第三十九条 商业银行应确定外包服务所涉及的信息资产的关键性和敏感程度,审慎确定数据中心外包服务范围。
第四十条 商业银行应充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和高管层审核。
第四十一条 实施数据中心服务外包时,商业银行的管理责任不得外包。
第四十二条 数据中心服务外包一般包括:
(一)基础设施类:外包服务商向商业银行提供数据中心机房、配套设施或运行设备的服务。
(二)运营维护类:外包服务商向商业银行提供数据中心信息系统或墓础设施的日常运行、维护等服务。
第四十三条 商业银行在选择数据中心外包服务商时,应充分审查、评估外包服务商的资质、专业能力和服务方案,对外包服务商进行风险评估,考查其服务能力是否足以承担相应的贵任。评估包括:外包服务商的企业信誉及财务德定性,外包服务商的信息安全和信息科技服务管理体系,银行业服务经验等。提供数据中心基础设施外包服务的服务商,其运行环境应符合商业银行要求,并具有完备的安全管理规范。
第四十四条 商业银行应与数据中心外包服务商签订书面合同,在合同中明确重要亭项,包括但不限于双方的权利和义务、外包服务水平、服务的可靠性、服务的可用性、信息安全控制、服务持续性计划、审计、合规性要求、违约赔偿等。
第四十五条 商业银行应要求外包服务商购买商业保险以保证其有足够的赔偿能力,并告知保险覆盖范围。
第四十六条 商业银行应加强对数据中心外包服务活动的安全管理,包括但不限于:
(一)商业银行应将数据中心外包服务安全管理纳入数据中心的整体安全策略,保障业务、管理和客户敏感数据信息安全。
(二)商业银行应按照“必需知道”和“最小授权”原则,严格控制外包服务商信息访问的权限,要求外包服务商不得对外泄露所接触的商业银行信息。
(三)商业银行应要求外包服务商保留操作痕迹、记录完整的日志,相关内容和保存期限应满足事件分析、安全取证、独立审计和监督检查需要。
