第五十二條銀行業金融機構外包信息系統時,應根據風險控制和實際需要,合理確定外包原則和範圍,認真分析和評估外包中存在的潛在風險,建立健全相關規章制度,制定相應的風險防範措施。
第五十三條銀行業金融機構應建立健全外包承包商評估機制,對承包商的經營狀況、資金實力、信用記錄、安全資質、技術服務能力、實際風險控制和責任承擔水平等進行充分審查和評估,並進行必要的盡職調查。評估可委托具有相關專業經驗的獨立機構進行,該機構由相應的國家監管部門認定資質。
第五十四條銀行業金融機構應當與承包商簽訂書面合同,明確雙方的權利和義務,約定承包商在安全、保密、知識產權等方面的義務和責任。
第五十五條銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響,並將其納入整體安全戰略和風險控制。
第五十六條銀行業金融機構應建立完整的信息系統外包風險評估和監控程序,審慎管理外包風險,提高外包管理能力。
第五十七條銀行業金融機構信息系統外包風險管理應符合風險管理標準和策略,並建立外包風險應急預案。
第五十八條銀行業金融機構應當與外包承包商建立有效的聯系、溝通和信息交流機制,制定能夠實現承包商平穩變更、確保在突發情況下外包服務不中斷的應急預案。
第五十九條銀行業金融機構外包敏感信息系統及其他涉及國家秘密、商業秘密、客戶隱私數據管理和傳輸的內容時,應遵守國家相關法律法規,符合銀監會相關規定,經董事會或其他決策機構批準,並在外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。