1、信息科技外包服務管理辦法編制部門： 版 次 號： 生效日期：xx年0 xx月01日目 錄 TOC o 1-2 h z u HYPERLINK l _Toc370473329 修改與審批記錄 PAGEREF _Toc370473329 h 2 HYPERLINK l _Toc370473330 第一章總則 PAGEREF _Toc370473330 h 3 HYPERLINK l _Toc370473331 第二章外包管理組織架構 PAGEREF _Toc370473331 h 5 HYPERLINK l _Toc370473333 第三章信息科技外包管理 PAGEREF _Toc3704733

2、33 h 6 HYPERLINK l _Toc370473334 第一節外包準入風險評估 PAGEREF _Toc370473334 h 6 HYPERLINK l _Toc370473335 第二節外包服務商的日常管理和監督 PAGEREF _Toc370473335 h 9 HYPERLINK l _Toc370473336 第三節外包服務監督與評價 PAGEREF _Toc370473336 h 10 HYPERLINK l _Toc370473337 第四章外包服務風險管理 PAGEREF _Toc370473337 h 10 HYPERLINK l _Toc370473338 第一節

3、風險評估與審計 PAGEREF _Toc370473338 h 10 HYPERLINK l _Toc370473339 第二節外包服務安全管理 PAGEREF _Toc370473339 h 11 HYPERLINK l _Toc370473340 第三節外包服務中斷與終止 PAGEREF _Toc370473340 h 12 HYPERLINK l _Toc370473341 第四節重點外包服務機構風險管理 PAGEREF _Toc370473341 h 13 HYPERLINK l _Toc370473342 第五章報告管理 PAGEREF _Toc370473342 h 13 HYPE

4、RLINK l _Toc370473343 第六章附則 PAGEREF _Toc370473343 h 14 HYPERLINK l _Toc370473344 附件： PAGEREF _Toc370473344 h 14 HYPERLINK l _Toc300058535 附件1.外包服務商盡職調查表16總則為規范銀行（以下簡稱“本行”）信息科技外包服務管理，防范和監控信息科技外包服務風險，根據中國銀行業監督管理委員會銀行業銀行等金融機構信息科技外包風險監管指引，制定本辦法。本辦法所稱信息科技外包，是指本行將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資

5、源外包等形式。原則上包括以下類型:研發咨詢類外包：科技管理及科技治理等咨詢設計外包、規劃、需求、系統開發、測試外包；系統運行維護類外包：包括數據中心（災備中心）、機房配套設備、網絡、系統的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包；業務外包中的信息科技活動：市場拓展、業務操作、企業管理、資產處置等外包中的系統開發、運行維護和數據處理活動；本行信息科技外包服務管理須堅持自主為主、嚴格監控、規范管理、風險可控、信息安全的原則。自主為主。本行核心業務系統的運營堅持自我為主的原則，非核心業務系統的運營根據需要審慎采用信息科技外包服務；嚴格監控。各級行、各部門的信息科技外包服務須根據本辦

6、法的關于規定，嚴格審批，做好準入監控；規范管理。信息科技外包服務由總行統籌管理，分支行禁止任何組織以任何形式自主進行信息科技的外包活動；風險可控。各級行、各部門須將信息科技外包服務風險監控作為開展外包活動的首要任務，采用制度約束、崗位制約、系統監控、監督檢查等手段，防范和監控風險；信息安全。各級行、各部門與外包服務提供商合作時，必須依照銀行信息科技外包服務協議管理辦法的關于要求，明確權利義務；同時采取有效的技術措施確保本行信息資產的安全。本辦法所稱機構集中度風險，是指銀行業銀行等金融機構將信息科技外包服務集中交由少量服務提供商承接而造成或產生的風險，該風險可能造成集中性的服務中斷、質量下降、安

7、全事件等。本辦法適用于本行信息科技外包服務的管理，使用信息科技外包資源的各部門或本行分支機構應根據本辦法要求進行信息科技外包管理工作，并可根據本辦法所有要求，酌情制訂相應實施細則或工作流程。外包管理組織架構作為信息科技外包服務執行部門，主要職責包括：負責研究、論證信息科技外包服務項目的必要性、合理性、可行性，為決策層審定信息科技外包服務項目提供依據；負責規劃信息科技外包服務資源配置及xx，審核信息科技外包服務的技術方案；負責制訂信息科技外包服務協議的基本技術要求，協助相關部門起草與簽訂非標準化的信息科技外包服務協議；負責信息科技外包服務人員的進出場管理、日常管理、變更管理以及信息科技外包服務協

8、議履約跟蹤；負責制訂、改進信息外包服務管理考核評價機制和指標，并組織實施所有考核；負責驗收和評價信息科技外包服務提供商依照商定要求最終提供的產品、技術和服務，并負責對信息科技外包服務提供商合作情況提出建議并督促改進；負責在業務連續性管理框架下，制訂信息科技外包服務風險應急方案；協助風險管理部組織信息科技外包服務風險管控活動。下設信息科技外包管理崗，主要職責包括：負責實施信息科技外包戰略；落實本部門外包管理職責；負責制定并實施信息科技外包服務所有管理制度；負責溝通協調執行提供商準入、評價、退出管理，建立并維護提供商關系管理策略；負責制定保障外包服務延續性的應急管理方案，并組織實施定時演練；負責對

9、外包過程中的所有管理活動進行監控及分析，定時向及風險管理部報告外包活動情況。風險管理部作為信息科技外包服務風險管理部門，主要職責包括：對外包風險進行識別、評估與風險提示；監督、評價外包管理工作，并督促外包風險管理的延續改善；向高級管理層定時匯報信息科技外包活動相關風險管理情況；董事會或高級管理層確定的其他信息科技外包風險管理職責。法律事務部負責對信息科技外包協議進行審核。為本行信息科技外包服務的審計部門，負責對信息科技外包項目進行審計。負責信息科技外包項目采購和招標相關的商務工作。信息科技外包管理外包準入風險評估應審慎檢查項目與信息科技外包戰略的一致性，根據項目內容、范圍、性質對其進行風險識別

10、和評估，制定相應的風險處置措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高級管理層報告。在選擇外包服務提供商時，應重點考察服務商的以下條件：是否符合本行對合作單位的總體要求；服務商的技術能力和服務質量；突發事件應對能力；對銀行業務的熟悉程度；對同業提供服務的情況；具有從事相關產品服務的資質；外包服務商保護個人金融信息的能力；本行認為重要的其他事項等。高度關注銀行業重點外包服務機構的準入。銀行業重點外包服務機構是指集中為銀行業銀行等金融機構提供外包服務，并同時滿足下述條件，若其外包服務失敗可能致使銀行業大面積數據損毀、丟失、泄露或信息系統服務中斷，造成經濟損失的機構，具體條

11、件如下：承擔集中存貯客戶數據的業務交易系統外包服務；或承擔銀行業銀行等金融機構客戶資料文件資料、交易數據等敏感信息的批量分析或處理服務；或承擔銀行業銀行等金融機構數據中心、災備中心機房及基礎設備外包服務；且上述服務均為非駐場外包服務；服務的法人銀行業銀行等金融機構數量、服務協議金額占有本服務領域市場份額的三分之一以上；或服務的跨區域經營法人銀行業銀行等金融機構數量達到3家或以上；或服務的其他類型法人銀行業銀行等金融機構數量達到10家或以上。外包服務提供商為銀行業重點外包服務機構的，應具備以下條件：應當是中華人民共和國境內注冊的獨立法人實體，注冊資本和實收資本不少于1000萬元，注冊設立時間不少

12、于3年；應當擁有健全的組織架構，并針對所提供的外包服務建立有效的風險治理架構，至少應當建立由公司高級管理層直接領導、針對銀行業銀行等金融機構外包服務的、專職信息科技風險管理團隊，為延續的外包服務提供保證；應當建立與所承擔的服務范圍和規模相適應的服務管理體系，建立完善的信息安全、服務質量、服務延續性等管理制度體系，擁有有效的檢查、監控和考核機制，確保管理規范有效執行；應當具有足夠的技術能力、人力資源和設備、環境，滿足外包服務的質量和安全管理要求；其承擔的銀行業銀行等金融機構外包服務場地應當設置在中國境內。外包服務提供商為銀行業重點外包服務機構的，應具有如下相關領域資質認證：具有完善的信息安全管理

13、體系、業務連續性管理體系，并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證；具有完善的質量管理體系，并通過業界公認較為權威的質量管理資質認證；承擔銀行業銀行等金融機構數據中心、災備中心機房及基礎設備外包服務的銀行業重點外包服務機構，其機房及基礎設備應當達到國家電子計算機機房最高標準；承擔集中存貯客戶數據的業務交易系統外包服務，或承擔銀行業銀行等金融機構客戶資料文件資料、交易數據等敏感信息的批量分析或處理服務的銀行業重點外包服務機構，應當具有完善的運行服務管理體系，并通過業界公認較為權威的運行服務管理資質認證。為本行提供信息科技外包服務的提供商應通過本行的準入評估，方可取得為本行信息

14、化項目提供服務的資格/資質。對銀監會定時發布的服務提供商風險預警中涉及的問題機構，按要求在兩年內禁止其準入，兩年內仍未整改的，延長禁止期。外包服務商的日常管理和監督對重要的服務提供商，應在協議簽訂前對服務提供商進行深入的盡職調查，包括：關注服務提供商的技術和行業經驗，包括但不限于：服務能力和支持技術、服務經驗、服務人員技能、市場評價、監管評價等；應當關注服務提供商的內部監控和管理能力，包括但不限于：內部監控機制和管理流程的完善程度、內部監控技術和工具等；應當關注服務提供商的延續經營狀況，包括但不限于：從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。信息科技外包服務依照“誰使用、誰負

15、責”的原則，進行信息科技外包服務提供商的日常管理和監督。應及時發現和掌握與信息科技外包服務提供商在合作過程中存在的問題和風險。信息科技外包服務人員須接受本行的管理。包括進出場管理、考勤、培訓、考核、信息資產安全保護、人員變更等。信息科技外包服務人員的考勤及工作表現應作為信息科技外包服務提供商考核的重要組建部分。應對其所提供信息科技服務的外包人員進行相關規章制度和基本行為準則的培訓。各級行、各部門作為信息科技外包服務使用部門應通過信息接觸、授權、銷毀等方面的限制措施，確保信息資產的安全。風險管理部應對措施的執行情況進行監督和檢查。外包服務監督與評價應對外包服務過程進行延續監控，要求服務提供商建立

16、階段性服務目標及任務，并跟蹤任務的執行情況，及時發現和糾正服務過程中存在的各類異常情況。應依據銀行信息科技外包服務協議管理辦法與服務提供商簽訂協議，并根據協議或協議規定的服務考核指標對服務提供商進行定時評價，確保外包服務監控基礎數據和評價結果的真實性和完整性，且數據至少需保存到服務終止后一年。應對服務提供商的財務、內控及安全管理進行延續監控，關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。監控到異常情況時，應及時督促服務提供商采取糾正措施，對于情節嚴重的或未及時糾正的，應約談服務提供商高管人員并限期整改

17、，同時向風險管理部報告。外包服務終止時，應對服務提供商進行評價，評價結果應作為服務提供商準入的重要參考依據。外包服務風險管理風險評估與審計風險管理部應至少每年開展一次全面的外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告。評估內容包括：信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。應對重要的外包服務提供商進行定時的風險評估，保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括：服務提供商合規情況、服務的執行效果等，評估結果應當作為服務提供商準入及退出的重要依據。董事會內審辦會室應定時開展信息科技外包

18、風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應及時開展專項審計。外包服務安全管理為確保信息安全，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設備遭受破壞等風險。應當采取以下措施：對外包人員進行信息安全培訓，提高風險管理意識，確保信息安全管控措施在外包服務過程中有效落實；明確外包活動需要訪問或使用的信息資產，包括場地、辦公設備、計算機、服務器、軟件、數據、信息、物理訪問監控設備、賬號、網絡寬帶、網絡端口等，按“必需知道”和“最小授權”原則進行訪問授權；對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描；定時對服務提供商進行

19、安全檢查，獲取服務提供商自評估或第三方評估報告。關注外包服務引入的新技術或新應用對現有治理模式及安全架構的沖擊，及時完善信息安全管控體系，避免因新技術或應用的引入而增加額外的信息安全風險。外包服務中斷與終止為降低外包突發事件的可能性及影響，應事先對業務連續性管理造成重大影響的外包服務建立風險監控、緩釋或轉移措施，包括但不限于以下內容：在外包服務實施過程中延續收集服務提供商相關信息，盡早發現可能致使服務中斷的情況；與服務提供商事先商定在其服務質量未能滿足協議要求的情況下獲取其外包服務資源的優先權；要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；對于涉及重要業務的外包服務，本行需考慮

20、預先在其內部配置相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行保持最低限度的服務能力。為應對突發的外包服務中斷事件，應針對重要外包服務中斷的場景，擬定相應的應急計劃，并定時進行演練，考慮因素包括但不限于以下內容：事件場景，如重要人員流失致使服務無法延續，服務提供商主動退出，因資質變更、被收購、兼并或破產等原因致使的服務提供商被動退出等；事件延續時間和恢復可能性；事件影響范圍和可能的應急措施；服務提供商自行恢復服務的可能性和時間；備選的服務提供商以及外包服務遷移方案；外包服務過渡給本行自行運作的可能性、時效及資源需求。對于無法滿足外包服務要求或發生重大事件的情況，應在充分評估其影響及制

21、定退出計劃的前提下，考慮主動要求服務提供商終止服務，情節特別嚴重的，可考慮取消準入資質，并報監管機構申請對其備案。重點外包服務機構風險管理應在風險管理、審計方面對銀行業重點外包服務機構提出如下要求：銀行業重點外包服務機構應當具有信息科技風險的管理體系，有效識別、監測、評估和監控風險。至少每季度向本行報送外包風險監控報告，針對監控發現的潛在風險或風險事件，及時采取監控或緩釋措施；銀行業重點外包服務機構應當每年聘請獨立的審計機構，對自身外包服務進行風險評估,年度風險評估報告需報送本行，并抄送銀監會或其派出機構；銀行業重點外包服務機構應當對其外包服務團隊成員進行背景調查，確保其過往無不良記錄，且應當

22、與項目成員簽訂保密協議，并保留至少10年的法律追訴期。報告管理本行開展以下信息科技外包服務時,應在外包協議簽訂前二十個工作日向銀監會派出機構報告：信息科技工作整體外包；數據中心或災備中心整體外包；涉及將本行客戶資料文件資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息科技外包；以非駐場形式實施的、集中存貯客戶數據的業務交易系統外包；關聯外包；即：服務提供商為本行或所屬集團子公司、關聯公司或附屬機構提供信息科技外包；涉及跨境的信息科技外包；其他銀監會認為重要的信息科技外包。本行信息科技外包活動中發生如下重大事件時，應在兩個工作日內銀監會派出機構報告：本行客戶信息等敏感數據泄露；數據損毀或

23、者重要業務運營中斷；由于不可抗力或服務提供商重大經營、財務問題，致使或可能致使多家銀行業銀行等金融機構外包服務中斷；其他重大的服務提供商違法違規事件；銀監會規定需要報告的其他重大事件。風險管理部在開展年度外包風險管理評估工作后，應將年度風險評估報告報送銀監會派出機構。附則 本辦法由銀行負責制定、說明和修改。本辦法自發布之日起施行。附件：1.外包服務商盡職調查表附件1.銀行外包服務商盡職調查表銀行外包服務商盡職調查表1.基本情況編號問題選項企業性質 FORMCHECKBOX A.國有控股企業 FORMCHECKBOX B.民營控股企業 FORMCHECKBOX C.中外合資，外資控股企業 FOR

24、MCHECKBOX D.外商獨資企業企業設立于_年企業從事外包業務的年數_年企業分支機構設立情況（分支機構包括：子公司、分公司和辦事處）國內:_個，分布在_國外:_個，分布在_2.業務類型編號問題選項企業金融類外包業務占全部外包業務比例業務比例_%企業金融類外包業務主要客戶包括 FORMCHECKBOX A. 金融監管機構業務比例_% FORMCHECKBOX B. 國有大型銀行業務比例_% FORMCHECKBOX C.股份制銀行業務比例_% FORMCHECKBOX D.城市商業銀行業務比例_% FORMCHECKBOX E. 農村信用社業務比例_% FORMCHECKBOX F.其他業務

25、比例_%3.資質認證編號指標選項企業通過以下哪些資質（可多選） FORMCHECKBOX A.CMMCMMI認證等級_ FORMCHECKBOX B. ISO27001/BS7799 FORMCHECKBOX C. ISOxx0 FORMCHECKBOX D. ISO9001 FORMCHECKBOX E. PCMM FORMCHECKBOX F. SAS70企業系統集成資質級別 FORMCHECKBOX A.一級 FORMCHECKBOX B.二級 FORMCHECKBOX C. 三級 FORMCHECKBOX D. 其他_4.經營狀況編號問題選項企業的營業總額A. 前年度: _萬元B. 上

26、年度:_ 萬元5.協議規模和年限編號問題選項企業上年度所承接的最大外包項目的協議金額（不包括硬件和產品費用） FORMCHECKBOX A.超過5000萬元 FORMCHECKBOX B.1000萬5000萬元 FORMCHECKBOX C.500萬1000萬元 FORMCHECKBOX D. 100萬500萬元 FORMCHECKBOX E. 50萬100萬元 FORMCHECKBOX F. 50萬以下元企業上年度所承接的大部分外包項目的協議金額（不包括硬件和產品費用） FORMCHECKBOX A.超過5000萬元 FORMCHECKBOX B.1000萬5000萬元 FORMCHECKBOX C.500萬1000萬元 FORMCHECKBOX D. 100萬500萬元 FORMCHECKBOX E. 50萬100萬元 FORMCHECKBOX F. 50萬以下元企業上年度所承接的外包項目協議的最長年限 _年企業上年度所承接的外包項目協議的平均年限_年6.人力資源編號問題選項企業職工或員工規模目前職工或員工總數 _人； 從事外包業務的職工或員工總數_人；目前從事外包業務的職工或員工中包括：A.管理人員_ _ _人B. 市場人員_ _人C.技術人員_ _人D