金融机构信息技术服务外包 质量管理规范.docxVIP

1

金融机构信息技术服务外包质量管理规范

1范围

本规范规定了金融机构信息技术服务外包的术语和定义、分类、需方职责、供方职责以及持续改进

。

本规范适用于区域内，接受信息技术服务外包的金融机构和为金融机构提供信息技术服务外包的组织。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T19000—2008《质量管理体系基础和术语》

GB/T19001—2008《质量管理体系要求》

GB/T19004—2011《追求组织的持续成功质量管理方法》

GB/T19580—2012《卓越绩效评价准则》

GB/T22080—2008《信息技术安全技术信息安全管理体系要求》

GB/T22081—2008《信息技术安全技术信息安全管理实用规则》

GB/T22116—2008《企业信用等级表示方法》

GB/T24405.1—2009《信息技术服务管理第1部分：规范》

3术语和定义

下列术语和定义适用于本规范。

3.1

外包

指组织将价值链中原本由自身提供的具有基础性、共性、非核心的业务剥离出来，交给服务提供方来完成的活动。

3.2

金融机构信息技术服务外包

指金融机构信息技术服务需方将价值链中原本由自身提供的信息技术业务剥离出来后，委托给信息技术服务提供方来完成的经济活动，包括如何开发、应用信息技术的服务，以及以信息技术为手段支持金融机构业务活动的服务。

注1：为描述方便，“金融机构信息技术服务外包”在本标准中简称为“服务外包”。

注2：为描述方便，“金融机构信息技术服务需方”在本标准中简称为“服务需方”。

3.3

信息技术服务外包提供商

向一个或多个金融机构信息技术服务需方提供信息技术服务的组织，包括独立第三方、金融机构母

公司或其所属集团设立在中国境内外的子公司、关联公司或附属机构。

注：为描述方便，本标准中简称为“服务供方”。

3.4

2

信息技术服务外包质量

信息技术服务外包的固有特性满足要求的程度。

注1：本标准中规定的信息技术服务外包质量可视作服务外包质量各方面特性的总和。

注2：为描述方便，本标准中简称为“服务外包质量”。

3.5

事件

某些特定数据、情形或活动的发生。

3.6

分包

服务提供方将外包项目中整体或者部分业务外包给其他服务提供方的服务活动。

4信息技术服务外包分类

4.1按照业务性质划分：可分为信息技术咨询服务、设计与开发服务、测试服务、信息系统集成服务、数据处理服务、运行维护服务、信息安全服务、信息培训服务以及信息租赁服务等。

4.2按照业务层级划分：可分为业务战略外包、业务职能外包以及业务操作外包等。

4.2.1业务战略外包：指以整个组织的战略规划、整体业务流程改造为目标的服务外包。

4.2.2业务职能外包：指一项以上的完整的业务流程或业务职能的服务外包。

4.2.3业务操作外包：指隶属于某个或者某些职能之下的某项业务操作的服务外包。

5总则

5.1服务需方应当根据审慎经营原则，制定其外包战略发展规划，确定与其风险管理水平相适宜的服务外包范围，确保服务外包满足需求、保证质量、提高效率、风险可控和成本可控。

5.2服务需方应建立有效的服务外包质量管理制度，加以实施并保持，必要时进行更新。服务外包质量管理制度应涵盖服务外包的各个过程，包含服务外包的策划、建立、执行、监控、考核评价、持续改进等过程。

5.3服务需方应当建立严格的服务外包信息安全制度，加以实施并保持，必要时进行更新，保证自身及关联方的数据安全、企业机密、知识产权和客户信息安全等。

5.4服务需方应当事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施，确保金融业务活动的正常经营。

5.5服务供方应配置足够的资源，严格执行质量管理程序，使服务外包有效运行和质量受控，以保证服务外包的质量、功能和特性，满足合同及相关方的要求。

5.6服务需方应当遵循金融监管规定，及时向金融监督管理机构报告本单位外包活动情况。服务供方有义务接受和积极配合国家相关监督机构对服务外包实施情况的监督检查。

5.7服务需方和服务供方应建立“策划—实施—检查—处置”的工作机制，实现持续改进信息技术服务外包质量管理，达到设定的服务外包质量目标。“策划—实施—检查—处置”的方法论（图1）应用于所有服务外包管理流程和工作。

3

图1信息技术服务外包管理过程的PDCA方法论

a)策划：根据金融机构的要求和组织的方针，为提供结果