农商行外包人员风险防控管理细则模版

农商行外包人员风险防控管理细则

第一章

总则

外包人员对金融业务及业务系统都比较熟悉，所以在系统安全及数据安全上的风险防控尤为重要，为加强农商行外包人员管理，结合当前信息技术工作实际，特制订本细则。第一条

本细则适用于全省农商行，包括农商行联合社（以下简称“省联社”），各办事处（市联社）、各农商行、各县（市、区）联社。第二条

本细则的适用对象为提供驻场外包服务的公司、省联社外包使用、管理及审批部门。

第二章

组织机构及职责第三条

建立信息科技风险管理委员会（以下简称“委员会”）。成员构成包括：组长、副组长、其它成员。委员会职责主要是监督、管理外包活动过程中的风险。具体职责见《农商行信息系统风险管理办法》。

第三章

外包人员评审第四条

委员会需定期组织相关人员对所有外包现场的外包人员进行评审，一般每季度评审一次。第五条对现场外包人员采用试用制度。试用期为1个月，已在省联社提供支持、达到省联社外包要求的人员可免于试用。试用人员试用期满，视使用部门评价意见决定是否留用。若试用期满，使用部门仍不能确定试用人员是否满足需要的，使用部门和外包公司双方可协商延期试用1次，延期试用期为1个月。

第四章

外包人员基本要求第六条

外包人员的基本要求参见《农商行信息系统外包服务管理办法》。

第五章

外包人员日常风险管理第七条

对于所有现场外包人员，均需与使用部门签订《安全保密协议》。第八条

科技信息中心对内网使用密控设备进行管理，所有外包人员自带的电脑等设备接入行内网络前必须经过行内相关部门审批，同时需安装防信息拷贝的客户端软件。第九条

对所有外包人员进行日常考勤。第十条

对于外包人员日常开发、测试、实施、变更过程中的管理。一、

开发过程。（一）需求管理。外包人员、联社业务人员、科技信息中心人员进行需求确认，当需求确定完成后，需要相关人员在需求确认书上进行签字确认，外包人员根据需求书制定详细的进度计划，降低外包开发的风险和失败率，若开发过程中出现变更，必须走变更流程。（二）设计管理。外包人员需提供概要设计、详细设计和数据库设计等相关文档，以避免在开发过程中的随意性，同时参照需求管理，科技信息中心组织人员对设计的方案进行评审工作，评审通过后，由公司方就工作内容在工作确认单上签字，确定开发测试的周期，外包方项目负责人定期向科技信息中心指定的负责人汇报进度情况。（三）代码及版本管理。

1、外包人员要严格按照设计文档进行代码编制，科技信息中心定期进行代码审查及走查工作，对于开发过程中未按照设计进行开发的，造成进度滞后的，要让公司定期整改。2、外包人员每天进行文档及代码的备份工作，由科技信息中心指定专人进行检查。对于没有进行备份的情况需要配置管理人员向相关负责人说明情况。二、

测试过程。（一）外包人员、业务人员、科技人员共同制定测试方案，测试计划以及测试案例，然后由相关人员进行评审，以确保测试过程的完整性与准确性。（二）外包人员进行单元测试、集成测试，并在测试通过后出具相应的测试报告，然后提交业务部门进行进一步测试。三、

实施过程。（一）外包公司人员未经审批不得进入生产环境进行操作。（二）由外包公司出具系统程序的上线方案、上线操作步骤、上线应急方案和上线程序包，并由科技信息中心的实施部门牵头进行评审及程序迁移工作。四、

变更过程。在项目出现变更请求时，要及时进行沟通并重新评审项目进度，同时要将此类情况书面上报相关领导；同时填写变更申请单并确定变更可能导致的时间成本的变化；要求外包公司及时修订项目计划书，减少开发过程中的风险。第十一条使用部门要不定期地对外包人员的素质进行审查。第十二条委员会应与外包合作公司建立多层次的联系，从多渠道了解外包人员的工作及生活等情况，尽量规避和防范风险的发生。第十三条对外包人员自带的设备进行监控和定期检查。第十四条禁止外包人员通过INTERNET传输敏感数据。由网络部门进行定期审计。第十五条外包人员在测试过程中需要的数据，需经过正常审批手续后，由科技运行人员将数据提取并脱敏后交给对方。第十六条对于外包人员变更的管理。重要外包人员（如项目经理）的变更需外包公司出具说明并准备好使用部门认可的替代人员；对于其他成员的变更由项目组进行审核后批准并做好交接工作。第十七条使用部门设置专门配置管理人员对外包过程中的文档、代码等进行管理。

第六章