精品方案信息科技外包管理規(guī)定

1、DDB-QC-KJ-325信息科技外包管理規(guī)定版次：1/A1目的為了防范本行信息科技外包（以下簡稱外包）風險，規(guī)范外包管理，根據(jù)商業(yè)銀行信息科技風險管理指引（銀監(jiān)發(fā)200919 技外包風險管理監(jiān)管指引（銀監(jiān)發(fā)20135號） 要求，特制定本規(guī)定。號）、銀行業(yè)金融機構信息科及其他相關法律、法規(guī)、文件2范圍2.1本規(guī)定明確了本行外包職能部門及職責、外包范圍、外包商選擇程序、外包合同管理、外包人員訪問控制、外包交付物管理、外包服務質量評價與監(jiān)督、外包風險管理、保密管理、持續(xù)改進等內(nèi)容。2.2本規(guī)定適用于本行業(yè)務所轄范圍內(nèi)的外包管理。3術語與定義3.1本規(guī)定所稱的外包是原本由本行自身負責處理的信息科技活

2、動委托給服務 提供商進行處理的行為，包含項目外包、人力資源外包等形式。原則上包括以下類型:3.1.1研發(fā)咨詢類外包：信息科技管理及科技治理等咨詢設計外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包;3.1.2系統(tǒng)運行維護類外包：包括數(shù)據(jù)中心（災備中心）、機房配套設施、網(wǎng)絡、系統(tǒng)的運維外包，自助設備、卩0泡等遠程終端及辦公設備的運維外包;3.1.3業(yè)務外包中的信息科技活動：市場擴展、業(yè)務操作、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動。目前本行涉及到的外包業(yè)務僅僅是：項目系統(tǒng)開發(fā)外包。4職責與權限4.1董事會及高級管理層：嚴格落實信息科技外包風險管理的相關職責，明確 信息科技外包風險管理的

3、主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風險管理效果。4.2風險管理部門：為本行信息科技外包風險管理的主管部門，主要職責包括4.2.14.2.2對外包風險進行識別、評估與風險提示；監(jiān)督、評價外包管理工作，并督促外包風險管理的持續(xù)改善;4.2.3向高級管理層定期匯報信息科技外包業(yè)務相關風險管理情況;22424董事會或高級管理層確定的其他信息科技外包風險管理職責。4.3科技開發(fā)部及其他信息科技外包業(yè)務執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí) 行團隊。團隊配備人員: 團隊組長：科技開發(fā)部或信息科技外包業(yè)務執(zhí)行部門主管行長副組長：科技開發(fā)部或信息科技外包業(yè)務

4、執(zhí)行部門總經(jīng)理；業(yè)務測試條線部門總 經(jīng)理;成員：科技開發(fā)部或信息科技外包業(yè)務執(zhí)行部門員工不少于2人；業(yè)務條線測試 條線部門人員不少于2名。履行以下職責:4.3.1實施信息科技外包戰(zhàn)略;4.3.2制定并執(zhí)行信息科技外包管理制度與流程;4.3.3執(zhí)行供應商準入、評價、退出管理，建立并維護供應商關系管理策略;4.3.4制定保障外包服務持續(xù)性的應急管理方案，并組織實施定期演練;4.3.5對外包過程中的各項管理活動進行監(jiān)控及分析， 定期向信息科技及外包風險管理主管部門報告外包業(yè)務情況。4.4稽核審計部：主要職責包括4.4.1負責外包準入、事中、事后審計;4.4.2負責外包服務提供商盡職調(diào)查;4.4.3負

5、責外包服務監(jiān)控及評價;4.4.4負責審計外包服務質量及風險部門負責的外包風險評估報告。4.5合規(guī)管理部門：主要職責包括負責按照銀行業(yè)金融機構信息科技外包風險監(jiān)管指引 關于外包服務合同及要求規(guī)定的內(nèi)容制定外包項目合同范本、合同審核及外包項目法律相關事項。5政策 誰主管誰負責，誰運行誰負責，誰使用誰負責。6流程圖項目開發(fā)外包流程圖業(yè)務部門科技開發(fā)部或外 包業(yè)務執(zhí)行部門項目組高級管理層外包公司1（提出外包需求”可行性研究LY立項評估立項申請L包外、項立綜合采購擬訂合同同合訂簽簽訂合同配合測試配合驗收11提出需求 -組織項目測驗收Y推廣資料歸檔需求分析項目設計改進改進7風險控制要點詳情見風險庫計算機軟

6、件外包管理。8 內(nèi)容與要求 8.1總則8.1.1本行信息科技部門及外包業(yè)務執(zhí)行部門在實施信息科技外包時，不得將信 息科技管理責任外包。8.1.2對于不涉及銀行客戶及內(nèi)部信息轉移的信息科技產(chǎn)品采購、維保，及通訊 線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎設施服務， 銀行業(yè)金融機構 應當充分評估其信息科技風險，按照信息科技外包風險監(jiān)管指引 第五章要求 進行管理。8.1.3本行如果在外包活動中引入新技術或新應用，屆時將關注外包服務引入的 新技術或新應用對現(xiàn)有治理模式及安全架構的沖擊，及時完善信息安全管控體 系，避免因新技術或應用的引入而增加額外的信息安全風險。8.2外包范圍 821外包模式可分為

7、部分外包和整體外包。部分外包是指利用外部信息技術資 源實現(xiàn)本行系統(tǒng)開發(fā)、運行維護、技術服務等，所有權及使用權歸本行所有；整 體外包是指由外部單位進行建設、運維，本行只具備系統(tǒng)使用權而不具備所有權。8.2.2根據(jù)重要程度及影響可將業(yè)務分為關鍵業(yè)務和非關鍵業(yè)務: 8.2.2.1關鍵業(yè)務是指涉及本行信息技術、財務信息、業(yè)務功能以及客戶信息等 事項，如出現(xiàn)故障，將對本行的經(jīng)營、聲譽等產(chǎn)生重大影響，包括業(yè)務功能設計、核心數(shù)據(jù)處理、業(yè)務軟件的開發(fā)、系統(tǒng)維護、網(wǎng)絡建設、IT資源監(jiān)控等;8.2.2.2非關鍵業(yè)務是指關鍵業(yè)務之外的業(yè)務，例如：防雷系統(tǒng)等。8.2.2.3原則上，關鍵業(yè)務外包一般采用部分外包模式，非

8、關鍵業(yè)務可采用整體 外包模式。8.3外包商選擇程序 8.3.1引入外包商由外包項目需求部門提出申請， 本申請須按照計算機項目管 理規(guī)定中要求進行審批，申請中須對項目可行性進行分析， 并將自有技術資源 與外部技術資源進行評估，而引入外部技術資源必須是業(yè)界成熟的專業(yè)化技術產(chǎn) 品或服務領域。8.3.2外包項目立項后，由項目承擔部門負責備選供應商推薦；如項目委托專業(yè)招標公司負責開展，本過程由招標公司負責。8.3.2.1如計劃從原項目最終供應商引入外部技術資源，則無須單獨進行備選供應商推薦和審核，但須在立項過程中說明執(zhí)行依據(jù)和供應商推薦意見； 8.3.2.2若計劃不再從原項目最終供應商引入外部技術資源，

9、 項目承擔部門須進 行備選供應商推薦并說明原因。重新推薦的原因一般包括：原項目最終供應商無 進一步合作意向；原項目最終供應商無法滿足資質要求； 同一市場領域供應商之 間競爭情況出現(xiàn)重大變化；原項目最終供應商提供的產(chǎn)品、 技術、服務或合作不 能滿足實際需求；需要引入新的競爭等；8.3.2.3其他情況下，項目承擔部門須擇優(yōu)推薦備選供應商。8.3.3上述過程結束后，按照供應商準入標準對備選供應商資質進行審核， 并出 具審核意見，初步確定備選供應商，并批復項目承擔部門；如項目委托專業(yè)招標 公司負責開展，本過程由招標公司負責。8.3.3.1部分外包模式服務供應商：a) 中華人民共和國境內(nèi)外注冊的獨立法人

10、；b) 般要求境內(nèi)企業(yè)注冊資金在 200萬元以上，境外企業(yè)注冊資金在 50萬 美元以上；招標文件另有要求的必須滿足招標文件要求；c)具有IS09000 CMM等國家、行業(yè)同等資質認證資格;d)能夠提供滿足要求的、合格穩(wěn)定的技術人員及服務。833.2整體外包模式服務供應商:a) 中華人民共和國境內(nèi)外注冊的獨立法人；b) 一般要求境內(nèi)企業(yè)注冊資金在1000萬元以上，境外企業(yè)注冊資金在 500 萬美元以上；招標文件另有要求的必須滿足招標文件要求。具有IS09000 CMM等國家、行業(yè)同等資質認證資格要求；d)能夠提供滿足要求的、合格穩(wěn)定的技術人員及服務；e)直接或間接具備標準機房、穩(wěn)定的系統(tǒng)運行環(huán)境

11、；具備成熟的系統(tǒng)運維和管理隊伍。8.3.3.3資質評審的基本材料包括:a)公司營業(yè)執(zhí)照、稅務登記證、組織機構代碼證、人員相關資質證書等資質證明文件；b)公司技術能力及技術實力說明文件;公司服務能力、售后服務能力說明文件;d)e)公司外包服務清單； 公司具有良好履約證明;g)h)公司持續(xù)履約及保障所提供技術人員穩(wěn)定性承諾; 公司一般性服務水準承諾； 系統(tǒng)整體外包服務供應商應具備信息產(chǎn)業(yè)部頒發(fā)的計算機系統(tǒng)集成資質 或同等資格說明。8.3.4通過資質評審的備選供應商，作為推薦供應商進入采購環(huán)節(jié)，采購材料中 的推薦供應商須與經(jīng)審核后的備選供應商一致。 供應商的選擇確定按照招投標或 相關項目采購管理辦法

12、相關制度要求執(zhí)行。835對于供應商選擇確定過程中，供應商退出項目或其他情況，須要增補備選 供應商的，須按照上述推薦、審核流程對增補備選供應商進行審批。8.4 外包合同管理 8.4.1合同的訂立 841.1按照國家法律、法規(guī)和政策相關規(guī)定，貫徹自愿、平等互利、誠實信用、 協(xié)商一致、等價有償?shù)脑瓌t，本行科技開發(fā)部負責人或外包業(yè)務執(zhí)行部門負責人 在授權職責范圍內(nèi)按照合同范本簽訂合同； 如不能使用合同范本的，本行科技開發(fā)部或外包業(yè)務執(zhí)行部門應與外包商對合同內(nèi)容進行全面、仔細的協(xié)商，并交本行法律部審查后形成正式合同文本，按照本合同文本簽訂合同。841.2合同必須具備以下基本條款:a)甲乙雙方名稱和地址;

13、b)標的;C)d)e)數(shù)量和質量；價款或酬金；履行期限、地點和方式，運費的承擔;f)違約責任;g)解決爭議的方法及管轄權的約定。8.4.1.3與外包服務提供商事先約定在其服務質量不能滿足合同要求的情況下 獲取其外包服務資源的優(yōu)先權;8.4.1.4合同由本行法定人或授權人員簽署，簽約人應持加蓋公章和法定人或授權人簽字的授權委托書， 8.4.1.5合同范本需經(jīng)合規(guī)管理部審查。本行科技開發(fā)部要對合同條款的支付條 件、款項收取、價款的形成依據(jù)等條款進行審查； 相關歸口管理部門負責審查合 同中的技術性能、質量要求等條款；本行合規(guī)管理部對合同文本條款的合法性和 完整性負責整體性最終審查并形成審查意見，重大

14、合同上報信息科技管理委員會 批準。842合同的履行 8.4.2.1合同一經(jīng)簽訂，對甲乙方均具有法律約束力，應按合同約定全面履行各 自的義務。未經(jīng)雙方協(xié)商一致，任何一方都不得擅自更改、轉讓、解除合同。8.4.2.2合同生效后，如客觀情況發(fā)生變化，雙方按法律規(guī)定或約定，可對合同 進行變更、轉讓、解除合同，但都必須采用書面形式確認并按合同訂立和審查程 序重新送審。8.4.2.3科技開發(fā)部安全保障崗應當隨時掌握合同的履行情況。如在合同履行中 發(fā)現(xiàn)問題，應立即向科技開發(fā)部負責人匯報，科技開發(fā)部負責向高層領導匯報。 對可能發(fā)生法律糾紛的，應及時通知本行合規(guī)管理部解決。8.424妥善保管合同在履行過程中雙方

15、的往來函件、傳真、電子郵件等。843合同的歸檔管理8.4.3.1科技開發(fā)部日常管理崗做好合同檔案管理，及時將簽訂完成的合同及相關材料存檔。8.4.3.2每份合同訂立后，必須交本行計劃財務部財務人員一份。8.5外包人員訪問控制 8.5.1外包公司應確立項目經(jīng)理（或項目負責人）負責協(xié)調(diào)項目相關重要事項。8.5.2外包人員在服務期間，應嚴格按要求簽署外包人員保密協(xié)議。8.5.3本行科技開發(fā)部相關科室負責對外包人員使用環(huán)境和權限配置管理， 對使 用環(huán)境中的系統(tǒng)權限、文件讀寫權限必須嚴格控制，以滿足工作需要為前提，遵 循權限最小化原則，不得授予與工作無關的權限。8.5.4對于向外包人員提供本行內(nèi)部資料必

16、須嚴格審核，嚴禁未經(jīng)授權提供。8.5.5本行科技開發(fā)部定期檢查外包人員對生產(chǎn)環(huán)境的訪問權限、訪問路徑和操 作過程等，如發(fā)現(xiàn)外包人員違反有關規(guī)定和規(guī)章制度， 須立即制止并糾正；違反 情節(jié)嚴重的，有權停止其一切活動。8.5.6本行稽核審計部和風險管理部門按照相關制度要求，定期監(jiān)督外包人員訪 問控制策略有效性和執(zhí)行情況，并編制外包人員審計報告上報本行信息科技管理 委員會。8.6外包交付物管理 861外包人員應按時交付服務工作成果，本行科技開發(fā)部應及時組織人員進行 驗收，具體驗收辦法依據(jù)項目外包初期制定的項目驗收方案。8.6.1.1開發(fā)類外包的交付物必須在獨立的測試環(huán)境下經(jīng)過測試，驗收合格后才 可以投

17、產(chǎn)試用。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、 適應性測試。8.6.1.2對于外包交付物驗收不合格的，應要求外包公司重新提供產(chǎn)品，并重新 組織驗收，直到驗收通過，并納入外包公司考核評價過程。8.6.2對于外包人員提交的源代碼，須經(jīng)本行科技開發(fā)部人員審核編譯。所產(chǎn)生 的執(zhí)行程序，須經(jīng)測試通過后，按規(guī)定流程投產(chǎn)。8.6.2.1對于外包開發(fā)人員提交的關鍵代碼（涉及核心記賬、業(yè)務系統(tǒng)核心處理 流程或有關安全加密、認證的代碼），必須對源代碼進行重點抽查，并記錄抽查 結果，存檔保留。8.6.2.2對于外包測試人員提交的測試方案和測試案例，必須組織人員進行復核 確認，以確認測試腳本和測試用

18、程序滿足項目測試性能要求。8.7外包服務質量評價 8.7.1本行科技開發(fā)部、風險管理部門、稽核審計部組織相關業(yè)務部門定期對外 包商的合同履行情況、項目研發(fā)或其他專業(yè)能力、項目計劃與進度的偏差、外包 業(yè)務連續(xù)性和服務水平等進行考核評價，并及時將考核結果反饋至本行高級管理 層。8.7.2本行根據(jù)信息科技外包需求、合同、服務水平協(xié)議等建立明確的服務質量 監(jiān)控指標，根據(jù)具體外包業(yè)務的服務特征不同任意選擇以下常用指標的全部或部分指標，并進行監(jiān)控。常見指標包括:8.721信息系統(tǒng)和設備及基礎設施的可用率、設備的開機率;8.722故障次數(shù)、故障解決率、故障的響應時間;8.7.2.3服務的次數(shù)、客戶滿意度;8

19、.7.2.4各階段業(yè)務需求的及時完成率、程序的缺陷數(shù)、需求變更率8.725外包人員工作飽和率、外包人員的考核合格率。8.7.3本行建立明確的服務目錄、服務水平協(xié)議以及服務水平監(jiān)控評價機制，并 確保外包服務監(jiān)控基礎數(shù)據(jù)和評價結果的真實性和完整性，且數(shù)據(jù)至少需保存到 服務結束后一年。8.7.4對于在關鍵技術和業(yè)務領域存在合作關系或在某一技術領域存在長期合 作關系的供應商，應將其列為重點供應商加強管理。8.7.5考核結果應用: 8.7.5.1考核結果為良（含）以上的公司，可免于公司的資質評審等;8.7.5.2考核結果為中的外包商，謹慎選擇合作;8.7.5.3考核結果為差的外包商，未來 2年時間內(nèi)無資

20、格參加外包項目建設。8.8外包風險管理 8.8.1外包風險評估 8.8.1.1本行風險管理部會同稽核審計部、科技開發(fā)部在外包項目立項及實施過 程定期或不定期開展風險評估和外包商審計， 評估實施可能帶來的風險，包括合 規(guī)風險、法律風險、操作風險等。8.8.1.2根據(jù)可能造成的影響可將風險分為四級，如下：一級風險：指的是關鍵性問題。問題的出現(xiàn)，將嚴重影響全區(qū)本行業(yè)務運作, 可能或已經(jīng)造成業(yè)務重大損失，需及時向本行信息科技管理委員會請示，并在最 短的時間內(nèi)向監(jiān)管機構報告。二級風險：表明所報告的是重大但非關鍵性的問題。此類問題意味著系統(tǒng)能 夠運行但是某些功能不能正常工作。此類問題僅影響少數(shù)幾個用戶或者

21、降低系統(tǒng) 性能，需及時向本行信息科技管理委員會請示，并用最短的時間解決問題，必要 時向監(jiān)管機構報告。三級風險：表明所報告的是次要問題。此類問題發(fā)生時外包系統(tǒng)能夠正常運行，問題產(chǎn)生的影響是有限的且不對整體運行產(chǎn)生關鍵性的影響，需及時向本行 信息科技管理委員會請示，并用最短的時間解決問題。四級風險：表明所報告的是一般性問題。此類問題發(fā)生時外包系統(tǒng)正常運行, 對全區(qū)本行業(yè)務幾乎無影響或根本不影響， 主要是咨詢和服務類的問題，需聯(lián)系 相關技術人員與外包公司用最短時間解決問題。8.8.2本行對服務提供商的財務、內(nèi)控及安全管理進行持續(xù)監(jiān)控，關注其因破產(chǎn)、兼并、關鍵人員流失、投入不足和管理不善等因素引發(fā)的財

22、務狀況惡化及內(nèi)部管 理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。8.8.3本行特別加強對具有機構集中度特點的外包服務提供商的財務、內(nèi)控、安 全管理情況的持續(xù)監(jiān)控，建立信息收集機制，及時掌握風險事件情況，防范外包 服務意外終止或服務質量急劇下降對本機構產(chǎn)生大面積影響。8.8.3本行監(jiān)控到異常情況時，應當及時督促外包服務提供商采取糾正措施，情節(jié)嚴重的或未及時糾正的，應當約談外包服務提供商高管人員并限期整改。8.8.4本行科技開發(fā)部會同相關業(yè)務部門制定信息科技外包風險應急方案，并定期演練，降低因事件出現(xiàn)后對本行系統(tǒng)運行、開發(fā)、測試及咨詢、維護服務等工 作的不利影響。當風險發(fā)生時，及時按照

23、相關應急預案進行風險處置； 當問題無 法有效解決，并導致問題等級升級時，需按照要求，向本行信息科技管理委員會 及監(jiān)管機構報告，并做好應急處置工作，嚴格控制外包過程中的數(shù)據(jù)安全、保密、 知識產(chǎn)權、人員變更、轉包等因素相關的風險。8.8.5外包供應商異常退出機制 8.8.5.1當外包供應商因異常原因退出時，本行科技開發(fā)部第一時間將情況上報 給本行高級管理層，并按照批示意見執(zhí)行。1）外包供應商異常退出原因a)b)c)d)e)f)g)出現(xiàn)分包、轉包情況，一經(jīng)發(fā)現(xiàn)無條件退出，退出后 2年內(nèi)不得入圍; 項目啟動后2月內(nèi)未施工的；之后工期要求兩個月未完工的； 考評結果為差級的；出現(xiàn)重大安全事故的，退出后2年

24、內(nèi)不得入圍； 公司資質出現(xiàn)重大下調(diào)，不滿足資質要求的； 違反國家法律法規(guī)、本單位制度要求的；不能有效完成項目建設的。h)其他可能導致退出的原因當出現(xiàn)以上原因時，外包供應商需退出外包項目建設。g）2）外包供應商退出應急預案a）外包供應商退出后，本行科技開發(fā)部第一時間上報本行高級管理層，主 要內(nèi)容包括：外包項目建設情況、異常退出原因、后續(xù)擬開展工作等，并按照批 示意見執(zhí)行。b）本行科技開發(fā)部負責人對備選供應商資料進行重新審核，如退出項目屬于關鍵業(yè)務，并對時間有要求的，可由本行信息科技管理委員會在備選供應商中選擇最優(yōu)的或經(jīng)技術交流、商務談判等作為新的外包商;如退出項目對時間沒有要求，需按照外包供應商

25、選擇程序重新確定外包供應商。885.2本行在充分評估其影響及制定退出計劃的前提下,考慮主動要求服務提供商終止服務，情節(jié)特別嚴重的，可考慮取消準入資質,并報監(jiān)管機構申請對其備案。對于關聯(lián)外包，銀行業(yè)金融機構不得因為關聯(lián)關系而影響服務提供商退出機制的落實。8.9外包保密制度8.9.1外包合同內(nèi)容要有詳實的保密條款或保密協(xié)議，規(guī)定雙方需遵守的保密權利與義務。8.9.2外包公司開發(fā)人員到達本行進行現(xiàn)場開發(fā)，首先要與本行簽訂外包人員保 密協(xié)議，簽訂外包人員保密協(xié)議后，由本行科技開發(fā)部網(wǎng)絡運維人員報本行科技開發(fā)部總經(jīng)理進行審批權限，開通外包人員接入本行開發(fā)網(wǎng)權限， 登記ip地址、MAC地址、人員等信息；并

26、且將其所使用的計算機加入到本行運維審計平臺，在本行開發(fā)期間外包人員嚴格按照外包人員保密協(xié)議規(guī)定內(nèi)容執(zhí)行。8.10持續(xù)改進8.10.1合規(guī)管理部、稽核審計部、科技開發(fā)部要對考核指標和服務水準體系進行全面評估，定期提出修訂意見，對相應的考核指標和服務進行調(diào)整。8.10.2合規(guī)管理部、稽核審計部、科技開發(fā)部應根據(jù)評估報告制定外包管理改進計劃，并根據(jù)改進計劃，對外包實施過程進行持續(xù)改進和調(diào)整優(yōu)化。9檢查與監(jiān)督9.1科技開發(fā)部負責對本文件的可操作性、適宜性進行日常監(jiān)督與檢查，必要 時對文件進行更改，確保文件適用，具體執(zhí)行文件控制程序。9.2稽核審計部對該文件的執(zhí)行情況，相關登記簿登記的完整性等進行集中檢

27、 查、督促整改。9.3合規(guī)管理部負責每年一次對該規(guī)章制度的合規(guī)性進行審查，并督促整改。10支持性文件10.1外部合規(guī)文件10.1.1中華人民共和國計算機信息系統(tǒng)安全保護條例10.1.2金融機構計算機信息安全保護工作暫行規(guī)定 10.1.3信息科技風險管理指引 10.1.4銀行業(yè)金融機構外包風險管理指引10.2內(nèi)部合規(guī)文件10.2.1文件控制程序10.2.2科技檔案管理規(guī)定10.2.3電子設備管理規(guī)定10.2.4計算機安全管理規(guī)定10.2.5計算機項目管理規(guī)定11支持性記錄11.1外包人員保密協(xié)議DDB-QC-KJ-325-0111.2外包人員信息審核登記表DDB-QC-KJ-325-0211.3

28、外包項目實施進度確認單DDB-QC-KJ-325-0311.4外包人員考核單DDB-QC-KJ-325-0411.5外包商評價報告DDB-QC-KJ-325-0512附錄11.1外包人員保密協(xié)議DDB-QC-KJ-325-011、外包人員將被安置到專用的辦公區(qū)域且只能在正常上班時間到我方該辦公區(qū) 域，其活動范圍限制在為我方項目而設置的區(qū)域。2、外包人員到我方工作期間，必須遵守我方的保密規(guī)定和制度，履行與其 工作崗位相應的保密職責。我方保密規(guī)章，制度沒有規(guī)定或者規(guī)定不明之處， 本著謹慎，負責的態(tài)度，采取必要，合理的措施，保守其知悉或者持有的任何屬 于我方或者屬于第三方但我方承諾有保密義務的技術秘

29、密和商業(yè)秘密。3、外包人員因職務上的需要所持有或者保管的一切記錄有我方秘密的文件, 資料，圖表，筆記，報告，傳真，磁帶，磁盤，照片，儀器以及其他任何形式的 載體均歸我方所有，無論這些秘密信息有無商業(yè)上的價值。4、外包人員在履行本合同過程中從我方獲知的技術和商業(yè)秘密，無論在本合同期限內(nèi)還是合同終止后，均應共同遵守國家有關版權，專利，商標等知識產(chǎn) 權方面的法律規(guī)定及部分的保密規(guī)定中的相關條文，尊重我方的知識產(chǎn)權，對所 知悉的我方技術秘密和商業(yè)秘密負有保密責任。未經(jīng)我方事先書面授權，不得以 任何方式向其他組織或個人泄露， 轉讓，交換，或與任何其他組織或個人共同使 用或不正當使用。違反本條規(guī)定，給我方

30、造成損失的，違約方應負相關的法律責 任。5、本協(xié)議提及的技術秘密，包括但不限于技術方案，設計方法，工作業(yè)務流程，技術指標，計算機軟件，數(shù)據(jù)庫，研究開發(fā)記錄，技術報告，測試報告， 試驗數(shù)據(jù)，試驗結果，圖紙，樣品，照片，VIDEO模型，模具，操作手冊，技術文檔，相關的函件，文檔及涉及我方其他的商業(yè)秘密等。6本協(xié)議提到的商業(yè)秘密，包括但不限于客戶名單，地址及聯(lián)系方式，營 銷計劃，采購資料，定價政策，招投標中的標底及標書內(nèi)容，進貨渠道，法律事 務信息，人力資源信息，技術資料，項目組人員構成，費用預算，利潤情況及不 公開的財務資料等等。外包人員到我方工作或學習必須遵守以上條款， 并提供身份證復印件，如果

31、 你對以上條款已經(jīng)閱讀完畢并且同意接受，請在下面簽字：協(xié)議簽訂人:簽訂日期:外包公司名稱:身份證號:11.2外包人員信息審核登記表DDB-QC-KJ-325-0211.3外包項目實施進度確認單DDB-QC-KJ-325-03編號:所屬公司姓名設備類型設備型號登記日期離行日期計劃工作時間所屬項目登錄服務器登錄用戶IP地址MAC地址外包公司項目經(jīng)理：科技開發(fā)部總經(jīng)理：備注：外包項 目名稱：外包項目承擔部門：外包項目實施階段外包項目風險識別、 評估、監(jiān)測、控制內(nèi)容歸檔材料內(nèi)容職責部門完成時間責任部門確認備注一、立項前階段1、外包項目與科技戰(zhàn) 略的一致性審查。風險分析報告或風險評估報告科技開發(fā)部、合規(guī)

32、管理部2、信息科技產(chǎn)品準入 的審查。審計報告稽核審計部3、外包項目高管層審 查意見。行長辦公會議記錄、綜合辦公室4、重大外包項目董事 會意見。董事會會議記錄董事會辦公室二、立項階段1、外包項目的成本效 益分析。成本效益分析報告計劃財務部2、對外包項目進行成 果論證，開展立項評 估。評估報告科技開發(fā)部、項目承擔部門3、對外包商的資質審 查。審查報告稽核審計部三、簽訂 合同階 段1、外包合同的合規(guī)性 審查。法律性意見審查表合規(guī)管理部2、重大外包項目信息 科技管理委員會的意 見。信息科技管理委員會會議記錄科技開發(fā)部3、外包合同的資料管 理。交計劃財務部復 印件保管項目承擔部門四、測試階段1、對項目開

33、發(fā)組織和 管理風險控制點、業(yè) 務風險點、業(yè)務操作 環(huán)境及外包項目的風 險分析。風險分析報告或風險評估報告科技開發(fā)部、項目承擔部門2、對項目風險的管 控。風險分析報告或風險評估報告合規(guī)管理部3、對項目風險的管 控。審計報告稽核審計部四、測試階段4、重大外包項目實施情況的審查。審計報告稽核審計部5、對外包人員訪問控 制策略有效性和執(zhí)行 情況的審查。審計報告稽核審計部五、項目推廣階段評估報告合規(guī)管理部整改計劃或改進措施科技開發(fā)部、項目承擔部門2、根據(jù)內(nèi)審部門的意 見及自評估的內(nèi)容， 制定外包項目的相關 改進計劃及措施。1、對外包商服務連續(xù) 性、服務質量的風險 評估。各階段填寫說明:1立項前階段1 ）

34、、外包項目立項前，科技開發(fā)部、風險管理部門（合規(guī)管理部風險管理 崗）應審慎檢查項目與信息科技戰(zhàn)略的一致性，根據(jù)項目內(nèi)容、范圍、性質對其 進行風險識別和評估，制定相應的風險處置措施；稽核審計部要開展對信息科技 產(chǎn)品準入情況的審查。2）、外包項目立項前，由項目承擔部門向主管行長請示通過后，報綜合辦 公室，經(jīng)行長辦公會議討論審議。同時，對外包合同金額為300萬元以上的重大 外包項目，由綜合辦公室向董事會辦公室報告。2、立項階段1）、經(jīng)審批確認的外包項目，由項目承擔部門向計劃財務部提供項目需求 報告、可行性研究報告、投資預算方案等項目檔案，計劃財務部要根據(jù)項目承擔 部門提供的項目檔案進行成本效益分析。2）、經(jīng)審批確認的外包項目，科技開發(fā)部牽頭組織項目承擔部門根據(jù)項目 實施方案，進行成果論證，開展立項評估。3）、經(jīng)審批確認的外包商，項目承擔部門向稽核審計部遞交外包商的資質 等相關材料，由稽核審