第一篇：金融机构信息安全管理指引

附件

四川省银行业金融机构信息安全管理指引（试行）第一章 总 则

第一条 为切实加强四川省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。

第二条 本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。

第三条 四川省内人民银行分支机构按属地管理原则对辖内银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。

第四条 各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处臵和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。

第五条 各银行机构信息安全管理工作的主要任务是：

（一）加强组织领导，健全信息安全管理体制,建立跨部门、— 3 — 跨行业协调机制；

（二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能；

（三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设；

（四）进一步加强信息安全制度和标准规范体系建设；

（五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；

（六）加强安全运行监控体系建设；

（七）大力开展信息安全风险评估，实施等级保护；

（八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；

（九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。

第六条 本指引适用于在四川省内设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。

第二章 组织机构

第七条 各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及内部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。

第八条 各银行机构应设立或指定专门负责信息安全工作的部门，配备专门负责信息安全工作的人员，实行A、B岗制度。

第九条 各银行机构应建立和完善统一的信息安全协调机制。应建立内外部协调机制，加强信息安全的交流、沟通和协作，充分发挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。

第十条 各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略。

第十一条 各银行机构应建立完善的信息安全制度管理体系。第十二条 各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后，应报当地人民银行备案。

第三章 人员管理

第十三条 各银行机构的工作人员应根据不同的岗位或工作范围，履行相应的信息安全管理职责。

第十四条 各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和有关规定受到过处罚或处分的人员，不得从事此项工作。

第十五条 各银行机构应加大人才培养力度，每年至少对信息安全管理人员进行一次信息安全培训，适时对工作人员进行信息安全知识培训。

第十六条 各银行机构信息安全管理人员应认真履行职责：

（一）组织落实信息安全管理规定和本单位及分支机构信息安全保障工作，制定信息安全管理制度。

（二）审核信息化建设项目中的安全方案，组织实施信息安全项目建设，维护、管理信息安全专用设施。

（三）督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处臵信息安全事件。

（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第十七条 加强对职工的信息安全教育，提高全员信息安全意识。加大专业技能培养，优化人员结构，形成梯队，重点加强数据中心高端系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力。合理配臵和使用人力资源，人尽其才，合理流动，广开人才来源。

第十八条 建立信息安全管理业绩评价体系，奖惩分明。

第四章 机房环境和设备资产管理

第十九条 本指引所称机房，是指网络与计算机设备放臵、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。

第二十条 各银行机构机房的规划、建设、改造、运行、维护和机房设施配备，应符合国家计算机机房有关标准、行业管理有关要求和内部管理有关规定。

第二十一条 计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统，通过技术和管理手段，确保计算机机房及配套设施安全。

第二十二条 计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。

第二十三条 应建立健全计算机机房管理制度，落实专人担任机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。

第二十四条 对计算机机房搬迁等可能影响系统正常运行的维护事项，事前需报当地人民银行备案。

第二十五条 对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防范。

第二十六条 各银行机构应做好计算机设备的登记工作，严格设备资产管理，落实设备使用者的安全保护责任。

第二十七条 各银行机构应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。有特殊安全保密要求的计算机设备，应放臵在机房特殊功能区，并遵守相关安全保密规定。

第五章 密码技术及网络安全管理

第二十八条 各银行机构信息系统应根据安全需要合理运用密码技术和产品，所使用的密码技术与产品应符合国家密码管理相关规定。

第二十九条 各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施，建立规范的密钥管理制度。

第三十条 各银行机构信息系统所使用的网络应具备可信体系架构，具备身份认证、授权管理、跟踪审计等功能。

第三十一条 各银行机构信息系统所使用的网络应具备基本的

— 7 — 安全防范能力，能通过身份认证、访问控制、内容过滤、信息加密、网络隔离等措施有效防范来源于内部和外部的网络威胁。

第三十二条 各银行机构应严格网络安全配臵管理，制订合理的网络服务策略和强制路径策略，强化外部连接用户认证，加强远程诊断接口的保护。

第三十三条 各银行机构应规范划分网络安全域，利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离，加强网络边界防护，保证重要信息不被泄露、篡改或非法利用。

第六章 国产化及外包服务

第三十四条 各银行机构应积极开展国外技术和产品的国产化替代工程，降低对外资厂商的依赖程度，消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装臵带来的安全隐患，提高信息安全自主可控水平。

第三十五条 在保证可用性的条件下，各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。

第三十六条 积极开展安全管理认证工作，开展测评认证时，应选择具有资质的国内认证和咨询机构，加强信息安全和保密管理，保证重要敏感信息不出境。

第三十七条 各银行机构应在充分评估风险控制的基础上使用 — 8 —

外包服务，并建立规范的外包服务管理机构及管理制度。

第三十八条 各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。重要业务系统托管应选择具有相关资质的中资机构。

第三十九条 各银行机构加强对外包服务全过程的跟踪管理，完善过程记录，定期对外包服务的实施过程风险和完成情况进行评估。

第四十条 各银行机构加强对外包服务商的管理，选择外包服务商应符合国家和行业监管部门信息安全相关规定，明确服务等级责任（SLA），签订保密协议。

第七章 风险评估及等级保护

第四十一条 各银行机构应加强对信息系统风险评估的管理，在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。

第四十二条 各银行机构使用的信息系统要适时、有效开展风险评估，重要信息系统至少每一年进行一次评估，并根据评估结果，及时研究整改存在的问题，实施安全加固。

第四十三条 各银行机构应每半年按照《四川省银行业金融机构信息安全评估规范》开展一次全面的自评估，在2月底和10月底上报当地人民银行。

第四十四条 各银行机构要严格控制风险评估过程的管理，有

— 9 — 规范的制度和专门人员，应建立风险预案，落实预防性应对措施，确保风险评估工作不影响生产系统安全。

第四十五条 各银行机构应每年梳理本机构运营使用的信息系统，按照国家和人民银行有关要求开展规范的定级工作，按人民银行要求报送定级评审材料，二级及以上信息系统需向当地公安部门备案。

第四十六条 各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作，并针对测评问题做好整改工作，并按照属地管理原则向当地人民银行报送测评整改总结报告。

第八章 灾难恢复系统和业务连续性体系

第四十七条 各银行机构应按照国家相关规范加强灾难恢复系统建设，制定覆盖所有重要信息系统的业务连续性计划和应急预案，建立和完善各项管理制度，提高业务持续运营能力。

第四十八条 实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统，逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。

第四十九条 各银行机构核心业务系统，应实施应用级备份；对于其他业务系统，可实施系统级或数据级备份。应适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度可用性检查。

第五十条 同城灾备中心对站点级灾难恢复能力应达到《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）中所定义 — 10 —

的灾难恢复能力等级第4级，并覆盖70%的重要信息系统（至少包含核心银行系统、支付结算系统、电子银行系统）。同城灾备中心原则上与生产中心距离应处于不同的供电区域，应回避危险区和干扰源。

第五十一条 异地灾备中心对城市级灾难恢复能力应达到《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）中所定义的灾难恢复能力等级第3级，并覆盖所有重要信息系统。异地灾备中心原则上与生产中心应处于不同地震板块，并应回避危险区和干扰源、回避与生产中心相同的灾患。

第五十二条 灾难备份中心的规划应综合平衡风险与成本、运维管理与灾难恢复力量等因素，进行业务影响、可行性、成本收益分析以及建设方案风险评估，明确灾难恢复策略。

第五十三条 灾难备份中心的选址要从国家整体安全出发，接受行业监管部门的指导，合理规划布局。建设方式包括自建、联合共建或利用外部企业（组织）的灾难备份设施等。

第五十四条 各银行机构每年开展业务连续性计划演练，演练方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，应开展专项演练。已建立灾难备份系统的单位，每年应对四分之一的重要信息系统（至少包括核心银行系统）组织一次系统级灾难的应急演练。

第五十五条 各银行机构应将外部供应商纳入演练范围，积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门

— 11 — 等组织的业务连续性计划演练，确保应急协调措施的有效性。

第九章 计算机系统和数据安全管理

第五十六条 本指引所称计算机系统，是指银行机构业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。本指引所称的数据，是指以电子形式存储的银行机构业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。

第五十七条 计算机系统建设项目应在规划与立项阶段，按照国家政策法规、行业监管的有关规定和业务实际需要，全面分析数据在输入、处理、输出等不同状态下的安全需求，统一考虑系统总体安全策略、安全技术框架、安全管理策略等安全问题，并进行论证，形成安全设计方案配套文件。

第五十八条 计算机系统开发应依据安全需求进行安全设计，保证安全功能的完整实现。开发人员不能兼任系统管理员或业务操作人员，不得在程序中设臵后门或恶意代码程序。采取外包方式进行开发的系统，还应与外部单位签署相关知识产权保护协议和保密协议，明确外部单位不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。

第五十九条 涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位，并签订严格的保密协议。

第六十条 计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。

第六十一条 计算机系统投产运行前，应根据安全设计方案制定严谨、规范的安全运维规定。

第六十二条 应指定专人作为系统管理员，具体负责计算机系 — 12 —

统的日常运行管理。系统管理员应定期检查系统日志，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。重要计算机系统的系统设臵要求至少双人在场。

第六十三条 系统管理员不得兼任业务操作人员，确需对计算机系统数据库进行技术维护性操作的，应征得业务部门书面同意，在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。业务数据的录入、复核分岗设立，特别重要的业务数据录入，应增设审查岗，三个岗位不得由一人兼任。

第六十四条 应严格管理业务数据的增加、删除、修改等变更操作，按照既定备份策略执行数据备份操作，并定期测试备份数据的有效性。根据业务需求，明确备份数据保存期限，及时做好备份数据的销毁审查和登记工作。

第六十五条 各单位应定期导出重要计算机系统业务日志文件，进行明确标识并妥善保存。

第六十六条 所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。

第六十七条 需要废止的计算机系统内的数据信息，根据重要性和敏感程度，应使用专用工具进行相应消除处理，确保安全。

第十章 信息通报

第六十八条 应按照《银行计算机安全事件报告管理制度》（银发„2002‟280号）要求，及时向当地人民银行分支机构报告重大网络与信息安全事件。

第六十九条 应按照《四川银行业机构重大事项报告制度》（成银发„2010‟202号）要求，及时向当地人民银行分支机构报告重

— 13 — 大网络与信息安全事项。重大事项包括组织及策略类、网络及系统类、信息技术案件类、IT舆情类事项及重要保障时期的信息通报。组织及策略类是指金融机构高层主要负责人及信息化管理组织结构变动，信息科技部、电子金融业务部门主要负责人及组织结构变动，信息技术总体方针、战略、规划、路线变动，集中式数据中心规划设立。网络及系统类包括建设项、运行维护项及其他可能对金融机构网络与信息系统安全运行造成较大影响的计划内事项。建设项是指集中式数据中心机房的投产、改造、搬迁、关键网络基础设施及重要信息系统的投产、改造、升级。运行维护项是指机构IT架构变更及重要系统版本变更。信息技术犯罪案件类是指危害金融机构网络与信息系统安全的违法犯罪案件。IT舆情类是指公共媒体发布的、与金融机构网络和信息安全相关的、影响金融机构声誉的舆论事项。重要保障时期的信息通报是指在两会等国家重要时期，人民银行要求通报的事项。

第七十条 地方性商业银行应按照《中国人民银行成都分行 中国银行业监督管理委员会四川监管局转发关于调整优化银行业金融机构灾难备份中心整体布局的指导意见的通知》(成银发„2013‟98号)要求，及时将新建灾难备份中心选址方案、第三方灾难备份服务机构违法违规行为、本单位灾难备份中心和系统年度建设情况和计划及时报送当地人民银行。

第七十一条 每年底，按照人民银行通知，地方性法人银行业机构应认真总结当年信息安全工作开展情况，形成报告，在规定时间内上报。

第七十二条 人民银行机构接到银行机构的各类信息报告后，应进行评估，如有必要，应立即组织进行检查和处臵。

第十一章 附 则

第七十三条 本指引由人民银行成都分行解释。

第七十四条 本指引自发文之日起实施。以前有关规定与本指引不一致的，以本指引为准。

附：四川省银行业金融机构信息安全风险评估规范

第二篇：银行业金融机构外包风险管理指引

银行业金融机构外包风险管理指引

第一章 总则

第一条 为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定本指引。

第二条 在中华人民共和国境内设立的银行业金融机构适用本指引。

第三条 本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方，银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第四条 银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。

第五条 银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第六条 银行业金融机构应当根据审慎经营原则制定其外包战略发展规划，确定与其风险管理水平相适宜的外包活动范围。

第七条 银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织结构

第八条 银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。

第九条 董事会的职责主要包括以下方面：

（一）审议批准外包的战略发展规划；

（二）审议批准外包的风险管理制度；

（三）审议批准本机构的外包范围及相关安排；

（四）定期审阅本机构外包活动相关报告；

（五）定期安排内部审计，确保审计范围涵盖所有的外包安排。

第十条 高级管理层的职责主要包括以下方面：

（一）制定外包战略发展规划；

（二）制定外包风险管理的政策、操作流程和内控制度；

（三）确定外包业务的范围及相关安排；

（四）确定外包管理团队职责，并对其行为进行有效监督。

第十一条 外包管理团队的职责主要包括以下方面：

（一）执行外包风险管理的政策、操作流程和内控制度；

（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；

（三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；

（四）在发现外包服务提供商业的业务活动存在缺陷时，采取及时有效的措施；

（五）高级管理层确定的其他职责

第三章风险管理

第十二条 银行业金融机构在制定外包活动政策时，应当评估以下风险因素：

（一）银行业金融机构应当关注外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险；

（二）影响外包活动的外部因素；

（三）本机构对外包活动的风险管控能力；

（四）服务提供商的技术能力及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度；

（五）其他关注的事项。

第十三条 银行业金融机构在进行外包活动时应当对服务提供商进行尽职调查，尽职调查应当包括以下事项：

（一）管理能力和行业地位；

（二）财务稳健性；

（三）经营声誉和企业文化；

（四）技术实力和服务质量；

（五）突发事件应对能力；

（六）对银行业的熟悉程度；

（七）对其他银行业金融机构提供服务的情况；

（八）银行业金融机构认为重要的其他事项。银行业金融机构的外包活动涉及多个服务提供商时，应当对这些服务提供商进行关联关系的调查。

第十四条 银行业金融机构开展外包活动时应当签订书面合同或协议，明确双方的权利义务。合同或协议应当包括但不限于以下内容：

（一）外包服务的范围和标准；

（二）外包服务的保密性和安全性的安排；

（三）外包服务的业务连续性的安排；

（四）外包服务的审计和检查；

（五）外包争端的解决机制；

（六）合同或协议变更或终止的过渡安排；

（七）违约责任。

对于具有专业技术性的外包活动，可签订服务标准协议。

第十五条 银行业金融机构在外包活动中应当建立严格的客户信息保密制度，并依法履行告知义务。

第十六条 银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项：

（一）定期通报外包活动的有关事项；

（二）及时通报外包活动的突发性事件；

（三）配合银行业金融机构接受银行业监督管理机构的检查；

（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，银行业金融机构有权随时终止外包合同；

（五）不得以银行业金融机构的名义开展活动；

（六）银行业金融机构认为应当承诺的其他事项。第十七条 银行业金融机构应当关注外包服务提供商分包的风险，并在合同中明确以下事项：

（一）服务提供商分包的规则；

（二）分包服务提供商应当严格遵守主服务提供商与银行业金融机构确定的外包合同或协议中的相关条款；

（三）主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责；

（四）不得将外包活动的主要业务分包。

第十八条 银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。

第十九条 银行业金融机构在开展跨境外包活动时，应当遵守以下原则：

（一）审慎评估法律和管制风险；

（二）确保客户信息的安全；

（三）选择境外服务提供商时，应当明确其所在国家或地区监管当局已与我国银行业监督管理机构签订谅解备忘录或双方认可的其他约定。

第二十条 银行业金融机构应当事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施，确保业务活动的正常经营。

第二十一条 银行业金融机构应当定期对外包活动进行全面审计与评价。

第四章监督管理

第二十二条 银行业金融机构在开展外包活动时，应当定期向所在地银行业监督管理机构递交本机构外包活动的评估报告。

第二十三条 银行业金融机构在开展外包活动时如遇到对本机构的业务经营、客户信息安全、声誉等产生重大影响事件，应当及时向所在地银行业监督管理机构报告。

第二十四条 银行业监督管理机构及其派出机构根据需要对外包活动进行现场检查，采集外包活动过程中数据信息和相关资料，并将检查结果纳入对该机构的监管评级。

第二十五条 对外包活动存在以下情形的，银行业监督管理机构可以要求银行业金融机构纠正或采取替代方案，并视情况予以问责。

（一）违反相关法律、行政法规及规章；

（二）违反本机构风险管理政策、内控制度及操作流程等；

（三）存在重大风险隐患；

（四）其他认定的情形。

第五章附则

第二十六条 经银行业监督管理机构批准的其他金融机构开展外包活动时遵照本指引执行。

第二十七条 本指引由中国银行业监督管理委员会负责解释。

第二十八条 本指引自发布之日起实施。

第三篇：银行业金融机构全面风险管理指引

中国银监会关于《银行业金融机构全面风险管理指引（征求意见稿）》公开征求意见的公告

为进一步引导银行业金融机构树立全面风险管理意识，完善全面风险管理体系，持续提高风险管理水平，中国银监会起草了《银行业金融机构全面风险管理指引（征求意见稿）》，现向社会公开征求意见。公众可以通过以下途径反馈意见：

一、通过电子邮件。

二、通过传真。

三、通过信函方式将意见寄至：北京市西城区金融大街甲15号中国银监会审慎规制局（邮编：100140），并请在信封上注明“全面风险管理征求意见”字样。

意见反馈截止时间为2016年8月6日。[1]

中国银监会

2016年7月6日

银行业金融机构全面风险管理指引[1]（征求意见稿）

第一章 总则

第一条（立法依据）为提高银行业金融机构全面风险管理水平，促进银行体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条（适用范围）本指引适用于在中华人民共和国境内依法设立的银行业金融机构。本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行。

第三条（总体要求-管理内容）银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条（总体要求-管理原则）银行业金融机构全面风险管理应当遵循以下基本原则：

（一）匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化予以调整。

（二）全覆盖原则。全面风险管理应当覆盖各项业务条线，本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。第五条（全面风险管理要素）银行业金融机构全面风险管理体系应当包括但不限于以下要素：

（一）风险治理架构；

（二）风险管理策略、风险偏好和风险限额；

（三）风险管理政策和程序；

（四）管理信息系统和数据质量控制机制；

（五）内部控制和审计体系。

第六条（风险文化）银行业金融机构应当在全行层面推行稳健的风险文化，形成与本行相适应的风险管理理念、价值准则、职业操守，建立培训、传达和监督机制，推动全行人员理解和执行。

第七条（责任主体）银行业金融机构应当承担全面风险管理的主体责任，建立全面风险管理制度，保障制度执行，对全面风险管理体系自我评估，健全自我约束机制。

第八条（监督管理）银行业监督管理机构依法对银行业金融机构全面风险管理实施监管。

第九条（披露要求）银行业金融机构应当按照银行业监督管理机构的规定，向公众披露全面风险管理情况。

第二章 风险治理架构

第十条（总体要求）银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构，明确董事会、监事会、高级管理层，业务部门、风险管理部门和内审部门在风险管理中的职责分工，建立多层次、相互衔接、有效制衡的运行机制。

第十一条（董事会职责）银行业金融机构董事会承担全面风险管理的最终责任，履行以下职责：

（一）建立风险文化；

（二）制定风险管理策略；

（三）设定的风险偏好和风险限额；

（四）审批风险管理政策和程序；

（五）监督高级管理层开展全面风险管理；

（六）审议全面风险管理报告；

（七）审批全面风险和各类重要风险的信息披露；

（八）聘任风险总监（首席风险官）或其他高级管理人员，牵头负责全面风险管理；

（九）其他与风险管理有关的职责。

董事会可以授权其下设的风险管理委员会履行其全面风险管理的部分职责。第十二条（委员会间的沟通机制）银行业金融机构应当建立风险管理委员会与董事会下设的战略委员会、审计委员会、提名委员会等其他专门委员会的沟通机制，确保信息充分共享并能够支持风险管理相关决策。

第十三条（监事会职责）银行业金融机构监事会承担全面风险管理的监督责任，负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。相关监督检查情况应当纳入监事会工作报告。第十四条（高级管理层职责）银行业金融机构高级管理层承担全面风险管理的实施责任，执行董事会的决议，应当履行以下职责：

（一）建立适应全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制；

（二）制定清晰的执行和问责机制，确保风险偏好、风险管理策略和风险限额得到充分传达和有效实施；

（三）对董事会设定的风险限额进行细化并执行，包括但不限于行业、区域、客户、产品等维度；

（四）制定风险管理政策和程序，定期评估，必要时调整；

（五）评估全面风险和各类重要风险管理状况并向董事会报告；

（六）建立完备的管理信息系统和数据质量控制机制；

（七）对突破风险偏好、风险限额以及违反风险管理政策和程序的情况进行监督，根据董事会的授权进行处理；

（八）风险管理的其他职责。

第十五条（风险总监或独立高管）规模较大或业务复杂的银行业金融机构应当设立风险总监（首席风险官）。董事会应当将风险总监（首席风险官）纳入高级管理人员。风险总监（首席风险官）或其他牵头负责全面风险管理的高级管理人员应当保持充分的独立性，不得分管业务经营条线，可以直接向董事会报告全面风险管理情况。

调整风险总监（首席风险官）的，应当事先得到董事会批准，并公开披露。银行业金融机构应当向银行业监督管理机构报告风险总监（首席风险官）的调整原因。

第十六条（全面风险管理的职责分工）银行业金融机构应当确定业务条线承担风险管理的直接责任；风险管理条线承担制定政策和流程，日常监测和管理风险的责任；内审部门承担业务部门和风险管理部门履责情况的审计责任。

第十七条（全面风险管理职能部门职责）银行业金融机构应当设立或者指定部门负责全面风险管理，牵头履行全面风险的日常管理，包括但不限于以下职责：

（一）实施全面风险管理体系建设，牵头协调各类具体风险管理部门；

（二）识别、计量、评估、监测、控制或缓释全面风险和各类重要风险，及时向高级管理人员报告；

（三）持续监控风险偏好、风险管理策略、风险限额及风险管理政策和程序的执行情况，对突破风险偏好、风险限额以及违反风险管理政策和程序的情况及时预警、报告并提出处理建议。

（四）组织开展风险评估，及时发现风险隐患和管理漏洞，持续提高风险管理的有效性。

第十八条（分支机构要求）银行业金融机构应当采取必要措施，保证全面风险管理的政策流程在基层分支机构得到理解与执行，建立与基层分支机构风险状况相匹配的风险管理架构。

在境外设有机构的银行业金融机构应当建立适当的境外风险管理框架、政策和流程。第十九条（资源保障）银行业金融机构应当赋予全面风险管理职能部门和各类风险管理部门充足的资源、独立性、授权，保证其能够及时获得风险管理所需的数据和信息，满足履行风险管理职责的需要。

第三章 风险管理策略、风险偏好和风险限额

第二十条（风险管理策略）银行业金融机构应当制定清晰的风险管理策略，至少每年评估其有效性。风险管理策略应当反映风险偏好、风险状况以及市场和宏观经济变化，并在银行内部得到充分传导。

第二十一条（风险偏好总体要求）银行业金融机构应当制定书面的风险偏好，定性指标和定量指标并重。风险偏好的设定应当与战略目标、经营计划、资本规划、绩效考评和薪酬机制衔接，在全行传达并执行。

银行业金融机构应当每年对风险偏好至少进行一次评估。

第二十二条（风险偏好内容）银行业金融机构制定的风险偏好，应当包括但不限于以下内容：

（一）战略目标和经营计划的制定依据，风险偏好与战略目标、经营计划的关联性；

（二）为实现战略目标和经营计划愿意承担的风险总量；

（三）愿意承担的各类风险的最大水平；

（四）风险偏好的定量指标，包括利润、风险、资本、流动性以及其他相关指标的目标值或目标区间。上述定量指标通过风险限额、经营计划、绩效考评等方式传导至业务条线、分支机构、附属机构的安排；

（五）对不能定量的风险偏好的定性描述，包括承担此类风险的原因、采取的管理措施；

（六）资本、流动性抵御总体风险和各类风险的水平；

（七）可能导致风险偏好目标的情形和处置方法。

风险偏好应当明确董事会、高级管理层和首席风险官、业务条线、风险部门和审计部门在制定和实施风险偏好过程中的职责。

第二十三条（风险偏好执行报告）银行业金融机构应当建立监测分析各业务条线、分支机构、附属机构执行风险偏好的机制。

当风险偏好目标被突破时，应当及时分析原因、制定解决方案并实施。

第二十四条（风险偏好调整）银行业金融机构应当建立风险偏好的调整制度。根据业务规模、复杂程度、风险状况的变化，对风险偏好进行调整。

第二十五条（风险限额管理）银行业金融机构应当制定风险限额管理的政策和程序，建立风险限额设定、限额调整、超限额报告和处理制度。

银行业金融机构应当根据风险偏好，按照客户、行业、区域、产品等维度设定风险限额。风险限额应当综合考虑资本、风险集中度、流动性、交易目的等。

全面风险管理职能部门应当对风险限额进行监控，并向董事会和高级管理层报送风险限额使用情况。

第四章 风险管理政策和程序 第二十六条（风险管理政策和程序）银行业金融机构应当制定风险管理政策和程序，包括但不限于以下内容：

（一）全面风险管理的方法，包括各类风险的识别、计量、评估、监测、报告、控制或缓释，风险加总的方法和程序；

（二）风险定性管理和定量管理的方法；

（三）风险管理报告；

（四）压力测试安排；

（五）新产品、重大业务和机构变更的风险评估；

（六）资本和流动性充足情况评估；

（七）应急计划和恢复计划。

第二十七条（风险的识别、计量、评估、监测、报告和控制或缓释）银行业金融机构应当在集团和法人层面对各附属机构、分支机构、业务条线，对表内和表外、境内和境外、本币和外币业务涉及的各类风险，进行识别、计量、评估、监测、报告、控制或缓释。

银行业金融机构应当制定每项业务对应的风险管理政策和程序。未制定的，不得开展该项业务。

银行业金融机构应当有效评估和管理各类风险。对能够量化的风险，应当通过风险计量技术，加强对相关风险的计量、控制、缓释；对难以量化的风险，应当建立风险识别、评估、控制和报告机制，确保相关风险得到有效管理。

第二十八条（政策和程序的一致性）银行业金融机构应当建立风险统一集中管理的制度，确保全面风险管理对各类风险管理的统领性，各类风险管理与全面风险管理政策和程序的一致性。

第二十九条（风险加总的方法和程序）银行业金融机构应当建立风险加总的政策、程序，选取合理可行的加总方法，充分考虑集中度风险及风险之间的相互影响和相互传染，确保在不同层次上和总体上及时识别风险。

第三十条（内部模型）银行业金融机构采用内部模型计量风险的，应当遵守相关监管要求，确保风险计量的一致性、客观性和准确性。董事会和高级管理层应当理解模型结果的局限性、不确定性和模型使用的固有风险。

第三十一条（风险管理报告）银行业金融机构应当建立全面风险管理报告制度，明确报告的内容、频率、路线。

报告内容至少包括总体风险和各类风险的整体状况；风险管理策略、风险偏好和风险限额的执行情况；风险在行业、地区、客户、产品等维度的分布；资本和流动性抵御风险的水平。

第三十二条（压力测试安排）银行业金融机构应当建立压力测试体系，明确压力测试的治理结构、政策文档、方法流程、情景设计、保障支持、验证评估以及压力测试结果运用。

银行业金融机构应当定期开展压力测试。压力测试的开展应当覆盖各类风险和表内外主要业务领域，并考虑各类风险之间的相互影响。

压力测试结果应当运用于银行业金融机构的风险管理和各项经营管理决策中。第三十三条（新产品、重大业务和机构变更的风险评估）银行业金融机构应当建立专门的政策和流程，评估开发新产品或对现有产品进行重大改动、拓展新的业务领域、设立新机构、从事重大收购和投资等可能带来的风险，并建立内部审批流程和退出安排。银行业金融机构开展上述活动时，应当经风险管理部门审查同意，并经董事会或董事会指定的专门委员会批准。

第三十四条（资本和流动性充足情况评估）银行业金融机构应当根据风险偏好和风险状况及时评估资本和流动性的充足情况，确保资本、流动性能够抵御风险。

第三十五条（应急计划）银行业金融机构应当制定应急计划，确保能够及时应对和处理紧急或危机情况。应急计划应当说明可能出现的风险以及在压力情况（包括会严重威胁银行生存能力的压力情景）下应当采取的措施。银行业金融机构的应急计划应当涵盖对境外分支机构和附属机构的应急安排。银行业金融机构应当定期更新、演练或测试上述计划，确保其充分性和可行性。

第三十六条（恢复计划）银行业金融机构应当按照相关监管规定的要求，根据银行的风险状况和系统重要性，制定并定期更新完善本机构的恢复计划，明确本机构在压力情况下能够继续提供持续稳定运营的各项关键性金融服务并恢复正常运营的行动方案。

第三十七条（附属机构）银行业金融机构应当制定覆盖其附属机构的风险管理政策和程序，保持机构风险管理的一致性、有效性。银行业金融机构应当要求并确保各附属机构在整体风险偏好和风险管理政策框架下，建立自身的风险管理组织架构、政策流程，促进全面风险管理的一致性和有效性。

银行业金融机构应当建立健全防火墙制度，规范内部交易，防止风险传染。第三十八条（外包风险管理）银行业金融机构应当制定外包风险管理制度，确定与其风险管理水平相适应的外包活动范围。

第三十九条（风险管理应用）银行业金融机构应当将风险偏好、风险管理策略、风险限额、风险管理政策和程序等要素与资本管理、业务管理相结合，在战略和经营计划制定、新产品审批、内部定价、绩效考评和薪酬政策等日常经营管理中充分应用并得到有效实施。

第四十条（文档管理）银行业金融机构应当对风险偏好、风险管理策略、风险限额、风险管理政策和程序建立规范的文档记录。

第五章 管理信息系统和数据质量

第四十一条（风险管理信息系统）银行业金融机构应当具备完善的风险管理信息系统，能够在集团和法人层面计量、评估、展示、报告、加总所有风险类别、产品和交易对手风险暴露的规模和构成。

第四十二条（系统功能）银行业金融机构相关风险管理信息系统应当具备以下主要功能，支持风险报告和管理决策的需要。

（一）支持识别、计量、评估、监测和报告所有类别的重要风险；

（二）支持风险限额管理，对超出风险限额的情况进行实时监测、预警和控制；

（三）能够计量、评估和报告所有风险类别、产品和交易对手的风险状况，满足全面风险管理需要。

（四）支持按照业务条线、机构、资产类型、行业、地区、集中度等多个维度展示和报告风险暴露情况；

（五）支持不同频率的定期报告和压力情况下的数据加工和风险加总需求；

（六）支持压力测试工作，评估各种不利情景对全行及主要业务条线的影响； 第四十三条（信息科技基础设施）银行业金融机构应当建立与业务规模、风险状况等相匹配的信息科技基础设施。

第四十四条（数据质量）银行业金融机构应当建立健全数据质量控制机制，积累真实、准确、连续、完整的内部和外部数据，用于风险识别、计量、评估、监测、报告，资本和流动性充足情况的评估。

第六章 内部控制和审计

第四十五条（内控要求）银行业金融机构应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。

第四十六条（内审要求）银行业金融机构应当将全面风险管理纳入内部审计范畴，定期审查和评价全面风险管理的充分性和有效性。

银行业金融机构内部审计活动应独立于业务经营、风险管理和合规管理，遵循独立性、客观性原则，不断提升内部审计人员的专业能力和职业操守。

全面风险管理的内部审计报告应当直接提交董事会和监事会。董事会应当针对内部审计发现的问题，督促高级管理层及时采取整改措施。内部审计部门应当跟踪检查整改措施的实施情况，并及时向董事会提交有关报告。

第七章 监督管理

第四十七条（报备及报告要求）银行业金融机构应当将风险管理策略、风险偏好、风险限额、风险管理政策和程序等报送银行业监督管理机构，并至少按报送全面风险管理报告。

第四十八条（监管内容）银行业监督管理机构应当将银行业金融机构全面风险管理纳入法人监管体系中，并根据本指引全面评估银行业金融机构风险管理体系的健全性和有效性，提出监管意见，督促银行业金融机构持续加以完善。

第四十九条（监管方式）银行业监督管理机构通过非现场监管和现场检查等实施对银行业金融机构全面风险管理的持续监管，具体方式包括但不限于监管评级、风险提示、现场检查、监管通报、监管会谈、与内外部审计师会谈等。

第五十条（监管沟通）银行业监督管理机构应当就全面风险管理情况与银行业金融机构董事会、监事会、高级管理层等进行充分沟通，并视情况在银行董事会、监事会会议上通报。

第五十一条（监管措施）对不能满足本指引及其他关于全面风险管理要求的银行业金融机构，银行业监督管理机构可以要求其制定整改方案，责令限期改正，并视情况采取相应的监管措施。

第八章 附则

第五十二条（与具体风险监管要求的关系）各类具体风险的监管要求按照银行业监督管理机构的有关规制执行。第五十三条（参照执行）经银行业监督管理机构批准设立的其他金融机构参照本指引执行。

第五十四条（施行时间）本指引自2016年 月 日起施行。本指引实施前发布的有关规范性文件如与本指引不一致的，按照本指引执行。[1]

解读一

为提升银行业金融机构全面风险管理水平，引导银行业金融机构更好服务实体经济，银监会近日发布了《银行业金融机构全面风险管理指引》（以下简称《指引》）。银监会有关部门负责人就《指引》相关问题回答了记者的提问。

一、《指引》制定的背景是什么？

答：《指引》制定的背景主要有三方面：一是我国银行业风险管理缺乏统领性规制。近年来，银监会陆续制定了各类审慎监管规则，覆盖了资本管理、信用风险、市场风险、流动性风险、操作风险、并表管理等各个领域，比较系统，但仍然缺乏一个针对全面风险管理的统领性、综合性规则。因此，有必要制定关于全面风险管理的审慎规制，为银行建立完善的全面风险管理体系提供政策依据和指导。二是银行业金融机构全面风险管理实践有待完善。我国银行业在全面风险管理体系建设上已取得一定的成果，但实践中仍然存在以下问题有待完善：第一，全面风险管理的统筹性和有效性有待提升。第二，中小银行业金融机构全面风险管理体系建设起步相对较晚，精细化程度有待提高。第三，银行业金融机构全面风险管理成果的应用较多基于银监会的监管要求，深度和广度仍有很大的拓展空间。三是国际监管改革对风险管理提出了新的要求。2008年国际金融危机后，国际组织和各国监管机构都在积极完善金融机构全面风险管理相关制度。2012年，巴塞尔委员会修订了《有效银行监管核心原则》，完善和细化了原则15“风险管理体系”的各项标准。之后，巴塞尔委员会和金融稳定理事会针对公司治理、风险偏好、风险文化和风险报告等全面风险管理要素陆续发布了一系列政策文件，提出了更具体的要求。《指引》的制定既是积极适应国际监管改革新要求的结果，又有助于提升我国银行业风险管理水平。

二、《指引》制定的主要思路是什么？

答：《指引》的起草主要基于以下思路：一是形成系统化的全面风险管理规制。二是提出风险管理的统领性框架，强化全面性和关联性视角。三是提高可操作性，提供全面风险管理和监管指南。四是引入《核心原则》最低标准，反映国际监管改革最新成果。五是充分考虑各类机构的差异化情况。六是注重与已有规制的衔接。

三、《指引》对全面风险管理有哪些原则性规定？

答：《指引》对银行业金融机构全面风险管理提出四点管理原则：一是匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。二是全覆盖原则。全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。三是独立性原则。银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。四是有效性原则。银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

四、《指引》对全面风险管理提出哪些主要要求？

答：《指引》提出了银行业金融机构全面风险管理体系的五个主要要素，包括风险治理架构，风险管理策略、风险偏好和风险限额，风险管理政策和程序，管理信息系统和数据质量控制，内部控制和审计体系等。《指引》对以上要素的具体内容也进行了规定。

其中，关于风险偏好，《指引》规定银行业金融机构应当制定书面的风险偏好，做到定性指标和定量指标并重，并提出了风险偏好应包括的七项具体内容。关于风险限额，《指引》提出，银行业金融机构应当制定风险限额管理的政策和程序，建立风险限额设定、限额调整、超限额报告和处理制度。同时，在风险限额临近监管指标限额时，银行业金融机构应当启动相应的纠正措施和报告程序，采取必要的风险分散措施，并向银行业监督管理机构报告。

五、《指引》对全面风险管理的责任主体提出哪些要求？

答：《指引》采用了风险管理“三道防线”的理念，强调银行业金融机构董事会承担全面风险管理的最终责任。银行业金融机构监事会承担全面风险管理的监督责任，负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。银行业金融机构应当设立或指定部门负责全面风险管理，牵头履行全面风险的日常管理。银行业金融机构各业务经营条线承担风险管理的直接责任。

六、《指引》是否充分考虑各类机构的差异性？

答：《指引》定位于为银行业金融机构完善全面风险管理体系提供系统性指导框架。在此基础上，《指引》充分考虑了各类银行业金融机构的差异化情况。一是区分适用和参照执行。适用范围明确为我国境内设立的银行业金融机构，经银行业监督管理机构批准设立的其他金融机构参照本指引执行。二是明确匹配性原则。考虑到各类机构特点的差异性，《指引》明确提出全面风险管理体系应当与风险状况和系统重要性等相匹配，并根据环境变化进行调整。三是部分条款增加了适用的前提条件。如对规模较大或业务复杂的银行业金融机构提出设立风险总监（首席风险官）的要求。[2]

解读二

银行业金融机构全面风险管理指引[1]

中国银监会就《银行业金融机构全面风险管理指引（征求意见稿）》公开征求意见 为提升银行业金融机构全面风险管理水平，中国银监会起草了《银行业金融机构全面风险管理指引（征求意见稿）》（以下简称《指引》），现向社会公开征求意见。银监会将根据各界反馈意见，进一步修改完善《指引》，适时发布。

近年来，为加强和规范商业银行风险管理，银监会借鉴国际金融监管改革成果，紧密结合我国银行业实际，陆续制定了各类审慎监管规则，覆盖了资本管理、信用风险、市场风险、流动性风险、操作风险、并表管理等各个领域，初步建立起一套较为完整的风险管理规制体系。在此基础上，银监会从现有规则中梳理提炼出共性要素，同时参照巴塞尔银行委员会《有效银行监管核心原则》的基本要求，借鉴国际经验，起草了《指引》，形成了我国银行业全面风险管理的统领性、综合性规则，引导银行业树立全面风险管理意识，建立稳健的风险文化，健全风险管理治理架构和要素，完善全面风险管理体系，持续提高风险管理水平。

《指引》共8章54条，包括总则，风险治理架构，风险管理策略、风险偏好和风险限额，风险管理政策和程序，管理信息系统和数据质量，内部控制和审计，监督管理及附则，强调银行业金融机构按照匹配性、全覆盖、独立性和有效性的原则，建立健全全面风险管理体系，并加强外部监管。

第四篇：银行业金融机构信息科技外包风险监管指引

中国银行业监督管理委员会

银监发[2013]5号

中国银监会关于印发银行业金融机构信息科技外

包风险监管指引的通知

各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：

现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2013年2月16日

银行业金融机构信息科技外包风险监管指引

第一章 总则

第一条

为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条

在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条

本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。原则上包括以下类型：

（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；

（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条

本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条

信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：

（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；

（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条

本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条

本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条

银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

第九条

银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

第十条

银行业金融机构在实施信息科技外包时应当坚持以下原则：

（一）以不妨碍