金融机构信息技术外包风险管理规范.docxVIP

-

金融机构信息技术外包风险管理规范

1范围

本规范规定了金融机构信息技术外包风险管理的总体要求、管理职责、管理制度、评估与决策、服务提供商选择、外包合同管理、持续监控管理、跨境外包与审计。

本规范适用于金融服务机构以及为其提供信息技术服务的供应商。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T19000-2008质量管理体系基础和术语(ISO9000:2005，IDT)

GB/T19001—2008质量管理体系要求(ISO9001:2008，IDT)

GB/T22080-2008信息技术安全技术信息安全管理体系要求(ISO/IEC27001:2005，IDT)

GB/T22081-2008信息技术安全技术信息安全管理实用规则(ISO/IEC27002:2005，IDT)

SZDB/78-2013金融机构信息技术服务外包质量管理规范

3术语和定义

下列术语和定义适用于本规范。

3.1

金融机构信息技术外包

金融机构将价值链中原本由自身提供的信息技术业务剥离出来，委托给信息技术服务提供商来完成的经济活动，包括开发、应用信息技术的服务，以及以信息技术为手段支持金融机构业务活动的服务。

注：常见的外包服务形态有信息技术咨询服务、设计与开发服务、信息系统集成服务、数据处理和运营服务及其他信息技术服务。

3.2

信息技术外包服务提供商

向一个或多个金融机构提供信息技术服务的组织，包括独立第三方、金融机构母公司或其所属集团设立在中国境内外的子公司、关联公司或附属机构。

注：为描述方便，本标准中简称为“服务提供商”。

3.3

信息技术外包风险

2

在信息技术外包活动中因信息对称、道德、管理等方面的不确定性而对金融机构相关信息技术外包活动造成的战略、声誉、合规、操作等方面的影响。

3.4

跨境外包

在境外其他国家或地区实施的信息技术外包活动。

4总体要求

4.1金融机构应根据内外部的环境和市场状况拟定其信息技术外包的发展规划、策略，明确信息技术外包的范围，确定信息技术外包风险的可接受水平。

4.2金融机构可按照服务外包的性质和重要程度对信息技术外包服务提供商进行分级管理，对不同级别的服务提供商采取差异化的管控措施，在有效管理重要风险的前提下降低管理成本。

4.3金融机构在实施信息技术外包时，不得将信息科技管理责任外包。

5管理组织与职责

信息技术外包风险的管理组织架构包括董事会（或对应的最高决策层）、高级管理层、信息科技外包管理团队及内部审计部门。

5.1董事会（或对应的最高决策层）的职责：

a）审议批准信息技术外包的战略发展规划；

b）审议批准信息技术外包风险管理的政策、操作流程和内控制度；

c）审议批准本机构的外包范围及相关安排；

d）定期审阅本机构外包活动的有关报告；

e）定期安排内部审计，确保审计范围涵盖所有的外包安排。

5.2高级管理层的职责

高级管理层的职责主要包括以下方面：

a)制定信息技术外包战略发展规划；

b)制定信息技术外包风险管理的政策、操作流程和内控制度；

c)确定信息技术外包业务的范围及相关安排；

d)确定信息技术外包管理团队职责，并对其行为进行有效指导、管理和监督。

5.3管理团队职责

信息技术外包管理团队通常包括来自信息技术外包需求、信息技术管理、信息技术风险管理及法律等部门或单位，金融机构应根据实际情况明确外包管理团队中各单位的具体职责分工，外包管理团队职责主要包括以下方面:

a)执行外包风险管理的政策、操作流程和内控制度；

b)负责外包活动的日常管理，包括外包需求分析、尽职调查、合同执行情况监督及风险状况的监控等；

c)向高级管理层提出有关外包活动发展和风险管控的意见和建议；

d)发现服务提供商业务活动存在缺陷时，采取及时有效的措施；

e)高级管理层确定的其他职责。

-

6管理制度

6.1金融机构应根据其信息技术外包策略制定信息技术外包管理制度、流程，建立信息技术评估与决策、服务商选择、合同管理、外包服务监控、外包服务中断与终止管理的机制。

6.2金融机构应定期对信息技术外包工作的实施成效进行全面评价和总结，并据此对信息技术外包策略、制度、流程进行检视和完善，确保其有效性和可行性。

6.3金融机构应建立全面的外包风险评估、控制机制，将信息技术外包风险纳入金融机构的风险管理体系进行全面管理。信息技术外包风险的管理组织架构包括高级管理层、信息技术外包管理团队及内部审计部门，高