银行信息科技外包风险管理办法

1、保密等级文档名称文档编号发布组织发布日期执行日期版本号大洼恒丰村镇银行信息科技外包风险治理方法批准人签字审核人签字制订人签字日期：日期：日期：大洼恒丰村镇银行信息科技部变更履历序号版本编号或更改记录编号变化状态*简要说明变更内容、变更位置、变更原因和变更范围变更日期变更人审核人批准人批准日期11.0C创立,全页.*变化状态：C-创立,A增加,M修改,D删除第一章总那么4第二章外包治理组织架构5第三章信息科技外包战略及风险治理6第一节信息科技外包战略6第二节信息科技外包风险治理7第四章信息科技外包治理8第一节外包风险评估及准入8第二节效劳提供商尽职调查10第三节外包效劳合同及要求10第四节外包效

2、劳平安治理12第五节外包效劳监控与评价13第六节外包效劳中断与终止14第八章监督治理17第九章附那么18第一章总那么第一条为标准我行的信息科技外包活动,降低信息科技外包风险,根据?中华人民共和国银行业监督治理法?、?中华人民共和国商业银行法?、?银行业金融机构信息科技外包风险监管指引?等法律法规,制定本方法.第二条本方法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给效劳提供商进行处理的行为,包含工程外包、人力资源外包等形式.包括以下类型：一研发咨询类外包：科技治理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包；二系统运行维护类外包：包括数据中央灾备中央、机房配套设施

3、、网络、系统的运维外包,自助设备、posm等远程终端及办公设备的运维外包；三业务外包中的信息科技活动：市场拓展、业务操作、企业治理、资产处置等外包中的系统开发、运行维护和数据处理活动.第三条我行应将信息科技外包治理纳入全面风险治理体系,建立与本行信息科技战略目标相适应的外包治理体系,控制或降低由于外包而引发的风险.第四条我行在实施信息科技外包时应当坚持以下原那么：一以不阻碍核心水平建设、积极掌握关键技术为导向；二保持外包风险、本钱和效益的平衡;三强调外包风险的事前限制,保持管控力度；四根据外包治理及技术开展趋势,持续改良外包策略和举措.第五条我行在实施信息科技外包时,不得将信息科技治理责任外包

4、.第二章外包治理组织架构第六条为了严格落实我行信息科技外包风险治理的相关责任,我行设立外包风险治理领导小组,领导小组成员如下：组长：荆晓辉副组长：宇文梁成员：任义、何亮外包风险治理领导小组主要责任包括：一制定并审批信息科技外包战略；二审议信息科技外包治理流程及制度；三催促并监控信息科技外包风险治理效果.第七条由内审稽核部作为我行信息科技外包风险主管部门,主要责任包括：一对外包风险进行识别、评估与风险提示；二监督、评价外包治理工作,并催促外包风险治理的持续改善；三向高级治理层定期汇报信息科技外包活动相关风险四董事会或高级治理层确定的其他信息科技外包风险治理责任.第八条我行信息科技部设立信息科技外

5、包治理岗,履行以下责任：一实施信息科技外包战略；二制定并执行信息科技外包治理制度与流程；三执行供给商准入、评价、退由治理,建立并维护供给商关系治理策略；四制定保证外包效劳持续性的应急治理方案,并组织实施定期演练；五对外包过程中的各项治理活动进行监控及分析,定期向信息科技及外包风险治理主管部门报告外包活动情况.第三章信息科技外包战略及风险治理第一节信息科技外包战略第九条我行应制定信息科技外包战略规划,以提升信息科技队伍水平,提升科技治理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险限制水平和风险偏好制定信息科技外包战略,包括：不能外包的职能、资源水平建设方案、供

6、给商关系治理策略和外包分级治理策略.第十条我行根据自身信息科技战略,不能外包的职能包括：涉及战略治理、风险治理、内部审计及其他有关信息科技核心竞争力的职能.第十一条我行应当根据外包战略制定资源、水平建设方案,通过补充人员、提升技能、知识转移等方式,有针对性地获取或提升治理及技术水平,降低对效劳提供商的依赖.第十二条我行应当建立与自身规模、市场地位相适应的供给商关系治理策略.通过准入和退由机制合理管控各类高风险效劳提供商的数量,实现以下目标：防范行业垄断和机构集中度风险,通过引入适当的竞争在降低采购本钱的同时提升效劳质量,合理管控效劳提供商的数量从而降低风险及治理本钱等.第十三条我行应根据外包效

7、劳性质和重要性程度对效劳提供商进行分级治理,对不同级别的效劳提供商采取差异化的管控举措,在有效治理重要风险的前提下降低治理本钱第二节信息科技外包风险治理第十四条由内审稽核部负责我行信息科技外包风险治理工作,并每年开展一次全面的外包风险治理评估,保持评估的独立性,同时向高级治理层提交评估报告.评估内容包括：信息科技外包战略执行情况、外包信息平安、机构集中度、效劳连续性、效劳质量、政策及市场变化对外包效劳的影响分析等.第十五条内审稽核部应对重要的外包效劳提供商进行定期的风险评估,保持评估的独立性.至少在三年内覆盖所有重要的效劳提供商.评估内容包括：效劳提供商合规情况、效劳的执行效果等,评估结果应当

8、作为效劳提供商准入及退由的重要依据.第十六条由我行内审稽核部定期开展信息科技外包风险治理审计工作,至少每三年对重要的外包效劳活动进行一次全面审计.发生外包风险事件后应当及时开展专项审计.第四章信息科技外包治理第一节外包风险评估及准入第十七条在外包工程立项前,我行应当审慎检查工程与信息科技外包战略的一致性,根据工程内容、范围、性质对其进行风险识别和评估,制定相应的风险处置举措,不因外包活动的引入而增加整体剩余风险.重大外包工程应向董事会、高管层报告.第十八条我行对外包商实行准入治理,对于不符合准入条件的外包商应拒绝与其进行科技合作,我行外包商准入标准如下：一外包效劳商应当是中华人民共和国境内注册

9、的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年.二外包效劳商应当拥有健全的组织架构,并针对所提供的外包效劳建立有效的风险治理架构,至少应当建立由公司高级治理层直接领导、针对我行外包效劳的、专职信息科技风险治理团队,为持续的外包效劳提供保证.(三)外包效劳商应当建立与所承当的效劳范围和规模相适应的效劳治理体系,建立完善的信息平安、效劳质量、效劳持续性等治理制度体系,拥有有效的检查、监控和考核机制,保证治理标准有效执行.(四)外包效劳商应当具有足够的技术水平、人力资源和设施、环境,满足外包效劳的质量和平安治理要求.外包效劳场地应当设置在中国境内.(五)外包效劳商应具有如

10、下相关领域资质认证：(1)具有完善的信息平安治理体系、业务连续性治理体系,并通过业界公认较为权威的信息平安治理和业务连续性治理资质认证.(2)具有完善的质量治理体系,并通过业界公认较为权威的质量治理资质认证.(3)为我行提供数据中央、灾备中央机房及根底设施外包效劳的外包效劳商,其机房及根底设施应当到达国家电子计算机机房最高标准.(4)承当集中存贮我行客户数据的业务交易系统外包效劳,或承当我行客户资料、交易数据等敏感信息的批量分析或处理效劳的外包效劳商,应当具有完善的运行效劳治理体系,并通过业界公认较为权威的运行效劳治理资质认证.(五)我行对外包效劳商在风险治理、审计方面提由如下要求：(1)外包

11、效劳商应当具有信息科技风险的治理体系,有效识别、监测、评估和限制风险.外包效劳商应当至少每季度向我行报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取限制或缓释举措.(2)外包效劳商应当每年聘请独立的审计机构,对自身外包效劳进行风险评估,年度风险评估报告需报送所效劳的银行业金融机构,并抄送银监会或其派由机构.(3)外包效劳商应当对其外包效劳团队成员进行背景调查,保证其过往无不良记录,且应当与工程成员签订保密协议,并保存至少10年的法律追诉期.第二节效劳提供商尽职调查第十九条我行在与外包效劳提供商签订合同前需深入开展尽职调查.尽职调查报告包括但不限于：效劳水平和支持技术、效劳经验、

12、效劳人员技能、市场评价、监管评价、内部限制机制和治理流程的完善程度、内部限制技术和工具、从业时间、市场地位及开展趋势、资金的平安性、近期盈利情况等.第三节外包效劳合同及要求第二十条我行在实施外包效劳工程前,应当与效劳提供商签订效劳合同.合同应当根据外包效劳需求、风险评估及尽职调查结果确定详细程度和重点.第二十一条我行在合同或协议中应当明确以下内容,包括但不限于:一效劳范围、效劳内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；二合规与内控要求,对法律法规及我行内部治理制度的遵从要求、监管政策的通报贯彻机制、效劳提供商的内控举措；三效劳连续性要求,效劳提供商的效劳连续性治理

13、目标应当满足我行业务连续性目标要求；四我行监控和检查的权利、频率,效劳提供商配合其内、外部审计机构检查,及配合银行业监管机构检查的责任；五政策或环境变化因素等在内的合同变更或终止的触发条件,外包效劳提供商在过渡期间应该履行的主要责任及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关效劳的安排；六外包效劳过程中产生、加工、交互的信息和知识产权的归属权以及允许效劳提供商使用的内容及范围,对效劳提供商使用合法软、硬件产品的要求；七效劳要求或效劳水平条款,至少应当包括如下内容：外包效劳的关键要素、效劳时效和可用性、数据的机密性和完整性要求、变更的限制、平安标准的遵守情况、技术支持

14、水平等；八争端解决机制、违约及赔偿条款,至少包括如下内容：效劳质量违约、平安违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;九报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求.第二十二条我行需在合同或协议中明确效劳提供商在平安和保密方面的责任,以及针对平安及保密要求需采取的具体举措.包括但不限于：一禁止效劳提供商在合同允许范围外使用或者披露我行的信息,以预防信息被非授权使用；二在合同或协议中约定效劳提供商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款；三在合同或协议中约定效劳提供商不得以所效劳的我行名义开展活动；四

15、效劳提供商接触我行信息时,需满足平安和保密相关条款的要求；五在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,服务提供商应及时向我行报告,包括事件的影响以及处置和纠正举措.第二十三条我行需在合同或协议中明确要求效劳提供商不得将外包效劳转包和变相转包.第四节外包效劳平安治理第二十四条我行应当制定和落实信息平安管控举措,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险.具体举措包括：一对外包人员进行信息平安培训,提升风险治理意识,保证信息平安管控举措在外包效劳过程中有效落实；二明确外包活动需要访问或使用的信息资

16、产,包括场地、办公设施、计算机、效劳器、软件、数据、信息、物理访问限制设备、账号、网络宽带、网络端口等,按“必需知道和“最小授权原那么进行访问授权；三对重要或核心的信息系统开发交付物进行源代码检查和平安扫描；四定期对效劳提供商进行平安检查,获取效劳提供商自评估或第三方评估报告.第五节外包效劳监控与评价第二十五条我行内审稽核部应当对外包效劳过程进行持续监控,要求效劳提供商建立阶段性效劳目标及任务,并跟踪任务的执行情况,及时发现和纠正效劳过程中存在的各类异常情况.第二十六条我行应当根据信息科技外包需求、合同、效劳水平协议等建立明确的效劳质量监控指标,并进行相应监控.常见指标包括：一信息系统和设备及

17、根底设施的可用率、设备的开机二故障次数、故障解决率、故障的响应时间；三效劳的次数、客户满意度；四各阶段业务需求的及时完成率、程序的缺陷数、需求变更率；五外包人员工作饱和率、外包人员的考核合格率.第二十七条我行应当建立明确的效劳目录、效劳水平协议以及效劳水平监控评价机制,并保证外包效劳监控根底数据和评价结果的真实性和完整性,且数据至少需保存到效劳结束后一年.第二十八条我行应当对效劳提供商的财务、内控及平安治理进行持续监控,关注其因破产、兼并、关键人员流失、投入缺乏和治理不善等因素引发的财务状况恶化及内部治理混乱等情况,防范外包效劳意外终止或效劳质量的急剧下降.第二十九条我行在监控到异常情况时,应

18、当及时催促效劳提供商采取纠正举措,情节严重的或未及时纠正的,应当约谈效劳提供商高管人员并限期整改.第三十条外包效劳结束时,我行应当对效劳提供商进行评价,评价结果应当作为效劳提供商准入的重要参考依据.第六节外包效劳中断与终止第三十一条我行应当考虑信息科技外包的引入对业务连续性治理的影响,有针对性地完善业务连续性治理方案,包括但不限于:一识别由重要业务所涉及的效劳提供商和资源；二通过合同、协议等形式明确要求效劳提供商提前准备并维护好相关资源；三对效劳提供商业务连续性治理进行监控,并评价其治理水平；四在进行业务连续性方案演练时将相关的效劳提供商纳入演练范围.第三十二条为降低外包突发事件的可能性及影响

19、,我行应当事先对业务连续性治理造成重大影响的外包效劳建立风险限制、缓释或转移举措,包括但不限于以下内容：一在外包效劳实施过程中持续收集效劳提供商相关信息,尽早发现可能导致效劳中断的情况；二与效劳提供商事先约定在其效劳质量不能满足合同要求的情况下获取其外包效劳资源的优先权；三要求效劳提供商制定效劳中断相关的应急处理预案,如提供备份人员；四对于涉及重要业务的外包效劳,我行需考虑预先在其内部配置相应的人力资源,掌握必要的技能,以在外包效劳中断期间自行维持最低限度的效劳水平.第三十三条我行应当针对重要外包效劳中断的场景,拟定相应的应急方案,并定期进行演练,考虑因素包括但不限于以下内容:一事件场景,如重

20、要人员流失导致效劳无法持续,效劳提供商主动退由,因资质变更、被收购、兼并或破产等原因导致的效劳提供商被动退由等；二事件持续时间和恢复可能性；三事件影响范围和可能的应急举措；四效劳提供商自行恢复效劳的可能性和时间；五备选的效劳提供商以及外包效劳迁移方案；六外包效劳过渡给我行自行运作的可能性、时效及资源需求.第三十四条对于无法满足外包效劳要求或发生重大事件的情况,我行应当在充分评估其影响及制定退由方案的前提下,考虑主动要求效劳提供商终止效劳,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案.第五章机构集中度风险治理第三十五条我行应当依据效劳提供商所承接外包效劳的数量、金额在本行重要信息科技效劳中的占比,效劳提供商所承接外包效劳在银行业效劳市场占比情况,识别具有机构集中度特点的外包效劳提供商.第三十六条我行应当积极采用分散信息科技外包活动、提升自主研发运行水平等形式,降低机构集中度,减少对外包效劳提供商的依赖.第三十七条我行应当要求具有机构集中度特点的外包服务提供商提供充分的证据,证实其内部限制和治理水平、持续运营水平等.第三十八条我行应当要求具有机构集中度特点的外包服务提供商为我行配备相对独立的资源,包括效劳团队、