三十八条至第 2 、访谈信息科技外包执行团队 2、银监会《商业银 人员，了解信息安全管控措施 行信息科技风险管 的执行情况 理指引》第六十条 3 、调阅外包项目信息安全管控 的执行记录 1 、抽样调阅外包项目的服务水 1、银监会《银行业 平监控指标和过程记录 金融机构信息科技 2 、调阅服务水平监控发现问题 外包风险监管指引 》第四十一条至第 的纠正和整改记录 3 、抽样调阅外包项目服务水平 四十六条 监控的总结评价结果 1 、调阅外包服务中断事件的应 急预案文件 1、银监会《银行业 2 、查看信息科技外包管理制度 金融机构信息科技 文件关于服务终止和外包商退 外包风险监管指引 》第四十八条至第 出的管理机制 3 、访谈信息科技外包执行团队 五十一条 成员，了解信息科技外包过程 中的业务连续性保障控制措施 1、银监会《商业银 行信息科技风险管 理指引》第五十七 / 2、银监会《银行业 金融机构信息科技 外包风险监管指引 》第五十九条 1、查看外包项目文档归档记录
/
1 、调阅提供商评价标准及修订 1、银监会《银行业 维护记录 金融机构信息科技 2、调阅提供商评价记录 外包风险监管指引 》第二十三条
/
1 、调阅信息科技外包项目立项 1、银监会《银行业 过程记录，查看项目立项风险 金融机构信息科技 外包风险监管指引 评估的执行落实情况 》第二十五条 1、银监会《银行业 1 、调阅外包服务提供商尽职调 金融机构信息科技 查过程记录 外包风险监管指引 1、银监会《银行业 金融机构信息科技 外包风险监管指引 1 、调阅信息科技外包项目的合 》第三十四条至第 同或协议，查看其中内容的全 2、银监会《商业银 面性 行信息科技风险管 理指引》第五十八 条、第五十九条、 第六十二条
制定并维 护信息科 OM.07 技外包执 行管理制 3、管理制度应全面覆盖具备集中度特征外包 度 、重要外包、关联外包、非驻场外包等不同 类别外包和不同级别外包商管理要求 4、每年度对信息科技外包管理制度进行修订 维护 信息科技外包风险管理部门应当至少每年开 展一次全面的外包风险管理评估，保持评估 的独立性，并向高级管理层提交评估报告 4、信息科技外包战略与风险管 银行业金融机构内部审计部门应当定期开展 理 信息科技外包风险管理审计工作，至少每三 年对重要的外包服务活动进行一次全面审计 。发生外包风险事件后应当及时开展专项审 计。 对非驻场集中式外包服务商（尤其对社会类 机构和提供外包服务未满3年的银行类机构） 开展全面、深入的尽职调查。 （一）外包服务商对本机构与其他机构的设 信息科技 施、系统和数据是否有明确、清晰的边界； OM.08 外包风险 （二）外包服务商是否有管理制度和技术措 管理 施保障本机构数据的完整性和保密性； （三）外包服务商对涉及本机构的服务器、 存储、网络设备、操作系统、数据库、中间 件等软硬件基础设施是否具有最高访问权 （四）外包服务商是否拥有或可能拥有业务 系统的最高管理权限，外包服务商是否拥有 或可能拥有业务系统的访问权限，是否能够 浏览、获取客户敏感信息； （五）外包服务商是否有完善的灾难恢复设 施和应急管理体系，对关键基础设施和信息 系统运行是否有业务连续性安排； （六）外包服务商是否知晓并遵从了银行业 相关监管法规要求。 信息科技 1、建立信息科技外包服务提供商准入标准 外包服务 OM.09 提供商准 2、对备选服务提供商进行筛选 入 3、每年度对服务提供商准入标准进行修订维 5、信息科技外包服务提供商管 护 信息科技 1 、建立信息科技外包服务提供商评价标准， 理 外包服务 并每年度进行修订维护 OM.10 提供商评 2 、每 3 年对已有信息科技外包服务提供商进 价 行评价 3、信息科技外包服务提供商评价结果作为提 供商分级管理和提供商退出的依据 信息科技 1、所有信息科技外包项目立项前，实施风险 OM.11 外包服务 项目立项 评估 管理 外包服务 1、对于重大信息科技外包项目选定的外包服 OM.12 提供商 务提供商，在签订外包协议前，实施服务提 尽职调查 供商尽职调查2、尽职调查关注范围包括技术 信息科技 外包服务 OM.13 合同或协 议 1、与外包服务提供商签订外包协议，其中应 当包括服务水平、及安全保密条款
1、银监会《银行业 金融机构信息科技 2 、调阅年度评估报告审阅、报 外包风险监管指引 送过程记录 》第七十八条 1、银监会《银行业 1 、调阅向银监会派出机构报告 金融机构信息科技 的过程记录 外包风险监管指引 》第七十六条、第 1、调阅年度评估报告
7、监管报告
信息科技 1、信息科技外包项目实施过程中规范化产生 外包服务 和维护输出文档和过程记录 OM.18 2、信息科技外包项目终止后，执行团队将相 项目文档 关文档及记录整理报送执行部门综合管理岗 归档 位进行归档 信息科技 1、信息科技外包风险主管部门每年度编写管 OM.19 外包风险 理评估报告，提交信息科技管理委员会、董 管理年度 （理）事会审阅，并报送银监会派出机构 评估报告 1、涉及特定类型的信息科技外包项目合同签 向监管机 订前，向银监会派出机构报告 OM.20 构报告 2、信息科技外包活动发生重大事件时，向银 监会派出机构报告
信息科技风险管理检查指标体系－－外包管理部
类别 序号 指标 检查要求
1、外包管理制度及原则
外包管理 银行应当按照银监会《指引》中关于信息科 OM.01 制度及原 技外包的风险控制要求，制定相关的信息科 则 技外包管理制度，防范外包产生的风险。
2、外包服务的管理
银行应当将信息科技外包管理纳入全面风险 外包管理 管理体系，建立与本机构信息科技战略目标 OM.02 体系 相适应的外包管理体系，控制或降低由于外 包而引发的风险。 1、通过正式发布制度文件，明确董（理）事 会对信息科技外包所承担的管理职责 2、董（理）事会应履行的信息科技外包管理 职责包括建立信息科技外包组织架构、指定 主管部门、组织制订和审议批准信息科技外 包战略、以及听取信息科技外包管理年度汇 1、通过正式发布的制度文件，明确信息科技 外包风险的主管部门，及其所应承担的管理 职责 2、应当由风险管理部门设置信息科技风险管 理岗位，承担信息科技外包风险管理的主管 职责 3、信息科技风险管理岗位承担的信息科技外 包风险管理职责包括指导和监督信息科技外 包工作、监控信息科技外包风险、定期向信 息科技管理委员会报告信息科技风险管理工 1、通过正式发布的制度文件，明确信息科技 部门及其它涉及信息科技外包活动部门的执 行职责 2、信息科技部门及其它涉及信息科技外包活 动部门建立执行团队，执行团队包括内控管 理岗位、信息科技外包项目经理、信息安全 3、执行团队应承担职责包括：制订和维护信 息科技外包管理制度（涉及供应商管理、外 包项目管理等）；按照制度完成外包管理工 作；配合主管部门完成信息科技外包风险持
融机构信息科技外 包风险监管指引》 第十五条、第五十 二条至第五十九条 、第六十七条至第 七十一条、第七十 二条至第七十五条 、
《中国银监会办公Βιβλιοθήκη 厅关于加强银行业 金融机构信息科技 非驻场集中式外包 风险管理的通知 》 （ 银 监 办 发 [2014]187 号 ） 第 二条
1 、调阅外包服务提供商准入标 1、银监会《银行业 准及维护过程记录 金融机构信息科技 2 、调阅依据准入标准对备选服 外包风险监管指引 务提供商进行筛选的过程记录 》第二十六条
明确并落 实董 OM.03 （理）事 会管理职 责
3、组织架构与职责落实
明确信息 科技外包 OM.04 风险管理 主管部门
明确并落 实信息科 OM.05 技外包执 行团队职 责
1、由信息科技外包风险主管部门牵头，以信 息科技部门为主的各执行部门共同制订信息 制定并维 科技外包战略 护信息科 OM.06 技外包战 2、信息科技外包风险主管部门负责信息科技 略 外包战略的修订 3、信息科技外包战略得到信息科技管理委员 会及董（理）事会的审议批准 1、以信息科技部门为主的信息科技外包执行 部门，由内控管理岗位人员牵头组织制订信 制定并维 息科技外包管理制度 2、信息科技外包管理制度包括供应商管理、 护信息科 OM.07 技外包执 外包项目管理（合同协议管理、安全管理、 服务水平监控、应急处置、以及知识移交） 行管理制 度