商业银行信息科技外包管理制度第一章 总 则第一条 为加强商业银行(以下简称本行)信息科技外包风 险管理,依据《商业银行信息科技风险管理指引》(银监发〔2009〕 19 号)、《银行业金融机构信息科技外包风险监管指引》(银 监发〔2013〕5 号)及有关文件,制定本制度第二条 本制度所称信息科技外包是指本行将原本由自身 负责处理的信息科技活动委托给服务提供商进行处理的行为,包 含项目外包、人力资源外包等形式包括但不限于以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计 外包,规划、需求、系统开发、测试外包二)系统运行维护类外包:包括数据中心(灾备中心) 机房配套设施、网络、系统的运维外包,自助设备、 POS 机等 远程终端及办公设备的运维外包三)业务外包中的信息科技活动:市场拓展、业务操作、 企业管理、资产处置等外包中的系统开发、运行维护和数据处理 活动信息科技外包可能产生如下风险,并导致本行的战略、声 誉、合规风险:(一)科技能力丧失:过度依赖外部资源导致失去科技控 制及创新能力,影响业务创新与发展二)业务中断:支持业务运营的外包服务无法持续提供 导致业务中断三)信息泄露:包含客户信息在内的非公开数据被服务 提供商非法获得或泄露。
四)服务水平下降:由于外包服务质量问题或内外部协 作效率低下,使得信息科技服务水平下降第四条 本制度所称机构集中度风险是指农商行将信息科 技外包服务集中交由少量服务提供商承接而产生的风险,该风险 可能造成集中性的服务中断、质量下降、安全事件等对于不涉及本行客户及内部信息转移的信息科技产品采购 维保,及通讯线路租用、支付或清算系统接入等信息科技公共基 础设施服务,本行外包接口部门应充分评估其信息科技风险,按 照具有机构集中度特点的外包服务提供商的相关要求进行管理一)不得将信息科技管理责任外包二)不能妨碍核心能力建设和掌握关键技术三)保持外包风险、成本和效益的平衡四)强调外包风险的事前控制,保持管控力度五)根据外包管理及技术发展趋势,持续改进外包策略 和措施第二章 组织及职责第六条 风险管理部门为信息科技外包风险管理的主管部 门职责包括但不限于:(一)组织制定战略和制度二)指导和监督信息科技外包工作三)识别、评估、监控和提示信息科技外包风险四)作为信息科技风险管理报告的一部分,定期向业务 连续性管理委员会、高级管理层和董事会报告信息科技外包风险 管理工作第七条 信息科技部门及其它涉及信息科技外包活动部门 为信息科技外包管理的执行部门。
职责包括但不限于:一)制定并执行信息科技外包管理战略、制度与流程二)建立并维护供应商关系管理策略,执行供应商准入、 评价、退出管理三)制定保障外包服务持续性的应急管理方案,并组织 实施定期演练四)对外包过程中的各项管理活动进行监控及分析,当 外包服务发生变更、中断和完结时向风险和科技部门报告第八条 审计部门要定期开展信息科技外包风险管理审计 工作,至少每 3年对重要外包进行一次全面审计,在发生外包风 险事件时要及时开展专项审计第三章 外包战略及制度第九条 制订信息科技外包战略(一)风险管理部门牵头组织,信息科技部门为主、各执 行部门参与,共同制订信息科技外包战略二)信息科技外包战略要报告业务连续性管理委员会、 信息科技管理委员会、高级管理层和董事会一)风险管理部门牵头组织,信息科技部门为主、各执 行部门参与,共同制订信息科技外包管理制度二)信息科技外包管理制度至少应包括:供应商管理、 外包项目管理(合同协议管理、安全管理、服务水平监控、应急 处置以及知识移交)等内容三)在条件许可的情况下,管理制度需全面覆盖具备集 中度特征外包、重要外包、非驻场外包等不同类别外包和不同级 别外包商管理要求。
每年对信息科技外包管理制度进行修订维护第四章 外包服务供应商管理第一节 一般外包服务提供商管理第十一条 建立信息科技外包服务提供商准入标准,并作为 初步筛选备选服务提供商的依据第十二条 建立信息科技外包服务提供商评价标准,每年度 对已有信息科技外包服务提供商进行评价第十三条 每年度对服务提供商准入及评价标准进行修订 维护服务提供商评价结果需作为提供商分级管理和提供商退出 的依据第二节 机构集中度外包服务商管理第十四条 要依据服务提供商所承接外包服务的数量、金额 在本行重要信息科技服务中的占比,服务提供商所承接外包服务 在银行业服务市场占比情况,识别具有机构集中度特点的外包服 务提供商同时,还应识别服务提供商之间为集团子公司、关联 公司或附属机构所产生的机构集中度风险第十五条 要积极采用分散信息科技外包活动、提高自主研 发运行能力等形式,降低机构集中度风险,减少对外包服务提供 商的依赖第十六条 要求具有机构集中度特点的外包服务提供商提 供充分的证据,证明其内部控制和管理能力、持续运营能力等第十七条 要求具有机构集中度特点的外包服务提供商为 本行配备相对独立的资源,包括服务团队、场地、系统和设备等; 并对资源进行定期检查,确保资源及时到位。
第十八条 要求具有机构集中度特点的外包服务提供商在 外包服务中断应急预案中,明确外包服务的优先级,并进行服务 中断应急演练,服务提供商应当至少参与服务交接、敏感信息处 置等演练过程第十九条 特别加强对具有机构集中度特点的外包服务提 供商的财务、内控、安全管理情况的持续监控,建立信息收集机 制,及时掌握风险事件情况,防范外包服务意外终止或服务质量 急剧下降对本行产生大面积影响第二十条 要对具有机构集中度特点的外包服务提供商增 强监督频率与力度,必要时可指派专人进行现场监督第五章 外包项目管理第二十一条 重大信息科技外包项目立项前,应实施风险评 估在条件许可的情况下,立项前风险评估需覆盖所有信息科技 外包项目第二十二条 重大信息科技外包项目,在与外包服务提供商 签订协议前,应实施服务提供商尽职调查在条件许可的情况下, 尽职调查关注范围需包括但不限于以下内容:(一)外包服务提供商服务能力和支持技术、服务经验、 服务人员技能和市场评价等二)外包服务提供商内部控制机制和管理流程的完善程 度、内部控制技术和工具使用情况三)外包服务提供商从业时间、市场地位及发展趋势、 资金的安全性、近期盈利情况第二十三条 与外包服务提供商签订外包协议,其中至少应 包括外包服务水平及安全保密条款。
第二十四条 对外包服务项目安全采取控制措施内容包括 但不限于:(一)建立针对外包服务提供商的安全管控措施二)组织开展对外包人员的安全培训三)明确外包活动需要访问或使用的信息资产,并按“必 需知道”和“最小授权”原则进行访问授权四)定期对服务提供商进行安全检查,获取服务提供商 自评估或第三方评估报告五)根据本行情况,需对重要信息系统开发交付物,直 至部署在生产网络中的信息系统开发交付物,进行源代码检查和 安全扫描第二十五条 建立明确的服务目录、服务水平协议以及服务 水平监控评价机制根据实际情况做好如下工作:(一)在外包实施过程中,依据服务水平设定的目标,对 外包服务提供商的服务水平进行持续监控,数据至少保存到服务 结束后一年二)监控中发现问题,督促外包服务提供商及时进行纠 正整改三)外包项目结束时,对服务提供商的服务水平进行全 面总结评价第二十六条 针对重要外包服务中断的情况,制定相应的应 急预案,并定期进行演练;建立针对无法满足服务要求的服务终 止和服务提供商退出管理机制在条件许可的情况下,还需考虑:(一)将外包服务提供商纳入本行业务连续性计划演练范 围二)对可能影响重要业务连续性的信息科技外包服务, 建立风险控制机制。
第二十七条 在外包实施过程中,应适当配置内部人员,掌 握必要技能外包项目结束时,建立知识承接管理机制,避免因 外包服务终止导致本单位信息科技风险上升第二十八条 信息科技外包项目文档应全面详实,并由外包 执行团队负责审查后归档项目文档应确保专人保管,调阅须审 批并记录第六章 报 告第二十九条 信息风险管理部门牵头组织编写外包风险管 理年度评估报告,作为信息科技年度风险管理报告的一部分,提 交业务连续性管理委员会、高级管理层和董事会审批并根据管 理要求,报送行业管理机构第三十条 涉及以下类型的信息科技外包项目合同签订前, 应向行业管理机构报告一)信息科技工作整体外包二)数据中心或灾备中心整体外包三)涉及将客户资料、交易数据等敏感信息交由服务提 供商进行分析或处理的信息科技外包四)以非驻场形式实施的、集中存贮客户数据的业务交 易系统外包五)涉及跨境的信息科技外包六)其他行业管理机构认为重要的信息科技外包第三十一条 信息科技外包活动在发生以下重大事件时,向 行业管理机构报告一)客户信息等敏感数据泄露二)数据损毁或者重要业务运营中断三)由于不可抗力或服务提供商重大经营、财务问题, 导致或可能导致外包服务中断的情况。
四)其他重大的服务提供商违法违规事件五)行业管理机构规定需要报告的其他重大事件第七章 附 则第三十二条 本制度由商业银行负责编制、修订及解释第三十三条 本制度自发布之日起执行。