XX银行信息科技外包风险管理办法

1、XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行（以下简称“本行”）信息科技外包管理，控制外包服务风险，根据中国银监会商业银行信息科技风险管理指引和银行业金融机构信息科技外包风险监管指引，结合本行实际，制定本办法。第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况，将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。第三条本行外包管理原则包括：（一）自主可控原则。信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。（二）协调统一原则。符合科技风险管理策略，保持外包风险、成本和效益的平衡。（三）预防优先原则。审慎管理信息科技外包活动，秉承事前预防重

2、于事后控制、日常防控重于应急处理的原则。（四）动态优化原则。根据外部监管要求、信息科技发展趋势和本行业务发展需求，持续优化本行信息科技风险外包管理策略和工作机制。第四条本办法适用于本行与信息科技相关外包活动的管理。第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。第七条董事会承担信息科技外包管理的最终责任。主要职责包括：（一）审议批准信息科技外包战略；（二）审议批准外包管理基本制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审

3、阅本机构外包活动相关报告；（五）银监会信息科技外包风险监管指引要求的其它工作。第八条高级管理层设信息科技管理委员会，负责全行科技外包工作的日常决策工作。主要职责包括：（一）制定外包战略发展规划；（二）确定外包业务的范围及相关安排；（三）确定科技外包管理团队职责，并对其行为进行有效监督；（四）定期审阅本行外包活动相关报告；（五）指导内部审计部门独立开展外包审计工作；（六）董事会确定的其它职责。第九条风险管理部门负责制定外包风险管理的制度，组织识别和评估信息科技外包风险，监督、评价外包管理工作，对外包执行情况进行监督检查，定期向高级管理层汇报信息科技外包活动相关风险情况。第十条外包管理执行团队由信

4、息科技部、计划财务部、法律合规部等相关部门组成。外包管理执行团队具体负责科技外包项目的执行和管理工作，主要职责包括：（一）信息科技部门实施全行信息科技外包管理战略；执行供应商准入、评价和退由管理；制定保障外包服务连续性的应急管理措施；分析和评估外包存在的潜在风险，制定相应的风险防范措施，监督和管理外包实施过程，定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。（二）业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作，并参与项目的实施。（三）计划财务部门是全行信息科技外包项目招投标工作的组织单位，负责科技外包项目的招投

5、标活动的组织协调工作。（四）法律合规部门负责对信息科技外包项目的合同进行审核，并对信息科技外包项目提供法律方面的指导。第十一条稽核部负责对信息科技外包服务项目以及外包服务商管理等进行审计。第三章外包管理战略第十二条本行信息科技外包战略是为提升本行可持续发展能力和核心竞争力，大力推进本行信息化建设，打造先进高效、适应业务发展和市场变化的现代商业银行信息化产品和服务体系。通过强化平台整合能力和风险控制能力，合理审慎开展信息科技外包活动，降低信息系统建设运营成本，提升本行掌控核心技术和自主开发、自主运维的能力。第十三条本行信息科技外包服务策略系指外包服务制定的预期目标，以及评判外包服务绩效的标准。本

6、行外包服务的一般策略如下：（一）成本控制策略。降低本行信息系统建设和运维的总体成本。（二）高质高效策略。提升本行信息科技服务水平、提高工作效率、缩短系统上线时间。（三）创新变革策略。促进本行创新、转型发展。第十四条本行信息科技外包的主要内容包括：（一）科技管理及科技治理的咨询；（二）信息科技系统的规划、设计、需求、开发、测试外包；（三）数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（四）业务外包如市场拓展、业务操作、内部管理、资产处置等外包中涉及到系统开发、运行维护和数据处理等的信息科技活动。第十五条本行在信息科技活动中不得将信息科

7、技管理责任外包，涉及战略管理、风险管理、安全管理、内部审计职能的业务也不宜外包。第五章外包风险管理第十六条本行信息科技外包风险评估应关注外包活动的战略风险、声誉风险、合规风险、操作风险、国别风险、机构集中度等风险，并制定应对措施。第十七条本行信息科技外包风险评估过程应该充分考虑如下因素：（一）是否符合本行战略规划、战略目标和业务需求；（二）本行是否有管理外包关系的能力；（三）是否可能导致本行失去科技控制和创新能力；（四）可能导致业务中断的情况；（五）可能导致信息泄露的情况；（六）是否会导致本行服务水平的降低。第十九条判断外包服务商具有机构集中度的标准包括：（一）外包服务商所承接外包服务的数量或

8、者金额在本行重要信息科技服务中达到三分之一以上；（二）外包服务商承接外包服务在银行业服务市场占比达到三分之一以上；（三）外包服务商之间为集团子公司、关联公司或附属机构的情况，应将分支机构或关联公司作为统一的整体来计算机构集中度。第二十条对于具有机构集中度特点的外包服务商，每年应及时向本行报送公司的财务报表、内控与安全管理情况，外包服务商因资质变动、被收购、兼并或破产、资源发生重大损失、由现财务失败等情况时，应及时函告本行。本行应定期或不定期检查外包风险，必要时可指派专人现场监督。在有条件的情况下，本行应采取分散信息科技外包活动、提高自主研发运营能力等形式，减少对外包服务商的依赖。第二十一条涉及

9、跨境外包的活动应遵守以下原则：（一）审慎评估境外国家或地区的经济与政治环境、技术风险以及境外权限的法律和管制风险。（二）确保国家秘密、商业秘密和客户信息的安全。（三）选择境外服务提供商时，应明确其所在国家或地区监管当局已与我国银行监管机构签订谅解备忘录。第二十二条本行应提取必要的风险准备，以应对不可预料的IT外包服务的风险发生。第二十三条本行应从风险控制、合规要求、可行性、成本效益等方面评估信息科技外包活动，对外包或自主建设两种方案进行分析比较，形成可行性报告。第六章外包服务商分级管理第二十四条根据外包服务性质和重要程度将外包商划分为重点外包服务商和一般外包服务商。对不同类型外包服务商的资质、

10、监督、管理等实施不同的管理要求，当涉及敏感信息、商业秘密和客户隐私数据时，应符合国家有关法律法规和监管部门规定。第二十五条重点外包服务商系指负责本行关键系统、基础设施建设和运维的外包服务商。如其外包服务失败，可能导致本行大面积数据损毁、丢失、泄露或者信息系统服务中断，造成较大经济损失。第二十六条一般外包服务商系指其提供的服务对本行影响较小，其外包服务失败影响范围可控，不会产生较大的经济损失。第二十七条根据监管机构发布的重点外包服务机构风险提示，本行重点外包服务商原则上应符合以下资质要求：（一）在中国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间不少于3年；（二）具有完

11、善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证；（三）具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证，拥有有效的检查、监控和考核机制,确保管理规范有效执行；（四）承担本行数据中心、灾备中心机房及基础设施外包服务的重点外包服务商，其机房及基础设施应当达到国家电子计算机机房最高标准；（五）拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应建立由公司高级管理层直接领导、针对本行外包服务的、专职信息科技风险管理团队，为持续的外包服务提供保证；（六）应具有足够的技术能力和人力资源；（七）承担本行外包服务的场地

12、应设置在中国境内。第二十八条外包服务商必须接受本行对外包服务活动的监督。其中,重点外包服务商须遵循以下要求：（一）至少每季度向本行报送外包风险监控报告，并针对监控发现的潜在风险和风险事件，及时采取控制或缓释措施。（二）每年聘请独立的审计机构，对自身外包服务进行风险评估，将年度风险报告报送本行。（三）对其外包服务团队成员进行背景调查，确保其过往无不良记录，且应与项目成员签订保密协议，并保留至少10年的法律追诉期。第七章外包服务商准入管理第二十九条外包服务商承接本行外包服务，应先成为本行认定的候选外包服务商。本行建立并维护候选外包服务商清单，在需要引入新的外包服务商时，统一组织资质评审。第三十条本

13、行应对外包服务商进行充分调查、评估、审查，组织必要的尽职调查，内容包括但不限于：（一）资质证明、行业地位以及对其他银行业金融机构提供服务的情况；（二）技术实力和服务质量；（三）对银行业务的熟悉程度；（四）经营声誉和企业文化；（五）业务连续性及突发事件应对能力；（六）内部控制和管理能力；（七）财务稳健性；（八）是否满足履行监管义务的需要；（九）其设施和能力是否可以补偿潜在的责任；（十）是否接受本行监督其外包有关的操作风险；（H一）如何安排外包变更时的顺利过渡，包括终止合同可能发生的情况；（十二）本行认为重要的其它事项。第三十一条如果本行认为无法对外包服务商进行以上尽职调查时，可以委托第三方独立机

14、构进行尽职调查。第三十二条外包活动涉及多个服务提供商时，应对服务提供商进行关联关系调查。第三十三条外包服务的招标应严格按照本行集中采购管理办法等相关规定执行。参加招标的外包服务商必须符合招标文件中的资质要求，本行外包活动将遵循公开、公平、公正的原则，从候选的多个外包服务商中进行选择。第三十四条涉及本行关联机构的关联外包的活动，应保持外包决策的独立性，不能降低对外包服务的相关要求。第三十五条对于同业托管机构，应关注机构集中度风险，参照本办法第十九条执行。第八章外包服务合同管理第三十六条本行开展服务外包活动时应与外包服务商签订书面合同或协议，明确双方的权利义务。合同或协议应包括但不限于以下内容：（

15、一）外包服务范围、服务内容、工作时限与安排、责任分配、验收标准、交付物要求及后续合作中的相关限定条件；（二）合规与内控要求；（三）外包服务的保密性和安全性的安排；（四）外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺；（五）外包服务的审计和检查；（六）外包服务争端的解决机制；（七）合同或协议的变更或终止的过渡安排；（八）担保和损失赔偿以及违约责任；（九）明确知识产权的归属；（十）服务要求与服务水平条款；（十一）报告条款，包括常规报告内容和报告频率、突发事件时的报告路线、报告方式及时限要求。第三十七条签订外包合同时外包服务商须在合同中承诺以下事项：（一）定期通报外包活动的有关事项；（二

16、）及时通报外包活动的突发性事件；（三）配合本行接受银行业监督管理机构的监控和检查；（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，本行有权随时终止外包合同；（五）遵守法律法规和本行内部管理制度的要求；（六）第三方供应商由现问题时，保证服务连续性的相关措施；（七）提供服务中断相关的应急处理预案；（八）不得以本行的名义开展活动；（九）提供第三方由具外包系统的系统安全检测报告；（十）本行认为应当承诺的其它事项。第三十八条合同或协议应约定外包服务商不得将外包活动转包或者变相转包。第三十九条未经本行同意，外包服务商不得对外包服务进行分包。外包服务涉及分包时应当要求：（一）不得将外包服务

17、的主要业务分包。（二）主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议。（三）主服务提供商对分包商进行监控，并对分包商的变更履行通知或报告审批义务。第四十条本行与外包服务商签订的服务水平协议应设定可衡量的目标，包括但不限于以下内容：（一）客户支持的及时性，包括问题报告及问题解决保障流程、时限；（二）信息系统和设备及基础设施的可用率、设备的开机率；（三）故障次数、故障解决率、故障的响应时间；（四）服务的次数、客户满意度；（五）各阶段业务需求的及时完成率、程序的缺陷数、需求变更率；（六）外包人员工作饱和率、外包人员的考核合格率；（七）业务连续性和灾难的恢复，包括在灾难发生

18、条件下的恢复条款、设备冗余、分布式备份和存储计划；（八）系统响应时间，定义系统响应一个用户操作请求所用的最大时间；（九）系统吞吐量，定义系统传送给用户数据时的速率；（十）用户使用数目，定义在保障系统响应时间和系统吞吐量前提下所允许的最大的用户使用服务数目。第四十一条服务水平协议的指标衡量应与服务费用直接桂钩。对于未达到服务水平的情况，本行可拒付相关时段的服务费用，减少外包企业的服务年限，直至要求赔偿。第四十二条本行应定期对服务水平协议进行重审和改进。第四十三条合同或协议的签订按照本行合同管理办法执行。第九章外包服务过程管理第四十四条本行应根据业务的重要程度及其风险管理水平，确定相适应的外包管理

19、活动范围，尤其是重要业务的外包活动范围。在确定莫项外包业务是否为重要业务时，应评估以下因素：（一）是否涵盖到本行大部分的信息技术、财务会计、信贷处理及客户信息等业务事项。（二）业务一旦中断是否对本行的业务经营、声誉或利润等产生重大影响。（三）在无法确定莫项即将被外包的业务是否为重要业务时，可向所在地监管机构进行咨询。第四十五条外包人员入场与变更必须经本行认可，本行应组织对外包人员进行相关制度的培训，以确保外包人员在本行服务期间严格遵守本行规章制度与行为规范，接受本行人员管理。第四十六条按照本行信息科技项目管理办法，管理外包服务过程交付物，检查交付物是否满足技术、服务、质量管理等方面要求。第四十

20、七条本行定期检查外包项目的进度安排与执行情况，并及时评价外包服务商的服务水平与质量。第四十八条外包服务项目的验收由信息科技部牵头组织，会同外包服务商、系统主管部门及其他有关单位或部门，按合同条款要求对项目、服务进行验收，由具外包服务项目验收报告。第十章外包服务商退由管理第四十九条本行每年开展外包服务用户调查，通过最终用户评分，由被服务对象对外包服务商的服务项目进行评价。第五十条与外包服务商在其服务质量不能满足合同要求的，本行在充分评估其影响和制定退由计划的前提下，可主动要求外包服务商终止服务；情节特别严重的，应取消其外包准入资质，并报银监会申请对其备案。第五H一条外包服务终止前，要求外包商承担

21、的义务包括但不限于以下内容：（一）交回并妥善处理相关资料；（二）进行相应的知识交接，包括文档交接，如功能规则说明书，系统设计规则说明书，操作运行手册，服务记录等，必要时进行相应的培训；（三）进行相应的物品交接，包括银行门禁卡、银行计算机等设备。第十一章外包服务安全管理第五十二条外包服务人员应遵守本行对安全管理的要求。第五十三条本行应定期对外包人员进行培训，使外包人员了解本行的安全管理、风险管理等相关制度。第五十四条对于外包活动需要访问或使用的信息资产，本行应按照“必须知道”和“最小授权”的原则进行访问授权，从物理访问、逻辑访问两方面确定安全访问控制策略，防范外包活动引起信息泄露、信息篡改、信息

22、不可用、非法入侵、物理环境或设施遭受破坏。第五十五条本行应要求重点外包服务商建立完善的应急管理体系和外包突发事件应急预案，并定期配合本行开展应急演练。第五十六条本行应定期对外包服务商进行安全检查，获得外包服务商自评估或第三方评估报告，但不得以外包服务商自评估代替本行的安全检查，不得因关联关系影响检查的独立性、客观性及公正性。第五十七条本行应建立外包突发事件应急预案和机制。高级管理层对外包突发风险事件，应及时启动应急计划，在第一时间向董事会和监管部门报告，并通过采取替代方案、寻求合同项下的保险安排等措施，确保业务活动的正常经营。第十二章外包服务监控评价第五十八条本行应持续监控外包服务商的服务质量

23、，依据服务水平协议进行性能评估，要求外包服务商定期提交服务报告。本行同时应进行评估，如果外包服务质量和服务协议发生偏离或者表现不足时，及时整改和处理。第五十九条外包管理执行团队应与外包服务商建立有效的联络、沟通和信息交流机制，并进行日常管理。主要包括以下内容：（一）与服务商进行定期的工作会议，讨论相关问题；（二）对服务商不定期开展现场访问和审计；（三）对服务商年度表现进行用户调查和评估。第六十条本行开展重要信息科技活动和跨境信息科技外包活动时，应事先向所在地银行业监管机构报告。报告内容包括但不限于：（一）外包合同的文本草案；（二）对服务外包商的风险评估报告；（三）业务持续性以及突发事件应急预案

24、；（四）外包信息的安全及保密措施。第六十一条本行在开展重要信息科技外包时如遇到下列事项，应及时向所在地银行业监管机构报告：（一）合同期内终止合同；（二）发生突发事件；（三）IT外包商违反法律、法规的情况。第六十二条本行应当定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。第六十三条信息科技外包应纳入本行总体安全策略和风险控制。本行每年应对重要信息系统外包服务商进行信息安全风险评估，并提交评估报告。第十三章外包服务中断管理第六十四条本行应识别重要业务所涉及的外包服务商和资源，通过合同、协议等形式明确要求外包服务商提前准备

25、并维护好相关资源。通过合同等形式约定，在外包服务商不能提供服务或者不能满足约定服务质量要求时，本行可优先获得外包服务资源。第六十五条本行应持续收集外包服务商的相关信息，监控外包服务实施过程，评价外包服务商业务连续性管理水平，尽早发现可能导致服务中断的情况。第六十六条本行应不断完善业务连续性管理计划，考虑因素包括但不限于以下内容：（一）事件场景，如重要人员流失导致服务无法持续，外包服务商主动退由，因资质变动、被收购、兼并或破产、资源发生重大损失、由现财务失败、外包服务中断、外包协议终止、外包服务商变更等原因导致的外包服务商被动退由；（二）事件持续时间和恢复可能性；（三）事件影响范围和可能的应急措

26、施；（四）外包服务商自行恢复服务的可能性和时间；（五）备选外包服务商以及外包服务迁移方案；（六）外包服务过渡给本行自行运作的可能性、时效及资源要求。第六十七条针对重要外包服务，本行应根据应急预案的场景定期进行演练，并在内部配置相应的人力资源，保证在外包服务中断期间自行维持最低限度的服务能力。第六十八条外包服务商应提供服务中断的应急处理预案，提供备份人员，并配合本行定期和不定期开展应急演练。第十四章外包服务资料管理第六十九条信息科技部门应将外包服务合同、外包服务框架性协议，及外包服务相关资料进行统一管理和妥善保存。第七十条信息科技部门应对外包人员实施系统维护或技术支持时所有操作内容和技术参数配置的变更情况记录、外包人员维护或维修设备的授权记录、进由机房的手续登记记录、外包人员在完成技术支持服务后由具的有关报告或记录等，进行统一管理和妥善保存。第七十一条信息科技部门对网络系统建设、软件系统开发、机房建设和改造等较大外包服务项目完工后的有关项目