银行信息科技外包服务管理办法模版.docx
《银行信息科技外包服务管理办法模版.docx》由会员分享,可在线阅读,更多相关《银行信息科技外包服务管理办法模版.docx(16页珍藏版)》请在冰豆网上搜索。
银行信息科技外包服务管理办法模版
信息科技外包服务管理办法
编制部门:
版次号:
生效日期:
xx年06月01日
第一章总则
第一条为规范银行(以下简称“本行”)信息科技外包服务管理,防范和控制信息科技外包服务风险,根据中国银行业监督管理委员会《银行业金融机构信息科技外包风险监管指引》,制定本办法。
第二条本办法所称信息科技外包,是指本行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
原则上包括以下类型:
(1)研发咨询类外包:
科技管理及科技治理等咨询设计外包、规划、需求、系统开发、测试外包;
(2)系统运行维护类外包:
包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;
(3)业务外包中的信息科技活动:
市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动;
第三条本行信息科技外包服务管理须坚持自主为主、严格控制、规范管理、风险可控、信息安全的原则。
(1)自主为主。
本行核心业务系统的运营坚持自我为主的原则,非核心业务系统的运营根据需要审慎采用信息科技外包服务;
(2)严格控制。
各级行、各部门的信息科技外包服务须根据本办法的有关规定,严格审批,做好准入控制;
(3)规范管理。
信息科技外包服务由总行统筹管理,分支行禁止任何组织以任何形式自主进行信息科技的外包活动;
(4)风险可控。
各级行、各部门须将信息科技外包服务风险控制作为开展外包活动的首要任务,采用制度约束、岗位制约、系统控制、监督检查等手段,防范和控制风险;
(5)信息安全。
各级行、各部门与外包服务提供商合作时,必须按照《银行信息科技外包服务合同管理办法》的有关要求,明确权责;同时采取有效的技术措施确保本行信息资产的安全。
第四条本办法所称机构集中度风险,是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。
第五条本办法适用于本行信息科技外包服务的管理,使用信息科技外包资源的各部门或本行分支机构应根据本办法要求进行信息科技外包管理工作,并可根据本办法各项要求,酌情制订相应实施细则或工作流程。
第二章外包管理组织架构
第六条作为信息科技外包服务执行部门,主要职责包括:
(一)负责研究、论证信息科技外包服务项目的必要性、合理性、可行性,为决策层审定信息科技外包服务项目提供依据;
(二)负责规划信息科技外包服务资源配置及建设,审核信息科技外包服务的技术方案;
(三)负责制订信息科技外包服务合同的基本技术要求,协助相关部门起草与签订非标准化的信息科技外包服务合同;
(四)负责信息科技外包服务人员的进出场管理、日常管理、变更管理以及信息科技外包服务合同履约跟踪;
(五)负责制订、改进信息外包服务管理考核评价机制和指标,并组织实施各项考核;
(六)负责验收和评价信息科技外包服务提供商按照约定要求最终提供的产品、技术和服务,并负责对信息科技外包服务提供商合作情况提出建议并督促改进;
(七)负责在业务连续性管理框架下,制订信息科技外包服务风险应急方案;
(八)协助风险管理部组织信息科技外包服务风险管控活动。
第七条下设信息科技外包管理岗,主要职责包括:
(1)负责实施信息科技外包战略;
(2)落实本部门外包管理职责;
(3)负责制定并实施信息科技外包服务各项管理制度;
(4)负责协调执行提供商准入、评价、退出管理,建立并维护提供商关系管理策略;
(5)负责制定保障外包服务持续性的应急管理方案,并组织实施定期演练;
(6)负责对外包过程中的各项管理活动进行监控及分析,定期向及风险管理部报告外包活动情况。
第八条风险管理部作为信息科技外包服务风险管理部门,主要职责包括:
(1)对外包风险进行识别、评估与风险提示;
(2)监督、评价外包管理工作,并督促外包风险管理的持续改善;
(3)向高级管理层定期汇报信息科技外包活动相关风险管理情况;
(4)董事会或高级管理层确定的其他信息科技外包风险管理职责。
第九条法律事务部负责对信息科技外包合同进行审核。
第一十条为本行信息科技外包服务的审计部门,负责对信息科技外包项目进行审计。
第一十一条负责信息科技外包项目采购和招标相关的商务工作。
第三章信息科技外包管理
第一节外包准入风险评估
第一十二条应审慎检查项目与信息科技外包战略的一致性,根据项目内容、范围、性质对其进行风险识别和评估,制定相应的风险处置措施,不因外包活动的引入而增加整体剩余风险。
重大外包项目应向董事会、高级管理层报告。
第一十三条在选择外包服务提供商时,应重点考察服务商的以下条件:
(1)是否符合本行对合作单位的总体要求;
(2)服务商的技术能力和服务质量;
(3)突发事件应对能力;
(4)对银行业务的熟悉程度;
(5)对同业提供服务的情况;
(6)具有从事相关产品服务的资质;
(7)外包服务商保护个人金融信息的能力;
(8)本行认为重要的其他事项等。
第一十四条高度关注银行业重点外包服务机构的准入。
银行业重点外包服务机构是指集中为银行业金融机构提供外包服务,并同时满足下述条件,若其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断,造成经济损失的机构,具体条件如下:
(1)承担集中存贮客户数据的业务交易系统外包服务;或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务;或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务;且上述服务均为非驻场外包服务;
(2)服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上;或服务的跨区域经营法人银行业金融机构数量达到3家或以上;或服务的其他类型法人银行业金融机构数量达到10家或以上。
第一十五条外包服务提供商为银行业重点外包服务机构的,应具备以下条件:
(1)应当是中华人民共和国境内注册的独立法人实体,注册资本和实收资本不少于1000万元,注册成立时间不少于3年;
(2)应当拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证;
(3)应当建立与所承担的服务范围和规模相适应的服务管理体系,建立完善的信息安全、服务质量、服务持续性等管理制度体系,拥有有效的检查、监控和考核机制,确保管理规范有效执行;
(4)应当具有足够的技术能力、人力资源和设施、环境,满足外包服务的质量和安全管理要求;
(5)其承担的银行业金融机构外包服务场地应当设置在中国境内。
第一十六条外包服务提供商为银行业重点外包服务机构的,应具有如下相关领域资质认证:
(1)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证;
(2)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证;
(3)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构,其机房及基础设施应当达到国家电子计算机机房最高标准;
(4)承担集中存贮客户数据的业务交易系统外包服务,或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构,应当具有完善的运行服务管理体系,并通过业界公认较为权威的运行服务管理资质认证。
第一十七条为本行提供信息科技外包服务的提供商应通过本行的准入评估,方可获得为本行信息化项目提供服务的资格。
第一十八条对银监会定期发布的服务提供商风险预警中涉及的问题机构,按要求在两年内禁止其准入,两年内仍未整改的,延长禁止期。
第二节外包服务商的日常管理和监督
第一十九条对重要的服务提供商,应在合同签订前对服务提供商进行深入的尽职调查,包括:
(1)关注服务提供商的技术和行业经验,包括但不限于:
服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等;
(2)应当关注服务提供商的内部控制和管理能力,包括但不限于:
内部控制机制和管理流程的完善程度、内部控制技术和工具等;
(3)应当关注服务提供商的持续经营状况,包括但不限于:
从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第二十条信息科技外包服务按照“谁使用、谁负责”的原则,进行信息科技外包服务提供商的日常管理和监督。
第二十一条应及时发现和掌握与信息科技外包服务提供商在合作过程中存在的问题和风险。
第二十二条信息科技外包服务人员须接受本行的管理。
包括进出场管理、考勤、培训、考核、信息资产安全保护、人员变更等。
第二十三条信息科技外包服务人员的考勤及工作表现应作为信息科技外包服务提供商考核的重要组成部分。
第二十四条应对其所提供信息科技服务的外包人员进行相关规章制度和基本行为准则的培训。
第二十五条各级行、各部门作为信息科技外包服务使用部门应通过信息接触、授权、销毁等方面的限制措施,确保信息资产的安全。
风险管理部应对措施的执行情况进行监督和检查。
第三节外包服务监督与评价
第二十六条应对外包服务过程进行持续监控,要求服务提供商建立阶段性服务目标及任务,并跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况。
第二十七条应依据《银行信息科技外包服务合同管理办法》与服务提供商签订合同,并根据合同或协议规定的服务考核指标对服务提供商进行定期评价,确保外包服务监控基础数据和评价结果的真实性和完整性,且数据至少需保存到服务结束后一年。
第二十八条应对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
第二十九条监控到异常情况时,应及时督促服务提供商采取纠正措施,对于情节严重的或未及时纠正的,应约谈服务提供商高管人员并限期整改,同时向风险管理部报告。
第三十条外包服务结束时,应对服务提供商进行评价,评价结果应作为服务提供商准入的重要参考依据。
第四章外包服务风险管理
第一节风险评估与审计
第三十一条风险管理部应至少每年开展一次全面的外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。
评估内容包括:
信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。
第三十二条应对重要的外包服务提供商进行定期的风险评估,保持评估的独立性。
至少在三年内覆盖所有重要的服务提供商。
评估内容包括:
服务提供商合规情况、服务的执行效果等,评估结果应当作为服务提供商准入及退出的重要依据。
第三十三条董事会内审办会室应定期开展信息科技外包风险管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。
发生外包风险事件后应及时开展专项审计。
第二节外包服务安全管理
第三十四条为确保信息安全,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。
应当采取以下措施:
(1)对外包人员进行信息安全培训,提高风险管理意识,确保信息安全管控措施在外包服务过程中有效落实;
(2)明确外包活动需要访问或使用的信息资产,包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等,按“必需知道”和“最小授权”原则进行访问授权;
(3)对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;
(4)定期对服务提供商进行安全检查,获取服务提供商自评估或第三方评估报告。
第三十五条关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系,避免因新技术或应用的引入而增加额外的信息安全风险。
第三节外包服务中断与终止
第三十六条为降低外包突发事件的可能性及影响,应事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施,包括但不限于以下内容:
(1)在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断的情况;
(2)与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权;
(3)要求服务提供商制定服务中断相关的应急处理预案,如提供备份人员;
(4)对于涉及重要业务的外包服务,本行需考虑预先在其内部配置相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力。
第三十七条为应对突发的外包服务中断事件,应针对重要外包服务中断的场景,拟定相应的应急计划,并定期进行演练,考虑因素包括但不限于以下内容:
(1)事件场景,如重要人员流失导致服务无法持续,服务提供商主动退出,因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等;
(2)事件持续时间和恢复可能性;
(3)事件影响范围和可能的应急措施;
(4)服务提供商自行恢复服务的可能性和时间;
(5)备选的服务提供商以及外包服务迁移方案;
(6)外包服务过渡给本行自行运作的可能性、时效及资源需求。
第三十八条对于无法满足外包服务要求或发生重大事件的情况,应在充分评估其影响及制定退出计划的前提下,考虑主动要求服务提供商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。
第四节重点外包服务机构风险管理
第三十九条应在风险管理、审计方面对银行业重点外包服务机构提出如下要求:
(1)银行业重点外包服务机构应当具有信息科技风险的管理体系,有效识别、监测、评估和控制风险。
至少每季度向本行报送外包风险监控报告,针对监控发现的潜在风险或风险事件,及时采取控制或缓释措施;
(2)银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,年度风险评估报告需报送本行,并抄送银监会或其派出机构;
(3)银行业重点外包服务机构应当对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应当与项目成员签订保密协议,并保留至少10年的法律追诉期。
第五章报告管理
第四十条本行开展以下信息科技外包服务时,应在外包合同签订前二十个工作日向银监会派出机构报告:
(1)信息科技工作整体外包;
(2)数据中心或灾备中心整体外包;
(3)涉及将本行客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;
(4)以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;
(5)关联外包;即:
服务提供商为本行或所属集团子公司、关联公司或附属机构提供信息科技外包;
(6)涉及跨境的信息科技外包;
(7)其他银监会认为重要的信息科技外包。
第四十一条本行信息科技外包活动中发生如下重大事件时,应在两个工作日内银监会派出机构报告:
(1)本行客户信息等敏感数据泄露;
(2)数据损毁或者重要业务运营中断;
(3)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行业金融机构外包服务中断;
(4)其他重大的服务提供商违法违规事件;
(5)银监会规定需要报告的其他重大事件。
第四十二条风险管理部在开展年度外包风险管理评估工作后,应将年度风险评估报告报送银监会派出机构。
第六章附则
第四十三条本办法由银行负责制定、解释和修改。
第四十四条本办法自发布之日起施行。
附件:
1.《外包服务商尽职调查表》
附件1.《银行外包服务商尽职调查表》
银行外包服务商尽职调查表
1.基本情况
编号
问题
选项
企业性质
A.国有控股企业
B.民营控股企业
C.中外合资,外资控股企业
D.外商独资企业
企业成立于
_______年
企业从事外包业务的年数
_______年
企业分支机构设立情况
(分支机构包括:
子公司、分公司和办事处)
国内:
_____个,分布在______
__________________________
国外:
_____个,分布在______
__________________________
2.业务类型
编号
问题
选项
企业金融类外包业务占全部外包业务比例
业务比例_______%
企业金融类外包业务主要客户包括
A.金融监管机构
业务比例_______%
B.国有大型银行
业务比例_______%
C.股份制银行
业务比例_______%
D.城市商业银行
业务比例_______%
E.农村信用社
业务比例_______%
F.其他
业务比例_______%
3.资质认证
编号
指标
选项
企业通过以下哪些资质(可多选)
A.CMM/CMMI
认证等级____________
B.ISO27001/BS7799
C.ISO20000
D.ISO9001
E.PCMM
F.SAS70
企业系统集成资质级别
A.一级
B.二级
C.三级
D.其他____________
4.经营状况
编号
问题
选项
企业的营业总额
A.前年度:
______万元
B.上年度:
_____万元
5.合同规模和年限
编号
问题
选项
企业上年度所承接的最大外包项目的合同金额
(不包括硬件和产品费用)
A.超过5000万元
B.1000万~5000万元
C.500万~1000万元
D.100万~500万元
E.50万~100万元
F.50万以下元
企业上年度所承接的大部分外包项目的合同金额(不包括硬件和产品费用)
A.超过5000万元
B.1000万~5000万元
C.500万~1000万元
D.100万~500万元
E.50万~100万元
F.50万以下元
企业上年度所承接的外包项目合同的最长年限
_________年
企业上年度所承接的外包项目合同的平均年限
_________年
6.人力资源
编号
问题
选项
企业员工规模
(4)目前员工总数______人;
(5)从事外包业务的员工总数_______人;
(6)目前从事外包业务的员工中包括:
A.管理人员____人
B.市场人员____人
C.技术人员_____人
D.其他人员_____人
企业员工的专业工作经验情况是
A.10年以上,______人
B.5-10年,_______人
C.3-5年,_______人
D.1-3年,_______人
E.1年以内,_______人
企业员工的学历分布
A.博士,_______人
B.硕士/MBA,_______人
C.大学,_____人
D.其它:
____,______人
7.企业内部管理
编号
指标
选项
企业目前采取了哪些知识产权保护措施(可多选)
A.企业制定了知识产权保护相关的规章制度
B.在员工合同中包括知识产权保护的相关条款
C.企业为创新成果申请了专利
D.企业为创新成果申请了版权
E.通过物理和技术手段保护知识产权(例如防火墙、数据加密等)
F.为员工提供知识产权保护的相关培训
G.其他措施,请指出:
______________________
______________________
______________________
企业目前采取了哪些信息安全保护措施(可多选)
A.制定了信息安全相关的规章制度
B.设有专门的信息安全管理人员
C.建立了严格的身份认证和访问授权体系
D.有效的网络管理和数据保护措施
E.采用了完善的系统备份和故障恢复手段
F.定期进行安全补丁和病毒库的升级
G.其他措施,请指出:
______________________
______________________
______________________
企业是否和员工签订保密协议
A.和公司全部员工签订
B.仅和正式员工签订
C.仅和一部分员工(重要人才)签订
D.没有签订