《xxxx银行信息科技外包战略及管理办法》由会员分享,可在线阅读,更多相关《xxxx银行信息科技外包战略及管理办法(27页珍藏版)》请在金锄头文库上搜索。
1、xxxx信息科技外包战略及管理办法第一章 总 则7i )第一条 为了规范 xxxx 银行(以下简称“我行”)的信 息科技外包 活动, 保障我行信息系统安全持续稳定运行, 降低信 息科技外包风险 ,依 据中国银监会颁布的 银行业金融机构信息 科技外包风险监管指引 、 银行业金融机构外包风险管理指引 、 中华人民共和国银行业监督管理 法、 中华人民共和国商业 银行法等法律法规,制定本办法。J J 第二条 本办法所称信息科技外包是指我行将原本由自身 负责处理的 信息科技活动委托给服务提供商进行处理的行为, 包 含项目外包、人力资源 外包等形式。原则上包括以下类型:(一)研发咨询类外包:科技管理及科技
2、治理等咨询设计 外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、 机房配套设施、网络、系统的运维外包,自助设备、 POS 机等远 程终端及办公设备 的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、 企业管 理、 资产处置等外包中的系统开发、 运行维护和数据处理 活动。7i ) 第三条 信息科技外包可能产生如下风险,并导致我行的 战略、声 誉、合规风险: 一) 科技能力丧失:我行过度依赖外部资源导致失去科 技 控制及创新能力,影响业务创新与发展;二) 业务中断:支持业务运营的外包服务无法持续提供 导致业务中断;三) 信息泄露:包含客户信息
3、在内的我行非公开数据被 服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协 作效率低 下,使得我行信息科技服务水平下降。第四条 本办法所称机构集中度风险是指我行将信息科技 外包服务集 中交由少量服务提供商承接而产生的风险, 该风险可 能造成集中性的服务中 断、质量下降、安全事件等。7t-/t- i第五条 本办法所称同业托管机构是指作为外包服务提供 商为其他同 行业金融机构提供信息科技外包服务的银行业金融 机构。7i J 第六条 实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、 积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包
4、风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。第七条 银行业金融机构在实施信息科技外包时,不得将 信息科技管 理责任外包。第八条本办法管理内容涉及科技信息外包的各个流程, 包括外包项目的建立、 执行、监控、考核评价、 持续改进等过程。第九条本办法参照中国银监会银行业金融机构信息科 技外包风险监管指引 中信息科技外包风险控制要求制订, 目标 是明确信息科技外包 管理要求, 防范和控制我行信息科技外包风 险,保证外包流程规范化并能达 到预期成效。第二章 组织架构及职责第十条 我行外包管理的组织架构包括高级管理层和信息 科技外包专 职主管部门, 其中信息科技
5、外包专职主管部门为我行 科技开发部。第十一条 我行高级管理层的职责主要包括以下方面:(一)确定外包管理部门职责, 并对其行为进行有效监督。(二)审议批准信息科技外包的战略发展规划;(三)审议批准信息科技外包的风险管理制度;(四)审议批准信息科技外包业务的范围及相关安排;(五)审阅本机构外包活动相关报告;7t-/t I(六)安排内部审计, 确保审计范围涵盖所有的外包活动。 第十二条 信息科技外包专职主管部门的职责主要包括 以下方面:(一)制定信息科技外包的战略发展规划;(二)制定并执行信息科技外包风险管理的政策、操作流程和内控制度;(三)根据我行信息科技建设规划或外包服务需求,结合我行信息科技的
6、建设情况, 确立外包项目的范围、 内容和相关安 排、制定外包年度计 划及外包阶段性计划;(四)负责信息科技外包活动的日常管理, 包括尽职调查、 合同签 署以及外包服务技术指标的制定等;(五)负责形成信息科技外包项目情况汇总报告,提交我 行高级管理层及风险管理部、审计部和法律合规部等相关部门;(六)根据我行风险管理部、审计部和法律合规部对外包 项目评估、审计以及提出的风险管理意见对信息科技外包项目实 施优化和改进;七) 在发现外包服务提供商的业务活动存在缺陷时,采 取及时有效的措施;(八) 高级管理层确定的其他职责。7t-/t I 第十三条 信息科技外包管理涉及的部门包括:外包管 理部门、外 包
7、使用部门(外包直接应用部门) 、外包审批部门以 及外包审计部门、外包 风险管理部门等。第十四条 我行科技开发部作为信息科技服务外包管理 部门,其基 本职能如下:(一)根据我行信息科技建设规划或外包服务需求,结合 全行信息科 技资源的整体分布和建设情况, 确立外包项目的范围 和内容、制定外包年度 计划及外包阶段性计划;(二)负责协调和组织外包资源, 管理外包资源台账信息;(三)规范和制定外包合同和外包服务水准的基本要求;(四)主持或协助相关部门签定外包服务合同、制定外包 服务水准协议,科技开发部主要负责制定技术指标要求;(五)规范和制定外包监控制度、考核评价机制和持续改 进办法、组织验收考核;(
8、六)负责定期形成外包项目情况汇总报告,提交相关业 务管理部门、风险管理部门及高级管理层;(七)根据我行审计部门或风险管理部门对外包项目评估、 审计以及提出的风险管理意见对信息科技外包项目实施优化和 改进。第十五条 享有信息科技外包服务或外包服务的直接应 用部门为外 包使用部门,基本职能如下:(一)负责编写提交信息科技外包服务业务需求;(二)参与制定外包服务合同以及外包服务水准,外包使 用部门主要负责业务指标和相关罚则的制定;(三)参与对外包公司和外包人员的考核和评审;(四)协助外包管理部门共同管理外包过程。7t-/t I 第十六条我行审计部为信息科技外包的审计部门,负 责对信息科技外包项目进行
9、事前、事中和事后审计。第十七条我行风险管理部门为信息科技外包的风险管 理部门, 负责根据科技开发部提交的外包项目风险评估报告, 发 现和控制项目过程中的 风险。第三章 外包战略及管理第十八条 我行应当以提升信息科技队伍能力,提高科 技管理及创 新水平, 掌握信息科技核心技能为目标, 基于信息科 技战略、 外包市场环 境、 自身风险控制能力和风险偏好制定信息 科技外包战略,包括:不能外包 的职能、资源能力建设方案、供 应商关系管理策略和外包分级管理策略。第十九条 我行根据自身信息科技战略,明确涉及战略 管理、风险 管理、 内部审计及其他有关信息科技核心竞争力的职 能不得外包,且不得将 信息科技管
10、理责任外包。7i ) I第二十条 我行在进行信息科技外包活动前必须进行外 包风险评 估。在外包风险评估阶段应考虑以下因素 :(一)我行的战略目标和业务需要。(二)我行评估和监视外包关系的能力。(三)我行的关键服务和重要服务。(四)外包活动的需求说明。(五)必要的控制和报告过程。(六)服务提供商在合同中的权利和义务。(七)偶发事件的处理 ,包括改变服务提供商的可能性以及 改变服务提 供商时所需要的成本和资源。7i ) |第二十一条 必须选择合适的服务提供商。在完成自身 的风险评估 后, 我行必须对服务提供商进行评估以决定其财务和 运作方面的能力是否能 满足需要。在选择IT外包服务提供商时必须对提
11、供商支持外包业务的技术 能力、关键人员的业务能力、 业务处理的操作和控制能力以及提供商的财务 状况等进行全面评估 ,以选择业务能力强、信誉好的服务提供商。(一)外包服务提供商技术水平与专业人员的业务能力评 估。主要包 括对外包服务提供商提供给金融机构所需服务和技术 支持的经验和能力、 服 务失败或业务系统遭黑客入侵等偶发事件 的应对能力、 在预期的操作环境下 提供服务的经验、 提供外包业 务关键人员的业务能力和敬业精神与职业道德 等进行评估。(二)安全、保密措施与保险覆盖范围的审查。主要是审 查服务提供 商处理设备管理、系统安全性、个人隐私保护、数据 记录维护、 系统灾难恢 复、 系统开发和维
12、护以及职员背景等工作 的标准、 策略和过程是否充分; 考查服务提供商是否提供了充分 而谨慎的安全措施 , 包括防火墙、加密、客 户身份认证、对金融 机构资源的保护和对入侵的检测与应对措施等; 考查服 务提供商 是否对诸如欺诈、火灾、数据丢失、文档失窃等进行保险。三) 评估外包服务提供商对相关法律法规和专业知识的 了解程度。 应该评估外包服务提供商需要向金融机构学习的金融 专业知识、外包服务提 供商对与我行 IT 外包业务相关的法律法 规的了解程度等。(四)财务状况与信誉考察。应通过其它用户和咨询机构 了解外包服 务提供商的信誉和表现。 分析服务提供商提供的已经 审计过的报告、 年终 报告和其它
13、指标等。 考查服务提供商在金融 行业中服务的时间、 占据的市 场份额及其波动情况。 评估服务提 供商的技术费用支付能力 , 如服务提供商 在财务上是否有能力投 资和支持金融机构 IT 外包业务所需的技术等。考查 金融机构是否可以完全、及时地取得由提供商保有的资料。J J I 第二十二条 制定适当的外包合同。外包合同是实现外 包策略最关 键的一个环节 , 我行在制定外包合同时 , 应该注意以 下几个方面的问题:(一)明确的服务边界和灵活的外包协议。 在外包合同中 , 我行必须 清晰、 明确地指出服务范围, 以便服务提供商明确自己 的职责。同时,外 包合同 ( 特别是长期外包合同 ) 应具有充分的
14、 弹性以允许在技术和操作 方面进行改革或应对技术、 业务、甚至 策略目标方面可能出现的变化。(二)合理的服务级别说明和度量。服务级别说明与度量 用来衡量服 务提供商的质量表现 (perfor2mance) 。因此, 应重点 衡量我行通过 IT 外包所期望达到的结果和服务水平,而不是把 重点放在技术细节上或只关注 项目的进展速度。(三)明确赔偿责任与争端解决程序。外包服务合同中应 包含惩罚服 务提供商未能提供约定服务级别的条款。 同时,为了 在争端出现时迅速解决 争端以及在争端出现时可继续提供服务, 合同中还应包括解决双方争端的程 序。(四)安全性与机密性要求。 合同应声明我行各种资源 ( 如
15、信 息、硬件、软件等 ) 的安全性和机密性要求。除了与外包服务 密切相关的 信息外, 还应禁止外包服务提供商使用和揭露我行的 其它信息, 防止未经 授权的使用。 我行应提醒服务提供商注意个 人隐私保护方面的法律条款, 防止服务提供商泄露客户的有关信(五)稽核权利。我行在外包合同中应指明获取外包服务 提供商各种 审计报告的权利 ( 如财务报告、性能报告、内部控制 报告、安全检查报告 等 ) 。合同中也可指明稽核的频率以及相关 费用等。对于重大的外包服务 活动 , 还应考虑在合同中明确由具 有专业知识的独立的第三方来执行阶段性 的稽核工作, 我行应该 要求获得详细的存取安全性持续审计结果的权利。(六)偶发事件的应对计划。合同应包括外包服务提供商 在备份和记 录保护方面的责任 ( 包括设备、软件和数据文件的维 护等 ) ,以及执行 测试计划和将其结果提交给我行的责任。(七)限制成本增加和终止合同的权利。合同应充分指明 基础服务的 费用及其计算,包括任何开发、转化、重复的服务以 及特殊需求的费用。 还 应明确购买和维护软、 硬件的责任与成本, 并明确在成本结构改变的条件下 任何可能发生
