服务提供商如何响应《银行保险机构信息科技外包风险监管办法》的监管要求

需开展尽职调查的外包活动

尽职调查的程序性事务

尽职调查的范围以及服务供应商的配合

尽职调查结果能否共享仍有待监管明确

避免接受一刀切模式的协议模板

合理承诺对银行保险机构内部管理制度的遵从

不同条款之间的衔接与统一

尽量采用服务提供商自有的合同文档

提供标准化的工具协助银行保险机构行使权利

不应影响服务提供商自身需遵循的安全义务

尽可能利用既有资源响应需求

事先约定成本承担机制

[1]《外包监管办法》第十三条规定了九类原则上构成重要外包的活动：（一）信息科技工作整体外包，仅保留必要的管理团队和核心职能；（二）数据中心（机房）整体外包；（三）涉及基础设施和信息系统整体架构发生重大变化的信息科技外包；（四）核心业务系统开发测试和运行维护的整体外包；（五）信息科技战略规划（含中长期规划）咨询外包；（六）安全运营的整体外包；（七）涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包；（八）直接影响实时服务、影响账务准确性的重要信息系统外包；（九）其它对机构业务运营具有重要影响的外包。

[2] 包括（一）服务提供商的技术和行业经验，人员及能力；（二）服务提供商的内部控制和管理能力；（三）服务提供商的网络和信息安全保障能力；（四）服务提供商的持续经营状况；（五）服务提供商及其母公司或实际控制人遵守国家和银保监会相关法律法规要求的情况；（六）服务提供商过往配合银行保险机构审计、评估、检查及监管机构监督检查情况；（七）服务提供商与银行保险机构的关联性。

[3] 即原银监会于2013年发布实施的《银行业金融机构信息科技外包风险监管指引》（“银监发[2013]5号”），该指引已经随着《外包监管办法》的颁布实施而被废止。

[4] 即原银监会办公厅于2014年发布实施的《关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（“银监办发[2014]197号”），也已随着《外包监管办法》的颁布实施而被废止。

[5] 《外包监管办法》第四十四条界定的“跨境外包”是指服务提供商在境外其他国家或地区实施信息科技外包服务的行为。

[6] 该文件中定义的“非驻场集中式外包”是指外包服务商不在银行业金融机构提供现场服务，或外包的关键基础设施和信息系统不在银行业金融机构产权场所，由银行业金融机构以租用设施或购买服务资源的方式获得，主要由外包服务商运维，并且外包服务商同时为3家（含）以上银行业金融机构或其他机构提供服务的外包方式。