信息系統(tǒng)外包管理辦法-金融業(yè)

信息系統(tǒng)外包管理暫行辦法第一章 總則第一條 為有效防范信息系統(tǒng)外包過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)，促進(jìn)信息系統(tǒng)安全、持續(xù)、穩(wěn)健運(yùn)行，根據(jù)中華人民共和國(guó)銀行業(yè)監(jiān)督管理法、商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引、國(guó)家信息安全相關(guān)要求和有關(guān)信息系統(tǒng)外包管理的法律法規(guī)，制定本辦法。第二條 本辦法所稱信息系統(tǒng)外包，是指將全部或部分IT工作外包給專業(yè)性公司完成的商業(yè)模式。目的是通過(guò)整合、利用適當(dāng)?shù)耐獠繉I(yè)化IT資源，達(dá)到降低成本、提高效率、增強(qiáng)核心競(jìng)爭(zhēng)力、提高應(yīng)變能力。范圍包括將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控、服務(wù)等委托給業(yè)務(wù)合作伙伴或第三方（以下統(tǒng)稱為外包服務(wù)商）承擔(dān)的活動(dòng)。第三條 各部門應(yīng)當(dāng)按照本辦法的規(guī)定開(kāi)展信息系統(tǒng)外包活動(dòng)。第二章 外包內(nèi)容管理第四條 應(yīng)根據(jù)業(yè)務(wù)發(fā)展的實(shí)際需要，合理確定外包的原則和范圍，認(rèn)真分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn)。第五條 嚴(yán)禁外包涉及重要商業(yè)秘密、機(jī)密數(shù)據(jù)管理與傳遞和IT信息戰(zhàn)略相關(guān)的業(yè)務(wù)和服務(wù)。第六條 對(duì)于將敏感的信息系統(tǒng)，以及其他涉及國(guó)家秘密、商業(yè)秘密和客戶隱私數(shù)據(jù)管理與傳遞等內(nèi)容進(jìn)行外包時(shí)，應(yīng)遵守國(guó)家有關(guān)法律法規(guī)，符合銀監(jiān)會(huì)的有關(guān)規(guī)定，經(jīng)過(guò)董事會(huì)辦公會(huì)議批準(zhǔn)，并在實(shí)施外包前報(bào)銀監(jiān)會(huì)及其派出機(jī)構(gòu)和法律法規(guī)規(guī)定需要報(bào)告的機(jī)構(gòu)備案。第七條 PC日常管理服務(wù)：與PC及PC周邊產(chǎn)品有關(guān)的系統(tǒng)支持、數(shù)據(jù)恢復(fù)、系統(tǒng)重建等服務(wù)，包括電腦配件購(gòu)買、硬件維修與安裝、電腦軟件（操作系統(tǒng)、辦公軟件、客戶端程序、防病毒軟件等）安裝等相關(guān)工作。第八條 IT系統(tǒng)基礎(chǔ)設(shè)施服務(wù)：網(wǎng)絡(luò)、主機(jī)、服務(wù)器、存儲(chǔ)、安全、機(jī)房設(shè)施等IT系統(tǒng)基礎(chǔ)設(shè)施的硬件保障與維護(hù)、運(yùn)行監(jiān)控與維護(hù)、系統(tǒng)管理等服務(wù)。IT系統(tǒng)基礎(chǔ)設(shè)施方案設(shè)計(jì)、項(xiàng)目實(shí)施、軟硬件安裝與配置等服務(wù)。第九條 應(yīng)用系統(tǒng)開(kāi)發(fā)和技術(shù)支持服務(wù)：根據(jù)業(yè)務(wù)要求，全部或部分承擔(dān)計(jì)算機(jī)應(yīng)用系統(tǒng)開(kāi)發(fā)、變更工作，向提交滿足業(yè)務(wù)要求的應(yīng)用系統(tǒng)的服務(wù)。為滿足業(yè)務(wù)需求，保障系統(tǒng)運(yùn)行穩(wěn)定、促進(jìn)計(jì)算機(jī)應(yīng)用系統(tǒng)功能的正常發(fā)揮而向提供的應(yīng)用系統(tǒng)技術(shù)支持服務(wù)。第十條 應(yīng)用系統(tǒng)運(yùn)行保障服務(wù)：為使計(jì)算機(jī)應(yīng)用系統(tǒng)安全、可靠、持續(xù)運(yùn)行、有效支持業(yè)務(wù)運(yùn)作而提供的技術(shù)服務(wù)。第十一條 信息系統(tǒng)租用服務(wù)：根據(jù)業(yè)務(wù)需要，租用外部信息系統(tǒng)，由信息系統(tǒng)提供商提供信息處理能力和業(yè)務(wù)功能，支持業(yè)務(wù)運(yùn)作的服務(wù)方式。第十二條 IT咨詢服務(wù)：包括IT治理和信息安全咨詢服務(wù)，IT發(fā)展規(guī)劃咨詢，以及其他專項(xiàng)IT咨詢服務(wù)。第三章 職責(zé)和流程第十三條 信息科技管理委員會(huì)為公司IT外包服務(wù)的職能管理機(jī)構(gòu)，信息中心為IT外包服務(wù)管理工作的執(zhí)行機(jī)構(gòu)，各分支機(jī)構(gòu)和業(yè)務(wù)單位（部門）參與配合實(shí)施。信息中心職責(zé)： l 制定IT外包服務(wù)管理規(guī)章制度和管理流程，規(guī)范IT外包服務(wù)執(zhí)行過(guò)程。l 按照公司有關(guān)規(guī)定參與IT外包服務(wù)商評(píng)選。l 制定IT外包服務(wù)商的考核指標(biāo)。l 評(píng)估、管理與監(jiān)控IT外包服務(wù)水平，保證其對(duì)服務(wù)要求的符合性。l 協(xié)調(diào)最終用戶和IT外包服務(wù)商關(guān)系，促進(jìn)業(yè)務(wù)工作開(kāi)展。l 負(fù)責(zé)公司總部IT外包服務(wù)的監(jiān)控與管理。第三章 外包服務(wù)商管理第十四條 風(fēng)險(xiǎn)管理部應(yīng)當(dāng)建立健全外包服務(wù)方評(píng)估機(jī)制，充分審查、評(píng)估服務(wù)商的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力、誠(chéng)信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平，并進(jìn)行必要的盡職調(diào)查（見(jiàn)外包服務(wù)商管理細(xì)則）。第十五條 簽訂外包服務(wù)合同時(shí)，應(yīng)當(dāng)明確雙方的權(quán)利、義務(wù)，規(guī)定外包服務(wù)商應(yīng)當(dāng)承擔(dān)的安全、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任。第十六條 外包合同中應(yīng)當(dāng)詳細(xì)地明確服務(wù)商必須提供的最低服務(wù)水平、詳細(xì)的服務(wù)范圍和標(biāo)準(zhǔn)、發(fā)生故障時(shí)的服務(wù)級(jí)別及相應(yīng)時(shí)間等，以防范服務(wù)商綜合狀況及業(yè)務(wù)需求變化所可能產(chǎn)生的風(fēng)險(xiǎn)。第四章 外包風(fēng)險(xiǎn)管理 第十七條 風(fēng)險(xiǎn)管理部應(yīng)建立完整的外包監(jiān)測(cè)程序，審慎監(jiān)測(cè)和管理外包實(shí)施過(guò)程中可能產(chǎn)生的風(fēng)險(xiǎn)。 第十八條 充分認(rèn)識(shí)外包服務(wù)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接影響，并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中。第十九條 信息系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)外包應(yīng)當(dāng)進(jìn)行缺陷風(fēng)險(xiǎn)管理，包括代碼檢查、文檔管理和技術(shù)轉(zhuǎn)移。第二十條 信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)當(dāng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略，并建立針對(duì)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃。 第二十一條 應(yīng)與外包服務(wù)商建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并制定在意外情況下能夠?qū)崿F(xiàn)服務(wù)方的順利變更，保證外包服務(wù)不間斷的應(yīng)急預(yù)案。 第五章 外包審計(jì)第二十二條 稽核部負(fù)責(zé)信息系統(tǒng)外包的審計(jì)。第二十三條 信息系統(tǒng)外包的審計(jì)應(yīng)當(dāng)遵照商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引的規(guī)定開(kāi)展工作。第二十四條 外包軟件應(yīng)當(dāng)建立代碼檢查機(jī)制，確保代碼的安全性、準(zhǔn)確性、完整性和一致性。代碼檢查中應(yīng)當(dāng)采用有效的技術(shù)手段，或通過(guò)工具、抽檢、腳本審核、逐條閱讀等方式，確保代碼的安全審計(jì)；應(yīng)當(dāng)落實(shí)代碼檢查的責(zé)任、驗(yàn)收和登記制度。 第六章 附則第二十五條 本辦法由風(fēng)險(xiǎn)管理部、稽核部和信息中心負(fù)責(zé)解釋。第二十六條 本辦法自發(fā)文之日起施行。附：外包服務(wù)商管理細(xì)則外包服務(wù)商管理細(xì)則第一章 外包服務(wù)商準(zhǔn)入與評(píng)定標(biāo)準(zhǔn)第一條 綜合條件（1） 企業(yè)變革發(fā)展歷程清晰，從事金融信息系統(tǒng)集成、開(kāi)發(fā)和服務(wù)（以下簡(jiǎn)稱“外包項(xiàng)目”）三年以上，原則上應(yīng)取得相應(yīng)二級(jí)資質(zhì)一年以上； （2） 企業(yè)主業(yè)是外包項(xiàng)目，其收入是企業(yè)收入的主要來(lái)源； （3） 企業(yè)產(chǎn)權(quán)關(guān)系明確，注冊(cè)資金分別為系統(tǒng)集成原則要求400萬(wàn)元以上、開(kāi)發(fā)200萬(wàn)元以上、服務(wù)100萬(wàn)元以上；（4） 企業(yè)經(jīng)濟(jì)狀況良好，財(cái)務(wù)數(shù)據(jù)真實(shí)可信，并須經(jīng)國(guó)家認(rèn)可的會(huì)計(jì)師事務(wù)所審計(jì)； （5） 企業(yè)有良好的資信和公眾形象，近三年沒(méi)有觸犯知識(shí)產(chǎn)權(quán)保護(hù)等國(guó)家有關(guān)法律法規(guī)的行為。 第二條 業(yè)績(jī) （1） 近三年內(nèi)完成的外包項(xiàng)目按合同要求質(zhì)量合格，已通過(guò)驗(yàn)收并投入實(shí)際應(yīng)用； （2） 近三年內(nèi)完成的外包項(xiàng)目有較高的技術(shù)含量且至少應(yīng)部分使用了有企業(yè)自主知識(shí)產(chǎn)權(quán)的軟件； （3） 近三年內(nèi)未出現(xiàn)過(guò)驗(yàn)收未獲通過(guò)的外包項(xiàng)目或者應(yīng)由企業(yè)承擔(dān)責(zé)任的用戶重大投訴； （4） 主要業(yè)務(wù)領(lǐng)域的典型項(xiàng)目在技術(shù)水平、經(jīng)濟(jì)效益和社會(huì)效益等方面居國(guó)內(nèi)同行業(yè)的領(lǐng)先水平。 第三條 管理能力 （1） 已建立完備的企業(yè)質(zhì)量管理體系，通過(guò)國(guó)家認(rèn)可的第三方認(rèn)證機(jī)構(gòu)認(rèn)證并有效運(yùn)行一年以上； （2） 已建立完備的客戶服務(wù)體系，配置專門的機(jī)構(gòu)和人員，能及時(shí)、有效地為客戶提供優(yōu)質(zhì)服務(wù)； （3） 企業(yè)的主要負(fù)責(zé)人應(yīng)具有5年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷，主要技術(shù)負(fù)責(zé)人應(yīng)獲得電子信息類高級(jí)職稱且從事外包項(xiàng)目技術(shù)工作不少于5年，財(cái)務(wù)負(fù)責(zé)人應(yīng)具有財(cái)務(wù)系列中級(jí)以上職稱。 第四條 技術(shù)實(shí)力 （1） 有明確的業(yè)務(wù)領(lǐng)域，在主要業(yè)務(wù)領(lǐng)域內(nèi)技術(shù)實(shí)力、市場(chǎng)占有率等居國(guó)內(nèi)前列； （2） 對(duì)主要業(yè)務(wù)領(lǐng)域的業(yè)務(wù)流程有深入研究，有自主知識(shí)產(chǎn)權(quán)的基礎(chǔ)業(yè)務(wù)軟件平臺(tái)或其他先進(jìn)的開(kāi)發(fā)平臺(tái)，有自主開(kāi)發(fā)的軟件產(chǎn)品和工具，且在已完成的項(xiàng)目中加以應(yīng)用； （3） 有專門從事集成、開(kāi)發(fā)的高級(jí)研發(fā)人員及與之相適應(yīng)的場(chǎng)地、設(shè)備等，并建立完善的軟件開(kāi)發(fā)與測(cè)試體系。第五條 人才實(shí)力 （1） 從事外包項(xiàng)目相關(guān)人員原則上，集成不少于30人、開(kāi)發(fā)不少于50人、服務(wù)不少于10人、且其中大學(xué)本科以上學(xué)歷人員所占比例不低于80%；（2） 主要技術(shù)人員應(yīng)具有相關(guān)資格證書；（3） 培訓(xùn)體系健全，具有系統(tǒng)地對(duì)員工進(jìn)行新知識(shí)、 新技術(shù)以及職業(yè)道德培訓(xùn)的計(jì)劃并能有效組織實(shí)施與考核； （4） 建立合理的人力資源管理與績(jī)效考核制度并能有效實(shí)施第二章 管理與監(jiān)督第六條 稽核部對(duì)外包服務(wù)商的履約和服務(wù)情況按年或不定期地進(jìn)行評(píng)估和監(jiān)督檢查，并作為后續(xù)項(xiàng)目準(zhǔn)入資格審核的重要依據(jù)。第七條 外包服務(wù)商的服務(wù)水平指標(biāo)體系包含質(zhì)量水平、合同履約能力、價(jià)格水平 、技術(shù)能力、設(shè)計(jì)能力、服務(wù)響應(yīng)、人力資源、合作融洽關(guān)系等內(nèi)容。第八條 屬于下列情形之一的外包服務(wù)商，給予取消項(xiàng)目準(zhǔn)入資格的處罰；（1） 提供虛假材料，騙取項(xiàng)目準(zhǔn)入資格的；（2） 提供虛假投標(biāo)材料的；（3） 采用不正當(dāng)手段詆毀、排擠其他外包服務(wù)商的； （4） 與其他外包服務(wù)商違規(guī)串通的；（5） 中標(biāo)后無(wú)正當(dāng)理由不與招標(biāo)人簽訂合同的；（6） 向招標(biāo)人方等行賄或者提供其他不正當(dāng)利益的；（7） 其他違反有關(guān)規(guī)定的情形；（8） 其他觸犯國(guó)家法律的行為。第九條 IT外包服務(wù)前期的需求申報(bào)：總行科技和業(yè)務(wù)部門、分支行各業(yè)務(wù)部門根據(jù)業(yè)務(wù)需要向信息中心提交IT外包服務(wù)需求報(bào)告，經(jīng)信息中心審核通過(guò)后統(tǒng)一向公司申報(bào)。第十條 IT外包服務(wù)協(xié)議應(yīng)包含IT外包服務(wù)工作任務(wù)書，它作為IT外包服務(wù)的執(zhí)行標(biāo)準(zhǔn)和內(nèi)容貫穿在整個(gè)IT外包服務(wù)過(guò)程中。內(nèi)容包含:（1） 確定IT外包服務(wù)的工作目標(biāo)、實(shí)施范圍、工作性質(zhì)；（2） 公司業(yè)務(wù)需求定義及對(duì)相應(yīng)技術(shù)實(shí)現(xiàn)的要求;（3） 工作計(jì)劃；（4） IT外包服務(wù)雙方聯(lián)系人和聯(lián)系方式的確定；（5） 服務(wù)級(jí)別定義;（6） 事件處理時(shí)間、響應(yīng)時(shí)間、工作時(shí)間定義;（7） 交付文檔定義；（8） 驗(yàn)收或檢查方式定義；（9） 外包服務(wù)作業(yè)流程定義。第十一條 對(duì)外包開(kāi)發(fā)軟件項(xiàng)目，由稽核部和IT部門共同實(shí)施代碼檢查管理，制定審查流程，確定