2分行运维类信息科技外包管理办法意见征求稿V2.docx
《2分行运维类信息科技外包管理办法意见征求稿V2.docx》由会员分享,可在线阅读,更多相关《2分行运维类信息科技外包管理办法意见征求稿V2.docx(17页珍藏版)》请在冰豆网上搜索。
2分行运维类信息科技外包管理办法意见征求稿V2
招商银行分行运维类信息科技外包办法
(征求意见稿)
第一章总则
第二章
第一条【制定目的】为加强招商银行分行(以下简称“我分行”)运维类信息科技外包管理,确保分行运维类供应商提供持续、稳定、优质的服务,有效控制分行信息科技外包服务风险,根据银监会《银行业金融机构信息科技外包风险监管指引》(银监发[2013]5号)的监管要求,以及招商银行《招商银行信息科技外包风险管理指引》(招银发[2014]204号)等管理制度要求,结合分行运维类信息科技外包管理特点,制定本办法。
第二条
第三条【适用领域】本办法适用于招商银行在中华人民共和国境内依法设立的各级地方分行以及在境外设立的分支机构的信息科技部门以及相关业务部门。
第四条
第五条【管理对象】运维类信息科技外包是指我行将原本由自身负责处理的运维类信息科技活动委托给信息科技外包供应商进行处理的行为,包含项目外包、人力外包等形式,分行运维类信息科技外包管理范围包括:
第六条
(一)分行基础设施运维类,即所有涉及客户或内部信息转移的基础设施维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管)。
(二)
(三)分行应用运维类,所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动(包括托管)。
(四)
(五)分行桌面运维类,所有外部服务提供商参与的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动(包括托管)。
(六)
(七)运维相关咨询服务类:
外部服务供应商提供或参与信息科技领域的技术支持、解决方案、评测、认证、研究等活动。
(八)
第三章组织分工与职责
第四章
第七条【总行操作风险部】总行操作风险管理部是运维类信息科技外包风险主管部门。
第八条
第九条【总行信息技术部】总行信息技术部负责对分行信息科技外包管理工作提供制度支持,按照总行要求配合监管和审计部门对分行运维类信息科技外包的检查和审计。
第十条
第十一条【分行信息技术部】分行信息技术部负责统筹分行运维类信息科技外包管理工作,按照总行信息科技外包战略指引,结合分行工作实际,建立适合分行的运维类信息科技外包管理体系,制定分行运维类信息科技外包管理流程和操作细则。
第十二条
第十三条【分行IT外包管理执行部门】分行IT外包管理执行部门是分行运维类信息科技外包管理的实施和监督部门,其主要职责是负责根据总分行信息技术部(或相关职能部门)对运维类信息科技外包管理要求建立运维类信息科技外包管理体系,实施分行运维类供应商准入退出、评价、安全、应急管理,并负责监督管理日常工作。
第十四条
第十五条【分行IT外包项目实施部门】分行IT外包项目实施部门负责监督、管理运维类外包商在本行工作或访问期间的一切行为,并对其所管理外包商的行为、影响和后果负有监管责任。
第十六条
第十七条【实施依据】各级分行应当依据本管理办法对任何参与我分行信息科技建设或服务,以及拟参与我分行信息科技建设或服务的运维类供应商进行管理。
第十八条
第五章运维类IT外包策略
第六章
第十九条为了指导分行运维类信息科技外包活动,分行运维类信息科技外包策略与总行保持一致,即:
第二十条
(一)分行运维类信息科技管理责任以及涉及我行战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不外包。
(二)
(三)分行运维类信息科技外包管理需与我行的信息科技战略相一致,平衡风险、成本、效益和质量,并考虑当前外包市场环境、自身风险控制能力和风险偏好,不因外包降低对我行客户的服务质量和效率。
(四)
(五)严格按照以下外包策略选择分行运维类信息科技外包区域,保障我行核心领域信息安全:
(六)
核心业务产品、影响我行核心竞争力的产品、需要快速响应业务的产品,原则上不外包,由分行主导运维;
外部监管规定、我行信息安全管理制度不允许外包的领域,由分行自主运维;
非核心业务、市场具备专业性和成熟解决方案的业务领域,我行没有技术储备或我行不具备专业性的领域,在风险、成本、质量可控的条件下可考虑外包;
在自主运维资源不足的情况下,中低端或风险可控的信息科技工作可考虑人力资源外包。
(七)规划低风险的外包布局,采用低风险的外包模式,选择低风险的运维类供应商。
(八)
建立与自身规模、市场地位相适应的运维类供应商关系管理策略,通过准入和退出机制控制各类高风险运维类供应商的数量,防范行业垄断和机构集中度风险,通过引入适当的竞争降低采购成本、提高服务质量,同时形成备份,合理控制运维类供应商的数量;
原则上不使用跨境外包;
在使用关联外包时不应因关联关系降低对运维类外包管理要求;
对于运维类供应商为同业托管机构的情况分行IT外包管理执行部门可参照本指引要求对其进行管理。
第二十一条分行信息技术部应根据运维类信息科技外包策略进行运维类IT职能外包适宜度分析,如出现对不适宜外包的分行运维类IT职能进行外包,分行信息技术部应组织建立能力回收方案。
第二十二条
第七章运维类IT外包风险管理
第八章
第二十三条分行运维类信息科技外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理。
应贯穿于分行运维类信息科技日常管理工作中,长期管控运维类信息科技外包风险。
第二十四条
第二十五条总行组织分行开展运维类信息科技外包风险管理评估,保持评估的独立性,并形成评估报告。
第二十六条
第二十七条分行信息技术部应按照总行要求开展分行运维类信息科技外包风险管理自评估。
第二十八条
第二十九条总行定期开展针对分行运维类信息科技外包风险管理审计工作。
发生运维类外包风险事件后分行应及时开展专项审计。
第三十条
第三十一条分行IT外包管理执行部门应对不同级别的运维类供应商采取差异化的管理措施,在有效管控重要风险的前提下降低管理成本。
对重要分行运维类供应商管控措施还包括尽职调查、风险评估、实地检查等,加强对非驻场运维类供应商的风险监管。
第三十二条
第九章运维类IT外包供应商管理
第十章
第一节关系管理
第二节
第三十三条【关系管理】分行运维类信息科技外包关系管理是指按照分行运维类信息科技外包管理范围对供应商在各个服务领域中进行分类,对每类运维类供应商采取不同方式的管控,并与其建立不同合作关系的管理方式。
分行信息技术部应对运维类供应商关系进行划分,针对不同关系的运维类供应商,区分风险管控力度和管控手段,建立相应的惩罚或激励措施,以提高管理效率,降低分行运维类信息科技外包管理风险。
第三十四条
第三节管控原则
第四节
第三十五条【执行原则】分行运维类信息科技外包管理的管控原则是根据分行运维类信息科技外包管理范围类别、提供服务重要性的不同,对其采取分类分级的办法进行管控。
第三十六条
第五节运维类供应商准入
第六节
第三十七条【准入信息收集】分行IT外包管理执行部门在选择运维类供应商前,应对运维类供应商开展准入信息收集,收集的信息包括但不限于供应商的内部控制与管理能力信息、持续经营能力信息和技术与服务能力信息。
第三十八条
第三十九条【准入机制】分行IT外包管理执行部门应根据分行运维类供应商关系管控原则,结合分行自身业务特点建立分行运维类供应商准入机制。
第四十条
第四十一条【重点供应商准入要求】分行运维类供应商是银行业重点外包供应商的,分行信息技术部应参照《银行业金融机构信息科技外包风险监管指引》中重点外包服务机构的要求确认其满足相关的资质和监管要求。
第四十二条
第七节运维类供应商选择
第八节
第四十三条【选择要求】分行如采用邀标或对公开招标对象进行初选,具有投标资格的潜在运维类供应商应至少满足准入要求,确定项目备选供应商时应考虑运维类供应商关系类型,如应将战略合作关系供应商纳入备选范围,以及对于单一来源项目,在同等条件下应优先考虑将应急备选运维类供应商纳入备选范围等。
第四十四条
第四十五条【特殊项目】对于非公开招标的运维类项目,分行信息技术部应提供选择其招标方式的原因及风险控制,并获得管理层的审批;针对单一来源采购形式,应将优质的供应商关系类型作为评审单一来源的考虑因素,而对绩效考核结果较差或存在高集中度风险的运维类供应商建议取消其单一来源采购资格。
第四十六条
第九节尽职调查
第十节
第四十七条【关注对象】对于重要运维类供应商(包括集中采购的运维类供应商),分行信息技术部在与其签订合同签前应当深入开展尽职调查。
第四十八条
第四十九条【特别要求】各级分行信息技术部应当在尽职调查阶段详细分析运维类供应商技术、内控和管理水平,确认其有足够能力实施相关服务、处理突发事件等。
第五十条
第十一节运维类供应商评价
第十二节
第五十一条【建立评价体系】分行信息技术部负责建立分行运维类供应商评价管理体系、包括评价指标、评价标准、评价流程、评价结果应用措施等,对分行运维类供应商评价结果进行汇总并审核发布。
第五十二条
第五十三条【评价流程】分行IT外包管理执行部门依据分行运维类供应商绩效评价体系,针对所管理的运维类供应商,组织分行IT外包实施部门开展针对运维类供应商的绩效评价工作,原则上每年一次,并将结果报送分行信息技术部。
第五十四条
第五十五条【准入依据】分行与运维类供应商的服务合同终止时,分行信息技术部应组织对运维类供应商进行评价,评价结果应当作为运维类供应商再次准入、资质评审以及分行运维类供应商关系划分的重要参考依据。
第五十六条
第五十七条【惩罚】分行IT外包管理执行部门应负责组织运维类供应商绩效评价结果应用措施的落实,包括对运维类供应商的奖励和惩罚措施等,运维类供应商如存在考核不合格的情况,原则上未来两年内不得作为分行被采购对象纳入备选范围。
第五十八条
第十三节退出管理
第十四节
第五十九条【退出流程】分行IT外包管理执行部门负责建立分行运维类供应商退出机制,根据退出条件,由其主动终止与分行运维类供应商的IT外包合作关系,将其列入黑名单,不再与其开展新的运维类供应商服务合作,对于现有项目,应启动项目应急预案,寻求尽快替代,并报告总、分行信息技术部。
第六十条
第六十一条【惩罚】分行信息技术部应定期将运维类供应商黑名单及时报送总行信息技术部备案,情节严重的应取消其准入资质,并报监管机构申请对其备案。
第六十二条
第十五节行为管理
第十六节
第六十三条【制度约束】分行信息技术部应参照总行制定分行运维类供应商日常管理细则,明确分行对运维类供应商日常行为的管理原则及具体实施方法,提高运维类供应商的合规意识及能力,以满足分行对其日常行为的基本合规要求。
第六十四条
第六十五条【惩罚】分行IT外包管理执行部门根据运维类供应商行为对我行造成影响的范围以及影响程度,建立惩罚机制。
第六十六条
第十七节特殊运维类供应商管理
第十八节
第六十七条【应对措施】分行IT外包管理执行部门按照总行要求建立高集中度运维类供应商的识别标准,采取切实方法,降低运维类供应商的高集中度风险。
第六十八条
第六十九条【收集信息】分行IT外包管理执行部门应根据分行合规要求收集行业重点运维类供应商的信息,获取行业重点运维类供应商的外包风险监控报告和由独立审计机构出具的该运维类供应商外包服务的风险评估报告。
应要求行业重点供应商对其外包人员进行背景调查,确保其过往无不良记录。
第七十条
第七十一条【评估方向】分行IT外包管理执行部门应建立针对非驻场运维类供应商的内部控制及风险管理要求的最低标准,应对重要的非驻场供应商进行定期实地考察,加强对其内部控制、质量管理、信息安全等方面的有效性评估。
第七十二条
第七十三条【境外】境外分行IT外包管理执行部门应对跨境运维类供应商所在国家或地区的经济、政治、社会情况进行持续监控,关注跨境运维类供应商所在国家或地区的法律法规、监管要求,同时加强对跨境运维类外包服务的客户信息保护。
第七十四条
第十一章运维类IT外包项目管理
第十二章
第一节项目决策
第二节
第七十五条【确定范围】分行运维类信息科技项目决策前,分行IT外包管理执行部门应审慎确定拟外包项目是否属于我行允许的运维类外包业务范围。
第七十六条
第七十七条【考虑因素】分行IT外包管理执行部门进行运维类信息科技项目决策时应充分考虑该运维类IT项目的市场成熟度、法律风险、战略风险、操作风险、声誉风险、国别风险以及其他特殊风险进行项目决策,并制定相应的风险处置措施。
第七十八条
第七十九条【重大项目决策】分行IT外包管理执行部门应进行运维类项目决策时需按照总行要求,重大运维类信息科技外包项目应报予总行审核。
第八十条
第三节采购与合同
第四节
第八十一条【采购条件】完成立项审批的运维类信息科技外包项目,已达到我行集中采购规定条件的,分行信息技术部采购管理部门应按照集中采购的制度要求由其组织实施集中采购;未达到我行集中采购规定条件的,由分行信息技术部采购管理部门按照分行采购管理要求自行组织采购并根据运维类供应商的准入管理要求确定合格运维类供应商,并报送总行信息技术部备案。
第八十二条
第八十三条【签订条件】分行运维类供应商实施服务前,分行信息技术部应当与其签订合同,合同应根据服务需求、风险评估及资质评审结果确定其详细程度和重点,并由分行法律与合规主管部室(或职能岗位)、分行IT外包管理执行部门审核。
第八十四条
第八十五条【保密要求】合同中应当明确运维类供应商在安全和保密方面的责任,以及针对信息安全及保密性要求需采取的具体措施。
第八十六条
分行信息技术部应安排运维类供应商签订保密承诺或在合同中签订保密条款。
第五节项目实施管理
第六节
第八十七条【责任人】分行运维类信息科技外包以项目为单位实施管理,具体管理工作由外包项目经理(或项目负责人)承担项目质量管理、进度管理、及相关协调沟通责任。
第八十八条
第八十九条【责任人要求】项目经理应制定分行运维类外包项目计划,对项目进行基本分工,确保项目不会出现供应商无法履约的情况。
第九十条
第九十一条【实施内容】分行IT外包管理执行部门应该建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并根据运维类信息科技的外包需求、合同、服务水平协议等建立明确的服务质量监控指标,对项目实施进行管理。
第九十二条
第七节交付物验收
第八节
第九十三条【组织验收】运维类外包项目应设立验收小组,验收小组应按照合同规定,组织相关人员落实好文档移交、技术转移以及知识转移等工作,根据服务水平协议中定义的阶段性和最终验收时点开展项目验收,确保运维类供应商交付的产品或提供的服务达到验收标准。
第九十四条
第十三章人员管理
第十四章
第九十五条分行IT外包管理执行部门(或责任人)应建立分行运维类信息科技外包人员管理规范(包括资质考核、背景调查、进场、离场、考勤、加班、评价、离职、释放以及安全合规检查管理等),由外包项目实施部门(或相关职责岗)依据管理规范对外包人员进行管理。
第九十六条
第十五章安全管理
第十六章
第九十七条【具体措施】分行IT外包管理执行部门应当制定适合本行的运维类供应商安全管理要求,并严格落实,防范因分行运维类供应商活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。
第九十八条
第九十九条【关联关系检查】分行IT外包管理执行部门在对存在关联关系的运维类供应商进行安全检查,不得以该供应商自评估替代、不得因关联关系而影响检查的独立性、客观性及公正性。
第一百条
第一百零一条【完善管控】分行IT外包管理执行部门应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第一百零二条
第十七章应急管理
第十八章
第一百零三条【管理要求】分行IT外包管理执行部门应当考虑信息科技外包的引入对分行运维类业务连续性管理的影响,有针对性的完善业务连续性计划。
第一百零四条
第一百零五条【管理措施】分行IT外包管理执行部门应当事先对业务连续性管理造成重大影响的运维类外包服务建立风险控制、缓释或转移措施,降低分行运维类外包突发事件的可能性及影响。
第一百零六条
第一百零七条【实施演练】分行IT外包管理执行部门应当按照总行要求,针对重要运维类服务中断的场景,拟定相应的应急计划,制定完备的项目级和组织级应急响应预案进行演练。
第一百零八条
第一百零九条【奖惩】对于无法满足运维类外包服务要求或发生重大事件的情况,分行IT外包管理执行部门应当在充分评估其影响及制定退出计划的前提下,考虑主动要求分行运维类供应商终止服务,情节特别严重的,可考虑取消准入资质,报监管机构申请对其备案,并通报总行信息技术部。
对于关联外包,分行IT外包管理执行部门不得因为关联关系而影响运维类外包供应商退出机制的落实。
第一百一十条
第十九章合规与审计
第二十章
第一百一十一条分行操作风险管理部室应对分行运维类信息科技外包活动进行指导,保证其符合分行外包风险管理要求。
第一百一十二条
第一百一十三条分行法律与合规部室应对分行运维类信息科技外包活动提供法律合规咨询。
对于分行运维类信息科技外包过程中出现的不合规事项,应及时进行提醒及建议。
第一百一十四条
第一百一十五条分行内控审计部室应按照监管及总行要求,定期对分行运维类信息科技外包活动进行审计,并向总行和属地银监局提供监管所需的审计报告。
第一百一十六条
第二十一章监督管理
第二十二章
第一百一十七条【重要项目监管】分行信息技术部实施以下重要信息科技运维类项目时,应当在合同签订前二十个工作日书面报告中国银监会或属地银监局,并按季度上报总行信息技术部:
第一百一十八条
(一)运维类信息科技工作整体外包;
(二)
(三)涉及将银行业金融机构客户资料、交易数据等敏感信息交由运维类供应商进行分析或处理的信息科技外包;
(四)
(五)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(六)
(七)运维类信息科技关联外包;
(八)
(九)涉及跨境的运维类信息科技外包;
(十)
(十一)其他监管机构认为重要的运维类信息科技外包。
(十二)
第一百一十九条【重大事件监管】分行运维类信息科技外包活动中如发生如下重大事件时,分行IT外包管理执行部门应在两个工作日内报告中国银监会或属地银监局,并报送总行信息技术部。
第一百二十条
(一)敏感数据泄露等各类信息安全事件;
(二)
(三)数据损毁或者重要业务运营中断;
(四)
(五)由于不可抗力或供应商重大经营、财务问题、管理问题,导致或可能导致我行外包服务中断;
(六)
(七)其他重大的运维类供应商违法违规事件;
(八)
(九)中国银监会规定需要报告的其他重大事件。
(十)
第一百二十一条【报送】分行信息技术部在开展年度运维类供应商风险评估工作后,应当将年度风险评估报告报送总行信息技术部和当地银监局。
第一百二十二条
第十二章附则
第一百二十三条本办法由总行信息技术部负责解释。
第一百二十四条
第一百二十五条本办法自年月日起施行。
第一百二十六条
升级会员 