银行科技外包服务管理办法

银行科技外包服务管理办法第一章总则第一条为加强和规范全省银行系统科技外包服务管理，根据《银行信息系统信息安全等级保护实施指引（试行）》（银发〔2011〕173号）、《银行计算机系统信息安全管理规定》（银发〔2010〕276号）等规定，特制定本办法。第二条本办法所指科技外包服务（以下简称外包）是指外包服务提供商（以下简称外包商）为银行内部网络和计算机系统提供的技术支持、咨询等服务。第三条本办法适用于银行机关、营管部、省内各地市中心支行及县（市）支行（以下统称各单位）。第二章组织机构第四条各单位科技部门负责制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。第五条夕卜包管理团队应至少包含需求牵头部门和科技部门人员各一名，如需求由科技部门牵头，则科技部门双人以上负责。第六条夕卜包管理团队的职责主要包括以下方面：（一） 执行外包管理的各项内控制度；（二） 负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；（三） 在发现外包商的业务活动存在缺陷时，采取及时有效的措施；（四） 其他相关职责。第三章夕卜包准备与决策第七条进行外包活动前，应考虑以下风险因素：（一） 夕卜包活动的战略风险、法律风险、声誉风险、合规风险、操作风险等；（二） 影响外包活动的夕陪陋素；（三） 对外包活动的风险管控能力；（四） 夕卜包商的资质认证、技术及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度，快速服务响应和故障处理能力；（五） 应确保安全外包商的选择符合国家的有关规定，涉密计算机系统集成商应选择具有国家相关部门颁发的涉密系统集成资质证书的单位；（六） 其他相关事项。第八条在与外包商合同谈判过程中，应考虑以下风险因素:（一） 对外包商的报告要求和谈判必要条件；（二） 通过界定信息所有权、签署保密协议和采取技术防护措施保护银行信息；（三） 担保和损失赔偿是否充足；（四） 外包商遵守银行有关信息科技风险制度和流程的意愿及相关措施；（五） 夕卜包商提供的业务连续性保障水平，以及提供相关专属资源的承诺;（六） 第三方供应商出现问题时，保证服务持续可用的相关措施；（七） 变更外包协议的流程，以及变更或终止外包协议的条件，包括：外卜包商的所有权或控制权发生变化；2.外卜包商的业务经营发生重大变化；3.外包商提供的服务不充分，造成相关银行分支机构不能履行监督义务；（八） 其他相关事项。第九条各单位集中采购管理办法规定须公开招标的外包项目应公开招标（上级行统一协商的项目除外、第四章外包合同或协议第十条开展外包活动时应签订书面合同或协议，明确双方的权利义务，合同或协议应充分考虑以下内容：（一） 外包工作范围、工作方式和服务标准；（二） 夕卜包业务连续性和安全性的安排；（三） 外包商提供的技术培训和服务安排；（四） 外包审计和检查；（五） 夕卜包争端的解决机制；（六） 合同或协议变更或终止的过渡安排；（七） 违约责任；（八） 当夕卜包涉及分包时，应考虑外包商分包的风险，并在合同中考虑以下事项：外包商分包的规则；分包服务提供商应严格遵守主外包商与各单位确定的外包合同或协议中的相关条款；主外包商应确认在业务分包后继续保证对服务水平和系统控制负总责；不得将外包活动的主要业务分包；不得将外包活动转包或变相转包。第十一条在外包合同中应考虑要求外包商承诺以下事项：（一） 定期通报外包活动的有关事项；（二） 及时通报外包活动的突发性事件；（三） 配合各单位接受有关管理机构或部门的检查；（四） 保障银行信息的安全性，当出现信息安全事件或风险时，相关银行分支机构有权随时终止外包合同；（五） 不得以相关银行分支机构名义开展活动；（六） 严格遵守双方约定的保密协议；（七） 确保骨干技术人员队伍稳定；（八） 做好日常工作的基础上，提高应急突发事件的现场处理技术能力，并保证有充足的后备资源可以随时到达现场；（九） 其他相关事项。第十二条所有外包合同或协议应经各单位法律部门审核。第十三条夕卜包商未能按照合同履行服务义务的，追究外包商违约责任，对于多次违反合同义务，不按要求及时改进的夕卜包商，依约及时解除合同并纳入黑名单，不再进行合作。第五章外包日常管理第十四条夕卜包服务人员进行现场技术支持服务时，应事先提交计划操作内容，各单位相关人员应在现场陪同。涉及敏感操作（如输入用户口令等）应由银行员工进行操作。夕卜包服务人员不得查看、复制或带离任何敏感信息。第十五条对外包开发的软件，应根据开发需求检测软件质量，在软件安装之前检测软件包中是否存在恶意代码；应要求开发单位提供软件源代码（软件产品范畴之外，为满足制定需求而涉及的源代码），并审查软件中可能存在的后门；应要求开发单位提供软件设计的相关文档和使用指南，对系统进行全面的测试。第六章外包变更和终止管理第十六条夕卜包实施过程中，因业务需求、技术方案等变化导致项目范围、进度、预算等发生变化的，应由项目管理团队与外包商充分协商后提出初步意见，并按照相关流程进行审批后签署补充协议。第十七条当夕卜包商发生以下问题时，外包合作关系终止，外包商异常退出：（一） 违反国家法律、法规；（二） 违约、擅自变更或者终止已生效合同；（三） 泄露银行商业秘密、技术秘密等非公开信息；（四） 侵犯银行知识产权；（五） 故意提供虚假资质材料、隐瞒真实情况；（六） 信誉和财务发生严重危机；（七） 提供的产品质量和服务出现重大问题，并造成不良后果；（八） 中标后无正当理由拒绝签订合同；（九） 其他潜在的风险或损失的情况。第十八条夕卜包商异常退出按照以下流程进行：（一） 需求牵头部门立即启动相关应急措施；（二） 与外包商完成知识转移和人员工作交接；（三） 启动后续商务流程。第七章附则第十