42.XX银行_信息科技外包管理办法.pdfVIP

XX企业

信息科技外包管理办法

信息科技部

20xx年xx月

目录

一、总则4

二、组织与职责5

三、信息科技外包风险管理7

四、外包风险评估及准入9

五、服务提供商尽职调查11

六、外包服务合同及要求11

七、外包服务安全管理15

八、外包服务人员管理16

九、外包服务考核与评价18

十、外包项目交接19

十一、外包服务应急管理21

十二、服务机构集中度风险管理23

十三、非驻场外包风险管理24

十四、对重点外包服务商的风险管理31

十五、附则34

修改记录

版次号生效日期修改原因

A/0制度文件第一版首次发布

注：以上为版本修改记录，首次发布为A/0版，编写者可

以不作改动。

一、总则

第一条为有效防范和控制我行外包风险，规范我行信

息科技外包管理，明确外包管理要求，提高我行外包服务

的精细化管理水平，依据银监会《银行业金融机构信息科

技外包风险监管指引》(银监发„2013‟5号)特制定本办法。

第二条本办法所称信息科技外包是指我行将原本由自

身负责处理的信息科技活动委托给服务提供商进行处理的

行为，包括项目外包和人员外包，但涉及战略管理、风险管

理、内部审计、信息科技管理责任及其他有关信息科技核心

竞争力的职能不得外包。

第三条信息科技外包活动类型分为：

（一）研发咨询类外包：科技管理及科技治理等咨询设

计外包，规划、需求分析、系统开发、测试外包；

（二）系统运行维护类外包：包括数据中心（灾备中

心）、机房配套设施、网络、系统的运维外包，自助设备、

POS机等远程终端及办公设备的运维外包；

（三）业务外包中的信息科技活动：市场拓展、业务操

作、企业管理、资产处臵等外包中的系统开发、运行维护和

数据处理活动。

第四条在实施信息科技外包时坚持以下原则：

（一）以不妨碍核心能力建设、积极掌握关键技术为导

向；

（二）保持外包风险、成本和效益的平衡；

（三）强调外包风险的事前控制，保持管控力度；

（四）根据外包管理及技术发展趋势，持续改进外包策

略和措施。

第五条本办法所称机构集中度风险是指将信息科技外

包服务集中交由少量服务提供商承接而产生的风险，该风险

可能造成集中性的服务中断、质量下降、安全事件等。

第六条本办法所称同业托管机构是指为我行提供信息

科技外包服务的银行业金融机构。

第七条本办法所称关联外包是指服务提供商为我行所

属分行或附属机构提供的信息科技外包。

二、组织与职责

第八条董事会负责审批信息科技外包战略，督促并监

督信息科技外包风险管理效果。

第九条经营层信息科技管理委员会负责制定信息科技

外包战略，落实信息科技外包风险管理的相关职责，审议息

科技外包管理流程及制度。

第十条科技信息部主要职责是：

（一）实施信息科技外包战略；组织开展对重要服务提

供商的尽职调查工作；

（二）制定并执行信息科技外包管理制度与流程；

（三）执行供应商准入、评价、退出管理，建立并维护

供应商关系管理策略；

（四）制定保障外包服务持续性的应急管理方案，并组

织实施定期演练；

（五）对外包过程中的各项管理活动进行监控及分析，

按季度向风险管理部及信息科技管理委员会报告外包活动

情况。

第十一条风险管理部主要职责是：

（一）对外包风险进行识别、评估与风险提示；

（二）参与对重要服务提供商的尽职调查工作；

（三）监督、评价外包管理工作，并督促外包风险管理

的持续改善；

（四）向高级管理层定期汇报信息科技外包活动相关

风险管理情况；