分行运维类信息科技外包管理实施细则意见征求稿.docx
《分行运维类信息科技外包管理实施细则意见征求稿.docx》由会员分享,可在线阅读,更多相关《分行运维类信息科技外包管理实施细则意见征求稿.docx(29页珍藏版)》请在冰豆网上搜索。
分行运维类信息科技外包管理实施细则意见征求稿
招商银行分行运维类信息科技外包管理实施细则
(征求意见稿)
第一章总则
第二章
第一条【制定目的】为加强招商银行分行(以下简称“我分行”)运维类信息科技外包管理,确保分行运维类供应商提供持续、稳定、优质的服务,有效控制分行信息科技外包风险,根据银监会《银行业金融机构信息科技外包风险监管指引》(银监发[2013]5号)的监管要求,以及招商银行《招商银行信息科技外包管理指引》、《招商银行信息科技供应商管理办法》等制度要求,结合分行自身信息科技外包管理特点,制定本办法。
第二条
第三条【适用领域】本办法适用于我行在中华人民共和国境内依法设立的各级地方分行以及在境外设立的分支机构的信息科技部室以及相关业务部门。
第四条
第五条【管理对象】运维类信息科技外包是指我行将原本由自身负责处理的运维类信息科技活动委托给信息科技外包供应商进行处理的行为,包含项目外包、人力外包等形式,分行运维类信息科技外包管理范围包括:
第六条
(一)分行基础设施运维类,即所有涉及客户或内部信息转移的基础设施维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管)。
(二)
(三)分行应用运维类,所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动(包括托管)。
(四)
(五)分行桌面运维类,所有外部服务提供商参与的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动(包括托管)。
(六)
(七)运维相关咨询服务类:
外部服务供应商提供或参与信息科技领域的技术支持、解决方案、评测、认证、研究等活动。
(八)
第三章组织分工与职责
第四章
第七条【总行操作风险部】总行操作风险管理部是运维类信息科技外包风险主管部门,其职责主要包括:
第八条
(一)对分行运维类信息科技外包风险进行识别、评估与风险提示;
(二)
(三)监督、评价分行运维类信息科技外包管理工作,并督促外包风险管理的持续改善;
(四)
(五)参与分行运维类信息科技外包项目实施情况的跟踪检查和后续评价;
(六)
第九条【总行信息技术部】总行信息技术部负责对分行信息科技外包管理工作提供制度支持,按照总行要求配合监管和审计部门对分行运维类信息科技外包的检查和审计。
主要职责包括:
第十条
(一)制定、落实及维护分行信息科技外包管理制度;
(二)
(三)按照监管部门和操作风险管理部要求组织分行运维类信息科技外包风险管理工作,组织配合监管部门和审计部门进行分行运维类信息科技外包检查和审计;
(四)
第十一条【分行信息技术部】分行信息技术部负责统筹分行运维类信息科技外包管理工作,按照总行信息科技外包战略指引,结合分行工作实际,建立适合分行的运维类信息科技外包管理体系,制定分行运维类信息科技外包管理流程和操作细则。
其职责主要包括:
第十二条
(一)根据总行对分行运维类信息科技外包管理要求,制定适合分行的运维类信息科技外包管理实施细则;
(二)
(三)制定并落实分行运维类供应商准入、评价、退出管理,建立并维护分行运维类供应商关系管理策略;
(四)
(五)根据总行在应急管理方面的总体要求,制定保障分行运维类信息科技外包服务持续性的应急管理方案;
(六)
(七)监控分行外包活动,定期向分行信息科技外包风险管理主管部门报告外包活动情况;
(八)
(九)监督、评价分行运维类信息科技外包管理工作,并督促外包风险管理的持续改善。
(十)
第十三条【分行IT外包管理执行部门】分行IT外包管理执行部门是分行运维类信息科技外包管理的实施和监督部门,其主要职责是负责根据总分行信息技术部(或相关职能部门)对运维类信息科技外包管理要求建立运维类信息科技外包管理体系,实施分行运维类供应商准入退出、评价、安全、应急管理,并负责监督管理日常工作。
第十四条
第十五条【分行IT外包项目实施部门】分行IT外包项目实施部门负责监督、管理运维类外包商在本行工作或访问期间的一切行为,并对其所管理外包商的行为、影响和后果负有监管责任。
第十六条
第十七条【实施依据】各级分行应当依据本管理办法对任何参与我行分行信息科技建设或服务,以及拟参与我行分行信息科技建设或服务的运维类供应商进行管理。
第十八条
第五章运维类IT外包策略
第六章
第十九条为了指导分行运维类信息科技外包活动,分行运维类信息科技外包策略与总行保持一致,即:
第二十条
(一)分行运维类信息科技管理责任以及涉及我行战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不外包。
(二)
(三)分行运维类信息科技外包管理需与我行的信息科技战略相一致,平衡风险、成本、效益和质量,并考虑当前外包市场环境、自身风险控制能力和风险偏好,不因外包降低对我行客户的服务质量和效率。
(四)
(五)严格按照以下外包策略选择分行运维类信息科技外包区域,保障我行核心领域信息安全:
(六)
∙核心业务产品、影响我行核心竞争力的产品、需要快速响应业务的产品,原则上不外包,由分行主导运维;
∙
∙外部监管规定、我行信息安全管理制度不允许外包的领域,由分行自主运维;
∙
∙非核心业务、市场具备专业性和成熟解决方案的业务领域,我行没有技术储备或我行不具备专业性的领域,在风险、成本、质量可控的条件下可考虑外包;
∙
∙在自主运维资源不足的情况下,中低端或风险可控的信息科技工作可考虑人力资源外包。
∙
(七)规划低风险的外包布局,采用低风险的外包模式,选择低风险的运维类供应商。
(八)
∙建立与自身规模、市场地位相适应的运维类供应商关系管理策略,通过准入和退出机制控制各类高风险运维类供应商的数量,防范行业垄断和机构集中度风险,通过引入适当的竞争降低采购成本、提高服务质量,同时形成备份,合理控制运维类供应商的数量;
∙
∙原则上不使用跨境外包;
∙
∙在使用关联外包时不应因关联关系降低对运维类外包管理要求;
∙
∙对于运维类供应商为同业托管机构的情况分行IT外包管理执行部门可参照本指引要求对其进行管理。
∙
第二十一条分行IT外包管理执行部门应根据运维类信息科技外包策略进行运维类IT职能外包适宜度分析,确定不适宜外包的运维类IT职能。
第二十二条
第二十三条在运维类信息科技建设过程中如出现对不适宜外包的运维类IT职能进行外包,分行IT外包管理执行部门应基于如下原则组织建立能力回收方案:
第二十四条
∙目标:
从长远看,须由分行自身掌握职能活动的核心能力;
∙
∙考虑自身能力建设:
在现阶段,我行应考虑自身科技人员的技术能力,结合不同项目的具体要求,采用循序渐进的方法,在一定时期内引入外部资源,加强风险控制,建立核心能力回收计划,学习并且积累执行该项职能活动的能力,最终达到完全自行建设。
∙
∙考虑行员数量补充:
对于我行已掌握职能活动的核心能力,但因当前内部人员数量不足而无法完全自行建设的情况,需制定人员补充计划,逐渐补充相应行员的数量。
∙
第七章运维类IT外包风险管理
第八章
第二十五条分行运维类信息科技外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理。
贯穿于分行运维类信息科技日常管理工作中,长期管控运维类信息科技外包风险。
第二十六条
第二十七条总行每年组织分行开展一次全面的运维类信息科技外包风险管理评估,保持评估的独立性,并形成评估报告。
第二十八条
第二十九条分行信息技术部应按照总行要求开展分行运维类信息科技外包风险管理自评估,评估内容包括:
分行运维类信息科技外包战略执行情况、信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对分行运维类信息科技外包服务的影响分析等。
第三十条
第三十一条总行定期开展针对分行运维类信息科技外包风险管理审计工作,至少每三年对重要的分行运维类信息科技外包服务活动进行一次全面审计。
发生运维类外包风险事件后分行应及时开展专项审计。
第三十二条
第三十三条分行IT外包管理执行部门应对不同级别的运维类供应商采取差异化的管理措施,在有效管控重要风险的前提下降低管理成本。
对重要的分行运维类供应商管控措施包括但不限于:
第三十四条
(一)对重要供应商,在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
(二)
(三)对重要供应商进行定期的风险评估,保持评估的独立性。
至少在三年内覆盖所有重要供应商。
评估内容包括:
供应商合规情况、服务的执行效果等,评估结果应当作为分行运维类供应商准入及退出的重要依据。
(四)
(五)分行IT外包管理执行部门应当对重要的非驻场运维类外包服务进行实地检查。
实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
(六)
第三十五条持续风险管控:
第三十六条
(一)项目过程中分行IT外包管理执行部门应对运维类信息科技外包进行风险评估,通过项目跟踪和适当的技术手段进行风险控制。
(二)
(三)项目过程中分行IT外包管理执行部门应对运维类供应商的财务、内控及安全管理进行持续监控。
(四)
第三十七条【分行监管领域】由于分行信息技术部不能对非驻场的运维类供应商的内部控制及风险管理措施进行直接管控,分行应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对运维类供应商的风险监管。
第三十八条
第九章运维类供应商管理
第十章
第一节关系管理
第二节
第三十九条【关系管理】分行信息技术部应对分行运维类供应商关系进行划分(如划分为战略型、合作型、淘汰型等供应商),针对不同关系的运维类供应商,区分风险管控力度和管控手段,建立相应的惩罚或激励措施,以提高管理效率,降低分行运维类信息科技外包管理风险。
第四十条
第四十一条【管理依据】分行信息技术部应当确定运维类供应商关系分类以及维护机制(应包括判定标准、判断时间点、关系更新维护人员、关系应用场景),运维类供应商关系分类以及维护机制参照总行供应商关系管理文件执行。
第四十二条
第四十三条【关系划分】分行信息技术部应根据运维类供应商采购内容重要性(可考虑项目重要性、技术依赖性、垄断性、价值性)和采购金额占比,对运维类供应商的重要性进行评分,将运维类供应商重要性分为一般、重要,对不同重要性的供应商采取不同的管控方式,降低管理成本,加强风险管控。
第四十四条
第三节管控原则
第四节
第四十五条【执行原则】分行运维类信息科技外包管理的管控原则是根据分行运维类信息科技外包管理范围类别、提供服务重要性的不同,对其采取分类分级的办法进行管控。
第四十六条
第五节运维类供应商准入
第六节
第四十七条分行IT外包管理执行部门在选择运维类供应商前,应对运维类供应商开展准入信息收集,收集的信息包括但不限于内部控制与管理能力信息、持续经营能力信息和技术与服务能力信息。
运维类供应商应满足如下准入条件:
第四十八条
(一)具有符合经营专业化服务所需要的专业技术人员和管理人员;
(二)
(三)能够提供适合我行所需技术与业务发展、满足信息安全要求的服务方案;
(四)
(五)具有健全的组织架构、内控制度和业务管理、风险控制措施,具有良好的商业信誉和社会评价;
(六)
(七)具有较强的项目管理水平和良好的运营管理能力。
(八)
第四十九条【准入机制】分行IT外包管理执行部门应根据分行运维类供应商关系分类、分级的管控原则,结合分行自身业务特点建立分行运维类供应商准入机制,包括准入评估内容及标准等(可参照总行信息技术部供应商准入管理要求执行),明确:
第五十条
(一)运维类供应商准入条件,应包括基础条件和专业能力;
(二)
(三)运维类供应商准入执行时点,一般设置在年度绩效评估之后;
(四)
(五)运维类供应商准入执行频率,原则上一年一次;
(六)
第五十一条【重点供应商要求】分行运维类供应商是银行业重点外包供应商的(银行业重点外包供应商的评判标准参照《银行业金融机构信息科技外包风险监管指引》第七十二条),应满足以下管理要求:
第五十二条
(一)应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万元,注册成立时间不少于3年;
(二)
(三)应当拥有健全的组织架构,并针对所提供的服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证;
(四)
(五)应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行;
(六)
(七)应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求,承担的银行业金融机构外包服务场地应当设置在中国境内。
(八)
第五十三条【重点供应商资质】分行运维类供应商是银行业重点外包供应商的,应具有如下相关领域资质认证:
第五十四条
(一)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证;
(二)
(三)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证;
(四)
(五)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包供应商,其机房及基础设施应当达到国家电子计算机机房最高标准;
(六)
(七)承担集中存储客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包供应商,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
(八)
第七节运维类供应商选择
第八节
第五十五条【选择要求】分行如采用邀标或对公开招标对象进行初选,具有投标资格的潜在运维类供应商应至少满足准入要求,确定项目备选供应商时应考虑运维类供应商关系类型(如应将战略合作关系供应商纳入备选范围),以及对于单一来源项目,在同等条件下应优先考虑将应急备选运维类供应商纳入备选范围等。
第五十六条
第五十七条【一般项目】对于项目金额不超过集采限额或不包含在分行集采目录的运维类信息科技外包项目,分行信息技术部应编制项目实施方案,确定采购方式、备选运维类供应商名单和相关采购需求方案,按照分行采购管理有关流程,招标确定运维类供应商并与其签订服务合同,负责组织开展合同验收和运维类供应商考核工作。
第五十八条
第五十九条【重要项目】对于项目规模达到集采限额或包含在集采目录中的重大项目,分行信息技术部应当根据供应商关系管理策略,结合风险识别、评估结果以及运维类供应商准入标准对备选运维类供应商进行初步筛选后,提交总行信息技术部审批,并按照集中采购制度进行采购。
对于无法有效控制项目执行风险的运维类供应商,总行信息技术部有权要求分行重新采购,防范引入高机构集中度风险特点的运维类供应商、或引入增加整体风险的运维类供应商。
第六十条
第六十一条【特殊项目】对于非公开招标的项目,分行信息技术部应提供选择其招标方式的原因及风险控制,并获得管理层的审批;针对单一来源采购形式,应将优质的供应商关系类型(如战略合作关系、重点合作型关系等)作为评审单一来源的考虑因素,而对绩效考核结果较差或存在高集中度风险的运维类供应商建议取消其单一来源采购资格。
第六十二条
第六十三条【限制条件】分行运维类供应商的选择由总行信息技术部完成的,参照总行的供应商选择要求进行选择。
第六十四条
第九节尽职调查
第十节
第六十五条【关注对象】对于重要运维类供应商(包括由总行信息技术部或采购管理部集中采购的运维类供应商),分行信息技术部在与其签订合同签前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
对运维类供应商的尽职调查应当关注:
第六十六条
(一)运维类供应商的技术和行业经验,包括但不限于:
服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
(二)
(三)运维类供应商的内部控制和管理能力,包括但不限于:
内部控制机制和管理流程的完善程度、内部控制技术与工具等。
(四)
(五)运维类供应商的持续经营状况,包括但不限于:
从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
(六)
第六十七条【特别要求】各级分行信息技术部不得因运维类供应商在我行的服务存在关联关系而降低对运维类供应商的要求,应当在尽职调查阶段详细分析运维类供应商技术、内控和管理水平,确认其有足够能力实施相关服务、处理突发事件等。
第六十八条
第十一节运维类供应商评价与考核
第十二节
第六十九条【建立评价体系】分行信息技术部可参照总行供应商评价管理相关制度(附件《招商银行数据中心供应商考核管理细则》和《招商银行数据运维类供应商月度考核矩阵》)建立适用分行的运维类供应商评价管理体系,包括评价指标、评价标准、评价流程、评价结果应用措施等,对分行运维类供应商评价结果进行审核并汇总发布。
第七十条
第七十一条【评价流程】分行IT外包管理执行部门依据分行运维类供应商绩效评价体系,针对所管理的运维类供应商,开展绩效评价工作,原则上每季度一次对运维类供应商的专业资质、工作质量、管理能力和服务水平等进行总体评价,确保评价结果的真实性和完整性,且评价数据至少需保存到服务结束后一年,并将评价结果报送分行信息技术部。
对于总行集采类项目,分行信息技术部应将评价结果汇总至总行信息技术部,总行信息技术部根据评价结果督运维类供应商对存在的问题提出解决方案,并要求其进行整改。
评价要求包括但不限于:
第七十二条
●项目实施计划的制定情况;
●
●项目计划的完成率;
●
●项目文档管理质量;
●
●例行服务的完成情况;
●
●热线支持电话服务情况;
●
●故障响应的及时率;
●
●备件/耗材响应及时率;
●
●维修诊断的正确率;
●
●故障及时修复率;
●
●故障报告的完成情况;
●
●由于项目实施导致的异常情况率;
●
●管理能力;
●
●专业资质;
●
●遵守我行信息安全保密要求、遵守我行规章制度情况等。
●
第七十三条【分行项目实施部门】分行IT外包实施部门应积极参与分行运维类供应商绩效评价工作,对所使用的运维类供应商的服务质量进行评价并及时向分行IT外包管理执行部门反馈评价结果。
第七十四条
第七十五条【再次准入依据】分行与运维类供应商的服务合同终止时,分行信息技术部应组织对运维类供应商进行评价,评价结果应当作为运维类供应商再次准入、资质评审以及分行运维类供应商关系划分的重要参考依据。
第七十六条
第七十七条【惩罚】分行IT外包管理执行部门应负责组织运维类供应商绩效评价结果应用措施的落实,包括对运维类供应商的奖励和惩罚措施等,运维类供应商如存在考核不合格的情况,原则上未来两年内不得作为分行被采购对象纳入备选范围。
第七十八条
第十三节退出管理
第十四节
第七十九条【退出流程】分行IT外包管理执行部门负责建立分行运维类供应商退出机制,主动终止与服务质量不达标的运维类供应商的IT外包合作关系,报送分行信息技术部,将其列入黑名单,不再与其开展新的运维类供应商服务合作。
启动项目应急预案,寻求尽快替代,并报告总、分行信息技术部。
第八十条
第八十一条总行集采类的项目,分行报送总行信息技术部后,由其根据总行供应商退出的管理机制执行。
由分行自采购的项目,分行信息技术部应定期将运维类供应商黑名单及时报送总行信息技术部备案,情节严重的应取消其准入资质,并报属地银监局申请对其备案。
第八十二条
第八十三条【退出条件】分行存在以下情况之一的运维类供应商,分行应主动要求其终止服务,退出合作:
第八十四条
(一)严重违反国家法律、法规的;
(二)
(三)严重违约、擅自变更或者终止已生效合同的;
(四)
(五)泄露我行商业秘密、技术秘密等非公开信息的;
(六)
(七)侵犯我行知识产权的;
(八)
(九)故意提供虚假资质材料、隐瞒真实情况的;
(十)
(十一)信誉和财务发生严重危机的;
(十二)
(十三)提供的产品质量和服务出现重大问题,并造成不良后果的;
(十四)
(十五)中标后无正当理由拒绝签订合同的;
(十六)
(十七)经营条件发生变化,无法继续提供符合标准的服务;
(十八)
(十九)对服务质量进行检查,连续3次不能达到服务标准;
(二十)
(二十一)其他可能严重影响我行声誉以及给我行带来风险或损失的情况;
(二十二)
(二十三)运维类供应商评价连续两年为“差”;
(二十四)
(二十五)我行认定的其他供应商退出情况。
(二十六)
第十五节人员管理
第十六节
第八十五条分行IT外包管理执行部门(或责任人)可参照总行供应商日常管理细则(参见附件6.《招商银行数据中心供应商日常管理细则》)建立适用分行的运维类信息科技外包人员管理细则,规范内容应涵盖供应商人员的资质考核、背景调查、进场、离场、考勤、加班、评价、离职、释放以及安全合规检查管理等。
第八十六条
第八十七条分行IT外包项目实施部门(或相关职责岗)应依据管理规范对运维类外包人员进行管理。
监督运维类供应商日常行为,对运维类供应商违规行为进行记录并及时报送分行信息技术部。
第八十八条
第八十九条【整改计划】各分行IT外包项目实施部门应监督运维类供应商对违规行为整改计划的实施情况,并将整改实施结果和意见报告分行信息技术部。
第九十条
第九十一条【上报评价】总行信息技术部以不定期抽查的方式对分行运维类供应商日常行为进行检查,将分行运维类供应商日常行为合规情况纳入供应商整体绩效评价。
第九十二条
第十七节特殊运维类供应商管理
第十八节
第九十三条【应对措施】分行IT外包管理执行部门应建立高集中度运维类供应商的识别标准,通过采取分散分行运维类信息科技外包活动、获取高集中度运维类供应商内部控制和配备独立服务资源的证明、建立高集中度运维类供应商服务中断应急预案、加强对高集中度运维类供应商的监控与监督等方法,降低运维类供应商的高集中度风险。
第九十四条
第九十五条【收集信息】分行IT外包管理执行部门应根据分行合规要求收集行业重点运维类供应商的信息,获取行业重点运维类供应商的外包风险监控报告和由独立审计机构出具的该运维类供应商外包服务的风险评估报告。
应要求行业重点供应商对其外包人员进行背景调查,确保其过往无不良记录。
第九十六条
第九十七条【评估方向】分行IT外包管理执行部门应建立针对非驻场运维类供应商的内部控制及风险管理要求的最低标准,应对重要的非驻场供应商进行定期实地考察(实地检查原则上一年不少于一次,检查结果作为供应商项目考核及准入的重要指标),建立有针对性的管理要求,并加强对其内部控制、质量管理、信息安全等方面的有效性评估。
第九十八条
第九十九条【境外】境外分行IT外包管理执行部门应对跨境运维类供应商所在国家或地区的经济、政治、社会情况进行持续监控,关注跨境运维类供应商所在国家或地区的法律法规、监管要求,同时加强对跨境运维类外包服务的客户信息保护(跨境运维类供应商客户信息保护能力为供应商选择的重要指标)。
第一百条
第十一章运维类IT外包项目管理
第十二章
第一节项目决策
第二节
第一百零一条【范围审查】分行运维类信息科技项目决策前,分行IT外包管理执行部门应查阅外包业务目录,审慎确定拟外包项目是否属于我行允许的运维类外包业务范围。
如未纳入外包业务目录,应按照《招商银行股份有限公司外包管理办法》的要求申请新增外包业务品种;属于我行允许的外包业务范围的,应按照《招商银行股份有限公司外包管理办法》中关于我行外包决策的审批权限进行审批。
第一百零二条
第一百零三条【考虑因素】分行IT外包管