信息系统外包管理办法-金融业.docxVIP

信息系统外包管理暂行办法 第一章  总则 第一条 为有效防范信息系统外包过程中产生的风险，促进信息 系统安全、持续、稳健运行，根据《中华人民共和国银行业监督管 理法》、《商业银行信息科技风险管理指引》、国家信息安全相关 要求和有关信息系统外包管理的法律法规，制定本办法。 第二条 本办法所称信息系统外包，是指将全部或部分 IT 工作 外包给专业性公司完成的商业模式。目的是通过整合、利用适当的 外部专业化 IT 资源，达到降低成本、提高效率、增强核心竞争力、 提高应变能力。范围包括将信息系统的规划、研发、建设、运行、 维护、监控、服务等委托给业务合作伙伴或第三方（以下统称为外 包服务商）承担的活动。 第三条 各部门应当按照本办法的规定开展信息系统外包活动。 第二章  外包内容管理 第四条 应根据业务发展的实际需要，合理确定外包的原则和 范围，认真分析和评估外包存在的潜在风险。 第五条 严禁外包涉及重要商业秘密、机密数据管理与传递和 IT 信息战略相关的业务和服务。 第六条 对于将敏感的信息系统，以及其他涉及国家秘密、商 业秘密和客户隐私数据管理与传递等内容进行外包时，应遵守国家 有关法律法规，符合银监会的有关规定，经过董事会办公会议批准， 并在实施外包前报银监会及其派出机构和法律法规规定需要报告的 机构备案。 第七条 PC 日常管理服务：与 PC 及 PC 周边产品有关的系统支 持、数据恢复、系统重建等服务，包括电脑配件购买、硬件维修与 安装、电脑软件（操作系统、办公软件、客户端程序、防病毒软件 等）安装等相关工作。 第八条 IT 系统基础设施服务：网络、主机、服务器、存储、 安全、机房设施等 IT 系统基础设施的硬件保障与维护、运行监控与 维护、系统管理等服务。IT 系统基础设施方案设计、项目实施、软 硬件安装与配置等服务。 第九条  应用系统开发和技术支持服务：根据业务要求，全部 或部分承担计算机应用系统开发、变更工作，向提交满足业务要求 的应用系统的服务。为满足业务需求，保障系统运行稳定、促进计 算机应用系统功能的正常发挥而向提供的应用系统技术支持服务。 第十条  应用系统运行保障服务：为使计算机应用系统安全、 可靠、持续运行、有效支持业务运作而提供的技术服务。 第十一条 信息系统租用服务：根据业务需要，租用外部信息系 统，由信息系统提供商提供信息处理能力和业务功能，支持业务运 作的服务方式。 第十二条 IT 咨询服务：包括 IT 治理和信息安全咨询服务， IT 发展规划咨询，以及其他专项 IT 咨询服务。 第三章  职责和流程 第十三条  信息科技管理委员会为公司 IT 外包服务的职能管 理机构，信息中心为 IT 外包服务管理工作的执行机构，各分支机构 和业务单位（部门）参与配合实施。信息中心职责： 制定 IT 外包服务管理规章制度和管理流程，规范 IT 外包服 务执行过程。 按照公司有关规定参与 IT 外包服务商评选。 制定 IT 外包服务商的考核指标。 评估、管理与监控 IT 外包服务水平，保证其对服务要求的符 合性。 协调最终用户和 IT 外包服务商关系，促进业务工作开展。 ? 负责公司总部 IT 外包服务的监控与管理。 第三章  外包服务商管理 第十四条  风险管理部应当建立健全外包服务方评估机制，充 分审查、评估服务商的经营状况、财务实力、诚信历史、安全资质、 技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职 调查（见《外包服务商管理细则》）。 第十五条  签订外包服务合同时，应当明确双方的权利、义务， 规定外包服务商应当承担的安全、保密、知识产权方面的义务和责 任。 第十六条  外包合同中应当详细地明确服务商必须提供的最低 服务水平、详细的服务范围和标准、发生故障时的服务级别及相应 时间等，以防范服务商综合状况及业务需求变化所可能产生的风险。 第四章  外包风险管理 第十七条  风险管理部应建立完整的外包监测程序，审慎监测 和管理外包实施过程中可能产生的风险。 第十八条  充分认识外包服务对信息系统风险控制的直接和间 接影响，并将其纳入总体安全策略和风险控制之中。 第十九条  信息系统的设计开发外包应当进行缺陷风险管理， 包括代码检查、文档管理和技术转移。 第二十条  信息系统外包风险管理应当符合风险管理标准和策 略，并建立针对外包风险的应急计划。 第二十一条 应与外包服务商建立有效的联络、沟通和信息交流 机制，并制定在意外情况下能够实现服务方的顺利变更，保证外包 服务不间断的应急预案。 第五章 外包审计 第二十二条 稽核部负责信息系统外包的审计。 第二十三条 信息系统外包的审计应当遵照《商业银行信息科技 风险管理指引》的规定开展工作。 第二十四条 外包软件应当建立代码