银行信息科技外包风险管理办法

1、精选文档保密等级文档名称文档编号公布组织公布日期执行日期版本号大洼恒丰村镇银行信息科技外包风险管理方法同意人署名审查人署名制定人署名日期：日期：日期：大洼恒丰村镇银行信息科技部.精选文档改正简历版本编号变化简要说明(改正内容、序或改正记状态改正地点、改正原由和改正日期改正人审查人同意人同意日期号*改正范围)录编号11.0C创立，全页。变化状态：C创立，A增添，M改正，D删除.精选文档目录第一章总则4第二章外担保理组织架构5第三章信息科技外包战略及风险管理6第一节信息科技外包战略6第二节信息科技外包风险管理7第四章信息科技外担保理8第一节外包风险评估及准入8第二节服务供给商尽责检查10第三节外包

2、服务合同及要求10第四节外包服务安全管理12第五节外包服务监控与评论13第六节外包服务中止与停止14第八章监察管理17第九章附则18.精选文档第一章总则第一条为规范我行的信息科技外包活动，降低信息科技外包风险，依据中华人民共和国银行业监察管理法、中华人民共和国商业银行法、银行业金融机构信息科技外包风险看管引导等法律法例，拟订本方法。第二条本方法所称信息科技外包是指我行将本来由自己负责办理的信息科技活动拜托给服务供给商进行办理的行为，包含项目外包、人力资源外包等形式。包含以下种类：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运转保护类外包：包

3、含数据中心（灾备中心）、机房配套设备、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、公司管理、财产处理等外包中的系统开发、运转保护和数据办理活动。第三条我行应将信息科技外担保理归入全面风险管理体系，成立与本行信息科技战略目标相适应的外担保理系统，控制或降低因为外包而引起的风险。第四条我行在实行信息科技外包时应当坚持以下原则：（一）以不阻碍核心能力建设、踊跃掌握要点技术为导向；（二）保持外包风险、成本和效益的均衡；.精选文档（三）重申外包风险的事先控制，保持管控力度；（四）依据外担保理及技术发展趋向，连续改良外包策略和

4、举措。第五条我行在实行信息科技外包时，不得将信息科技管理责任外包。第二章外担保理组织架构第六条为了严格落实我行信息科技外包风险管理的有关职责,我行建立外包风险管理领导小组，领导小构成员以下：组长：荆晓辉副组长：宇文梁成员：任义、何亮外包风险管理领导小组主要职责包含：（一）拟订并审批信息科技外包战略；（二）审议信息科技外担保理流程及制度；（三）敦促并监控信息科技外包风险管理成效。第七条由内审稽核部作为我行信息科技外包风险主管部门，主要职责包含：（一）对外包风险进行辨别、评估与风险提示；（二）监察、评论外担保理工作，并敦促外包风险管理的连续改良；（三）向高级管理层按期报告信息科技外包活动有关风险管

5、理状况；.精选文档（四）董事会或高级管理层确立的其余信息科技外包风险管理职责。第八条我行信息科技部建立信息科技外担保理岗，执行以下职责：（一）实行信息科技外包战略；（二）拟订并执行信息科技外担保理制度与流程；（三）执行供给商准入、评论、退出管理，成立并保护供给商关系管理策略；（四）拟订保障外包服务连续性的应急管理方案，并组织实行按期操练；（五）对外包过程中的各项管理活动进行监控及剖析，按期向信息科技及外包风险管理主管部门报告外包活动状况。第三章信息科技外包战略及风险管理第一节信息科技外包战略第九条我行应拟订信息科技外包战略规划，以提高信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技

6、术为目标，鉴于信息科技战略、外包市场环境、自己风险控制能力微风险偏好拟订信息科技外包战略，包含：不可以外包的职能、资源能力建设方案、供给商关系管理策略和外包分级管理策略。第十条我行依据自己信息科技战略，不可以外包的职能包含：波及战略管理、风险管理、内部审计及其余有关信息科技.精选文档核心竞争力的职能。第十一条我行应当依据外包战略拟订资源、能力建设方案，经过增补人员、提高技术、知识转移等方式，有针对性地获得或提高管理及技术能力，降低对服务供给商的依靠。第十二条我行应当成立与自己规模、市场所位相适应的供给商关系管理策略。经过准入和退出体制合理管控各种高风险服务供给商的数目，实现以下目标：防备行业垄

7、断和机构集中度风险，经过引入适合的竞争在降低采买成本的同时提高服务质量，合理管控服务供给商的数目进而降低风险及管理成本等。第十三条我行应依照外包服务性质和重要性程度对服务供给商进行分级管理，对不一样级其余服务供给商采纳差别化的管控举措，在有效管理重要风险的前提降落低管理成本第二节信息科技外包风险管理第十四条由内审稽核部负责我行信息科技外包风险管理工作，并每年展开一次全面的外包风险管理评估，保持评估的独立性，同时向高级管理层提交评估报告。评估内容包含：信息科技外包战略执行状况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响剖析等。第十五条内审稽核部应付重要的外包服

8、务供给商进行按期的风险评估，保持评估的独立性。起码在三年内覆盖全部重要的服务供给商。评估内容包含：服务供给商合规状况、服务.精选文档的执行成效等，评估结果应看作为服务供给商准入及退出的重要依照。第十六条由我行内审稽核部按期展开信息科技外包风险管理审计工作，起码每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当实时展开专项审计。第四章信息科技外担保理第一节外包风险评估及准入第十七条在外包项目立项前，我行应当谨慎检查项目与信息科技外包战略的一致性，依据项目内容、范围、性质对其进行风险辨别和评估，拟订相应的风险处理举措，不因外包活动的引入而增添整体节余风险。重要外包项目应向董事会、高

9、管层报告。第十八条我行对外包商推行准入管理，关于不切合准入条件的外包商应拒绝与其进行科技合作，我行外包商准入标准以下：（一）外包服务商应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本许多于1000万，注册成即刻间许多于3年。（二）外包服务商应当拥有健全的组织架构，并针对所提供的外包服务成立有效的风险治理架构，起码应当成立由公司高级管理层直接领导、针对我行外包服务的、专职信息科技风险管理团队，为连续的外包服务供给保证。.精选文档（三）外包服务商应当成立与所担当的服务范围和规模相适应的服务管理系统，成立完美的信息安全、服务质量、服务连续性等管理制度系统，拥有有效的检查、监控和查核体制

10、，保证管理规范有效执行。（四）外包服务商应当拥有足够的技术能力、人力资源和设备、环境，知足外包服务的质量和安全管理要求。外包服务场所应当设置在中国境内。（五）外包服务商应拥有以下有关领域资质认证:拥有完美的信息安全管理系统、业务连续性管理系统，并经过业界公认较为威望的信息安全管理和业务连续性管理资质认证。拥有完美的质量管理系统，并经过业界公认较为威望的质量管理资质认证。为我行供给数据中心、灾备中心计房及基础设备外包服务的外包服务商，其机房及基础设备应当达到国家电子计算机机房最高标准。担当集中存贮我行客户数据的业务交易系统外包服务，或担当我行客户资料、交易数据等敏感信息的批量剖析或办理服务的外包

11、服务商，应当拥有完美的运转服务管理系统，并通过业界公认较为威望的运转服务管理资质认证。（五）我行对外包服务商在风险管理、审计方面提出以下要求：.精选文档(1)外包服务商应当拥有信息科技风险的管理系统，有效识别、监测、评估和控制风险。外包服务商应当起码每季度向我行报送外包风险监控报告，针对监控发现的潜伏风险或风险事件，实时采纳控制或缓释举措。外包服务商应当每年邀请独立的审计机构,对自己外包服务进行风险评估,年度风险评估报告需报送所服务的银行业金融机构，并抄送银监会或其派出机构。外包服务商应当对其外包服务团队成员进行背景检查，保证其过往无不良记录，且应当与项目成员签署保密协议，并保存起码10年的法

12、律追诉期。第二节服务供给商尽责检查第十九条我行在与外包服务供给商签署合同前需深入展开尽责检查。尽责检查报告包含但不限于：服务能力和支持技术、服务经验、服务人员技术、市场评论、看管评论、内部控制体制和管理流程的完美程度、内部控制技术和工具、从业时间、市场所位及发展趋向、资本的安全性、近期盈余状况等。第三节外包服务合同及要求第二十条我行在实行外包服务项当前，应当与服务供给商签署服务合同。合同应当依据外包服务需求、风险评估及尽职检查结果确立详尽程度和要点。第二十一条我行在合同或协议中应当明确以下内容，包括但不限于：.精选文档（一）服务范围、服务内容、工作时限及安排、责任分派、交托物要求以及后续合作中

13、的有关限制条件；（二）合规与内控要求，对法律法例及我行内部管理制度的遵照要求、看管政策的通告贯彻体制、服务供给商的内控举措；（三）服务连续性要求，服务供给商的服务连续性管理目标应当知足我行业务连续性目标要求；（四）我行监控和检查的权益、频次，服务供给商配合其内、外面审计机构检查，及配合银行业看管机构检查的责任；（五）政策或环境变化因素等在内的合同改正或停止的触发条件，外包服务供给商在过渡时期应当执行的主要职责及合同改正或停止的过渡安排，包含信息、资料和设备的交接处理等过渡时期有关服务的安排；（六）外包服务过程中产生、加工、交互的信息和知识产权的归属权以及同意服务供给商使用的内容及范围，对服务供

14、给商使用合法软、硬件产品的要求；（七）服务要求或服务水平条款，起码应当包含以下内容：外包服务的要点因素、服务时效和可用性、数据的机密性和完好性要求、改正的控制、安全标准的恪守状况、技术支持水同等；（八）争端解决体制、违约及补偿条款，起码包含以下内容：服务质量违约、安全违约、知识产权违约等，及在各样违.精选文档约状况下的补偿以及外包争端的解决体制；（九）报告条款，起码包含惯例报告内容和报告频度、突发事件时的报告路线、报告方式实时限要求。第二十二条我行需在合同或协议中明确服务供给商在安全和保密方面的责任，以及针对安全及保密要求需采纳的详细举措。包含但不限于：（一）严禁服务供给商在合同同意范围外使用

15、或许表露我行的信息，以防备信息被非受权使用；（二）在合同或协议中商定服务供给商对银行客户信息安全和银行客户权益的保护条款、事故办理方式及违约补偿条款；（三）在合同或协议中商定服务供给商不得以所服务的我行名义展开活动；（四）服务供给商接触我行信息时，需知足安全和保密有关条款的要求；（五）在发生银监会规定的信息科技突发事件，或发生可能引起系统性、地区性银行业信息科技风险类突发事件时，服务供给商应实时向我行报告，包含事件的影响以及处理和纠正举措。第二十三条我行需在合同或协议中明确要求服务供给商不得将外包服务转包和变相转包。第四节外包服务安全管理.精选文档第二十四条我行应当拟订和落实信息安全管控举措，

16、防范因外包活动惹起的信息泄漏、信息窜改、信息不行用、非法入侵、物理环境或设备遭到损坏等风险。详细举措包含：（一）对外包人员进行信息安全培训，提高风险管理意识，保证信息安全管控举措在外包服务过程中有效落实；（二）明确外包活动需要接见或使用的信息财产，包含场所、办公设备、计算机、服务器、软件、数据、信息、物理接见控制设备、账号、网络宽带、网络端口等，按“必需知道”和“最小受权”原则进行接见受权；（三）对重要或核心的信息系统开发交托物进行源代码检查和安全扫描；（四）按期对服务供给商进行安全检查，获得服务供给商自评估或第三方评估报告。第五节外包服务监控与评论第二十五条我行内审稽核部应当对外包服务过程进

17、行持续监控，要求服务供给商成立阶段性服务目标及任务，并追踪任务的执行状况，实时发现和纠正服务过程中存在的各种异样状况。第二十六条我行应当依据信息科技外包需求、合同、服务水平协议等成立明确的服务质量监控指标，并进行相应监控。常有指标包含：（一）信息系统和设备及基础设备的可用率、设备的开机.精选文档率；（二）故障次数、故障解决率、故障的响应时间；（三）服务的次数、客户满意度；（四）各阶段业务需求的实时达成率、程序的缺点数、需求改正率；（五）外包人职工作饱和率、外包人员的查核合格率。第二十七条我行应当成立明确的服务目录、服务水平协议以及服务水平监控评论体制,并保证外包服务监控基础数据和评论结果的真切

18、性和完好性，且数据起码需保存到服务结束后一年。第二十八条我行应当对服务供给商的财务、内控及安全管理进行连续监控，关注其因破产、吞并、要点人员流失、投入不足和管理不善等因素引起的财务状况恶化及内部管理杂乱等状况，防备外包服务不测停止或服务质量的急剧降落。第二十九条我行在监控到异样状况时，应当实时敦促服务供给商采纳纠正举措，情节严重的或未实时纠正的，应当约谈服务供给商高管人员并限时整顿。第三十条外包服务结束时，我行应当对服务供给商进行评论，评论结果应看作为服务供给商准入的重要参照依照。第六节外包服务中止与停止第三十一条我行应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性地完美业务连续性管

19、理计划，包含.精选文档但不限于：（一）辨别出重要业务所波及的服务供给商和资源；（二）经过合同、协议等形式明确要求服务供给商提早准备并保护好有关资源；（三）对服务供给商业务连续性管理进行监控，并评论其管理水平；（四）在进行业务连续性计划操练时将有关的服务供给商归入操练范围。第三十二条为降低外包突发事件的可能性及影响，我行应当早先对业务连续性管理造成重要影响的外包服务成立风险控制、缓释或转移举措，包含但不限于以下内容：（一）在外包服求实行过程中连续采集服务供给商有关信息，尽早发现可能致使服务中止的状况；（二）与服务供给商早先商定在其服务质量不可以知足合同要求的状况下获得其外包服务资源的优先权；（三

20、）要求服务供给商拟订服务中止有关的应急办理方案，如供给备份人员；（四）关于波及重要业务的外包服务，我行需考虑早先在其内部配置相应的人力资源，掌握必需的技术，以在外包服务中止时期自行保持最低限度的服务能力。第三十三条我行应当针对重要外包服务中止的场景，制定相应的应急计划，并按期进行操练，考虑因素包含但不限于.精选文档以下内容：（一）事件场景，如重要人员流失致使服务没法连续，服务供给商主动退出，因资质改正、被收买、吞并或破产等原由致使的服务供给商被动退出等；（二）事件连续时间和恢复可能性；（三）事件影响范围和可能的应急举措；（四）服务供给商自行恢复服务的可能性和时间；（五）备选的服务供给商以及外包

21、服务迁徙方案；（六）外包服务过渡给我行自行运作的可能性、时效及资源需求。第三十四条关于没法知足外包服务要求或发生重要事件的状况，我行应当在充分评估其影响及拟订退出计划的前提下，考虑主动要求服务供给商停止服务，情节特别严重的，可考虑撤消准入资质，并报看管机构申请对其存案。第五章机构集中度风险管理第三十五条我行应当依照服务供给商所承接外包服务的数目、金额在本行重要信息科技服务中的占比，服务供给商所承接外包服务在银行业服务市场占比状况，辨别拥有机构集中度特色的外包服务供给商。第三十六条我行应当踊跃采纳分别信息科技外包活动、提高自主研发运转能力等形式，降低机构集中度，减少对外包服务供给商的依靠。.精选文档第三十七条我行应当要求拥有机构集中度特色的外包服务供给商供给充分的凭证，证明其内部控制和管理能力、连续营运能力等。第三十八条我行应当要求拥有机构集中度特色的外包服务供给商为我行装备相对独立的资源，包含服务团队、场所、系统、设备