村镇银行科技外包协议(集锦)-范文网

村镇银行科技外包协议

第一篇：村镇银行科技外包协议

村镇银行信息科技风险管理办法

(征求意见稿)

第一章总则

第一条为加强村镇银行信息科技风险管理，确保科技体系持续稳定运转，根据《商业银行信息科技风险管理指引》等有关法律、法规，制定本办法。

第二条信息科技风险管理是通过建立有效机制，实现对银行信息系统风险的识别、计量、评价、预警和控制，推动村镇银行业务创新，提高信息化管理水平，保障村镇银行业务持续平稳发展。

第二章信息科技风险管理组织架构

第三条信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。

第四条

发起行科技信息中心是村镇银行信息科技风险的主要管理部门，发起行科技信息中心有以下信息科技风险管理的

权限和职责：

(一)建立有效的信息科技风险管理管理架构，完善内部组织结构和工作机制，防范和控制信息科技风险管理;

(二)贯彻执行国家有关信息系统相关法律、法规和技术标准，落实人民银行和银监会相关监管要求;

(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责，建立、健全村镇银行信息科技风险管理相关规章、制度，并严格执行;

(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作，提供村镇银行信息系统日常信息服务和运行技术支持;

(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;

(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。

第三章信息科技风险具体控制要求

第五条信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点：

(一)缺少信息系统风险管理策略;

(二)自然灾害、运行环境变化;

(三)信息系统相关规章制度、技术规范、操作规程不完善;

(四)信息安全标准化工作不符合国家相关规定;

(五)缺乏信息安全风险评估机制;

(六)数据中心机房物理安全;

(七)使用盗版软件及自有成果的知识产权保护;

(八)电子设备自身运行;

(九)主机与网络运行;

(十)网络安全;

(十一)密码安全;

(十二)数据加密安全;

(十三)信息系统配置参数管理;

(十四)数据管理;

(十五)突发事件响应;

(十六)信息系统故障导致影响银行信誉; (十七)网上银行安全。

第六条信息系统总体风险控制措施：

(一)根据村镇银行信息系统总体规划，在村镇银行风险管理政策指引下，制定明确、持续的信息系统风险管理策略，根据信息系统的等级保护级别对信息系统进行分析和评估，并实施有效的风险控制;

(二)建立同城信息系统灾备中心实现运行环境备份，防止各类突发事故和恶意攻击事件造成不良后果;

(三)建立健全相关信息科技制度，明确信息系统相关人员的职责权限，建立制约机制，实行最小授权;

(四)严格执行国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，开展信息安全等级保护等相关工作;

(五)加强对信息系统的风险评估，及时对风险点进行修补和完善，以保证信息系统的安全性和完整性;

(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准，数据中心机房实行严格的门禁管理措施，未经授权不得进入;

(七)加强知识产权保护，使用正版软件，加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护村镇银行信息化成果;

(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程，选用的设备应经过技术论证，测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性，并配置适当数量的备品、备件;

(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理，按照业务和交易流量要

求保证传输带宽;监测和管理通信线路及网络设备，保障网络安全稳定运行;

(十)加强网络安全管理。严格网络边界控制，使用各种技术手段降低外部攻击、信息泄漏等风险;

(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;

(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安全设置，严格按授权使用信息系统和数据库，采用适当的数据加密技术以保护敏感数据的传输和存取，以保证数据的完整性、保密性;

(十三)对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，并严格审批和登记手续;

(十四)制定信息系统相关应急预案，并定期进行演练、评审和修订;

(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放，按规定年限保存，调用时应严格授权管理;

(十六)在信息系统可能影响客户服务时，及时通知业务部门，以便以适当方式告知客户;

(十七)采取有效技术措施，切实加强网上银行信息安全保

障。加强网银用户身份认证管理，与业务部门密切配合，逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各类维护网上银行使用安全的技术和手段，保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。

第七条

信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点：

(一)信息系统项目研发管理;

(二)信息系统项目开发人员外包;

(三)信息系统项目需求不明确;

(四)信息系统测试不规范或不完善;

(五)信息系统应用推广;

(六)信息系统测试发现的软件缺陷;

(七)信息系统项目文档管理;

(八)信息系统项目验收。

第八条

信息科技研发风险具体控制要求：

(一)一般项目研发成立项目工作小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成，具体负责整个项目的开发工作;

(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识，小组负责人需具备组织领导能力，保证信息

系统研发质量和进度;

(三)项目组根据业务部门项目需求编制项目功能说明书，依据项目功能说明书分别编写项目总体技术框架、项目设计说明书，设计和编码应符合项目功能说明书的要求;

(四)软件研发必须建立独立的测试环境，以保证测试的完整性和准确性。一般测试应包括功能测试、安全性测试、压力测试、验收测试等，测试不得直接使用生产数据;

(五)研发人员必须根据测试结果修补信息系统的功能和缺陷，提高信息系统的整体质量;

(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练;

(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;

(八)软件开发项目必须进行严格的项目验收流程，项目验收应出具由相关负责人签字的项目验收报告，验收不合格不得投入使用。

第九条信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。包括以下风险点：

(一)人为因素导致信息系统运行故障;

(二)运行管理不完善;

(三)信息系统日常变更;

(四)新建信息系统运行;

(五)机房环境变化;

(六)信息系统故障报告程序。

第十条信息科技运行维护风险具体控制要求：

(一)信息系统运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;

(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。对软件或数据的维护必须通过上级审批、授权后方可进行;

(三)制订严格的信息系统变更处理流程，明确变更流程中各岗位的职责分工，并遵循流程实施控制和管理;

(四)在信息系统投产后一定时期内，应配合业务部门，积极参与组织对系统的后评价，根据评价及时对系统功能进行调整和优化;

(五)对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案;

(六)实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

第十一条

信息科技外包风险的操作风险点外包风险是指

银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点：

(一)信息科技外包需求控制风险;

(二)信息科技外包承包方合作风险;

(三)信息科技外包项目商业风险;

(四)信息科技外包项目安全风险;

(五)信息科技外包项目质量风险;

(六)信息科技外包项目风险管理;

(七)信息科技外包项目责任风险; (入)信息科技外包项目监控风险。

第十二条信息科技外包风险具体控制要求：

(一)在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全相关规章制度，制定相应的风险防范措施;

(二)建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职情况调查。评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;

(三)与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任;

(四)充分认识外包服务对信息系统风险控制的直接和间接

影响，并将其纳入总体安全策略和风险控制之中;

(五)建立完整的信息系统外包风险评估与检测程序，审查管理外包产生的风险，提高本机构的外包管理的能力;

(六)信息系统外包风险管理应符合风险管理标准和策略，并建立针对信息系统外包风险的应急计划;

(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更办法，保证信息系统外包服务不间断的应急预案;

(八)对信息系统外包承包方进行持续的监控。

第四章附则

第十三条各支行可依据本办法，结合本单位实际情况，制定具体实施细则。

第十四条本办法由村镇银行负责解释和修订。第十五条本规定自印发之日起施行。

第二篇：银行业金融机构信息科技外包风险监管指引

中国银行业监督管理委员会

银监发[2013]5号

中国银监会关于印发银行业金融机构信息科技外

包风险监管指引的通知

各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：

现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2013年2月16日

银行业金融机构信息科技外包风险监管指引

第一章总则

第一条

为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条

在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。第三条

本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。原则上包括以下类型：

(一) 研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包;

(二) 系统运行维护类外包：包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包;

(三) 业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条

本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条

信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：

(一) 科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展;

(二) 业务中断：支持业务运营的外包服务无法持续提供导致业务中断;

(三) 信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露;

(四) 服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条

本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条

本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条

银行业金融机构应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

第九条

银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

第十条

银行业金融机构在实施信息科技外包时应当坚持以下原则：

(一) 以不妨碍核心能力建设、积极掌握关键技术为导向;

(二) 保持外包风险、成本和效益的平衡;

(三) 强调外包风险的事前控制，保持管控力度;

(四) 根据外包管理及技术发展趋势，持续改进外包策略和措施。

第十一条

银行业金融机构在实施信息科技外包时，不得将信息科技管理责任外包。

第十二条

对于不涉及银行客户及内部信息转移的信息科技产品采购、维保，及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务，银行业金融机构应当充分评估其信息科技风险，按照本指引第五章要求进行管理。

第二章外包管理组织架构

第十三条

银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管部门，制定并审批信息科技外包战略，审议信息科技外包管理流程及制度，督促并监控信息科技外包风险管理效果。

第十四条

信息科技外包风险主管部门的主要职责包括：

(一) 对外包风险进行识别、评估与风险提示;

(二) 监督、评价外包管理工作，并督促外包风险管理的持续改善;

(三) 向高级管理层定期汇报信息科技外包活动相关风险管理情况;

(四) 董事会或高级管理层确定的其他信息科技外包风险管理职责。

第十五条

银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队，并配备足够人员履行以下职责：

(一) 实施信息科技外包战略;

(二) 制定并执行信息科技外包管理制度与流程;

(三) 执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略;

(四) 制定保障外包服务持续性的应急管理方案，并组织实施定期演练;

(五) 对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理主管部门报告外包活动情况。

第三章信息科技外包战略及风险管理

第一节信息科技外包战略

第十六条

银行业金融机构应当以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技能为目标，基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十七条

银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包。第十八条

银行业金融机构应当根据外包战略制定资源、能力建设方案，通过补充人员、提升技能、知识转移等方式，有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。

第十九条

银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务质量，合理管控服务提供商的数量从而降低风险及管理成本等。

第二十条

银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理，对不同级别的服务提供商采取差异化的管控措施，在有效管理重要风险的前提下降低管理成本。

第二十一条

银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作，但应当保持关联外包有关决策的独立性，避免因关联关系而降低外包活动的风险控制水平。

第二节信息科技外包风险管理

第二十二条

银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第二十三条

银行业金融机构应当对重要的外包服务提供商进行定期的风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。

第二十四条

银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。

第四章信息科技外包管理

第一节外包风险评估及准入

第二十五条

外包项目立项前，银行业金融机构应当审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处臵措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。

第二十六条

银行业金融机构应当根据供应商关系管理策略，结合风险评估结果及服务提供商的准入标准，对备选服务提供商进行初步筛选，防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。

第二十七条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第二节服务提供商尽职调查

第二十八条

对重要的服务提供商，银行业金融机构在与其签订合同前应当深入开展尽职调查，必要时可聘请第三方机构协助调查。

第二十九条

银行业金融机构在尽职调查时应当关注服务提供商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。

第三十条

银行业金融机构在尽职调查时应当关注服务提供商的内部控制和管理能力，包括但不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具等。

第三十一条

银行业金融机构在尽职调查时应当关注服务提供商的持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。

第三十二条

对于关联外包，银行业金融机构不得因关联关系而降低对服务提供商的要求，应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平，确认其有足够能力实施外包

服务、处理突发事件等。

第三十三条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第三节外包服务合同及要求

第三十四条

银行业金融机构在实施外包服务项目前，应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。

第三十五条

银行业金融机构在合同或协议中应当明确以下内容，包括但不限于：

(一) 服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;

(二) 合规与内控要求，对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;

(三) 服务连续性要求，服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;

(四) 银行业金融机构监控和检查的权利、频率，服务提供商配合其内、外部审计机构检查，及配合银行业监管机构检查的责任;

(五) 政策或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处臵等过渡期间相关服务的安排;

(六) 外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求;

(七) 服务要求或服务水平条款，至少应当包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;

(八) 争端解决机制、违约及赔偿条款，至少包括如下内容：服务质量违约、安全违约、知识产权违约等，及在各种违约情况下的赔偿以及外包争端的解决机制;

(九) 报告条款，至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十六条银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任，以及针对安全及保密要求需采取的具体措施。包括但不限于：

(一) 禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息，以防止信息被非授权使用;

(二) 在合同或协议中约定服务提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;

(三) 在合同或协议中约定服务提供商不得以所服务的银行业金融机构名义开展活动;

(四) 服务提供商接触银行业金融机构信息时，需满足安全和保密相关条款的要求;

(五) 在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行业信息科技风险类突发事件时，服务提供商应及时向银行业金融机构报告，包括事件的影响以及处臵

和纠正措施。

第三十七条

银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：

(一) 不得将外包服务的主要业务分包;

(二) 主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议;

(三) 主服务提供商对分包商进行监控，并对分包商的变更履行通知或报告审批义务。

第四节外包服务安全管理

第三十八条

银行业金融机构应当制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括：

(一) 对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实;

(二) 明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权;

(三) 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;

(四) 定期对服务提供商进行安全检查，获取服务提供商自评估或第三方评估报告。

第三十九条

银行业金融机构对关联外包服务提供商定期进行的安全检查，不得以服务提供商的自评估替代，不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条

银行业金融机构应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。

第五节外包服务监控与评价

第四十一条

银行业金融机构应当对外包服务过程进行持续监控，要求服务提供商建立阶段性服务目标及任务，并跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。

第四十二条

银行业金融机构应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标，并进行相应监控。常见指标包括：

(一) 信息系统和设备及基础设施的可用率、设备的开机率;

(二) 故障次数、故障解决率、故障的响应时间;

(三) 服务的次数、客户满意度;

(四) 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;

(五) 外包人员工作饱和率、外包人员的考核合格率。

第四十三条

银行业金融机构应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务结束后一年。

第四十四条

银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。

第四十五条

银行业金融机构监控到异常情况时，应当及时督促服务提供商采取纠正措施，情节严重的或未及时纠正的，应当约谈服务提供商高管人员并限期整改。

第四十六条

外包服务结束时，银行业金融机构应当对服务提供商进行评价，评价结果应当作为服务提供商准入的重要参考依据。

第四十七条

对于关联外包，银行业金融机构董事会及高级管理层应当推动母公司或所属集团将外包服务质量纳入对服务提供商的业绩评价范围，建立外包服务重大事件问责机制。同时，应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。

第六节外包服务中断与终止

第四十八条

银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性地完善业务连续性管理计划，包括但不限于：

(一) 识别出重要业务所涉及的服务提供商和资源;

(二) 通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源;

(三) 对服务提供商业务连续性管理进行监控，并评价其管理水平;

(四) 在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。

第四十九条

为降低外包突发事件的可能性及影响，银行业金融机构应当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施，包括但不限于以下内容：

(一) 在外包服务实施过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断的情况;

(二) 与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;

(三) 要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员;

(四) 对于涉及重要业务的外包服务，银行业金融机构需考虑预先在其内部配臵相应的人力资源，掌握必要的技能，以在外包服务中断期间自行维持最低限度的服务能力。

第五十条

银行业金融机构应当针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，考虑因素包括但不限于以下内容：

(一) 事件场景，如重要人员流失导致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;

(二) 事件持续时间和恢复可能性;

(三) 事件影响范围和可能的应急措施;

(四) 服务提供商自行恢复服务的可能性和时间;

(五) 备选的服务提供商以及外包服务迁移方案;

(六) 外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。

第五十一条

对于无法满足外包服务要求或发生重大事件的情况，银行业金融机构应当在充分评估其影响及制定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。对于关联外包，银行业金融机构不得因为关联关系而影响服务提供商退出机制的落实。

第五章机构集中度风险管理

第五十二条

银行业金融机构应当依据服务提供商所承接外包服务的数量、金额在本行重要信息科技服务中的占比，服务提供商所承接外包服务在银行业服务市场占比情况，识别具有机构集中度特点的外包服务提供商。同时，还应识别服务提供商之间为集团子公司、关联公司或附属机构所产生的机构集中度风险。

第五十三条

银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式，降低机构集中度，减少对外包服务提供商的依赖。

第五十四条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据，证明其内部控制和管理能力、持续运营能力等。

第五十五条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商为银行业金融机构配备相对独立的资源，包括服务团队、场地、系统、设备等;并对资源进行定期检查，确保资源及时到位。

第五十六条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中，明确外包服务的优先级，并进行服务中断应急演练，服务提供商应当至少参与服务交接、敏感信息处臵等演练过程。

第五十七条

银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况的持续监控，建立信息收集机制，及时掌握风险事件情况，防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。

第五十八条

银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度，必要时可指派专人进行现场监督。

第五十九条

对于具有机构集中度特点的外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行外包管理。

第六章跨境及非驻场外包管理

第一节跨境外包风险管理

第六十条

跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。

第六十一条

跨境外包除具有本指引前述风险外，还包括由于某一国家或地区经济、政治、社会变化及事件而产生的国别风险，及由于外包实施场地远离银行业金融机构而产生的非驻场风险。

第六十二条

银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区状况，通过建立业务连续性计划防范跨境外包所带来的国别风险。

第六十三条

银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能造成的影响。实施跨境外包应当以不妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构延伸检查为前提。

第六十四条

银行业金融机构在选择跨境外包时，应当明确其所在国家或地区监管当局已与银监会签订谅解备忘录或双方认可的其他约定。

第六十五条

银行业金融机构在选择跨境外包时，还应当充分审查评估服务提供商保护客户信息的能力，并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包，应当在符合监管法规政策并获得客户授权的前提下开展。

第六十六条

银行业金融机构在实施跨境外包时，其合同应当包括法律选择和司法管辖权的约定，明确争议解决时所适用的法律及司法管辖权，原则上应当要求服务提供商依照中国的法律解决纠纷。

第二节非驻场外包风险管理

第六十七条

非驻场外包是指服务提供商不在银行业金融机构现场提供服务的外包形式。由于银行业金融机构不能对其内部控制及风险管理措施进行直接管控，应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的风险管理。

第六十八条

银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准，该标准应当作为选择服务提供商的最低要求。

第六十九条

银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次，检查结果作为外包服务提供商项目考核及准入的重要指标。

第七十条

银行业金融机构应当加强对外包服务提供商非驻场外包服务内部控制、质量管理、信息安全的有效性评估，评估结果作为供应商准入的重要依据。对于高风险的服务提供商，银行业金融机构应当责令其进行限期整改，对于逾期未改的服务提供商应当暂停或取消其服务资格。

第七十一条

对于非驻场外包服务提供商为同业托管机构的情况，银行业金融机构可以参照本节内容对其进行外包管理，但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分，不得区别对待，降低对自身提供外包服务的风险管控水平。

第七章银行业重点外包服务机构风险管理要求

第七十二条

银行业重点外包服务机构是指集中为银行业金融机构提供外包服务，同时满足下述条件，如其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断，造成经济损失的机构，具体条件如下：

(一) 承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务。

(二) 服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。

第七十三条银行业金融机构应当根据监管机构发布的银行业重点外包服务机构风险提示，按照如下要求进行管理：

(一) 银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间不少于3年。

(二) 银行业重点外包服务机构应当拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队，为持续的外包服务提供保证。

(三) 银行业重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系，建立完善的信息安全、服务质量、服务持续性等管理制度体系，拥有有效的检查、监控和考核机制，确保管理规范有效执行。

(四) 银行业重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应当设臵在中国境内。第七十四条

银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证: (一) 具有完善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二) 具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证。

(三) 承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构，其机房及基础设施应当达到国家电子计算机机房最高标准。

(四) 承担集中存贮客户数据的业务交易系统外包服务，或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应当具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。

第七十五条

银行业金融机构应当在风险管理、审计方面对银行业重点外包服务机构提出如下要求：

(一) 银行业重点外包服务机构应当具有信息科技风险的管理体系，有效识别、监测、评估和控制风险。银行业重点外包服务机构应当至少每季度向所服务的银行业金融机构报送外包风险监控报告，针对监控发现的潜在风险或风险事件，及时采取控制或缓释措施。

(二) 银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,年度风险评估报告需报送所服务的银行业金融机构，并抄送银监会或其派出机构。

(三) 银行业重点外包服务机构应当对其外包服务团队成员进行背景调查，确保其过往无不良记录，且应当与项目成员签订保密协议，并保留至少10年的法律追诉期。

第八章监督管理

第七十六条

银行业金融机构开展以下信息科技外包服务时,应当在外包合同签订前二十个工作日向银监会或其派出机构报告，针对银行业金融机构信息科技外包风险，银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。

(一) 信息科技工作整体外包;

(二) 数据中心或灾备中心整体外包;

(三) 涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;

(四) 以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;

(五) 关联外包;

(六) 涉及跨境的信息科技外包;

(七) 其他银监会认为重要的信息科技外包。

第七十七条

银行业金融机构信息科技外包活动中发生如下重大事件时，应当在两个工作日内向银监会或其派出机构报告。

(一) 银行业金融机构客户信息等敏感数据泄露;

(二) 数据损毁或者重要业务运营中断;

(三) 由于不可抗力或服务提供商重大经营、财务问题，导致或可能导致多家银行业金融机构外包服务中断;

(四) 其他重大的服务提供商违法违规事件;

(五) 银监会规定需要报告的其他重大事件。

第七十八条

银行业金融机构在开展年度外包风险管理评估工作后，应当将年度风险评估报告报送银监会或其派出机构。

第七十九条

银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，监督检查结果纳入对银行业金融机构的监管评级。

第八十条

对于风险较高的信息科技外包服务，银监会或其派出机构可以要求银行业金融机构暂缓、中止该类外包服务，直至银行业金融机构、外包服务提供商有效改正。

第八十一条

银行业金融机构违反本指引规定的，银监会或其派出机构可要求其纠正或采取替代方案，并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的，依法追究银行业金融机构管理责任。

第八十二条

银监会实行银行业信息科技外包服务活动风险监测机制，定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示，防范因高机构集中度外包服务导致的系统性、区域性信息科技风险。第八十三条

银监会应当对具有机构集中度特点的银行业金融机构信息科技外包服务进行重点风险监测、评估，根据需要，可以要求银行业金融机构与重点外包服务机构会谈，就其外包服务活动和风险的重大事项作出说明。

第八十四条

银监会应当组织银行业金融机构实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动，原则上每两年进行一次，也可以委托其他第三方机构审计的形式实施。

第八十五条

银监会可以根据银行业金融机构信息科技服务活动风险评估和实地核查结果，对银行业金融机构发出监管提示，要求其督促银行业重点外包服务机构对风险问题实施整改。

第八十六条

银行业重点外包服务机构应当配合银行业金融机构及银监会的风险监测和实地核查。

第八十七条

银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录，并对其进行风险评估和评级。

第八十八条

服务提供商在外包服务中存在以下情形的，银监会定期向银行业发布服务提供商风险预警，公布机构名单、服务信息等，要求银行业金融机构禁止相关服务提供商承担银行业信息科技外包服务，禁止期至少为两年。外包服务提供商两年内仍未整改的，延长其禁止期。

(一) 违反国家法律、法规和监管政策，情节严重的;

(二) 窃取、泄露银行业金融机构敏感信息，情节严重的;

(三) 因管理过失，多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的;

(四) 服务质量低下并给多家银行业金融机构造成损失，多次提示仍未整改的;

(五) 对风险监测和实地检查发现的问题，逾期仍未整改的;

(六) 存在其他违法违规行为，或发生其他重大信息科技风险事件的。

第八十九条

银监会负责监督银行业金融机构对信息科技外包服务提供商实施准入管理。对于存在重大风险的外包活动，银行业金融机构应当立即评估外包的适当性，对信息科技外包服务提供商进行风险预警提示，要求其进行整改并设定期限;逾期未整改的，禁止其承担信息科技外包服务。

第九章附则

第九十条

本指引由银监会负责解释、修订。第九十一条

本指引自公布之日起施行。

第三篇：新华村镇银行虚拟股权激励协议

甲方：新华村镇银行

地址：______________________________

法定代表人：________________________ 联系电话：____________________________ 乙

方： __________________________ 身份证号：____________________________ 购买金额(小写)：__________________

大

写： _______________________________ 地址：_____________________________

联系电话：

__________________________

乙方系甲方员工。鉴于乙方以往对甲方的贡献和为了激励乙方更好的工作，也为了使甲、乙双方通过合作进一步提高经济效益，经双方友好协商，双方同意甲方以虚拟股权的方式对乙方的工作进行激励。为明确双方的权利义务，特订立以下协议：

一、术语解释

除非本协议条款或上下文另有所指，本协议下列用语含义如下：

1.虚拟股权：指新华村镇银行对内名义上的股权，虚拟股权拥有者不是指甲方在工商注册登记的实际股东，乙方委托甲方代为行使股东职能。此虚拟股权对内、对外均不得转让，不得继承，员工取得虚拟股权的方式为出资购买银行虚拟股票。

2.分红：指新华村镇银行按照《中华人民共和国银行法》及银行章程的规定可分配的税后净利润总额，同时按照《新华村镇银行中长期激励制度》分红的规定，在满足分红条件时，员工按所持股份比例进行分配所得的红利。

二、协议标的

1.乙方取得的虚拟股权不变更甲方银行章程，不记载在甲方银行的股东名册，不做工商变更登记。乙方为实际股东，由于虚拟股权拥有保证金的性质，因此不得以此虚拟股权对外作为拥有甲方资产的依据。

2.每年度会计结算终结后，甲方按照银行法和银行章程的规定计算出上一年度银行可分配的税后净利润总额。 3.分红方式如下：

第一、

二、三年所购买的虚拟股票冻结到第四年，第四年可以分享当年和前几年购买股票的收益，同时也承担相应的损失(也就是前3年的收益到第四年可以折现，损失在股票净值中反映，股份数不变)，前三年的如有收益按银行同期一年期存款利率计算利息。从第五年开始每年享有所持虚拟股票份额带来的收益，以此来完成中长期激励目标。每年享受分红=每年所持虚拟股票份额*每股净收益(第1~4年除外)

三、协议的履行

1.甲方应在每年的股东大会上公布上一年度税后净利润总额，并将此结果及时通知乙方。 2.乙方在甲方股东大会召开后10日内，凭借虚拟股权协议享受分红，甲方将可得分红一次性支付给乙方。

3.乙方的可得分红应当以人民币形式支付，除非乙方同意，甲方不得以其它形式支付。

四、协议期限以及与劳动合同的关系

1.本协议无固定期限，乙方在甲方工作期间，可凭借虚拟股权协议以及分红规则享受相应的分红权。

2.本协议与甲乙双方签订的劳动合同相互依存，解除劳动合同时，虚拟股票以退出的上一年度每股净值折现冻结，以一年定期存款的模式存入银行指定账户，3年后经查无违法违规行为，对个人予以发放。

五、协议的权利义务

1.甲方应当及时、足额支付乙方可得分红。

2、乙方所购买的虚拟股票兼有岗位保证金的性质，乙方不能申请退出虚拟股权协议，也不能将虚拟股票变卖或转让。

3.乙方对甲方负有忠实义务和勤勉义务，不得有任何损害银行利益和形象的行为。 4.乙方对本协议的内容承担保密义务，不得向第三人泄露本协议中乙方所得虚拟股份以及分红等情况。

5.若乙方离开甲方银行的，或者依据第六条变更、解除本协议的，乙方仍应遵守本条第

2、3项约定。

六、协议的变更、解除和终止 1.发生以下情形：

(一) 合同期满，银行同员工不再续约;

(二) 员工退休;

(三) 员工辞职;

(四) 员工被辞退

(五) 员工丧失劳动能力或身亡;

(六) 员工因违法违规被公检法机关起诉;

(七) 银行终止虚拟股票制度。

当

(一)、

(二)、

(三)、

(五)、

(七)情况发生时，虚拟股票以退出的上一年度每股净值折现冻结，以一年定期存款的模式存入银行指定账户，3年后经查无违法违规行为，对个人予以发放。员工死亡的，折现后的金额可由其亲属继承。

当

(四)情况发生时，区别对待，因员工能力问题被辞退，参照上条的情况处理; 因违法违规被辞退或及因

(六)的原因离职的，没收全部虚拟股票、分红及所产生的利息。

2.乙方须遵守《新华村镇银行中长期激励制度》，在制度约束下，可以书面形式变更协议内容。

3.甲乙双方经协商一致同意的，可以解除本协议，乙方须交回虚拟股权购买协议。 4.乙方违反本协议义务，给甲方造成损害的，甲方有权书面通知乙方解除本协议。

七、违约责任

1.如甲方违反本协议约定，迟延支付或者拒绝支付乙方可得分红的，乙方有权向甲方收取滞纳金,滞纳金不超过分红额的银行同期存款利率。

2.如乙方违反本协议约定，视为自动退出虚拟股权协议，甲方有权视情况相应减少或者不予支付乙方可得分红。给甲方造成损失的，乙方应当承担赔偿责任。

八、争议的解决

因履行本协议发生争议的，双方首先应当争取友好协商来解决。如协商不成，则将该争议提交甲方所在地人民法院裁决。

九、协议的生效

甲方全体股东一致同意是本协议的前提，《新华村镇银行中长期激励制度》是本协议生效之必要附件。本协议一式两份，双方各持一份，自双方签字盖章之日起生效。

安徽当涂新华村镇银行乙方 (签署) 盖章

二○一○年八月X日二○一○年八月X日

第四篇：银行业金融机构信息科技外包风险监管指引-正式发文版

银行业金融机构

信息科技外包风险监管指引

第一章总则

第一条

为规范银行业金融机构的信息科技外包活动，降低信息科技外包引发的风险，保持信息科技核心能力，促进银行业信息科技健康有序发展，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条

在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。

第三条

本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式，原则上包括以下类型：

(一) 研发咨询类外包：科技管理及IT治理等咨询设计外包，规划、需求、系统开发、测试外包;

(二) 系统运行维护类外包：包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包;

(三) 业务外包中的信息科技活动：市场拓展、业务操作、

1 企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动;

第四条

本指引所称关联外包指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构的信息科技外包。

第五条

信息科技的外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：

(一) 科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技创新及控制能力，影响业务创新与发展;

(二) 业务中断：支持业务运营的外包服务无法持续提供导致业务中断;

(三) 信息泄露：包含客户信息在内的银行非公开数据被服务提供商非法获得或泄露;

(四) 服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条

第七条

本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第八条

银行业金融机构应当将信息科技外包管理纳入全 2 面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

第九条

银行业金融机构应当建立信息科技外包管理组织架构，制定外包管理战略，定期进行外包风险评估，通过服务提供商准入、评价、退出等手段建立及维护符合其战略目标的供应商关系管理策略。

第十条

银行业金融机构在实施信息科技外包时应当坚持以下原则：

(四) 以不妨碍核心能力建设、积极掌握关键技术为导向;

(五) 保持外包风险、成本和效益的平衡;

(六) 强调外包风险的事前控制，保持管控力度;

(七) 根据外包管理及技术发展趋势，持续改进外包策略和措施。

第十一条

银行业金融机构在实施信息科技外包时，不得将其信息科技管理责任外包。

第十二条

第二章外包管理组织架构

第十三条

第十四条

信息科技外包风险主管部门主要职责包括：

(一) 对外包风险进行识别、评估与风险提示;

(二) 监督、评价外包管理工作，并督促外包风险管理的持续改善;

(三) 向高级管理层定期汇报信息科技外包活动开展相关风险管理情况;

(四) 董事会或高级管理层确定的其他信息科技外包风险管理职责。

第十五条

银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技外包管理执行团队，并配备足够人员履行以下职责：

(一) 实施信息科技外包战略;

(二) 制定并执行信息科技外包管理制度与流程;

(三) 执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略;

(四) 制定保障外包服务持续性的应急管理方案，并组织 4 实施定期演练;

(五) 对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理的主管部门报告外包活动情况。

第三章信息科技外包战略及风险管理

第一节信息科技外包战略

第十六条

银行业金融机构应当以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技能为目标。基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定其信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十七条

银行业金融机构应当根据自身的信息科技战略明确不能外包的职能。涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不应外包。

第十八条

第十九条

银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略，通过准入和退出机制控制各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务 5 质量，合理控制服务提供商的数量从而降低风险及管理成本等。

第二十条

银行业金融机构可按照外包服务性质和重要性程度对服务提供商进行分级管理，对不同级别的服务提供商采取严格程度差异化的管控措施，从而达到有效管理重要风险的前提下降低管理成本。

第二十一条

对于关联外包，银行业金融机构应当保持外包有关决策的独立性，要求其母公司或其所属的集团公司协同做好外包服务及服务提供商的管理工作，避免因关联关系而降低银行业金融机构对外包活动的风险控制水平。

第二节信息科技外包风险管理

第二十二条

银行业金融机构信息科技外包风险主管部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第二十三条

银行业金融机构应当对重要的外包服务提供商进行定期风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。

第二十四条

银行业金融机构内部审计部门应当定期开展信 6 息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应及时开展专项审计。

第四章信息科技外包管理

第一节

外包风险评估及准入

第二十五条

外包项目立项前，银行业金融机构应当审慎检查项目与信息科技外包战略的一致性，应当根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处臵措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。

第二十六条

第二十七条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第二节

服务提供商尽职调查

第二十八条

对重要的服务提供商，银行业金融机构在与其签订合同前应当深入开展尽职调查，必要时可聘请第三方机构协助调查。

7 第二十九条

第三十条

第三十一条

第三十二条

对于关联外包，银行业金融机构不得因关联关系而降低对服务提供商的要求，应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平，确认其有足够能力实施外包服务、处理突发事件等。

第三十三条

对于外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行管理。

第三节外包服务合同及要求

第三十四条

银行业金融机构在实施外包服务项目前，应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定其详细程度和重点。

第三十五条

银行业金融机构在合同或协议中应当明确以下内容，包括但不限于：

(一) 服务范围、服务内容、工作时限及安排、责任分配、

8 交付物要求以及后续合作中的相关限定条件;

(二) 合规与内控要求，对法律法规及银行业金融机构内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;

(三) 服务连续性要求，服务提供商的服务连续性管理目标应当满足银行业金融机构业务连续性目标要求;

(四) 银行业金融机构监控和检查的权力、频率，服务提供商配合其内、外部审计机构检查，及配合银行业金融机构接受银行业监督管理机构检查的责任;

(六) 外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求;

(七) 服务要求或服务水平条款，至少应包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;

(九) 报告条款，至少包括如下内容：常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十六条

银行业金融机构应当在合同或协议中明确服务提供商在安全和保密方面的责任，以及针对安全及保密要求需采取的具体措施，包括但不限于：

(一) 禁止服务提供商在合同允许范围外使用或者披露银行业金融机构的信息，以防止信息被非授权的使用;

(二) 在合同或协议中约定服务提供商对银行客户信息安全和银行客户权力的保护条款、事故处理方式及违约赔偿条款;

(三) 在合同或协议中约定服务提供商不得以所提供服务的银行业金融机构名义开展活动;

(四) 服务提供商接触银行业金融机构信息时，需满足安全和保密相关条款的要求;

(五) 服务提供商在其发生信息安全事件时必须及时向银行业金融机构报告事件的影响以及处臵和纠正措施。

第三十七条

银行业金融机构应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：

(一) 不得将外包服务的主要业务分包;

(二) 主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议;

(三) 主服务提供商对分包商进行监控，并对分包商的变 10 更履行通知或报告审批义务。

第四节外包服务安全管理

第三十八条

银行业金融机构应当制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险，具体措施包括：

(一) 对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实;

(二) 明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“必需知道“和“最小授权”原则进行访问授权;

(三) 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;

(四) 定期对服务提供商进行安全检查，获取服务提供商自评估或第三方评估报告。

第三十九条

银行业金融机构在对关联外包的服务提供商进行定期安全检查时，不得以服务提供商的自评估来替代，不得因关联关系而影响检查的独立性、客观性及公正性。

第四十条

第五节外包服务监控与评价

第四十一条

第四十二条

银行业金融机构应当根据信息科技的外包需求、合同、服务水平协议等建立明确的服务质量监控指标，并进行相应的监控。常见指标包括：

(一) 信息系统和设备及基础设施的可用率、设备的开机率;

(二) 故障次数、故障解决率、故障的响应时间;

(三) 服务的次数、客户满意度;

(四) 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率;

(五) 外包人员工作饱和率、外包人员的考核合格率。

第四十三条

银行业金融机构应当建立明确的服务目录,服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务结束后一年。

第四十四条

银行业金融机构应当对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员 12 流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。

第四十五条

银行业金融机构监控到异常情况时，应当及时督促服务提供商采取纠正措施，情节严重的或未及时纠正的，应约谈服务提供商高管人员并限期整改。

第四十六条

外包服务结束时，银行业金融机构应当对服务提供商进行评价，评价结果应当作为服务提供商准入的重要参考依据。

第四十七条

对于关联外包，银行业金融机构董事会及高级管理层应当推动母公司或其所属集团将外包服务质量纳入对服务提供商的业绩评价范围，建立外包服务重大事件问责机制。同时，应当要求服务提供商在其内部建立与外包服务水平相关的绩效考核机制。

第六节外包服务中断与终止

第四十八条

银行业金融机构应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性的完善业务连续性管理计划，包括但不限于：

(一) 识别出重要业务所涉及的服务提供商和资源;

(二) 通过合同协议等形式明确要求服务提供商提前准备并维护好相关资源;

(三) 对服务提供商业务连续性管理进行监控，并评价其 13 管理水平;

(四) 在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。

第四十九条

(一) 在外包服务实施的过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断的情况;

(二) 与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;

(三) 要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员;

第五十条

银行业金融机构应当针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，应考虑的因素包括但不限于以下内容：

(一) 事件场景，如重要人员流失导致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;

(二) 事件持续时间和恢复可能性;

(三) 事件影响范围和可能的应急措施;

(四) 服务提供商自行恢复服务的可能性和时间;

(五) 备选的服务提供商以及外包服务迁移方案;

(六) 外包服务过渡给银行业金融机构自行运作的可能性、时效及资源需求。

第五十一条

第五章机构集中度风险管理

第五十二条

第五十三条

银行业金融机构应当积极采用分散信息科技外包活动、提高自主研发运行能力等形式，降低机构集中度，减少对外包服务提供商的依赖。

15 第五十四条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商提供充分的证据，证明其内部控制和管理能力、持续运营能力等。

第五十五条

第五十六条

银行业金融机构应当要求具有机构集中度特点的外包服务提供商在外包服务中断应急预案中，明确外包服务的优先级，并进行服务中断应急演练，服务提供商应至少参与服务交接、敏感信息处臵等演练过程。

第五十七条

银行业金融机构应当特别加强对具有机构集中度特点的外包服务提供商的财务、内控、安全管理情况持续监控，建立信息收集机制，及时掌握风险事件情况，防范外包服务意外终止或服务质量急剧下降对本机构产生大面积影响。

第五十八条

银行业金融机构应当对具有机构集中度特点的外包服务提供商增强监督频率与力度，必要时可指派专人进行现场监督。

第五十九条

对于具有机构集中度特点的外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行外包管理。

16 第六章跨境及非驻场外包管理

第一节跨境外包风险管理

第六十条

跨境外包是指在境外其他国家或地区实施的信息科技外包服务活动。

第六十一条

第六十二条

银行业金融机构应当充分了解并持续监控服务提供商所在国家或地区的经济、政治、社会状况，通过建立应急预案、服务持续性计划防范跨境外包所带来的国别风险。

第六十三条

银行业金融机构应当关注国外法律法规、监管要求对其获取服务提供商外包管理信息可能的影响。实施跨境外包时，不应妨碍银行业金融机构有效履行外包服务监控管理职能及监管机构的延伸检查。

第六十四条

银行业金融机构在选择跨境外包时，应当明确其所在国家或地区监管当局已与中国银监会签订谅解备忘录或双方认可的其他约定。

第六十五条

17 第六十六条

银行业金融机构在开展跨境外包时，应当充分审查评估服务提供商保护客户信息的能力，并将其作为选择服务提供商的重要指标。涉及客户信息的跨境外包,应在符合监管法规政策并获得客户授权的前提下开展。

第二节非驻场外包风险管理

第六十七条

第六十八条

银行业金融机构应当建立针对非驻场外包服务的内部控制及风险管理要求的最低标准，该标准应当作为选择服务提供商的最低要求。

第六十九条

银行业金融机构应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次，检查结果应作为外包服务提供商项目考核及准入的重要指标。

第七十条

银行业金融机构应当加强对服务商非驻场外包服务内部控制、质量管理、信息安全的有效性评估，评估结果应作为供应商准入的重要依据。对于高风险的服务提供商，银行业金融机构应责令其进行限期整改，对于逾期未改的服务提供商应暂停或取消其服务资格。

18 第七十一条

对于非驻场外包服务提供商为同业托管机构的情况，银行业金融机构可参照本节内容对其进行外包管理，但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分，不应区别对待而降低对自身提供外包服务的风险管控水平。

第七章银行业重点外包服务机构风险管理要求

第七十二条

(一) 承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务;

(二) 服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的国有、股份制法人银行业金融机构数量达到3家或以上;或服务的其它类型法人银行业金融机构数量达到10家或以上。

第七十三条

银行业金融机构应根据监管机构发布的银行业重点外包服务机构风险提示，按照如下要求进行管理：

19 (一) 银行业重点外包服务机构应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间应不少于3年。

(四) 银行业重点外包服务机构应当具有足够的技术能力、人员队伍和设施、环境，满足外包服务的质量和安全管理要求。银行业重点外包服务机构承担的银行业金融机构外包服务场地应设臵在中国境内。

第七十四条银行业金融机构应要求银行业重点外包服务机构具有如下相关领域资质认证: (一) 具有完善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二) 具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证。

20 (三) 承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构，其机房及基础设施应达到国家电子计算机机房最高标准。

(四) 承担集中存贮客户数据的业务交易系统外包服务，或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。

第七十五条银行业金融机构应在风险管理、审计方面对银行业重点外包服务机构做出如下要求：

(一) 银行业重点外包服务机构应当具有信息科技风险的管理体系，有效识别、监测、评估和控制风险。银行业重点外包服务机构应至少每季度向所服务的银行业金融机构报送外包风险监控报告，针对监控发现的潜在风险或风险事件，及时采取控制或缓释措施。

(二) 银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,风险评估报告需报送所服务的银行业金融机构，并抄送银行业监督管理委员会或其派出机构。

(三) 银行业重点外包服务机构应当对其外包服务团队成员进行背景调查，确保其过往无犯罪或其他不良记录，且应当与项目成员签订保密协议，并保留至少10年的法律追诉期。

第八章监督管理

第七十六条

银行业金融机构开展以下信息科技外包服务时,应在外包合同签订前二十个工作日向中国银监会或其派出机构报告。报告内容见附件《信息科技外包服务报告材料目录》。

(一) 信息科技工作整体外包;

(二) 数据中心或灾备中心整体外包;

(三) 涉及将银行业金融机构客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;

(四) 以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;

(五) 关联外包;

(六) 涉及跨境的信息科技外包;

(七) 其他中国银监会认为重要的信息科技外包。第七十七条

银行业金融机构信息科技外包活动中发生如下重大事件时，应在两个工作日内向中国银监会或其派出机构报告。

(一) 银行业金融机构客户信息等敏感数据泄露;

(二) 数据损毁或者重要业务运营中断;

(三) 由于不可抗力或服务提供商重大经营、财务问题，导致或可能导致多家银行业金融机构外包服务中断; 22

(四) 其他重大的服务提供商违法违规事件;

(五) 中国银监会规定需要报告的其他重大事件。第七十八条

银行业金融机构在开展外包风险管理评估工作后，应将风险评估报告报送中国银监会或其派出机构。报告内容见附件《信息科技外包服务报告材料目录》。

第七十九条

中国银监会及其派出机构对银行业金融机构信息科技外包工作进行监督和检查，监督检查结果应纳入对银行业金融机构的监管评级。

第八十条

对于风险较高的信息科技外包服务，银监会或其派出机构可要求银行业金融机构暂缓、中止该类外包服务，直至银行业金融机构、外包服务提供商有效改正。

第八十一条

银行业金融机构违反本指引规定的，中国银监会或其派出机构可要求银行业金融机构纠正或采取替代方案，并视情况予以问责。因管理过失导致外包活动严重危及银行业金融机构稳健运行、损害存款人和其他客户合法权益的，将依法追究银行业金融机构管理责任。

第八十二条

中国银监会实行对银行业信息科技外包服务活动风险监测机制，定期对银行业金融机构发布银行业重点外包服务机构名单和风险提示，防范因高机构集中度外包服务导致的行业性、区域性信息科技风险。

第八十三条

中国银监会应对具有机构集中度特点的银行业金融机构信息科技外包服务活动进行重点风险监测、评估。根 23 据履行职责的需要，中国银监会可要求银行业金融机构与银行业重点外包服务机构会谈，就其外包服务活动和风险的重大事项作出说明。

第八十四条

中国银监会应组织银行业金融机构，实地核查银行业重点外包服务机构承担的银行业金融机构信息科技服务活动，原则上每两年进行一次，也可以委托其他第三方机构审计的形式实施。

第八十五条

中国银监会可根据银行业金融机构信息科技服务活动风险评估和实地核查结果，对银行业金融机构发出监管提示，要求其督促银行业重点外包服务机构对风险问题实施整改。

第八十六条

银行业重点外包服务机构应当配合银行业金融机构及中国银监会的风险监测和实地核查。发现外包服务中发生可能引发行业性、区域性信息科技风险的突发事件时，应及时向银行业金融机构报告。

第八十七条

中国银监会组织相关银行业金融机构对银行业信息科技外包服务提供商建立服务管理记录，并对其风险评估和评级。

第八十八条

服务提供商在外包服务中存在以下情形的，中国银监会将定期向银行业发布服务提供商风险预警，公布机构名单、服务信息等，要求银行业金融机构禁止服务提供商承担银行业信息科技外包服务，禁止期至少为两年。外包服务提供商两年内仍未整改的，将延长其禁止期。

(一) 违反国家法律、法规和监管政策，情节严重的;

(二) 窃取、泄露银行业金融机构敏感信息，情节严重的;

(三) 因管理过失，多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件;

(四) 服务质量低下并给多家银行业金融机构造成损失，多次提示仍未整改;

(五) 对风险监测和实地检查发现的问题，逾期仍未整改;

(六) 存在其他违法违规行为，或发生其它重大信息科技风险事件。

第八十九条

中国银监会将监督银行业金融机构实施对信息科技外包服务提供商的准入及“黑名单”管理。对于存在重大风险的外包活动，银行业金融机构应立即评估外包的适当性，对拟进入“黑名单”的信息科技外包服务提供商进行风险预警提示，要求其进行整改并设定期限。逾期未整改的，将进入“黑名单”。

第九章附则

第九十条

本指引由中国银监会负责解释、修订。第九十一条

本指引自发布之日起施行。

附录《银行业金融机构信息科技外包风险监管指引》信息科技外包服务监管报告材料目录

一、信息科技外包监管报告材料

(一) 外包服务基本情况，包括：

1. 外包服务名称;

2. 外包服务类型：研发咨询类、系统运行维护类、业务外包中的信息科技活动等; 3. 外包服务的主要内容;

4. 实施方式：驻场外包、非驻场外包;

5. 影响的业务类型：渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类等; 6. 外包服务起止时间。

(二) 服务提供商基本情况，包括：

1. 服务提供商全称、国别; 2. 尽职调查报告; 3. 法人代表; 4. 注册资本; 5. 上级机构/母机构; 6. 成立时间; 7. 企业性质;

(三) 中国银监会规定的其他材料。

二、信息科技外包情况报送材料

(一) 银行业金融机构外包风险评估报告;

(二) 银行业重点外包服务机构风险评估报告;

(三) 本内正在执行或终止的重要信息科技外包服务情况，包括：

1. 外包服务名称;

2. 外包服务重大事件情况; 3. 外包服务变更情况;

4. 本期终止的，还应当提供外包服务评价。

(四) 中国银监会规定的其他材料。

第五篇：银行信用卡资产催收外包委托代理协议

银行股份有限公司

信用卡资产催收外包委托代理协议

协议编号： 2012年第号

甲方(委托方)：

地址：邮政编码：负责人及联系电话：

乙方(受托方)：

地址：邮政编码：负责人及联系电话：

甲、乙双方本着自愿、平等、互利、守信的原则，经友好协商，就甲方信用卡业务项下的逾期透支资产催收委托合作事项达成以下协议，并共同遵守执行。

第一条委托事项

(一)甲方委托乙方对信用卡透支的持卡人及其担保人进行追收透支金额及利息。本协议所称之持卡人系与甲方签订有关信用卡使用协议之人士，担保人系为该持卡人提供担保之人士。

(二)乙方在催收过程中，可采取以下几项催收方式：

1、电话催收;

2、普通信函催收;

3、律师函催收：.

4、上门催收;

(三)本协议委托的代理权限为一般代理，如出现以下特别事项须经甲方事先书面授权同意：

1、持卡人申请减免利息、以物抵债等

2、起诉，代为承认、放弃、变更诉讼请求，和解，参与、接受法院调解，提起反诉、撤诉、上诉等;

3、其他可能导致甲方债权损失或权益变更的事项

(四)追收周期一般为3月(不包含诉讼时间)，从甲方向乙方移交催收资料的当天起算。对于特殊的透支卡户，经甲乙双方协商同意，可适当缩短或延长催收周期时间。

(五)甲、乙双方应安排具体经办人员负责此项工作的对口支持，并应保持密切的联系。

(六)乙方代表甲方对持卡人、担保人发出之文件均须经甲方事先确认。

第二条甲方的权利义务

(一)甲方负责定期向乙方提供需催收的信用卡逾期透支持卡人及其担保人(如有)、联系人(如有)的清单及基本信息资料(例如姓名、身份证件号码、工作单位名称、单位地址、单位电话、住宅地址、住宅电话、移动电话等)和前期催收的记录材料，并进行统计造册，注明本息合计金额由乙方签收确认。

(二)甲方应向乙方出具开展本项工作所需的授权文件，以及应乙方要求提供其他合理的配合工作。

(三)甲方按乙方催回透支本息金额的一定比例支付代理费用。

(四)甲方应及时提供催收户的账户信息，协助乙方查阅和了解催收到帐情况，并且应及时向乙方反馈关于被催收持卡人、担保人的最新信息及处理意见。

(五)甲方应指定专人为乙方的联系人，负责转达甲方的指示和要求，协助提供催收工作所需的文件和资料、确认乙方的工作及回收，记录双方信息往来及结算情况等，甲方更换联系人应当及时通知乙方。

(六)在甲方认定乙方不能全面完成代理工作或存在违反保密义务等有损于甲方权益的行为，或出现较多客户投诉时，甲方有权随时解除与乙方签订的委托代理协议，并要求乙方赔偿相应损失或承担法律责任。

(七)甲方有权对乙方的财务状况、业务经营状况以及内部资料保密、操作风险内控制度、对经办此项业务的人员培训计划的落实情况进行定期或不定期(包括现场及非现场等检查手段)检查及评估。

(八)根据对乙方的工作业绩考核，安排相应数量的业务;对于安排给乙方的业务量，如乙方无法在追收周期内完成追收的，甲方有权收回追收资料并委托其他合作机构进行追收。

(九)对于单个信用卡委托催收卡户，自交接之日起，乙方在7日之内未进行任何催收动作，或在』卫日之内未收回任何款项的(不包含诉讼时间)，甲方有权将该笔信用卡催收撤出合作协议另作处理。连续三包未按要求催收则取消协议。

第三条乙方的权利义务

(一)乙方在全面完成代理工作、实现预期代理目标的情形下，有权要求甲方根据本协议中的相关条款支付代理费用。

(二)乙方有权要求甲方在所能及的范围内配合其收集、完善有关持卡人、担保人、联系人的信息资料和其他证据材料。

(三)乙方应为本项工作配备合格的、足够的经办人员，并按照甲方信用卡操作流程及相关规章制度的要求制订相应的培训计划、操作规程、重要注意事项。应在公司内部制定完善的信息资料保密措施，如要求员工在签署劳动合同时签署保密协议、储存客户信息的电脑外部接口均予拆除、对客户资料信息库访问的权限设定等。

(四)乙方在与甲方合作过程中发生法人变更，营业场所变更等重大变化时，应及时通知甲方。

(五)乙方必须保证所采取催收手段的合法合规，不得以违法及不道德的方式催收，同时在催收过程中不得有任何有损甲方形象和声誉的言语和行为，若在催收过程中与当事人发生纠纷，由乙方负责自行解决，因乙方催收行为给甲方造成损失的，甲方可依法就损失款项向乙方追偿。

(六)乙方必须在甲方提供催收清单的一个追收周期内完成对清单上所列透支客户的催收，并承诺服务覆盖率达到1oo%。一个追收周期为三个月。对于金额在300元以上的信用卡帐户除进行电话及信函催收外，必须要提供上门催收服务(客户的联系地址在甲方本地)。对超过三个月(从甲方向乙方移交催收资料的当天起算)仍无还款意向的透支户，乙方应停止对其催收(甲方同意继续催收除外)，并将该户的所有资料退还甲方。乙方在上门催收中，应做好电话及上门催收记录，并要求被催收持卡人或其担保人在催收通知书上签字确认。

(七)乙方必须加强对追回透支款项的管理。乙方催收人员在催收时，应要求被催收入将透支款本息存入透支信用卡中，不得代收现金和挪用，也不得要求被催收人将透支本息付至乙方或乙方催收人员

指定的账户。

(八)乙方应对甲方委托的透支卡户全部作尽职追收，并按一户一档建立催收档案，书面记录所采用的具体催收方式和催收过程，并将催收相关资料(如催收过程中的记录、录音资料、信函存根、签收回执等)移交甲方备存。本协议终止或提前终止时，乙方应交回所有客户纸质档案材料、销毁电子资料，并承担协议终止后的保密责任。

(九)乙方在催收过程中应将所委托催收的逾期信用卡持卡人的基本信息变动情况及时向甲方反馈，一旦发现有确切证据表明持卡人的经济状况、还款能力发生突变，或者持卡人有恶意拒付银行卡欠款、逃匿债务等行为，应立即向甲方书面报告。

(十)乙方应在每月月底向甲方提交当月催收情况及催收成效报告，分析不良成因，归纳总结出形成不良的透支卡户特征。

(十一)未经甲方书面同意，乙方不得将受托事宜转委托给第三方。

(十二)在催收过程中，如确认透支户所造成的甲方损失原因为乙方过去推荐发卡时提供的资料失实，乙方应在收到甲方通知之日起五个工作日内无条件将透支户的透支款项及甲方向责任方追偿而产生的调查处理、公安处理、司法诉讼等追帐费用足额支付给甲方。

第四条委托催收方式中包含法务诉讼(乙方为律师事务所)的，乙方还需同时承担以下义务：

(一)乙方律师应当对催收过程中发现的问题，依据法律作出的判。断，及时向甲方进行风险提示，尽最大努力维护甲方利益。

(二)乙方律师应积极主动的按照甲方提出的时间，做好对案件提起诉讼或申请强制执行的资料整理工作和法律文书代理工作，并根

据审理机关的要求，及时提交证据，按时出庭，进行资产保全。

(三)乙方律师在涉及甲方的案件中，未经甲方书面同意，不得同时担任与甲方具有法律上利益冲突的另一方委托代理人。

(四)乙方律师应在委托诉讼之日起的十天之内向法院提起诉讼。在准备诉讼的过程中如发现案件存在诉讼风险，乙方律师须及时通知甲方，由其决定是否起诉。

(五)签收法院判决后，乙方应在第一时间通知甲方，如须上诉，乙方律师须及时通知甲方，由其决定是否向上一级人民法院提起上诉。

(六)对法院判决后仍不按约定还款的逾期客户，乙方应在判决书规定的履行期满后20日内向法院申请强制执行，同时报告甲方。

(七)如在申请强制执行后6个月内未能收回任何财产，乙方应将案件进展情况和拟采取的办法提交甲方，由甲方根据相关规定决定是否申请终止该案件的执行。

(八)乙方拟定的与甲方有关的法律文书必须经得甲方认可后，方可对外提交。

(九)乙方律师须严格遵守律师职业道德和职业纪律，若因乙方过错、违法行为或消极履行代理义务等，而给甲方造成损失的，应根据《中华人民共和国律师法》中的相关规定进行赔偿。

第五条保密条款

(一)乙方根据本协议收到的甲方提供的资料文件，未经过甲方事先书面许可，乙方不得对外公布、泄露、交换、出售或允许他人使用，更不能利用相关保密信息进行任何商业活动。法律法规和监管规

定另有要求的除外。

(二)在未经本协议双方的书面同意前，任何一方不得就协议的主要内容及客户资料向协议双方以外的他方公布。

(三)乙方保证参与甲方委托事项的工作人员恪守甲方商业秘密，包括其在乙方公司工作期间或转职、离职期间。

(四)乙方因泄露保密信息而损害甲方利益的，除一切后果与法律责任由乙方承担外，甲方有权单方面即时终止本协议，并有权要求乙方赔偿所有的经济损失。

(五)甲乙双方的保密义务具有永久性，不因本协议的终止而终止。

第六条违约责任

(一)因乙方原因导致甲方的一切经济损失(包括但不限于侵犯信用卡持卡人、担保人的合法权益产生纠纷，使甲方有关债权丧失诉讼时效，未经授权或超越权限行使和处分甲方实体或程序性权益)由乙方承担。

(二)因乙方过错造成甲方文件损毁，灭失、如造成损失，由乙方赔偿。

(三)乙方超越甲方授权范围，擅自对外作出承诺而导致的后果由乙方承担，若造成甲方损失的，甲方有权要求乙方予以赔偿。

(四)甲方对乙方超越权限所造成的侵权不负任何责任，且甲方有权向乙方追偿因此而造成的损失。.

(五)甲方不按约定支付代理费用，应依法承担相应的违约责任。

(七)任何一方违反协议的其他约定给对方造成损失的，应承担

相应的赔偿责任。

第七条费用结算

(一)费用支付标准：

甲方委托乙方催收信用卡透支客户，服务费用计算方式如下：

1、中银信用卡、长城信用卡和长城国际卡的基准服务费率：透支天数90天以下(含90天)，服务费用按收回欠款本息的 %计算;透支天数在90-180天之间(含180天)，服务费用按收回欠款本息的

%计算;透支天数在180-360天之间(含360天)服务费用按收回欠款本息的 %计算;透支天数在361天以上，服务费用按收回欠款本息的%计算。

2、按月结算服务费用，如计算当月各逾期阶段回收率未达到基准回收率的，则服务费率将按对应逾期阶段基准服务费率下调相应比例予以计算。各逾期阶段基准回收率为：逾期90天以下(含90天)的，回收率85%;逾期9l一180天之问(含180天)的，回收率65%;逾期181—360天之间(含360天)的，回收率45%;逾期361天以上的，回收率40%。相应服务费率为：90天以下(含90天)%;90-180天之间(含180天)%;180-360天(含360天)%;361天以上%。各逾期阶段具体下调比例为：90天以下(含90天)下调 %;90-18O天之间(含180天)下调 %;181_360天(含36O天)下调 %;361天以上下调 %。

如连续三个月回收率均未达到各逾期阶段回收率最低标准的，甲方将不予结算催收费用。各逾期阶段回收率最低标准为：逾期90天以下(含90天)的，回收率60%;逾期90-80天之间(含180天)

的，回收率30%;逾期180-360天之间(含36O天)的，回收率15%;逾期361天以上的，回收率5%。

回收率=还款金额/银行委托通知还款金额*100%。还款金额按一个追收周期(三个月)的还款总额计算。

3、一个追收周期完成后，乙方在催收过程中确认客户有死亡或触犯刑律的情况并将相关证明材料提交甲方的，相应金额可从银行委托通知还款金额中扣减。

4、新增派单分配依据上一追收周期的不良资产回收率进行派单，计算服务费时，一手单按派单当时的逾期天数来认定，二手单按重新派单时逾期天数来认定。

乙方催收的客户将逾期透支本息全部付清或甲方所委托客户已不处于逾期透支状态，即视为乙方对该客户催收成功，甲方对该部分客户按乙方催收后的实际现金回收数额按约定的比例向乙方支付服务费用。乙方在代理催收过程中所发生的交通、通讯、差旅等费用已包含在上述服务费用之中，不另行计付。上述所称实际回收现金数额是指乙方代理回收现金数额扣除保全费、评估费、拍卖费、诉讼费、执行费、仲裁费等依法应由客户承担而由甲方事先垫付的相关费用后实际用于偿还逾期透支本息的现金数额。

(二)结算方式。

按月结算，每月15日之前结算一次。甲方通过转账方式将服务费用划入乙方指定的账户，乙方提供与甲方所支付金额相等的正式发票给甲方。乙方指定收款帐户为

帐号：

收款单位名称：开户行：

(三)外币透支金额按结算时的汇率折合人民币计算。第八条协议期限

本协议期限自年月日至年月日止，自双方授权签字人签署并加盖公章之日起生效。

甲乙双方当事人经协商一致后，可提前解除本委托代理协议。协议终止或提前终止的，甲乙双方应及时进行有关的资料交接及办理费用结算。协议期满，甲方将根据乙方的业绩和价格等因素确定是否续约。

第九条争议解决条款

本协议适用中华人民共和国法律。凡因履行本协议而产生的一切争议，纠纷，双方应通过协商解决。在协商不成时，双方同意采用下述第壹种方式解决：

1、依法向有管辖权的人民法院起诉;

2、向——仲裁委员会申请仲裁。第十条其他事项

本协议执行过程中，甲、乙双方可签订补充协议，所有补充协议甲、乙双方签字盖章即成为本协议附件的有效组成部分。

第十一条本协议一式两份，甲、乙双方各执壹份，具有同等效力。

甲方：乙方：

授权签字人：授权签字人：

签订地点：

签订时间：

年月 12

日