收藏
下载资源

银行信息科技外包风险管理办法

上传人:ni****g 文档编号:410827596 上传时间:2023-06-21 格式:DOCX 页数:18 大小:23.84KB
返回 下载 相关 举报
银行信息科技外包风险管理办法_第1页
第1页 / 共18页
银行信息科技外包风险管理办法_第2页
第2页 / 共18页
银行信息科技外包风险管理办法_第3页
第3页 / 共18页
银行信息科技外包风险管理办法_第4页
第4页 / 共18页
银行信息科技外包风险管理办法_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《银行信息科技外包风险管理办法》由会员分享,可在线阅读,更多相关《银行信息科技外包风险管理办法(18页珍藏版)》请在金锄头文库上搜索。

1、保密等级文档名称文档编号发布组织发布日期执行日期版本号大洼恒丰村镇银行信息科技外包风险管理办法批准人签字审核人签字制订人签字日期:日期:日期:变更履历序版本编号 或更改记 录编号变化状态*简要说明(变更内容、 变更位置、变更原因和 变更范围)变更日期变更人审核人批准人批准日期1C创建,全页。第一章 总则第二章 外包管理组织架构目录错误!未定义书签。错误!未定义书签。第三章 信息科技外包战略及风险管理错误!未定义书签。第一节 信息科技外包战略错误!未定义书签。第二节 信息科技外包风险管理.错误!未定义书签。第四章 信息科技外包管理错误!未定义书签。第一节 外包风险评估及准入错误!未定义书签。第二

2、节 服务提供商尽职调查错误!未定义书签。第三节 外包服务合同及要求错误!未定义书签。第四节 外包服务安全管理错误!未定义书签。第五节 外包服务监控与评价错误!未定义书签。第六节 外包服务中断与终止错误!未定义书签。第八章 监督管理错误!未定义书签。第九章 附则错误!未定义书签。第一章 总则第一条 为规范我行的信息科技外包活动,降低信息科技 外包风险,根据中华人民共和国银行业监督管理法、中华 人民共和国商业银行法、银行业金融机构信息科技外包风险 监管指引等法律法规,制定本办法。第二条 本办法所称信息科技外包是指我行将原本由自身 负责处理的信息科技活动委托给服务提供商进行处理的行为, 包含项目外包

3、、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计 外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、 机房配套设施、网络、系统的运维外包,自助设备、POS机等 远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、 企业管理、资产处置等外包中的系统开发、运行维护和数据处 理活动。第三条 我行应将信息科技外包管理纳入全面风险管理体 系,建立与本行信息科技战略目标相适应的外包管理体系,控 制或降低由于外包而引发的风险。我行在实施信息科技外包时应当坚持以下原则:一)以不妨碍核心能力建设、积极掌握

4、关键技术为导向二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略 和措施。第五条 我行在实施信息科技外包时,不得将信息科技管 理责任外包。第二章 外包管理组织架构第六条 为了严格落实我行信息科技外包风险管理的相关 职责, 我行设立外包风险管理领导小组,领导小组成员如下: 组 长:荆晓辉副组长:宇文梁成 员:任义、何亮外包风险管理领导小组主要职责包括:(一)制定并审批信息科技外包战略;(二)审议信息科技外包管理流程及制度;(三)督促并监控信息科技外包风险管理效果。第七条 由内审稽核部作为我行信息科技外包风险主管部 门

5、,主要职责包括:(一)对外包风险进行识别、评估与风险提示;(二)监督、评价外包管理工作,并督促外包风险管理的 持续改善;(三)向高级管理层定期汇报信息科技外包活动相关风险 管理情况;(四)董事会或高级管理层确定的其他信息科技外包风险 管理职责。第八条 我行信息科技部设立信息科技外包管理岗,履行 以下职责:(一)实施信息科技外包战略;(二)制定并执行信息科技外包管理制度与流程;(三)执行供应商准入、评价、退出管理,建立并维护供 应商关系管理策略;(四)制定保障外包服务持续性的应急管理方案,并组织 实施定期演练;(五)对外包过程中的各项管理活动进行监控及分析,定 期向信息科技及外包风险管理主管部门

6、报告外包活动情况。第三章 信息科技外包战略及风险管理第一节 信息科技外包战略第九条 我行应制定信息科技外包战略规划,以提升信息 科技队伍能力,提高科技管理及创新水平,掌握信息科技核心 技能为目标,基于信息科技战略、外包市场环境、自身风险控 制能力和风险偏好制定信息科技外包战略,包括:不能外包的 职能、资源能力建设方案、供应商关系管理策略和外包分级管 理策略。第十条 我行根据自身信息科技战略,不能外包的职能包 括:涉及战略管理、风险管理、内部审计及其他有关信息科技 核心竞争力的职能。第十一条 我行应当根据外包战略制定资源、能力建设方 案,通过补充人员、提升技能、知识转移等方式,有针对性地 获取或

7、提升管理及技术能力,降低对服务提供商的依赖。第十二条 我行应当建立与自身规模、市场地位相适应的 供应商关系管理策略。通过准入和退出机制合理管控各类高风 险服务提供商的数量,实现以下目标:防范行业垄断和机构集 中度风险,通过引入适当的竞争在降低采购成本的同时提高服 务质量,合理管控服务提供商的数量从而降低风险及管理成本 等。第十三条 我行应按照外包服务性质和重要性程度对服务 提供商进行分级管理,对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本第二节 信息科技外包风险管理第十四条 由内审稽核部负责我行信息科技外包风险管理 工作,并每年开展一次全面的外包风险管理评估

8、,保持评估的独立性,同时向高级管理层提交评估报告。评估内容包括:信息科技外包战略执行情况、外包信息安全、机构集中度、服务 连续性、服务质量、政策及市场变化对外包服务的影响分析等。第十五条 内审稽核部应对重要的外包服务提供商进行定 期的风险评估,保持评估的独立性。至少在三年内覆盖所有重 要的服务提供商。评估内容包括:服务提供商合规情况、服务 的执行效果等,评估结果应当作为服务提供商准入及退出的重 要依据。第十六条 由我行内审稽核部定期开展信息科技外包风险 管理审计工作,至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。章 信息科技外包管理第一节 外包风险评估

9、及准入第十七条 在外包项目立项前,我行应当审慎检查项目与 信息科技外包战略的一致性,根据项目内容、范围、性质对其 进行风险识别和评估,制定相应的风险处置措施,不因外包活 动的引入而增加整体剩余风险。重大外包项目应向董事会、高 管层报告。第十八条 我行对外包商实行准入管理,对于不符合准入 条件的外包商应拒绝与其进行科技合作,我行外包商准入标准 如下:(一)外包服务商应当是中华人民共和国境内注册的独立 法人实体,注册资本和实收资本不少于 1000 万,注册成立时 间不少于 3年。(二)外包服务商应当拥有健全的组织架构,并针对所提 供的外包服务建立有效的风险治理架构,至少应当建立由公司 高级管理层直

10、接领导、针对我行外包服务的、专职信息科技风 险管理团队,为持续的外包服务提供保证。(三) 外包服务商应当建立与所承担的服务范围和规模相 适应的服务管理体系,建立完善的信息安全、服务质量、服务 持续性等管理制度体系,拥有有效的检查、监控和考核机制, 确保管理规范有效执行。(四) 外包服务商应当具有足够的技术能力、人力资源和 设施、环境,满足外包服务的质量和安全管理要求。外包服务 场地应当设置在中国境内。(五) 外包服务商应具有如下相关领域资质认证:(1) 具有完善的信息安全管理体系、业务连续性管理体系, 并通过业界公认较为权威的信息安全管理和业务连续性管理 资质认证。(2) 具有完善的质量管理体

11、系,并通过业界公认较为权威的 质量管理资质认证。(3) 为我行提供数据中心、灾备中心机房及基础设施外包服 务的外包服务商,其机房及基础设施应当达到国家电子计算机 机房最高标准。(4) 承担集中存贮我行客户数据的业务交易系统外包服务, 或承担我行客户资料、交易数据等敏感信息的批量分析或处理 服务的外包服务商,应当具有完善的运行服务管理体系,并通 过业界公认较为权威的运行服务管理资质认证。(五) 我行对外包服务商在风险管理、审计方面提出如下 要求:(1) 外包服务商应当具有信息科技风险的管理体系,有效识 别、监测、评估和控制风险。外包服务商应当至少每季度向我 行报送外包风险监控报告,针对监控发现的

12、潜在风险或风险事 件,及时采取控制或缓释措施。(2) 外包服务商应当每年聘请独立的审计机构,对自身外包 服务进行风险评估,年度风险评估报告需报送所服务的银行业 金融机构,并抄送银监会或其派出机构。(3) 外包服务商应当对其外包服务团队成员进行背景调查, 确保其过往无不良记录,且应当与项目成员签订保密协议,并 保留至少10年的法律追诉期。第二节服务提供商尽职调查第十九条 我行在与外包服务提供商签订合同前需深入开 展尽职调查。尽职调查报告包括但不限于:服务能力和支持技 术、服务经验、服务人员技能、市场评价、监管评价、内部控 制机制和管理流程的完善程度、内部控制技术和工具、从业时 间、市场地位及发展

13、趋势、资金的安全性、近期盈利情况等。第三节 外包服务合同及要求第二十条 我行在实施外包服务项目前,应当与服务提供 商签订服务合同。合同应当根据外包服务需求、风险评估及尽 职调查结果确定详细程度和重点。第二十一条 我行在合同或协议中应当明确以下内容,包 括但不限于:(一)服务范围、服务内容、工作时限及安排、责任分配、 交付物要求以及后续合作中的相关限定条件;(二)合规与内控要求,对法律法规及我行内部管理制度 的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措 施;(三)服务连续性要求,服务提供商的服务连续性管理目 标应当满足我行业务连续性目标要求;(四)我行监控和检查的权利、频率,服务提供商配合其 内、外部审计机构检查,及配合银行业监管机构检查的责任;(五)政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合 同变更或终止的过渡安排,包括信息、资料和设施的交接处置 等过渡期间相关服务的安排;(六)外包服务过程中产生、加工、交互的信息和知识产 权的归属权以及允许服务提供商使用的内容及范围,对服务提 供商使用合法软、硬件产品的要求;(七)服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完 整性要求

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号