银行信息科技外包服务管理办法模版

1、信息科技外包服务管理办法编制部门： 版 次 号： 生效日期：xx年0 xx月01日目 录 TOC o 1-2 h z u HYPERLINK l _Toc370473329 修改与审批记录 PAGEREF _Toc370473329 h 2 HYPERLINK l _Toc370473330 第一章总则 PAGEREF _Toc370473330 h 3 HYPERLINK l _Toc370473331 第二章外包管理组织架构 PAGEREF _Toc370473331 h 5 HYPERLINK l _Toc370473333 第三章信息科技外包管理 PAGEREF _Toc3704733

2、33 h 6 HYPERLINK l _Toc370473334 第一节外包准入风险评估 PAGEREF _Toc370473334 h 6 HYPERLINK l _Toc370473335 第二节外包服务商的日常管理和监督 PAGEREF _Toc370473335 h 9 HYPERLINK l _Toc370473336 第三节外包服务监督与评价 PAGEREF _Toc370473336 h 10 HYPERLINK l _Toc370473337 第四章外包服务风险管理 PAGEREF _Toc370473337 h 10 HYPERLINK l _Toc370473338 第一节

3、风险评估与审计 PAGEREF _Toc370473338 h 10 HYPERLINK l _Toc370473339 第二节外包服务安全管理 PAGEREF _Toc370473339 h 11 HYPERLINK l _Toc370473340 第三节外包服务中断与终止 PAGEREF _Toc370473340 h 12 HYPERLINK l _Toc370473341 第四节重点外包服务机构风险管理 PAGEREF _Toc370473341 h 13 HYPERLINK l _Toc370473342 第五章报告管理 PAGEREF _Toc370473342 h 13 HYPE

4、RLINK l _Toc370473343 第六章附则 PAGEREF _Toc370473343 h 14 HYPERLINK l _Toc370473344 附件： PAGEREF _Toc370473344 h 14 HYPERLINK l _Toc300058535 附件1.外包服务商尽职调查表16总则为规范银行（以下简称“本行”）信息科技外包服务管理，防范和监控信息科技外包服务风险，根据中国银行业监督管理委员会银行业银行等金融机构信息科技外包风险监管指引，制定本办法。本办法所称信息科技外包，是指本行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资

5、源外包等形式。原则上包括以下类型:研发咨询类外包：科技管理及科技治理等咨询设计外包、规划、需求、系统开发、测试外包；系统运行维护类外包：包括数据中心（灾备中心）、机房配套设备、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动；本行信息科技外包服务管理须坚持自主为主、严格监控、规范管理、风险可控、信息安全的原则。自主为主。本行核心业务系统的运营坚持自我为主的原则，非核心业务系统的运营根据需要审慎采用信息科技外包服务；严格监控。各级行、各部门的信息科技外包服务须根据本办

6、法的关于规定，严格审批，做好准入监控；规范管理。信息科技外包服务由总行统筹管理，分支行禁止任何组织以任何形式自主进行信息科技的外包活动；风险可控。各级行、各部门须将信息科技外包服务风险监控作为开展外包活动的首要任务，采用制度约束、岗位制约、系统监控、监督检查等手段，防范和监控风险；信息安全。各级行、各部门与外包服务提供商合作时，必须依照银行信息科技外包服务协议管理办法的关于要求，明确权利义务；同时采取有效的技术措施确保本行信息资产的安全。本办法所称机构集中度风险，是指银行业银行等金融机构将信息科技外包服务集中交由少量服务提供商承接而造成或产生的风险，该风险可能造成集中性的服务中断、质量下降、安

7、全事件等。本办法适用于本行信息科技外包服务的管理，使用信息科技外包资源的各部门或本行分支机构应根据本办法要求进行信息科技外包管理工作，并可根据本办法所有要求，酌情制订相应实施细则或工作流程。外包管理组织架构作为信息科技外包服务执行部门，主要职责包括：负责研究、论证信息科技外包服务项目的必要性、合理性、可行性，为决策层审定信息科技外包服务项目提供依据；负责规划信息科技外包服务资源配置及xx，审核信息科技外包服务的技术方案；负责制订信息科技外包服务协议的基本技术要求，协助相关部门起草与签订非标准化的信息科技外包服务协议；负责信息科技外包服务人员的进出场管理、日常管理、变更管理以及信息科技外包服务协

8、议履约跟踪；负责制订、改进信息外包服务管理考核评价机制和指标，并组织实施所有考核；负责验收和评价信息科技外包服务提供商依照商定要求最终提供的产品、技术和服务，并负责对信息科技外包服务提供商合作情况提出建议并督促改进；负责在业务连续性管理框架下，制订信息科技外包服务风险应急方案；协助风险管理部组织信息科技外包服务风险管控活动。下设信息科技外包管理岗，主要职责包括：负责实施信息科技外包战略；落实本部门外包管理职责；负责制定并实施信息科技外包服务所有管理制度；负责沟通协调执行提供商准入、评价、退出管理，建立并维护提供商关系管理策略；负责制定保障外包服务延续性的应急管理方案，并组织实施定时演练；负责对

9、外包过程中的所有管理活动进行监控及分析，定时向及风险管理部报告外包活动情况。风险管理部作为信息科技外包服务风险管理部门，主要职责包括：对外包风险进行识别、评估与风险提示；监督、评价外包管理工作，并督促外包风险管理的延续改善；向高级管理层定时汇报信息科技外包活动相关风险管理情况；董事会或高级管理层确定的其他信息科技外包风险管理职责。法律事务部负责对信息科技外包协议进行审核。为本行信息科技外包服务的审计部门，负责对信息科技外包项目进行审计。负责信息科技外包项目采购和招标相关的商务工作。信息科技外包管理外包准入风险评估应审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别

10、和评估，制定相应的风险处置措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高级管理层报告。在选择外包服务提供商时，应重点考察服务商的以下条件：是否符合本行对合作单位的总体要求；服务商的技术能力和服务质量；突发事件应对能力；对银行业务的熟悉程度；对同业提供服务的情况；具有从事相关产品服务的资质；外包服务商保护个人金融信息的能力；本行认为重要的其他事项等。高度关注银行业重点外包服务机构的准入。银行业重点外包服务机构是指集中为银行业银行等金融机构提供外包服务，并同时满足下述条件，若其外包服务失败可能致使银行业大面积数据损毁、丢失、泄露或信息系统服务中断，造成经济损失的机构，具体条

11、件如下：承担集中存贮客户数据的业务交易系统外包服务；或承担银行业银行等金融机构客户资料文件资料、交易数据等敏感信息的批量分析或处理服务；或承担银行业银行等金融机构数据中心、灾备中心机房及基础设备外包服务；且上述服务均为非驻场外包服务；服务的法人银行业银行等金融机构数量、服务协议金额占有本服务领域市场份额的三分之一以上；或服务的跨区域经营法人银行业银行等金融机构数量达到3家或以上；或服务的其他类型法人银行业银行等金融机构数量达到10家或以上。外包服务提供商为银行业重点外包服务机构的，应具备以下条件：应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万元，注册设立时间不少

12、于3年；应当拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应当建立由公司高级管理层直接领导、针对银行业银行等金融机构外包服务的、专职信息科技风险管理团队，为延续的外包服务提供保证；应当建立与所承担的服务范围和规模相适应的服务管理体系，建立完善的信息安全、服务质量、服务延续性等管理制度体系，拥有有效的检查、监控和考核机制，确保管理规范有效执行；应当具有足够的技术能力、人力资源和设备、环境，满足外包服务的质量和安全管理要求；其承担的银行业银行等金融机构外包服务场地应当设置在中国境内。外包服务提供商为银行业重点外包服务机构的，应具有如下相关领域资质认证：具有完善的信息安全管理

13、体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证；具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证；承担银行业银行等金融机构数据中心、灾备中心机房及基础设备外包服务的银行业重点外包服务机构，其机房及基础设备应当达到国家电子计算机机房最高标准；承担集中存贮客户数据的业务交易系统外包服务，或承担银行业银行等金融机构客户资料文件资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应当具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。为本行提供信息科技外包服务的提供商应通过本行的准入评估，方可取得为本行信息

14、化项目提供服务的资格/资质。对银监会定时发布的服务提供商风险预警中涉及的问题机构，按要求在两年内禁止其准入，两年内仍未整改的，延长禁止期。外包服务商的日常管理和监督对重要的服务提供商，应在协议签订前对服务提供商进行深入的尽职调查，包括：关注服务提供商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等；应当关注服务提供商的内部监控和管理能力，包括但不限于：内部监控机制和管理流程的完善程度、内部监控技术和工具等；应当关注服务提供商的延续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。信息科技外包服务依照“谁使用、谁负

15、责”的原则，进行信息科技外包服务提供商的日常管理和监督。应及时发现和掌握与信息科技外包服务提供商在合作过程中存在的问题和风险。信息科技外包服务人员须接受本行的管理。包括进出场管理、考勤、培训、考核、信息资产安全保护、人员变更等。信息科技外包服务人员的考勤及工作表现应作为信息科技外包服务提供商考核的重要组建部分。应对其所提供信息科技服务的外包人员进行相关规章制度和基本行为准则的培训。各级行、各部门作为信息科技外包服务使用部门应通过信息接触、授权、销毁等方面的限制措施，确保信息资产的安全。风险管理部应对措施的执行情况进行监督和检查。外包服务监督与评价应对外包服务过程进行延续监控，要求服务提供商建立

16、阶段性服务目标及任务，并跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。应依据银行信息科技外包服务协议管理办法与服务提供商签订协议，并根据协议或协议规定的服务考核指标对服务提供商进行定时评价，确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务终止后一年。应对服务提供商的财务、内控及安全管理进行延续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。监控到异常情况时，应及时督促服务提供商采取纠正措施，对于情节严重的或未及时纠正的，应约谈服务提供商高管人员并限期整改

17、，同时向风险管理部报告。外包服务终止时，应对服务提供商进行评价，评价结果应作为服务提供商准入的重要参考依据。外包服务风险管理风险评估与审计风险管理部应至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。应对重要的外包服务提供商进行定时的风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。董事会内审办会室应定时开展信息科技外包

18、风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应及时开展专项审计。外包服务安全管理为确保信息安全，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设备遭受破坏等风险。应当采取以下措施：对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实；明确外包活动需要访问或使用的信息资产，包括场地、办公设备、计算机、服务器、软件、数据、信息、物理访问监控设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；对重要或核心的信息系统开发交付物进行源代码检查和安全扫描；定时对服务提供商进行

19、安全检查，获取服务提供商自评估或第三方评估报告。关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。外包服务中断与终止为降低外包突发事件的可能性及影响，应事先对业务连续性管理造成重大影响的外包服务建立风险监控、缓释或转移措施，包括但不限于以下内容：在外包服务实施过程中延续收集服务提供商相关信息，尽早发现可能致使服务中断的情况；与服务提供商事先商定在其服务质量未能满足协议要求的情况下获取其外包服务资源的优先权；要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员；对于涉及重要业务的外包服务，本行需考虑

20、预先在其内部配置相应的人力资源，掌握必要的技能，以在外包服务中断期间自行保持最低限度的服务能力。为应对突发的外包服务中断事件，应针对重要外包服务中断的场景，拟定相应的应急计划，并定时进行演练，考虑因素包括但不限于以下内容：事件场景，如重要人员流失致使服务无法延续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因致使的服务提供商被动退出等；事件延续时间和恢复可能性；事件影响范围和可能的应急措施；服务提供商自行恢复服务的可能性和时间；备选的服务提供商以及外包服务迁移方案；外包服务过渡给本行自行运作的可能性、时效及资源需求。对于无法满足外包服务要求或发生重大事件的情况，应在充分评估其影响及制

21、定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。重点外包服务机构风险管理应在风险管理、审计方面对银行业重点外包服务机构提出如下要求：银行业重点外包服务机构应当具有信息科技风险的管理体系，有效识别、监测、评估和监控风险。至少每季度向本行报送外包风险监控报告，针对监控发现的潜在风险或风险事件，及时采取监控或缓释措施；银行业重点外包服务机构应当每年聘请独立的审计机构，对自身外包服务进行风险评估,年度风险评估报告需报送本行，并抄送银监会或其派出机构；银行业重点外包服务机构应当对其外包服务团队成员进行背景调查，确保其过往无不良记录，且应当

22、与项目成员签订保密协议，并保留至少10年的法律追诉期。报告管理本行开展以下信息科技外包服务时,应在外包协议签订前二十个工作日向银监会派出机构报告：信息科技工作整体外包；数据中心或灾备中心整体外包；涉及将本行客户资料文件资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包；以非驻场形式实施的、集中存贮客户数据的业务交易系统外包；关联外包；即：服务提供商为本行或所属集团子公司、关联公司或附属机构提供信息科技外包；涉及跨境的信息科技外包；其他银监会认为重要的信息科技外包。本行信息科技外包活动中发生如下重大事件时，应在两个工作日内银监会派出机构报告：本行客户信息等敏感数据泄露；数据损毁或

23、者重要业务运营中断；由于不可抗力或服务提供商重大经营、财务问题，致使或可能致使多家银行业银行等金融机构外包服务中断；其他重大的服务提供商违法违规事件；银监会规定需要报告的其他重大事件。风险管理部在开展年度外包风险管理评估工作后，应将年度风险评估报告报送银监会派出机构。附则 本办法由银行负责制定、说明和修改。本办法自发布之日起施行。附件：1.外包服务商尽职调查表附件1.银行外包服务商尽职调查表银行外包服务商尽职调查表1.基本情况编号问题选项企业性质 FORMCHECKBOX A.国有控股企业 FORMCHECKBOX B.民营控股企业 FORMCHECKBOX C.中外合资，外资控股企业 FOR

24、MCHECKBOX D.外商独资企业企业设立于_年企业从事外包业务的年数_年企业分支机构设立情况（分支机构包括：子公司、分公司和办事处）国内:_个，分布在_国外:_个，分布在_2.业务类型编号问题选项企业金融类外包业务占全部外包业务比例业务比例_%企业金融类外包业务主要客户包括 FORMCHECKBOX A. 金融监管机构业务比例_% FORMCHECKBOX B. 国有大型银行业务比例_% FORMCHECKBOX C.股份制银行业务比例_% FORMCHECKBOX D.城市商业银行业务比例_% FORMCHECKBOX E. 农村信用社业务比例_% FORMCHECKBOX F.其他业务

25、比例_%3.资质认证编号指标选项企业通过以下哪些资质（可多选） FORMCHECKBOX A.CMMCMMI认证等级_ FORMCHECKBOX B. ISO27001/BS7799 FORMCHECKBOX C. ISOxx0 FORMCHECKBOX D. ISO9001 FORMCHECKBOX E. PCMM FORMCHECKBOX F. SAS70企业系统集成资质级别 FORMCHECKBOX A.一级 FORMCHECKBOX B.二级 FORMCHECKBOX C. 三级 FORMCHECKBOX D. 其他_4.经营状况编号问题选项企业的营业总额A. 前年度: _万元B. 上

26、年度:_ 万元5.协议规模和年限编号问题选项企业上年度所承接的最大外包项目的协议金额（不包括硬件和产品费用） FORMCHECKBOX A.超过5000万元 FORMCHECKBOX B.1000万5000万元 FORMCHECKBOX C.500万1000万元 FORMCHECKBOX D. 100万500万元 FORMCHECKBOX E. 50万100万元 FORMCHECKBOX F. 50万以下元企业上年度所承接的大部分外包项目的协议金额（不包括硬件和产品费用） FORMCHECKBOX A.超过5000万元 FORMCHECKBOX B.1000万5000万元 FORMCHECKBOX C.500万1000万元 FORMCHECKBOX D. 100万500万元 FORMCHECKBOX E. 50万100万元 FORMCHECKBOX F. 50万以下元企业上年度所承接的外包项目协议的最长年限 _年企业上年度所承接的外包项目协议的平均年限_年6.人力资源编号问题选项企业职工或员工规模目前职工或员工总数 _人； 从事外包业务的职工或员工总数_人；目前从事外包业务的职工或员工中包括：A.管理人员_ _ _人B. 市场人员_ _人C.技术人员_ _人D