内容发布更新时间 : 2024/5/22 7:21:07星期一 下面是文章的全部内容请认真阅读。

范文范例参考

第三十二条 对于关联外包，银行业金融机构不得因关联

关系而降低对服务提供商的要求，应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平，确认其有足够能力实施外包

服务、处理突发事件等。

第三十三条 对于外包服务提供商为同业托管机构的情

况，银行业金融机构可参照本节内容对其进行管理。

第三节 外包服务合同及要求

第三十四条 银行业金融机构在实施外包服务项目前，应

当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。

第三十五条 银行业金融机构在合同或协议中应当明确以

下内容，包括但不限于：

（一） 服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；

（二） 合规与内控要求，对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施；

（三） 服务连续性要求，服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求；

（四） 银行业金融机构监控和检查的权利、频率，服务提供商配合其内、外部审计机构检查，及配合银行业监管机构检查

完美Word格式整理版

范文范例参考

的责任；

（五） 政策或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处置等过渡期间相关服务的安排；

（六） 外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；

（七） 服务要求或服务水平条款，至少应当包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等；

（八） 争端解决机制、违约及赔偿条款，至少包括如下内容：服务质量违约、安全违约、知识产权违约等，及在各种违约情况下的赔偿以及外包争端的解决机制；

（九） 报告条款，至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十六条 银行业金融机构应当在合同或协议中明确服

务提供商在安全和保密方面的责任，以及针对安全及保密要求需采取的具体措施。包括但不限于：

（一） 禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息，以防止信息被非授权使用；

（二） 在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款；

完美Word格式整理版

范文范例参考

（三） 在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动；

（四） 服务提供商接触银行业金融机构信息时，需满足安全和保密相关条款的要求；

（五） 在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行业信息科技风险类突发事件时，服务提供商应及时向银行业金融机构报告，包括事件的影响以及处置

和纠正措施。

第三十七条 银行业金融机构应当在合同或协议中明确要

求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：

（一） 不得将外包服务的主要业务分包；

（二） 主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议；

（三） 主服务提供商对分包商进行监控，并对分包商的变更履行通知或报告审批义务。

第四节 外包服务安全管理

第三十八条 银行业金融机构应当制定和落实信息安全管

控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括：

（一） 对外包人员进行信息安全培训，提高风险管理意识，

完美Word格式整理版

范文范例参考

确保信息安全管控措施在外包服务过程中有效落实；

（二） 明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；

（三） 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描；

（四） 定期对服务提供商进行安全检查，获取服务提供商自评估或第三方评估报告。

第三十九条 银行业金融机构对关联外包服务提供商

定期进行的安全检查，不得以服务提供商的自评估替代，不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条 银行业金融机构应当关注外包服务引入的新

技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。

第五节 外包服务监控与评价

第四十一条 银行业金融机构应当对外包服务过程进

行持续监控，要求服务提供商建立阶段性服务目标及任务，并跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。

完美Word格式整理版