42.XX银行_信息科技外包管理办法.doc

XX企业

信息科技外包管理办法

信息科技部

20xx年xx月

目录

TOC\o1-2\h\u746一、总则 4

5198二、组织与职责 5

16317三、信息科技外包风险管理 7

13771四、外包风险评估及准入 9

25854五、服务提供商尽职调查 11

29697六、外包服务合同及要求 11

16151七、外包服务安全管理 15

19364八、外包服务人员管理 16

6652九、外包服务考核与评价 18

23209十、外包项目交接 19

15985十一、外包服务应急管理 21

26331十二、服务机构集中度风险管理 23

25290十三、非驻场外包风险管理 24

32297十四、对重点外包服务商的风险管理 31

29303十五、附则 34

修改记录

版次号

生效日期

修改原因

A/0

制度文件第一版首次发布

注：以上为版本修改记录，首次发布为A/0版，编写者可以不作改动。

总则

为有效防范和控制我行外包风险，规范我行信息科技外包管理，明确外包管理要求，提高我行外包服务的精细化管理水平，依据银监会《银行业金融机构信息科技外包风险监管指引》(银监发?2013?5号)特制定本办法。

本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包括项目外包和人员外包，但涉及战略管理、风险管理、内部审计、信息科技管理责任及其他有关信息科技核心竞争力的职能不得外包。

信息科技外包活动类型分为：

研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求分析、系统开发、测试外包；

系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；

业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

在实施信息科技外包时坚持以下原则：

以不妨碍核心能力建设、积极掌握关键技术为导向；

保持外包风险、成本和效益的平衡；

强调外包风险的事前控制，保持管控力度；

根据外包管理及技术发展趋势，持续改进外包策略和措施。

本办法所称机构集中度风险是指将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

本办法所称同业托管机构是指为我行提供信息科技外包服务的银行业金融机构。

本办法所称关联外包是指服务提供商为我行所属分行或附属机构提供的信息科技外包。

组织与职责

董事会负责审批信息科技外包战略，督促并监督信息科技外包风险管理效果。

经营层信息科技管理委员会负责制定信息科技外包战略，落实信息科技外包风险管理的相关职责，审议息科技外包管理流程及制度。

科技信息部主要职责是：

实施信息科技外包战略；组织开展对重要服务提供商的尽职调查工作；

制定并执行信息科技外包管理制度与流程；

执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；

制定保障外包服务持续性的应急管理方案，并组织实施定期演练；

对外包过程中的各项管理活动进行监控及分析，按季度向风险管理部及信息科技管理委员会报告外包活动情况。

风险管理部主要职责是：

对外包风险进行识别、评估与风险提示；

参与对重要服务提供商的尽职调查工作；

监督、评价外包管理工作，并督促外包风险管理的持续改善；

向高级管理层定期汇报信息科技外包活动相关风险管理情况；

董事会或高级管理层确定的其他信息科技外包风险管理职责。

董事会审计部定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计，发生外包风险事件后应及时开展专项审计。

信息科技外包风险管理

风险管理部每年开展一次独立的、全面的外包风险评估，并向高级管理层提交评估报告。全面外包风险评估包括以下几部分内容：

收集风险事件，信息科技外包活动发生风险事件时，科技信息部应通知风险管理部并上报事件处理进展情况，于事件处理结束后第二日将整个事件的起因、过程、结果以及产生的影响以书面形式上报风险管理部备案。

问卷调研，以问卷调查的形式向科技信息部进行调研，具体内容包括：我行信息科技外包战略的执行情况、外包信息安全状况、机构集中度情况、外包服务商的服务连续性情况、服务质量、政策及市场变化对外包服务的影响等。

现场检查。对我行外包服务商的现场工作情况，系统的软硬件情况、提供的文档质量、业务人员的使用情况和满意度进行全面了解。

在有效管理重要风险的前提下，以外包服务对我行业务或信息科技活动带来的影响和重要性程度作为参考要素，对外包服务商采取差异化分级管控措施，由低到高