亚洲成AV人的天堂在线观看,久久av免费精品首页,av这里只有精品大帝,免费国产一级av片

第八章  外    包

第五十五條  商業(yè)銀行不得將其信息科技管理責任外包，應合理謹慎監(jiān)督外包職能的履行。

第五十六條  商業(yè)銀行實施重要外包（如數據中心和信息科技基礎設施等)應格外謹慎，在準備實施重要外包時應以書面材料正式報告銀監(jiān)會或其派出機構。

第五十七條  商業(yè)銀行在簽署外包協(xié)議或對外包協(xié)議進行重大變更前，應做好相關準備，其中包括：

（一） 分析外包是否適合商業(yè)銀行的組織結構和報告路線、業(yè)務戰(zhàn)略、總體風險控制，是否滿足商業(yè)銀行履行對外包服務商的監(jiān)督義務。

（二） 考慮外包協(xié)議是否允許商業(yè)銀行監(jiān)測和控制與外包相關的操作風險。

（三） 充分審查、評估外包服務商的財務穩(wěn)定性和專業(yè)經驗，對外包服務商進行風險評估，考查其設施和能力是否足以承擔相應的責任。

（四） 考慮外包協(xié)議變更前后實施的平穩(wěn)過渡（包括終止合同可能發(fā)生的情況）。

（五） 關注可能存在的集中風險，如多家商業(yè)銀行共用同一外包服務商帶來的潛在業(yè)務連續(xù)性風險。

第五十八條  商業(yè)銀行在與外包服務商合同談判過程中，應考慮的因素包括但不限于：

（一） 對外包服務商的報告要求和談判必要條件。

（二） 銀行業(yè)監(jiān)管機構和內部審計、外部審計能執(zhí)行足夠的監(jiān)督。

（三） 通過界定信息所有權、簽署保密協(xié)議和采取技術防護措施保護客戶信息和其他信息。

（四） 擔保和損失賠償是否充足。

（五） 外包服務商遵守商業(yè)銀行有關信息科技風險制度和流程的意愿及相關措施。

（六） 外包服務商提供的業(yè)務連續(xù)性保障水平，以及提供相關專屬資源的承諾。

（七） 第三方供應商出現(xiàn)問題時，保證軟件持續(xù)可用的相關措施。

（八） 變更外包協(xié)議的流程，以及商業(yè)銀行或外包服務商選擇變更或終止外包協(xié)議的條件，例如：

1. 商業(yè)銀行或外包服務商的所有權或控制權發(fā)生變化。

2. 商業(yè)銀行或外包服務商的業(yè)務經營發(fā)生重大變化。

3. 外包服務商提供的服務不充分，造成商業(yè)銀行不能履行監(jiān)督義務。

第五十九條  商業(yè)銀行在實施雙方關系管理，以及起草服務水平協(xié)議時，應考慮的因素包括但不限于：

（一） 提出定性和定量的績效指標，評估外包服務商為商業(yè)銀行及其相關客戶提供服務的充分性。

（二） 通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。

（三） 針對績效不達標的情況調整流程，采取整改措施。

第六十條  商業(yè)銀行應加強信息科技相關外包管理工作，確保商業(yè)銀行的客戶資料等敏感信息的安全，包括但不限于采取以下措施：

（一） 實現(xiàn)本銀行客戶資料與外包服務商其他客戶資料的有效隔離。

（二） 按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。

（三） 要求外包服務商保證其相關人員遵守保密規(guī)定。

（四） 應將涉及本銀行客戶資料的外包作為重要外包，并告知相關客戶。

（五） 嚴格控制外包服務商再次對外轉包，采取足夠措施確保商業(yè)銀行相關信息的安全。

（六） 確保在中止外包協(xié)議時收回或銷毀外包服務商保存的所有客戶資料。

第六十一條  商業(yè)銀行應建立恰當的應急措施，應對外包服務商在服務中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務商的重大資源損失，重大財務損失和重要人員的變動，以及外包協(xié)議的意外終止。

第六十二條  商業(yè)銀行所有信息科技外包合同應由信息科技風險管理部門、法律部門和信息科技管理委員會審核通過。商業(yè)銀行應設立流程定期審閱和修訂服務水平協(xié)議。



第九章  內部審計

第六十三條  商業(yè)銀行內部審計部門應根據業(yè)務的性質、規(guī)模和復雜程度，對相關系統(tǒng)及其控制的適當性和有效性進行監(jiān)測。內部審計部門應配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當的授權訪問本銀行的記錄。

第六十四條  商業(yè)銀行內部信息科技審計的責任包括：

（一） 制定、實施和調整審計計劃，檢查和評估商業(yè)銀行信息科技系統(tǒng)和內控機制的充分性和有效性。

（二） 按照第（一）款規(guī)定完成審計工作，在此基礎上提出整改意見。

（三） 檢查整改意見是否得到落實。

（四） 執(zhí)行信息科技專項審計。信息科技專項審計，是指對信息科技安全事故進行的調查、分析和評估，或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。

第六十五條  商業(yè)銀行應根據業(yè)務性質、規(guī)模和復雜程度，信息科技應用情況，以及信息科技風險評估結果，決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。

第六十六條  商業(yè)銀行在進行大規(guī)模系統(tǒng)開發(fā)時，應要求信息科技風險管理部門和內部審計部門參與，保證系統(tǒng)開發(fā)符合本銀行信息科技風險管理標準。