1、大洼恒豐村鎮銀行信息科技外包風險管理辦法批準人簽字審核人簽字制訂人簽字日期：日期：日期：大洼恒豐村鎮銀行信息科技部變更履歷序號版本編號或更改記錄編號變化狀態*簡要說明（變更內容、變更位置、變更原因和變更范圍）變更日期變更人審核人批準人批準日期11.0C創建，全頁。*變化狀態：C-創建，A增加，M修改，D刪除第一章總則4第二章外包管理組織架構5第三章信息科技外包戰略及風險管理6第一節信息科技外包戰略6第二節信息科技外包風險管理7第四章信息科技外包管理8第一節外包風險評估及準入8第二節服務提供商盡職調查10第三節外包服務合同及要求10第四節外包服務安全管理12第五節外包服務監控與評價13第六節外包

2、服務中斷與終止14第八章監督管理17第九章附則18第一章總則第一條為規范我行的信息科技外包活動，降低信息科技外包風險，根據中華人民共和國銀行業監督管理法、中華人民共和國商業銀行法、銀行業金融機構信息科技外包風險監管指引等法律法規，制定本辦法。第二條本辦法所稱信息科技外包是指我行將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資源外包等形式。包括以下類型：（一）研發咨詢類外包：科技管理及科技治理等咨詢設計外包，規劃、需求、系統開發、測試外包；（二）系統運行維護類外包：包括數據中心（災備中心）、機房配套設施、網絡、系統的運維外包，自助設備、posm等遠程終端及辦

3、公設備的運維外包；（三）業務外包中的信息科技活動：市場拓展、業務操作、企業管理、資產處置等外包中的系統開發、運行維護和數據處理活動。第三條我行應將信息科技外包管理納入全面風險管理體系，建立與本行信息科技戰略目標相適應的外包管理體系，控制或降低由于外包而引發的風險。第四條我行在實施信息科技外包時應當堅持以下原則：（一）以不妨礙核心能力建設、積極掌握關鍵技術為導向；（二）保持外包風險、成本和效益的平衡;（三）強調外包風險的事前控制，保持管控力度；（四）根據外包管理及技術發展趨勢，持續改進外包策略和措施。第五條我行在實施信息科技外包時，不得將信息科技管理責任外包。第二章外包管理組織架構第六條為了嚴格

4、落實我行信息科技外包風險管理的相關職責，我行設立外包風險管理領導小組，領導小組成員如下：組長：荊曉輝副組長：宇文梁成員：任義、何亮外包風險管理領導小組主要職責包括：（一）制定并審批信息科技外包戰略；（二）審議信息科技外包管理流程及制度；（三）督促并監控信息科技外包風險管理效果。第七條由內審稽核部作為我行信息科技外包風險主管部門，主要職責包括：（一）對外包風險進行識別、評估與風險提示；（二）監督、評價外包管理工作，并督促外包風險管理的持續改善；（三）向高級管理層定期匯報信息科技外包活動相關風險（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。第八條我行信息科技部設立信息科技外包管理崗，

5、履行以下職責：（一）實施信息科技外包戰略；（二）制定并執行信息科技外包管理制度與流程；（三）執行供應商準入、評價、退由管理，建立并維護供應商關系管理策略；（四）制定保障外包服務持續性的應急管理方案，并組織實施定期演練；（五）對外包過程中的各項管理活動進行監控及分析，定期向信息科技及外包風險管理主管部門報告外包活動情況。第三章信息科技外包戰略及風險管理第一節信息科技外包戰略第九條我行應制定信息科技外包戰略規劃，以提升信息科技隊伍能力，提高科技管理及創新水平，掌握信息科技核心技能為目標，基于信息科技戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略，包括：不能外包的職能、資源能力建

6、設方案、供應商關系管理策略和外包分級管理策略。第十條我行根據自身信息科技戰略，不能外包的職能包括：涉及戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能。第十一條我行應當根據外包戰略制定資源、能力建設方案，通過補充人員、提升技能、知識轉移等方式，有針對性地獲取或提升管理及技術能力，降低對服務提供商的依賴。第十二條我行應當建立與自身規模、市場地位相適應的供應商關系管理策略。通過準入和退由機制合理管控各類高風險服務提供商的數量，實現以下目標：防范行業壟斷和機構集中度風險，通過引入適當的競爭在降低采購成本的同時提高服務質量，合理管控服務提供商的數量從而降低風險及管理成本等。第十三條我行應

7、按照外包服務性質和重要性程度對服務提供商進行分級管理，對不同級別的服務提供商采取差異化的管控措施，在有效管理重要風險的前提下降低管理成本第二節信息科技外包風險管理第十四條由內審稽核部負責我行信息科技外包風險管理工作，并每年開展一次全面的外包風險管理評估，保持評估的獨立性，同時向高級管理層提交評估報告。評估內容包括：信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。第十五條內審稽核部應對重要的外包服務提供商進行定期的風險評估，保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括：服務提供商合規情況、服務的執行效果等，評

8、估結果應當作為服務提供商準入及退由的重要依據。第十六條由我行內審稽核部定期開展信息科技外包風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應當及時開展專項審計。第四章信息科技外包管理第一節外包風險評估及準入第十七條在外包項目立項前，我行應當審慎檢查項目與信息科技外包戰略的一致性，根據項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處置措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。第十八條我行對外包商實行準入管理，對于不符合準入條件的外包商應拒絕與其進行科技合作，我行外包商準入標準如下：（一）外包服務商應當是中華人民

9、共和國境內注冊的獨立法人實體，注冊資本和實收資本不少于1000萬，注冊成立時間不少于3年。（二）外包服務商應當擁有健全的組織架構，并針對所提供的外包服務建立有效的風險治理架構，至少應當建立由公司高級管理層直接領導、針對我行外包服務的、專職信息科技風險管理團隊，為持續的外包服務提供保證。(三)外包服務商應當建立與所承擔的服務范圍和規模相適應的服務管理體系，建立完善的信息安全、服務質量、服務持續性等管理制度體系，擁有有效的檢查、監控和考核機制，確保管理規范有效執行。(四)外包服務商應當具有足夠的技術能力、人力資源和設施、環境，滿足外包服務的質量和安全管理要求。外包服務場地應當設置在中國境內。(五)

10、外包服務商應具有如下相關領域資質認證：(1)具有完善的信息安全管理體系、業務連續性管理體系，并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證。(2)具有完善的質量管理體系，并通過業界公認較為權威的質量管理資質認證。(3)為我行提供數據中心、災備中心機房及基礎設施外包服務的外包服務商，其機房及基礎設施應當達到國家電子計算機機房最高標準。(4)承擔集中存貯我行客戶數據的業務交易系統外包服務，或承擔我行客戶資料、交易數據等敏感信息的批量分析或處理服務的外包服務商，應當具有完善的運行服務管理體系，并通過業界公認較為權威的運行服務管理資質認證。(五)我行對外包服務商在風險管理、審計方面提由如

11、下要求：(1)外包服務商應當具有信息科技風險的管理體系，有效識別、監測、評估和控制風險。外包服務商應當至少每季度向我行報送外包風險監控報告，針對監控發現的潛在風險或風險事件，及時采取控制或緩釋措施。(2)外包服務商應當每年聘請獨立的審計機構，對自身外包服務進行風險評估，年度風險評估報告需報送所服務的銀行業金融機構，并抄送銀監會或其派由機構。(3)外包服務商應當對其外包服務團隊成員進行背景調查，確保其過往無不良記錄，且應當與項目成員簽訂保密協議，并保留至少10年的法律追訴期。第二節服務提供商盡職調查第十九條我行在與外包服務提供商簽訂合同前需深入開展盡職調查。盡職調查報告包括但不限于：服務能力和支

12、持技術、服務經驗、服務人員技能、市場評價、監管評價、內部控制機制和管理流程的完善程度、內部控制技術和工具、從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。第三節外包服務合同及要求第二十條我行在實施外包服務項目前，應當與服務提供商簽訂服務合同。合同應當根據外包服務需求、風險評估及盡職調查結果確定詳細程度和重點。第二十一條我行在合同或協議中應當明確以下內容，包括但不限于:（一）服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續合作中的相關限定條件；（二）合規與內控要求，對法律法規及我行內部管理制度的遵從要求、監管政策的通報貫徹機制、服務提供商的內控措施；（三）服務連續性要

13、求，服務提供商的服務連續性管理目標應當滿足我行業務連續性目標要求；（四）我行監控和檢查的權利、頻率，服務提供商配合其內、外部審計機構檢查，及配合銀行業監管機構檢查的責任；（五）政策或環境變化因素等在內的合同變更或終止的觸發條件，外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和設施的交接處置等過渡期間相關服務的安排；（六）外包服務過程中產生、加工、交互的信息和知識產權的歸屬權以及允許服務提供商使用的內容及范圍，對服務提供商使用合法軟、硬件產品的要求；（七）服務要求或服務水平條款，至少應當包括如下內容：外包服務的關鍵要素、服務時效和可用性、數據的機密性和完整性

14、要求、變更的控制、安全標準的遵守情況、技術支持水平等；（八）爭端解決機制、違約及賠償條款，至少包括如下內容：服務質量違約、安全違約、知識產權違約等，及在各種違約情況下的賠償以及外包爭端的解決機制;（九）報告條款，至少包括常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。第二十二條我行需在合同或協議中明確服務提供商在安全和保密方面的責任，以及針對安全及保密要求需采取的具體措施。包括但不限于：（一）禁止服務提供商在合同允許范圍外使用或者披露我行的信息，以防止信息被非授權使用；（二）在合同或協議中約定服務提供商對銀行客戶信息安全和銀行客戶權利的保護條款、事故處理方式及違約賠償條款；（

15、三）在合同或協議中約定服務提供商不得以所服務的我行名義開展活動；（四）服務提供商接觸我行信息時，需滿足安全和保密相關條款的要求；（五）在發生銀監會規定的信息科技突發事件，或發生可能引發系統性、區域性銀行業信息科技風險類突發事件時，服務提供商應及時向我行報告，包括事件的影響以及處置和糾正措施。第二十三條我行需在合同或協議中明確要求服務提供商不得將外包服務轉包和變相轉包。第四節外包服務安全管理第二十四條我行應當制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設施遭受破壞等風險。具體措施包括：（一）對外包人員進行信息安全培訓，提高風險管理意識，確保

16、信息安全管控措施在外包服務過程中有效落實；（二）明確外包活動需要訪問或使用的信息資產，包括場地、辦公設施、計算機、服務器、軟件、數據、信息、物理訪問控制設備、賬號、網絡寬帶、網絡端口等，按“必需知道”和“最小授權”原則進行訪問授權；（三）對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描；（四）定期對服務提供商進行安全檢查，獲取服務提供商自評估或第三方評估報告。第五節外包服務監控與評價第二十五條我行內審稽核部應當對外包服務過程進行持續監控，要求服務提供商建立階段性服務目標及任務，并跟蹤任務的執行情況，及時發現和糾正服務過程中存在的各類異常情況。第二十六條我行應當根據信息科技外包需求、合同

17、、服務水平協議等建立明確的服務質量監控指標，并進行相應監控。常見指標包括：（一）信息系統和設備及基礎設施的可用率、設備的開機（二）故障次數、故障解決率、故障的響應時間；（三）服務的次數、客戶滿意度；（四）各階段業務需求的及時完成率、程序的缺陷數、需求變更率；（五）外包人員工作飽和率、外包人員的考核合格率。第二十七條我行應當建立明確的服務目錄、服務水平協議以及服務水平監控評價機制，并確保外包服務監控基礎數據和評價結果的真實性和完整性，且數據至少需保存到服務結束后一年。第二十八條我行應當對服務提供商的財務、內控及安全管理進行持續監控，關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的

18、財務狀況惡化及內部管理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。第二十九條我行在監控到異常情況時，應當及時督促服務提供商采取糾正措施，情節嚴重的或未及時糾正的，應當約談服務提供商高管人員并限期整改。第三十條外包服務結束時，我行應當對服務提供商進行評價，評價結果應當作為服務提供商準入的重要參考依據。第六節外包服務中斷與終止第三十一條我行應當考慮信息科技外包的引入對業務連續性管理的影響，有針對性地完善業務連續性管理計劃，包括但不限于:（一）識別由重要業務所涉及的服務提供商和資源；（二）通過合同、協議等形式明確要求服務提供商提前準備并維護好相關資源；（三）對服務提供商業務連續性管理進行監

19、控，并評價其管理水平；（四）在進行業務連續性計劃演練時將相關的服務提供商納入演練范圍。第三十二條為降低外包突發事件的可能性及影響，我行應當事先對業務連續性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施，包括但不限于以下內容：（一）在外包服務實施過程中持續收集服務提供商相關信息，盡早發現可能導致服務中斷的情況；（二）與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優先權；（三）要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；（四）對于涉及重要業務的外包服務，我行需考慮預先在其內部配置相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低

20、限度的服務能力。第三十三條我行應當針對重要外包服務中斷的場景，擬定相應的應急計劃，并定期進行演練，考慮因素包括但不限于以下內容:（一）事件場景，如重要人員流失導致服務無法持續，服務提供商主動退由，因資質變更、被收購、兼并或破產等原因導致的服務提供商被動退由等；（二）事件持續時間和恢復可能性；（三）事件影響范圍和可能的應急措施；（四）服務提供商自行恢復服務的可能性和時間；（五）備選的服務提供商以及外包服務遷移方案；（六）外包服務過渡給我行自行運作的可能性、時效及資源需求。第三十四條對于無法滿足外包服務要求或發生重大事件的情況，我行應當在充分評估其影響及制定退由計劃的前提下，考慮主動要求服務提供商

21、終止服務，情節特別嚴重的，可考慮取消準入資質，并報監管機構申請對其備案。第五章機構集中度風險管理第三十五條我行應當依據服務提供商所承接外包服務的數量、金額在本行重要信息科技服務中的占比，服務提供商所承接外包服務在銀行業服務市場占比情況，識別具有機構集中度特點的外包服務提供商。第三十六條我行應當積極采用分散信息科技外包活動、提高自主研發運行能力等形式，降低機構集中度，減少對外包服務提供商的依賴。第三十七條我行應當要求具有機構集中度特點的外包服務提供商提供充分的證據，證明其內部控制和管理能力、持續運營能力等。第三十八條我行應當要求具有機構集中度特點的外包服務提供商為我行配備相對獨立的資源，包括服務團隊、場地、系統、設備等；并對資