威海银行业金融机构信息科技管理工作考核办法(试行)[合集]

第一篇：威海银行业金融机构信息科技管理工作考核办法(试行)

威海银行业金融机构信息科技管理工作考核办法

（试行）

第一章总则

第一条为完善信息科技治理措施，增强银行业信息科技风险防范能力，推动辖内商业银行信息化建设健康发展，更好地运用信息技术提升业务管理和风险防范水平，根据《中国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行操作风险管理指引》、《商业银行业务连续性监管指引》、《商业银行外包风险管理指引》、《银行业重要信息系统突发事件管理规范》等法律法规，制定本考核办法。

第二条威海银监分局对辖区各银行业金融机构的信息科技风险管理状况进行考核评比，考核评比工作由威海银监分局统计信息科组织实施。

第三条本办法的考核评比周期为一年，自上年度12月份至本年度11月末，考核情况每半年通报1次，每年年底对全年考核结果进行通报表彰。

第四条本办法适用于威海辖区各银行业金融机构。

第二章考核内容及计分方法

第五条信息科技管理考核工作的内容，包括信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三个方面，同时设立加分项目对在信息科技管理方面表现优异的机构给予鼓励。

第六条信息科技管理考核实行百分制考核与加分项目考核相结合的综合考核方法，百分考核得分与加分项目考核得分相加为综合考核得分。

第七条信息科技日常管理、监管部门信息科技检查、监管部门布置工作完成情况三项工作实行百分制考核，每项满分100分，分别按40%、30%、30%的权重计入百分考核得分；加分项目实行单独考核，视完成情况进行奖励加分，直接计入综合考核得分。

第三章考核标准

第八条信息科技日常管理考核标准。法人机构应在完善信息科技治理的基础上，建立信息科技风险“三道防线”，做好信息科技规划，提升信息系统建设效率，确保信息系统稳健运行并采取有效内控措施减少信息系统应用风险；分支机构应重点加强业务连续性和信息安全管理，建立相应的管理制度，确保经营过程中不发生信息安全事故。

1.银行业金融机构未指定信息科技风险牵头管理部门，扣5分；牵头部门及负责人变更未按要求向监管部门报告的，每次扣2分；牵头部门未能积极配合监管部门进行工作协调的，每次扣2分。

2.被考核机构未对信息科技风险管理相关部门配备适当资源，如人员、财力、基础设施等不充足或存在重大缺陷的，每项扣3~5分；被考核部门信息科技风险管理制度存在不完善的，每项扣2分。

3.新设经营机构、原有机构装修改造或迁址，涉及信息科技变更事宜，未向监管部门信息科技风险监管部门报告的，每次扣5分。

4.未制定年度信息科技风险应急演练计划的扣5分，未实施演练或演练不符合监管要求的扣1~3分。演练计划和实施结果未报告监管部门的，每次扣1分。

5.未制定业务连续性计划和应急预案的机构，扣15分并取消年度评奖资格；制定业务连续性计划和应急预案不完善的，视情况扣5~10分；发生大范围的业务中断事故的，每次扣15分并取消年度评奖资格。

6.机房或营业网点在发生业务中断或重要网络中断事件后，未及时报告监管部门的，根据事件大小，每次扣2~5分。

7.银行业金融机构应至少每半年组织相关部门人员学习1次信息科技监管制度、信息科技风险提示等文件，并做相应的学习记录。未定期组织学习、记录不完整或学习效果不明显的，视情况每次扣2~5分。

8.被考核机构在制订考核办法时，未将监管部门年度考核结果纳入本机构内部部门考核的，每次扣10分；未按考核制度执行的，每次扣2~8分。

9.被考核机构机房服务器、重要安全设备、网络设备和桌面计算机等涉密设备，未采取必要的信息安全防护措施的，根据情况每项扣2~5分。10.总行级法人机构在实施重要信息系统项目外包前（如数据中心、重要业务系统和信息科技基础设施等）未以书面形式正式报告监管部门的，每次扣2分。

11.总行级法人机构在进行重要信息系统开发时，未要求信息科技风险管理部门、业务管理部门和内部审计部门进行一般控制和应用控制审查，以确保系统开发符合监管部门以及本机构风险管理标准的，视情况每次扣2~5分。

12.总行级法人机构未按照监管要求建立完善的信息科技治理，并形成信息科技风险“三道防线”的，根据情况扣2~5分；未制定明确的信息科技战略规划，或规划与本行整体战略规划结合不紧密的，根据情况扣3~5分。

第九条监管部门信息科技检查考核标准。辖内银行业金融机构应积极配合监管部门的信息科技检查及巡查工作，对暴露出的问题认真分析成因，组织全面整改，并采取有效措施落实监管部门提出的监管意见和要求，促进本机构信息科技管理能力和水平的不断提高。

1.监管部门每年例行现场检查中发现严重问题，每项扣5分；一般性问题每项扣1分；严重问题是指对信息系统的稳定运行、业务连续性、信息安全和银行业务管理带来较大安全隐患的问题。

2.对监管部门检查发现的问题未在规定时间内进行整改的，每项扣3分。

3.监管部门提出的监管要求，经被查机构确认后，未在规定时间内落实的，每项扣5分。

第十条监管部门布置工作完成情况考核标准。被考核机构需在规定时间内，完成监管部门布置的各项信息科技监管工作并确保工作质量，本机构信息科技风险牵头部门负责内部协调联系工作。

1.对监管部门下发的各类通知和监管要求未有效贯彻落实的，每次扣1~5分。

2.对监管部门要求上报的报表，未能及时报送的每次扣5分；填报数据或信息出现差错的，视情况每次扣1~3分；报表出现漏报项的每项扣减2分。

3.未按要求及时报送信息科技年度报告或监管部门要求上报的其他重要书面报告的，每次扣5分。

第十一条加分项目考核标准。辖内银行业金融机构应当及时向监管部门报告信息科技管理方面的相关信息，为强化信息科技监管工作提供参考，并积极配合监管部门开展的专项工作，共同促进辖区信息科技管理工作水平的全面提升。

1.上报监管部门本机构信息科技工作动态或信息科技调研课题，每篇加1分，被分局采用的每篇加2分，经分局上报后被省局采用的，每篇加5分，被银监会采用的，每篇加10分。

2.协助监管部门完成检查或其他监管工作的，视情况每次加2~5分。

3.主动发现本机构或外包商（如自助设备服务商、电信企业等）风险隐患并报告监管部门的，每次加2~3分，如涉及全辖机构共性问题，每次加3~5分。

第四章组织管理及考核实施

第十二条威海银监分局按上述考核内容和标准，对辖区各银行业金融机构信息科技管理工作情况进行全面实时记载，考核结果实行半年通报、按年考核，考核期结束后进行评比表彰。

第十三条评比表彰设机构一等奖2名，二等奖3名，三等奖4名，同时在获奖机构中评选工作表现优异的先进个人5名。对年终评比结果较差，且不积极配合监管工作的机构和个人，在全辖银行业金融机构范围内进行通报，并抄送上级行或上级行业管理部门。

第十四条对辖内各机构的考核结果，将提交分局对口监管科室，并纳入对被考核机构的监管评级、高管考核及机构评价中。

第五章附则

第十五条本办法由威海银监分局负责解释。

第十六条本办法自印发之日起实施。

第二篇：银行业金融机构信息科技管理工作考核办法(试行)

银行业金融机构信息科技管理工作考核办法

（试行）

第一章总则

第二条威海银监分局对辖区各银行业金融机构的信息科技风险管理状况进行考核评比，考核评比工作由威海银监分局统计信息科组织实施。

第三条本办法的考核评比周期为一年，自上12月份至本11月末，考核情况每半年通报1次，每年年底对全年考核结果进行通报表彰。

第四条本办法适用于威海辖区各银行业金融机构。

第二章考核内容及计分方法

第六条信息科技管理考核实行百分制考核与加分项目考核相结合的综合考核方法，百分考核得分与加分项目考核得分相加为综合考核得分。

第三章考核标准

3.新设经营机构、原有机构装修改造或迁址，涉及信息科技变更事宜，未向监管部门信息科技风险监管部门报告的，每次扣5分。

4.未制定信息科技风险应急演练计划的扣5分，未实施演练或演练不符合监管要求的扣1~3分。演练计划和实施结果未报告监管部门的，每次扣1分。

5.未制定业务连续性计划和应急预案的机构，扣15分并取消评奖资格；制定业务连续性计划和应急预案不完善的，视情况扣5~10分；发生大范围的业务中断事故的，每次扣15分并取消评奖资格。

6.机房或营业网点在发生业务中断或重要网络中断事件后，未及时报告监管部门的，根据事件大小，每次扣2~5分。

8.被考核机构在制订考核办法时，未将监管部门考核结果纳入本机构内部部门考核的，每次扣10分；未按考核制度执行的，每次扣2~8分。

2.对监管部门检查发现的问题未在规定时间内进行整改的，每项扣3分。

3.监管部门提出的监管要求，经被查机构确认后，未在规定时间内落实的，每项扣5分。

1.对监管部门下发的各类通知和监管要求未有效贯彻落实的，每次扣1~5分。

2.对监管部门要求上报的报表，未能及时报送的每次扣5分；填报数据或信息出现差错的，视情况每次扣1~3分；报表出现漏报项的每项扣减2分。

3.未按要求及时报送信息科技报告或监管部门要求上报的其他重要书面报告的，每次扣5分。

2.协助监管部门完成检查或其他监管工作的，视情况每次加2~5分。

3.主动发现本机构或外包商（如自助设备服务商、电信企业等）风险隐患并报告监管部门的，每次加2~3分，如涉及全辖机构共性问题，每次加3~5分。

第四章组织管理及考核实施

第十四条对辖内各机构的考核结果，将提交分局对口监管科室，并纳入对被考核机构的监管评级、高管考核及机构评价中。

第五章附则

第十五条本办法由负责解释。

第十六条本办法自印发之日起实施。

第三篇：银行业金融机构信息科技外包风险监管指引

中国银行业监督管理委员会

银监发[2013]5号

中国银监会关于印发银行业金融机构信息科技外

包风险监管指引的通知

各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：

现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2013年2月16日

银行业金融机构信息科技外包风险监管指引

第一章总则

第一条

为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条

在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条

本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。原则上包括以下类型：

（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；

（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条

本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条

信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：

（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；

（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条

本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条

本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条

银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

第九条

银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

第十条

银行业金融机构在实施信息科技外包时应当坚持以下原则：

（一）以不妨碍核心能力建设、积极掌握关键技术为导向；

（二）保持外包风险、成本和效益的平衡；

（三）强调外包风险的事前控制，保持管控力度；

（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。

第十一条

银行业金融机构在实施信息科技外包时，不得将信息科技管理责任外包。

第十二条

对于不涉及银行客户及内部信息转移的信息科技产品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，银行业金融机构应当充分评估其信息科技风险，按照本指引第五章要求进行管理。

第二章外包管理组织架构

第十三条

银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门，制定并审批信息科技外包战略，审议信息科技外包管理流程及制度，督促并监控信息科技外包风险管理效果。

第十四条

信息科技外包风险主管部门的主要职责包括：

（一）对外包风险进行识别、评估与风险提示；

（二）监督、评价外包管理工作，并督促外包风险管理的持续改善；

（三）向高级管理层定期汇报信息科技外包活动相关风险管理情况；

（四）董事会或高级管理层确定的其他信息科技外包风险管理职责。

第十五条

银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队，并配备足够人员履行以下职责：

（一）实施信息科技外包战略；

（二）制定并执行信息科技外包管理制度与流程；

（三）执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；

（四）制定保障外包服务持续性的应急管理方案，并组织实施定期演练；

（五）对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理主管部门报告外包活动情况。

第三章信息科技外包战略及风险管理

第一节信息科技外包战略

第十六条

银行业金融机构应当以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技能为目标，基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十七条

银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条

银行业金融机构应当根据外包战略制定资源、能力建设方案，通过补充人员、提升技能、知识转移等方式，有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。

第十九条

银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务质量，合理管控服务提供商的数量从而降低风险及管理成本等。

第二十条

银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理，对不同级别的服务提供商采取差异化的管控措施，在有效管理重要风险的前提下降低管理成本。

第二十一条

银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作，但应当保持关联外包有关决策的独立性，避免因关联关系而降低外包活动的风险控制水平。

第二节信息科技外包风险管理

第二十二条

银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第二十三条

银行业金融机构应当对重要的外包服务提供商进行定期的风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。

第二十四条

银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。

第四章信息科技外包管理

第一节外包风险评估及准入

第二十五条

外包项目立项前，银行业金融机构应当审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处臵措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。

第二十六条

银行业金融机构应当根据供应商关系管理策略，结合风险评估结果及服务提供商的准入标准，对备选服务提供商进行初步筛选，防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。

第二十七条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第二节服务提供商尽职调查

第二十八条

对重要的服务提供商，银行业金融机构在与其签订合同前应当深入开展尽职调查，必要时可聘请第三方机构协助调查。

第二十九条

银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。

第三十条

银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力，包括但不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具等。

第三十一条

银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。

第三十二条

对于关联外包，银行业金融机构不得因关联关系而降低对服务提供商的要求，应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平，确认其有足够能力实施外包

服务、处理突发事件等。

第三十三条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第三节外包服务合同及要求

第三十四条

银行业金融机构在实施外包服务项目前，应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。

第三十五条

银行业金融机构在合同或协议中应当明确以下内容，包括但不限于：

（一）服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；

（二）合规与内控要求，对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施；

（三）服务连续性要求，服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求；

（四）银行业金融机构监控和检查的权利、频率，服务提供商配合其内、外部审计机构检查，及配合银行业监管机构检查的责任；

（五）政策或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处臵等过渡期间相关服务的安排；

（六）外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；

（七）服务要求或服务水平条款，至少应当包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等；

（八）争端解决机制、违约及赔偿条款，至少包括如下内容：服务质量违约、安全违约、知识产权违约等，及在各种违约情况下的赔偿以及外包争端的解决机制；

（九）报告条款，至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十六条银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任，以及针对安全及保密要求需采取的具体措施。包括但不限于：

（一）禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息，以防止信息被非授权使用；

（二）在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款；

（三）在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动；

（四）服务提供商接触银行业金融机构信息时，需满足安全和保密相关条款的要求；

（五）在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行业信息科技风险类突发事件时，服务提供商应及时向银行业金融机构报告，包括事件的影响以及处臵

和纠正措施。

第三十七条

银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：

（一）不得将外包服务的主要业务分包；

（二）主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议；

（三）主服务提供商对分包商进行监控，并对分包商的变更履行通知或报告审批义务。

第四节外包服务安全管理

第三十八条

银行业金融机构应当制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括：

（一）对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实；

（二）明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；

（三）对重要或核心的信息系统开发交付物进行源代码检查和安全扫描；

（四）定期对服务提供商进行安全检查，获取服务提供商自评估或第三方评估报告。

第三十九条

银行业金融机构对关联外包服务提供商定期进行的安全检查，不得以服务提供商的自评估替代，不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条

银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。

第五节外包服务监控与评价

第四十一条

银行业金融机构应当对外包服务过程进行持续监控，要求服务提供商建立阶段性服务目标及任务，并跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。

第四十二条

银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标，并进行相应监控。常见指标包括：

（一）信息系统和设备及基础设施的可用率、设备的开机率；

（二）故障次数、故障解决率、故障的响应时间；

（三）服务的次数、客户满意度；

（四）各阶段业务需求的及时完成率、程序的缺陷数、需求变更率；

（五）外包人员工作饱和率、外包人员的考核合格率。

第四十三条

银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务结束后一年。

第四十四条

银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。

第四十五条

银行业金融机构监控到异常情况时，应当及时督促服务提供商采取纠正措施，情节严重的或未及时纠正的，应当约谈服务提供商高管人员并限期整改。

第四十六条

外包服务结束时，银行业金融机构应当对服务提供商进行评价，评价结果应当作为服务提供商准入的重要参考依据。

第四十七条

对于关联外包，银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围，建立外包服务重大事件问责机制。同时，应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。

第六节外包服务中断与终止

第四十八条

银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性地完善业务连续性管理计划，包括但不限于：

（一）识别出重要业务所涉及的服务提供商和资源；

（二）通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源；

（三）对服务提供商业务连续性管理进行监控，并评价其管理水平；

（四）在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。

第四十九条

为降低外包突发事件的可能性及影响，银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施，包括但不限于以下内容：

（一）在外包服务实施过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断的情况；

（二）与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权；

（三）要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员；

（四）对于涉及重要业务的外包服务，银行业金融机构需考虑预先在其内部配臵相应的人力资源，掌握必要的技能，以在外包服务中断期间自行维持最低限度的服务能力。

第五十条

银行业金融机构应当针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，考虑因素包括但不限于以下内容：

（一）事件场景，如重要人员流失导致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等；

（二）事件持续时间和恢复可能性；

（三）事件影响范围和可能的应急措施；

（四）服务提供商自行恢复服务的可能性和时间；

（五）备选的服务提供商以及外包服务迁移方案；

（六）外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。

第五十一条

对于无法满足外包服务要求或发生重大事件的情况，银行业金融机构应当在充分评估其影响及制定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。对于关联外包，银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。

第五章机构集中度风险管理

第五十二条

银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比，服务提供商所承接外包服务在银行业服务市场占比情况，识别具有机构集中度特点的外包服务提供商。同时，还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。

第五十三条

银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式，降低机构集中度，减少对外包服务提供商的依赖。

第五十四条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据，证明其内部控制和管理能力、持续运营能力等。

第五十五条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源，包括服务团队、场地、系统、设备等；并对资源进行定期检查，确保资源及时到位。

第五十六条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中，明确外包服务的优先级，并进行服务中断应急演练，服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。

第五十七条

银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控，建立信息收集机制，及时掌握风险事件情况，防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。

第五十八条

银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度，必要时可指派专人进行现场监督。

第五十九条

对于具有机构集中度特点的外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行外包管理。

第六章跨境及非驻场外包管理

第一节跨境外包风险管理

第六十条

跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。

第六十一条

跨境外包除具有本指引前述风险外，还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险，及由于外包实施场地远离银行业金融机构而产生的非驻场风险。

第六十二条

银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况，通过建立业务连续性计划防范跨境外包所带来的国别风险。

第六十三条

银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。

第六十四条

银行业金融机构在选择跨境外包时，应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。

第六十五条

银行业金融机构在选择跨境外包时，还应当充分审查评估服务提供商保护客户信息的能力，并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包，应当在符合监管法规政策并获得客户授权的前提下开展。

第六十六条

银行业金融机构在实施跨境外包时，其合同应当包括法律选择和司法管辖权的约定，明确争议解决时所适用的法律及司法管辖权，原则上应当要求服务提供商依照中国的法律解决纠纷。

第二节非驻场外包风险管理

第六十七条

非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控，应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。

第六十八条

银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准，该标准应当作为选择服务提供商的最低要求。

第六十九条

银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次，检查结果作为外包服务提供商项目考核及准入的重要指标。

第七十条

银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估，评估结果作为供应商准入的重要依据。对于高风险的服务提供商，银行业金融机构应当责令其进行限期整改，对于逾期未改的服务提供商应当暂停或取消其服务资格。

第七十一条

对于非驻场外包服务提供商为同业托管机构的情况，银行业金融机构可以参照本节内容对其进行外包管理，但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分，不得区别对待，降低对自身提供外包服务的风险管控水平。

第七章银行业重点外包服务机构风险管理要求

第七十二条

银行业重点外包服务机构是指集中为银行业金融机构提供外包服务，同时满足下述条件，如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断，造成经济损失的机构，具体条件如下：

(一)承担集中存贮客户数据的业务交易系统外包服务；或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务；或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务；且上述服务均为非驻场外包服务。

(二)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上；或服务的跨区域经营法人银行业金融机构数量达到3家或以上；或服务的其他类型法人银行业金融机构数量达到10家或以上。

第七十三条银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示，按照如下要求进行管理：

(一)银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间不少于3年。

(二)银行业重点外包服务机构应当拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队，为持续的外包服务提供保证。

(三)银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系，建立完善的信息安全、服务质量、服务持续性等管理制度体系，拥有有效的检查、监控和考核机制，确保管理规范有效执行。

(四)银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条

银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证:(一)具有完善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二)具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证。

(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构，其机房及基础设施应当达到国家电子计算机机房最高标准。

(四)承担集中存贮客户数据的业务交易系统外包服务，或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应当具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。

第七十五条

银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求：

(一)银行业重点外包服务机构应当具有信息科技风险的管理体系，有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告，针对监控发现的潜在风险或风险事件，及时采取控制或缓释措施。

(二)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构，并抄送银监会或其派出机构。

(三)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查，确保其过往无不良记录，且应当与项目成员签订保密协议，并保留至少10年的法律追诉期。

第八章监督管理

第七十六条

银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告，针对银行业金融机构信息科技外包风险，银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。

（一）信息科技工作整体外包；

（二）数据中心或灾备中心整体外包；

（三）涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包；

（四）以非驻场形式实施的、集中存贮客户数据的业务交易系统外包；

（五）关联外包；

（六）涉及跨境的信息科技外包；

（七）其他银监会认为重要的信息科技外包。

第七十七条

银行业金融机构信息科技外包活动中发生如下重大事件时，应当在两个工作日内向银监会或其派出机构报告。

（一）银行业金融机构客户信息等敏感数据泄露；

（二）数据损毁或者重要业务运营中断；

（三）由于不可抗力或服务提供商重大经营、财务问题，导致或可能导致多家银行业金融机构外包服务中断;

（四）其他重大的服务提供商违法违规事件；

（五）银监会规定需要报告的其他重大事件。

第七十八条

银行业金融机构在开展外包风险管理评估工作后，应当将风险评估报告报送银监会或其派出机构。

第七十九条

银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，监督检查结果纳入对银行业金融机构的监管评级。

第八十条

对于风险较高的信息科技外包服务，银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务，直至银行业金融机构、外包服务提供商有效改正。

第八十一条

银行业金融机构违反本指引规定的，银监会或其派出机构可要求其纠正或采取替代方案，并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的，依法追究银行业金融机构管理责任。

第八十二条

银监会实行银行业信息科技外包服务活动风险监测机制，定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示，防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条

银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估，根据需要，可以要求银行业金融机构与重点外包服务机构会谈，就其外包服务活动和风险的重大事项作出说明。

第八十四条

银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动，原则上每两年进行一次，也可以委托其他第三方机构审计的形式实施。

第八十五条

银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果，对银行业金融机构发出监管提示，要求其督促银行业重点外包服务机构对风险问题实施整改。

第八十六条

银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。

第八十七条

银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录，并对其进行风险评估和评级。

第八十八条

服务提供商在外包服务中存在以下情形的，银监会定期向银行业发布服务提供商风险预警，公布机构名单、服务信息等，要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务，禁止期至少为两年。外包服务提供商两年内仍未整改的，延长其禁止期。

（一）违反国家法律、法规和监管政策，情节严重的；

（二）窃取、泄露银行业金融机构敏感信息，情节严重的；

（三）因管理过失，多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的；

（四）服务质量低下并给多家银行业金融机构造成损失，多次提示仍未整改的；

（五）对风险监测和实地检查发现的问题，逾期仍未整改的；

（六）存在其他违法违规行为，或发生其他重大信息科技风险事件的。

第八十九条

银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动，银行业金融机构应当立即评估外包的适当性，对信息科技外包服务提供商进行风险预警提示，要求其进行整改并设定期限；逾期未整改的，禁止其承担信息科技外包服务。

第九章附则

第九十条

本指引由银监会负责解释、修订。第九十一条

本指引自公布之日起施行。

第一部分报表..................................................1 I信息科技风险调查问卷............................................1 Q-R-1 信息科技风险调查问卷.....................................1 II基本情况报表...................................................8 T-B-1 信息科技治理基本情况表...................................8 T-B-2 信息科技风险管理情况表..................................10 T-B-3 信息科技内外部审计与评估基本情况表......................12 T-B-4 应急管理基本情况表......................................14 T-B-5 信息科技项目基本情况表..................................15 T-B-6 灾备基本情况表..........................................16 T-B-7 外包基本情况表..........................................18 T-B-8 各类中心基本情况表......................................19 T-B-9 数据中心及灾备中心机房基本情况表........................20 T-B-10 重要信息系统统计表......................................21 T-B-11 网络基本情况表..........................................23 T-B-12 电子银行业务品种统计表..................................24 T-B-13 电子银行业务量统计表....................................25 第二部分季度报表.................................................27 T-B-14 重要信息系统运行基本情况报表............................27 T-B-15 组织机构、人员重大变动表................................30 第三部分报告......................................................31 R-R-1 信息化建设与信息科技风险管理报告....................31 附录参考定义.....................................................32 2 填报须知

一、本报表作为银监会信息科技风险监管体系的重要组成部分及信息科技风险识别、评估工作的基础和前提，旨在全面收集和监测银行业金融机构信息科技风险状况。

二、本报表主要适用于在中华人民共和国境内依法设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、城市信用社、农村信用社、外资法人银行等银行业金融机构。

三、本报表是为针对信息科技风险而设的专门报表，银行业金融机构应当对所填报数据的真实性负责。

四、本报表应由风险管理部门组织填报。

五、本报表分为报表、季度报表和报告。报表统计周期为12个月，即上一年10月1日至本9月30日，报送截止时间为每年10月15日；季度报表报送时间为季后10日内；报告报送时间为自然年后40日内。

六、报表中未特别说明统计范围的，皆指全行范围。

七、填报过程中，对于需要特别说明的项目或问题，请在备注栏中描述具体情况。

八、报送截止后，对于存在疑问的报表，监管人员可要求机构提供详实材料予以核实或重报；如有必要，将发起现场检查，并以现场检查结果为准。

九、本报表附有术语参考定义，填报过程中可供参考。第一部分报表

I信息科技风险调查问卷

Q-R-1 信息科技风险调查问卷

填报机构：填报人：责任人：填报日期：年月日编号项目填报说明内容单位备注 1.信息科技风险管理 Q0001 对信息科技制度进行定期修订

以信息科技制度修订发文为准□是□否 N/A Q0002 对信息科技规划定期评估并修改

若对信息科技规划定期评估并修改，请回答是 □是□否 N/A Q0003 制定了关键岗位轮岗计划并依照执行

以轮岗计划和记录（接替岗位后工作至少一周）为准 □是□否 N/A Q0004 规定在职人员定期参加信息安全及保密培训

以相应人员参与的培训记录为准□是□否 N/A 2.审计 Q0005 依据制定的审计计划、方案开展信息科技审计

以相应批文为准□是□否 N/A Q0006 信息科技审计报告抄送风险管理部门

以提交给风险管理部门的审计报告为准

□是□否 N/A Q0007 与外部审计机构签署保密协议

若所有的外部审计活动均与外部审计机构签署保密协议，请回答是 □是□否 N/A Q0008 信息科技内部审计覆盖的比例

请计算最近12个月信息科技内部审计的分支机构数与分支机构数的比值 % 3.重要信息系统 Q0009 发生核心业务系统替换或计划实施核心业务系统替换

若最近12 个月发生核心系统的替换或未来12个月计划实施，请回答是

□是□否 N/A Q0010 有多少家外部机构将系统或设备交由本机构托管

如有其他机构（或银行）将其系统、设备或业务处理交由本机构管理（托管行为），请统计这些机构的数量个

Q0011 交由外部机构托管的系统数

请统计交由外部机构托管的系统数个 Q0012 与本机构发生数据交换的外联系统数量

请统计所有与本机构发生数据交换的外联系统总数，以运行部门的记录或外部接口文件（EIF）记录为准个 Q0013 生产环境中具有高耦合度的信息系统数

若系统的耦合度高，单一系统出现故障时会导致其他多个系统无法正常运行，请分析和统计能导致此类情况的系统总数。以系统结构图或内部逻辑接口文件（ILF）为准个 Q0014 仍在使__________用供应商已正式宣布停止支持的系统平台的重要信息系统数

系统平台包括：操作系统、数据库、中间件、服务器等个 Q0015 核心业务系统中相互逻辑分离的数据库数

例如，对公业务使用的数据库和对私业务使用的数据库是逻辑分离的，其中一个数据库失效不会影响另一个数据库的正常运行，就记作 2 个相互逻辑分离的数据库个 Q0016 重要信息系统当前容量规划可满足业务发展需求的最少年数

以容量规划文档为准年 4.系统开发与测试 Q0017 项目实施部门定期向信息科技管理委员会提交重大项目进度报告

以提交的进度报告为准□是□否 N/A Q0018 在重大项目各阶段均进行风险评估，并向项目管理组织沟通风险点，确定处臵方案

以各阶段风险评估报告记录为准□是□否 N/A Q0019 业务和系统需求等经业务部门和科技部门共同确认

以需求、设计相关文档为准□是□否 N/A Q0020 将信息安全要求纳入系统设计

以需求、设计相关文档为准。信息安全要求主要包括数据安全、身份验证、权限管理等内容 □是□否 N/A Q0021 系统投产前，准生产验证环境的软件与生产环境相同

准生产验证环境的软件包括操作系统、数据库、中间件、应用程序。以生产验证环境和生产环境的配臵项清单为准 □是□否 N/A Q0022 总行科技部门现行项目中，有独立质量保证人员参与的项目总数

请统计目前分配有质量保证人员的项目总数个 Q0023 完成用户验收测试的项目数

请统计最近12个月完成用户验收测试的项目数个 Q0024 用户验收测试（UAT）前已完成代码安全检查的项目数

请统计最近12个月上线的信息系统在UAT前已完成代码安全检查工作的项目数个

5.信息系统变更

Q0025 建立变更的授权审批机制对信息系统变更进行分级，针对不同等级的信息系统变更明确相应的审批管理程序。以相关变更授权审批制度为准 □是□否 N/A 3 Q0026 所有涉及生产环境的变更，变更前有回退和应急方案

在系统变更前，变_______更申请部门制订回退和应急方案。以相关方案文档为准

□是□否 N/A Q0027 涉及生产环境的变更由业务部门与科技部门共同审批

以审批流程文档和审批人员清单为准

□是□否 N/A Q0028 所有涉及生产环境的变更由独立人员进行复核

以相关规定以及复核人员清单为准

□是□否 N/A Q0029 所有变更都留有记录，并由内部审计人员或信息安全人员定期核查

以变更记录和审查记录为准□是□否 N/A Q0030 重要信息系统紧急变更数请统计最近12个月内重要信息系统紧急变更的次数。以系统运行部门的记录为准次

Q0031 涉及生产环境的变更数请统计最近12个月内涉及生产环境的变更总数（包括各信息科技生产部门的重要信息系统和非重要信息系统的变更）。以系统运行部门的记录为准次 Q0032 未在测试环境中进行验证的变更数

请统计最近12个月内未在测试环境中进行验证的变更数，以验证记录为准次

6.信息系统运行 Q0033 系统运行、维护、开发人员的岗位相互完全分离且不存在兼岗

以岗位清单和岗位职责定义为准□是□否 N/A Q0034 为所有关键岗位配备规范、准确的操作手册以指导运行人员操作

以操作手册为准□是□否 N/A Q0035 运行人员对生产系统的操作由独立人员复核

若运行人员对生产系统的操作有独立人员复合，请回答是 □是□否 N/A Q0036 运行人员对生产系统的任何操作保留操作记录

以操作记录文档和记录方法说明为准

□是□否 N/A Q0037 对数据库均通过菜单、数据流操作

若所有对数据库的操作均通过菜单、数据流，而非直接操作数据库，请回答是 □是□否 N/A Q0038 批处理过程有专人监控，记录操作及执行情况，并处理异常事件

若批处理过程有专人监控，记录操作及执行情况，并处理异常事件，请回答是 □是□否 N/A Q0039 利用实时监控工具对系统运行环境、重要信息系统运行状况等进行监控

以监控系统相关文档为准□是□否 N/A Q0040 实时监控工具具有自动4 納预警功

第五篇：银行业金融机构从业人员处罚信息管理办法

银行业金融机构从业人员处罚信息管理办法

第一章总则

第一条为加强银行业金融机构案防长效机制建设，强化银行业从业人员管理，增强从业人员职业道德和业务素质，规范从业人员受处罚(处分)信息(简称处罚信息)管理，根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》，制定本办法。

第二条本办法适用于中华人民共和国境内依法设立的银行业金融机构及其分支机构从业人员受处罚信息的收集、管理和使用。

中华人民共和国境内依法设立的金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司、外资银行业金融机构以及经国务院银行业监督管理机构批准设立的其他金融机构参照适用本办法。

第三条本办法所称从业人员是指按照《中华人民共和国劳动合同法》规定，与银行业金融机构签订劳动合同的在岗人员，银行业金融机构董(理)事会成员、监事会成员及高级管理人员，以及银行业金融机构聘用或与劳务代理机构签订协议直接从事金融业务的其他人员(包括邮政代理人员)。

第四条本办法所称处罚信息是指银行业金融机构从业人员在执业过程中受到刑事处罚、行政处罚、党纪处分、内部处分及其他处罚等惩戒措施的信息。

第五条银行业金融机构应建立从业人员处罚信息管理制度，明确专门部门、专职人员负责处罚信息报送、申请查询和日常管理等工作。

第六条银监会根据工作需要，组织开发银行业金融机构从业人员处罚信息管理系统，收集、管理处罚信息并提供信息查询服务。

第二章信息报送

第七条处罚信息以银行业金融机构报送为主，并对所报送信息的真实性和准确性负责。

(一)银行业金融机构应事先以聘用合同、员工守则等形式明确告知从业人员，如有违法违规违纪行为，其处罚信息将报送监管部门，并用于行业内共享。

(二)处罚由银行业金融机构内部做出的，处罚信息由做出处罚决定的机构报送；处罚由机构外部做出的，由受处罚人员被处罚行为发生时所在机构报送。

人事关系隶属总(分)行，但在下一级分支机构工作以及人事关系在分(支)行，但在总行或上一级机构工作的人员信息，均由该人员人事关系所在机构向银监会或其派出机构报送。

(三)银监会直接监管的银行业金融机构法人总部人员处罚信息向银监会报送；其余机构及分支机构人员处罚信息，均向所在地银监会派出机构报送。

(四)对于所在地无银监会派出机构的，应通过上级机构转报相应银行业监管机构。

(五)已离职从业人员的责任认定结果，由该人员离职前的任职机构向银监会或所在地派出机构报送。

第八条处罚信息主要包括：被处罚人姓名、证件号码、处罚机构名称、被处罚行为发生时所在机构名称、被处罚行为发生时岗位、职务、违法违规违纪基本事实、处罚依据、种类、期限以及有关更改信息等。

第九条银行业金融机构应按照“一人一事一报”的原则，于处罚决定生效后10个工作日内向银监会或其派出机构报送。从外部获取的处罚信息或处罚信息发生变化的，应在获知或信息变更后10个工作日内报送。

第三章信息使用

第十条银监会及其派出机构在审查银行业金融机构董事、高级管理人员、要害部门岗位人员任职资格时，须按照“谁受理谁查询”的原则查询从业人员处罚信息，并根据查询结果，依照有关规定决定是否予以核准或是否同意所备案事项。

第十一条处罚信息供银行业金融机构在人力资源管理中使用，银行业金融机构在招录人员时应向银监会或派出机构申请查询有关处罚信息。

第十二条银监会或其派出机构应于收到银行业金融机构查询申请后10个工作日内向申请查询机构书面反馈查询结果。

第四章信息管理

第十三条银监会及其派出机构、银行业金融机构应严格遵守保密规定，不得违反规定泄露处罚信息。

第十四条银行业金融机构在查询拟招录人员处罚信息前，应与其签订“个人处罚信息授权查询使用承诺书”。

第十五条银行业金融机构应与银监会或其派出机构签订“从业人员处罚信息申请使用查询承诺书”后方可查询有关处罚信息。

第十六条银监会案件稽查局负责处罚信息的管理协调工作，牵头组织对银行业金融机构处罚信息报送管理工作实施监督检查。

第十七条处罚信息除刑事处罚和金融监管部门作出的取消董事、高级管理人员终身任职资格、禁止终身从事银行业工作的行政处罚为终身有效外，其他处罚信息保存期限为处罚期限终止日起5年，过期不再提供查询服务。

第十八条银行业金融机构应严格按要求报送、查询和使用处罚信息。违反本办法瞒报、查询、使用、泄露处罚信息的，银监会及其派出机构依法采取监管措施，银行业金融机构承担由此带来的法律风险和声誉风险。

附件：1．银行业金融机构从业人员处罚信息表(略)

2．银行业金融机构从业人员处罚信息表填写说明(略)

3．银行业金融机构从业人员处罚信息变更申请表(略)

4．银行业金融机构从业人员处罚信息查询申请表(略)

5．银行业金融机构从业人员处罚信息查询结果反馈表(略)

6．银行业金融机构从业人员个人处罚信息授权查询使用承诺书(略)

7．银行业金融机构从业人员处罚信息申请使用查询承诺书(略)

威海银行业金融机构信息科技管理工作考核办法(试行)[合集]

第一篇：威海银行业金融机构信息科技管理工作考核办法(试行)

第二篇：银行业金融机构信息科技管理工作考核办法(试行)

第三篇：银行业金融机构信息科技外包风险监管指引

第四篇：银行业金融机构信息科技风险非现场监管报表

第五篇：银行业金融机构从业人员处罚信息管理办法

相关范文推荐

银行业金融机构信息科技外包风险监管指引-正式发文版

2006年度银行业金融机构信息科技风险评价审计要点（五篇）

10.1-银行业金融机构联网核查公民身份信息业务处理规定(试行)

中国银行业信息科技“十二五”发展规划监管指导意见(农村金融机构篇)

常熟市住宅区物业管理工作考核办法(试行)

银行业信息科技风险监管报告

银行业金融机构联网核查公民身份信息业务处理规定(试行)（小编推荐）

201453湘乡市预算绩效管理工作考核办法(试行)