银行信息科技外包服务管理办法模版Word文件下载.docx

1、各级行、各部门与外包服务提供商合作时，必须按照银行信息科技外包服务合同管理办法的有关要求，明确权责；同时采取有效的技术措施确保本行信息资产的安全。第四条 本办法所称机构集中度风险，是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。第五条 本办法适用于本行信息科技外包服务的管理，使用信息科技外包资源的各部门或本行分支机构应根据本办法要求进行信息科技外包管理工作，并可根据本办法各项要求，酌情制订相应实施细则或工作流程。第二章 外包管理组织架构第六条 作为信息科技外包服务执行部门，主要职责包括：（一） 负责研究、论证信息

2、科技外包服务项目的必要性、合理性、可行性，为决策层审定信息科技外包服务项目提供依据；（二） 负责规划信息科技外包服务资源配置及建设，审核信息科技外包服务的技术方案；（三） 负责制订信息科技外包服务合同的基本技术要求，协助相关部门起草与签订非标准化的信息科技外包服务合同；（四） 负责信息科技外包服务人员的进出场管理、日常管理、变更管理以及信息科技外包服务合同履约跟踪；（五） 负责制订、改进信息外包服务管理考核评价机制和指标，并组织实施各项考核；（六） 负责验收和评价信息科技外包服务提供商按照约定要求最终提供的产品、技术和服务，并负责对信息科技外包服务提供商合作情况提出建议并督促改进；（七） 负责

3、在业务连续性管理框架下，制订信息科技外包服务风险应急方案；（八） 协助风险管理部组织信息科技外包服务风险管控活动。第七条 下设信息科技外包管理岗，主要职责包括：（1）负责实施信息科技外包战略；（2）落实本部门外包管理职责；（3）负责制定并实施信息科技外包服务各项管理制度；（4）负责协调执行提供商准入、评价、退出管理，建立并维护提供商关系管理策略；（5）负责制定保障外包服务持续性的应急管理方案，并组织实施定期演练；（6）负责对外包过程中的各项管理活动进行监控及分析，定期向及风险管理部报告外包活动情况。第八条 风险管理部作为信息科技外包服务风险管理部门，主要职责包括：（1）对外包风险进行识别、评估

4、与风险提示；（2）监督、评价外包管理工作，并督促外包风险管理的持续改善；（3）向高级管理层定期汇报信息科技外包活动相关风险管理情况；（4）董事会或高级管理层确定的其他信息科技外包风险管理职责。第九条 法律事务部负责对信息科技外包合同进行审核。第一十条 为本行信息科技外包服务的审计部门，负责对信息科技外包项目进行审计。第一十一条 负责信息科技外包项目采购和招标相关的商务工作。第三章 信息科技外包管理第一节 外包准入风险评估第一十二条 应审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处置措施，不因外包活动的引入而增加整体剩余风险。重大外包项目

5、应向董事会、高级管理层报告。第一十三条 在选择外包服务提供商时，应重点考察服务商的以下条件：（1）是否符合本行对合作单位的总体要求；（2）服务商的技术能力和服务质量；（3）突发事件应对能力；（4）对银行业务的熟悉程度；（5）对同业提供服务的情况；（6）具有从事相关产品服务的资质；（7）外包服务商保护个人金融信息的能力；（8）本行认为重要的其他事项等。第一十四条 高度关注银行业重点外包服务机构的准入。银行业重点外包服务机构是指集中为银行业金融机构提供外包服务，并同时满足下述条件，若其外包服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统服务中断，造成经济损失的机构，具体条件如下：（1）承

6、担集中存贮客户数据的业务交易系统外包服务；或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务；或承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务；且上述服务均为非驻场外包服务；（2）服务的法人银行业金融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上；或服务的跨区域经营法人银行业金融机构数量达到3家或以上；或服务的其他类型法人银行业金融机构数量达到10家或以上。第一十五条 外包服务提供商为银行业重点外包服务机构的，应具备以下条件：（1）应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万元，注册成立时间不少于3年；（2）应当拥有健

7、全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应当建立由公司高级管理层直接领导、针对银行业金融机构外包服务的、专职信息科技风险管理团队，为持续的外包服务提供保证；（3）应当建立与所承担的服务范围和规模相适应的服务管理体系，建立完善的信息安全、服务质量、服务持续性等管理制度体系，拥有有效的检查、监控和考核机制，确保管理规范有效执行；（4）应当具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求；（5）其承担的银行业金融机构外包服务场地应当设置在中国境内。第一十六条 外包服务提供商为银行业重点外包服务机构的，应具有如下相关领域资质认证：（1）具有完善的信息安

8、全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证；（2）具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证；（3）承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构，其机房及基础设施应当达到国家电子计算机机房最高标准；（4）承担集中存贮客户数据的业务交易系统外包服务，或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应当具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。第一十七条 为本行提供信息科技外包服务的提供商应通过本行的准入评估，方

9、可获得为本行信息化项目提供服务的资格。第一十八条 对银监会定期发布的服务提供商风险预警中涉及的问题机构，按要求在两年内禁止其准入，两年内仍未整改的，延长禁止期。第二节 外包服务商的日常管理和监督第一十九条 对重要的服务提供商，应在合同签订前对服务提供商进行深入的尽职调查，包括：（1）关注服务提供商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等；（2）应当关注服务提供商的内部控制和管理能力，包括但不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具等；（3）应当关注服务提供商的持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金

10、的安全性、近期盈利情况等。第二十条 信息科技外包服务按照“谁使用、谁负责”的原则，进行信息科技外包服务提供商的日常管理和监督。第二十一条 应及时发现和掌握与信息科技外包服务提供商在合作过程中存在的问题和风险。第二十二条 信息科技外包服务人员须接受本行的管理。包括进出场管理、考勤、培训、考核、信息资产安全保护、人员变更等。第二十三条 信息科技外包服务人员的考勤及工作表现应作为信息科技外包服务提供商考核的重要组成部分。第二十四条 应对其所提供信息科技服务的外包人员进行相关规章制度和基本行为准则的培训。第二十五条 各级行、各部门作为信息科技外包服务使用部门应通过信息接触、授权、销毁等方面的限制措施，

11、确保信息资产的安全。风险管理部应对措施的执行情况进行监督和检查。第三节 外包服务监督与评价第二十六条 应对外包服务过程进行持续监控，要求服务提供商建立阶段性服务目标及任务，并跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。第二十七条 应依据银行信息科技外包服务合同管理办法与服务提供商签订合同，并根据合同或协议规定的服务考核指标对服务提供商进行定期评价，确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务结束后一年。第二十八条 应对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部

12、管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。第二十九条 监控到异常情况时，应及时督促服务提供商采取纠正措施，对于情节严重的或未及时纠正的，应约谈服务提供商高管人员并限期整改，同时向风险管理部报告。第三十条 外包服务结束时，应对服务提供商进行评价，评价结果应作为服务提供商准入的重要参考依据。第四章 外包服务风险管理第一节 风险评估与审计第三十一条 风险管理部应至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。第三十二条 应

13、对重要的外包服务提供商进行定期的风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。第三十三条 董事会内审办会室应定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应及时开展专项审计。第二节 外包服务安全管理第三十四条 为确保信息安全，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。应当采取以下措施：（1）对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实；（

14、2）明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；（3）对重要或核心的信息系统开发交付物进行源代码检查和安全扫描；（4）定期对服务提供商进行安全检查，获取服务提供商自评估或第三方评估报告。第三十五条 关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。第三节 外包服务中断与终止第三十六条 为降低外包突发事件的可能性及影响，应事先对业务连续性管理造成重大影响的外包服务建立风

15、险控制、缓释或转移措施，包括但不限于以下内容：（1）在外包服务实施过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断的情况；（2）与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权；（3）要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员；（4）对于涉及重要业务的外包服务，本行需考虑预先在其内部配置相应的人力资源，掌握必要的技能，以在外包服务中断期间自行维持最低限度的服务能力。第三十七条 为应对突发的外包服务中断事件，应针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，考虑因素包括但不限于以下内容：（1）事件场景，如重要人员流失导

16、致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等；（2）事件持续时间和恢复可能性；（3）事件影响范围和可能的应急措施；（4）服务提供商自行恢复服务的可能性和时间；（5）备选的服务提供商以及外包服务迁移方案；（6）外包服务过渡给本行自行运作的可能性、时效及资源需求。第三十八条 对于无法满足外包服务要求或发生重大事件的情况，应在充分评估其影响及制定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。第四节 重点外包服务机构风险管理第三十九条 应在风险管理、审计方面对银行业重点外包服务机构提

17、出如下要求：（1）银行业重点外包服务机构应当具有信息科技风险的管理体系，有效识别、监测、评估和控制风险。至少每季度向本行报送外包风险监控报告，针对监控发现的潜在风险或风险事件，及时采取控制或缓释措施；（2）银行业重点外包服务机构应当每年聘请独立的审计机构，对自身外包服务进行风险评估,年度风险评估报告需报送本行，并抄送银监会或其派出机构；（3）银行业重点外包服务机构应当对其外包服务团队成员进行背景调查，确保其过往无不良记录，且应当与项目成员签订保密协议，并保留至少10年的法律追诉期。第五章 报告管理第四十条 本行开展以下信息科技外包服务时,应在外包合同签订前二十个工作日向银监会派出机构报告：（1

18、）信息科技工作整体外包；（2）数据中心或灾备中心整体外包；（3）涉及将本行客户资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包；（4）以非驻场形式实施的、集中存贮客户数据的业务交易系统外包；（5）关联外包；即：服务提供商为本行或所属集团子公司、关联公司或附属机构提供信息科技外包；（6）涉及跨境的信息科技外包；（7）其他银监会认为重要的信息科技外包。第四十一条 本行信息科技外包活动中发生如下重大事件时，应在两个工作日内银监会派出机构报告：（1）本行客户信息等敏感数据泄露；（2）数据损毁或者重要业务运营中断；（3）由于不可抗力或服务提供商重大经营、财务问题，导致或可能导致多家银行

19、业金融机构外包服务中断；（4）其他重大的服务提供商违法违规事件；（5）银监会规定需要报告的其他重大事件。第四十二条 风险管理部在开展年度外包风险管理评估工作后，应将年度风险评估报告报送银监会派出机构。第六章 附则第四十三条 本办法由银行负责制定、解释和修改。第四十四条 本办法自发布之日起施行。附件：1.外包服务商尽职调查表附件1.银行外包服务商尽职调查表银行外包服务商尽职调查表1.基本情况编号问题选项企业性质 A.国有控股企业 B.民营控股企业 C.中外合资，外资控股企业 D.外商独资企业企业成立于_年企业从事外包业务的年数企业分支机构设立情况（分支机构包括：子公司、分公司和办事处）国内:_个

20、，分布在_国外:2.业务类型企业金融类外包业务占全部外包业务比例业务比例_%企业金融类外包业务主要客户包括 A. 金融监管机构 B. 国有大型银行 C.股份制银行 D.城市商业银行 E. 农村信用社 F.其他3.资质认证指标企业通过以下哪些资质（可多选） A.CMMCMMI认证等级_ B. ISO27001/BS7799 C. ISO20000 D. ISO9001 E. PCMM F. SAS70企业系统集成资质级别 A.一级 B.二级 C. 三级 D. 其他_4.经营状况企业的营业总额A. 前年度: _万元B. 上年度:_ 万元5.合同规模和年限企业上年度所承接的最大外包项目的合同金额（不

21、包括硬件和产品费用） A.超过5000万元 B.1000万5000万元 C.500万1000万元 D. 100万500万元 E. 50万100万元 F. 50万以下元企业上年度所承接的大部分外包项目的合同金额（不包括硬件和产品费用）企业上年度所承接的外包项目合同的最长年限 _年企业上年度所承接的外包项目合同的平均年限_年6.人力资源企业员工规模（4）目前员工总数 _人；（5）从事外包业务的员工总数_人；（6）目前从事外包业务的员工中包括：A.管理人员_ _ _人B. 市场人员_ _人C.技术人员_ _人D.其他人员_ _人企业员工的专业工作经验情况是 A.10年以上，_人 B.5-10年，_人

22、 C.3-5年，_人 D.1-3年，_人 E.1年以内，_人企业员工的学历分布 A.博士，_人 B. 硕士/MBA，_人 C.大学，_人 D.其它: _，_人7.企业内部管理企业目前采取了哪些知识产权保护措施（可多选） A. 企业制定了知识产权保护相关的规章制度 B. 在员工合同中包括知识产权保护的相关条款 C. 企业为创新成果申请了专利 D. 企业为创新成果申请了版权 E. 通过物理和技术手段保护知识产权（例如防火墙、数据加密等） F.为员工提供知识产权保护的相关培训 G. 其他措施，请指出：_企业目前采取了哪些信息安全保护措施（可多选） A. 制定了信息安全相关的规章制度 B. 设有专门的信息安全管理人员 C. 建立了严格的身份认证和访问授权体系 D.有效的网络管理和数据保护措施 E. 采用了完善的系统备份和故障恢复手段 F. 定期进行安全补丁和病毒库的升级企业是否和员工签订保密协议 A.和公司全部员工签订 B.仅和正式员工签订 C. 仅和一部分员工（重要人才）签订 D.没有签订