精品方案信息科技外包管理規(guī)定

1、1目的為了防范本行信息科技外包（以下簡(jiǎn)稱外包）風(fēng)險(xiǎn)，規(guī)范外包管理，根據(jù)商 業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引（銀監(jiān)發(fā)200919號(hào)）、銀行業(yè)金融機(jī)構(gòu)信息科 技外包風(fēng)險(xiǎn)管理監(jiān)管指引（銀監(jiān)發(fā)20135號(hào)）及其他相關(guān)法律、法規(guī)、文件 要求，特制定本規(guī)定。2范圍2.1 本規(guī)定明確了本行外包職能部門及職責(zé)、外包范圍、外包商選擇程序、外 包合同管理、外包人員訪問控制、外包交付物管理、外包服務(wù)質(zhì)量評(píng)價(jià)與監(jiān)督、 外包風(fēng)險(xiǎn)管理、保密管理、持續(xù)改進(jìn)等內(nèi)容。2.2 本規(guī)定適用于本行業(yè)務(wù)所轄范圍內(nèi)的外包管理。3術(shù)語(yǔ)與定義3.1 本規(guī)定所稱的外包是原本由本行自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù) 提供商進(jìn)行處理的行為，包含項(xiàng)目外

2、包、人力資源外包等形式。原則上包括以下 類型：3.1.1 研發(fā)咨詢類外包：信息科技管理及科技治理等咨詢?cè)O(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測(cè)試外包；3.1.2 系統(tǒng)運(yùn)行維護(hù)類外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、 系統(tǒng)的運(yùn)維外包，自助設(shè)備、posM等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包； 3.1.3業(yè)務(wù)外包中的信息科技活動(dòng)：市場(chǎng)擴(kuò)展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處置 等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。目前本行涉及到的外包業(yè)務(wù)僅僅是：項(xiàng)目系統(tǒng)開發(fā)外包。4職責(zé)與權(quán)限4.1 董事會(huì)及高級(jí)管理層：嚴(yán)格落實(shí)信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé)，明確 信息科技外包風(fēng)險(xiǎn)管理的主管部門，制定并審批信息科技外

3、包戰(zhàn)略，審議信息科 技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。4.2 風(fēng)險(xiǎn)管理部門：為本行信息科技外包風(fēng)險(xiǎn)管理的主管部門，主要職責(zé)包括4.2.1 對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示；4.2.2 監(jiān)督、評(píng)價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；4.2.3 向高級(jí)管理層定期匯報(bào)信息科技外包業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)管理情況；4.2.4 董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。4.3 科技開發(fā)部及其他信息科技外包業(yè)務(wù)執(zhí)行部門內(nèi)建立信息科技外包管理執(zhí)行團(tuán)隊(duì)。團(tuán)隊(duì)配備人員：團(tuán)隊(duì)組長(zhǎng)：科技開發(fā)部或信息科技外包業(yè)務(wù)執(zhí)行部門主管行長(zhǎng)副組長(zhǎng)：科技開發(fā)部或信息科技外包業(yè)務(wù)執(zhí)行部門總經(jīng)理；業(yè)務(wù)

4、測(cè)試條線部門總經(jīng)理；成員：科技開發(fā)部或信息科技外包業(yè)務(wù)執(zhí)行部門員工不少于2人；業(yè)務(wù)條線測(cè)試條線部門人員不少于2名。履行以下職責(zé)：4.3.1 實(shí)施信息科技外包戰(zhàn)略；4.3.2 制定并執(zhí)行信息科技外包管理制度與流程；4.3.3 執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；4.3.4 制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；4.3.5 對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門報(bào)告外包業(yè)務(wù)情況。4.4 稽核審計(jì)部：主要職責(zé)包括4.4.1 負(fù)責(zé)外包準(zhǔn)入、事中、事后審計(jì)；4.4.2 負(fù)責(zé)外包服務(wù)提供商盡職調(diào)查；4.4.3 負(fù)責(zé)外包服

5、務(wù)監(jiān)控及評(píng)價(jià)；4.4.4 負(fù)責(zé)審計(jì)外包服務(wù)質(zhì)量及風(fēng)險(xiǎn)部門負(fù)責(zé)的外包風(fēng)險(xiǎn)評(píng)估報(bào)告。4.5 合規(guī)管理部門：主要職責(zé)包括負(fù)責(zé)按照銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引關(guān)于外包服務(wù)合同及要求規(guī)定的內(nèi)容制定外包項(xiàng)目合同范本、合同審核及外包項(xiàng)目法律相關(guān)事項(xiàng)。5政策誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)6流程圖項(xiàng)目開發(fā)外包流程圖業(yè)務(wù)部門科技開發(fā)部或外包業(yè)務(wù)執(zhí)行部門外包公司包外、項(xiàng)立同合訂簽項(xiàng)目組高級(jí)管理層擬訂合同提出需求簽訂合同需求分析項(xiàng)目設(shè)計(jì)改進(jìn)改進(jìn)7風(fēng)險(xiǎn)控制要點(diǎn)詳情見風(fēng)險(xiǎn)庫(kù)計(jì)算機(jī)軟件外包管理。8 內(nèi)容與要求8.1 總則8.1.1 本行信息科技部門及外包業(yè)務(wù)執(zhí)行部門在實(shí)施信息科技外包時(shí)，不得將信息科技管

6、理責(zé)任外包。8.1.2 對(duì)于不涉及銀行客戶及內(nèi)部信息轉(zhuǎn)移的信息科技產(chǎn)品采購(gòu)、 維保，及通訊 線路租用、支付或清算系統(tǒng)接入等信息科技公共基礎(chǔ)設(shè)施服務(wù)， 銀行業(yè)金融機(jī)構(gòu) 應(yīng)當(dāng)充分評(píng)估其信息科技風(fēng)險(xiǎn)，按照信息科技外包風(fēng)險(xiǎn)監(jiān)管指引 第五章要求 進(jìn)行管理。8.1.3 本行如果在外包活動(dòng)中引入新技術(shù)或新應(yīng)用，屆時(shí)將關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時(shí)完善信息安全管控體 系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。8.2 外包范圍8.2.1 外包模式可分為部分外包和整體外包。部分外包是指利用外部信息技術(shù)資 源實(shí)現(xiàn)本行系統(tǒng)開發(fā)、運(yùn)行維護(hù)、技術(shù)服務(wù)等，所有權(quán)及使用權(quán)歸本

7、行所有；整 體外包是指由外部單位進(jìn)行建設(shè)、運(yùn)維，本行只具備系統(tǒng)使用權(quán)而不具備所有權(quán)。8.2.2 根據(jù)重要程度及影響可將業(yè)務(wù)分為關(guān)鍵業(yè)務(wù)和非關(guān)鍵業(yè)務(wù)：8.2.2.1 關(guān)鍵業(yè)務(wù)是指涉及本行信息技術(shù)、財(cái)務(wù)信息、業(yè)務(wù)功能以及客戶信息等 事項(xiàng)，如出現(xiàn)故障，將對(duì)本行的經(jīng)營(yíng)、聲譽(yù)等產(chǎn)生重大影響，包括業(yè)務(wù)功能設(shè)計(jì)、 核心數(shù)據(jù)處理、業(yè)務(wù)軟件的開發(fā)、系統(tǒng)維護(hù)、網(wǎng)絡(luò)建設(shè)、IT資源監(jiān)控等；8.2.2.2 非關(guān)鍵業(yè)務(wù)是指關(guān)鍵業(yè)務(wù)之外的業(yè)務(wù)，例如：防雷系統(tǒng)等。8.2.2.3 原則上，關(guān)鍵業(yè)務(wù)外包一般采用部分外包模式，非關(guān)鍵業(yè)務(wù)可采用整體 外包模式。8.3 外包商選擇程序8.3.1 引入外包商由外包項(xiàng)目需求部門提出申請(qǐng)，本

8、申請(qǐng)須按照計(jì)算機(jī)項(xiàng)目管理規(guī)定中要求進(jìn)行審批，申請(qǐng)中須對(duì)項(xiàng)目可行性進(jìn)行分析，并將自有技術(shù)資源與外部技術(shù)資源進(jìn)行評(píng)估，而引入外部技術(shù)資源必須是業(yè)界成熟的專業(yè)化技術(shù)產(chǎn) 品或服務(wù)領(lǐng)域。8.3.2 外包項(xiàng)目立項(xiàng)后，由項(xiàng)目承擔(dān)部門負(fù)責(zé)備選供應(yīng)商推薦；如項(xiàng)目委托專業(yè) 招標(biāo)公司負(fù)責(zé)開展，本過(guò)程由招標(biāo)公司負(fù)責(zé)。8.3.2.1 如計(jì)劃從原項(xiàng)目最終供應(yīng)商引入外部技術(shù)資源，則無(wú)須單獨(dú)進(jìn)行備選供應(yīng)商推薦和審核，但須在立項(xiàng)過(guò)程中說(shuō)明執(zhí)行依據(jù)和供應(yīng)商推薦意見；8.3.2.2 若計(jì)劃不再?gòu)脑?xiàng)目最終供應(yīng)商引入外部技術(shù)資源， 項(xiàng)目承擔(dān)部門須進(jìn) 行備選供應(yīng)商推薦并說(shuō)明原因。重新推薦的原因一般包括：原項(xiàng)目最終供應(yīng)商無(wú) 進(jìn)一步合作意

9、向；原項(xiàng)目最終供應(yīng)商無(wú)法滿足資質(zhì)要求； 同一市場(chǎng)領(lǐng)域供應(yīng)商之 間競(jìng)爭(zhēng)情況出現(xiàn)重大變化；原項(xiàng)目最終供應(yīng)商提供的產(chǎn)品、 技術(shù)、服務(wù)或合作不 能滿足實(shí)際需求；需要引入新的競(jìng)爭(zhēng)等；8.3.2.3 其他情況下，項(xiàng)目承擔(dān)部門須擇優(yōu)推薦備選供應(yīng)商。8.3.3 上述過(guò)程結(jié)束后，按照供應(yīng)商準(zhǔn)入標(biāo)準(zhǔn)對(duì)備選供應(yīng)商資質(zhì)進(jìn)行審核， 并出 具審核意見，初步確定備選供應(yīng)商，并批復(fù)項(xiàng)目承擔(dān)部門；如項(xiàng)目委托專業(yè)招標(biāo) 公司負(fù)責(zé)開展，本過(guò)程由招標(biāo)公司負(fù)責(zé)。8.3.3.1 部分外包模式服務(wù)供應(yīng)商：a）中華人民共和國(guó)境內(nèi)外注冊(cè)的獨(dú)立法人；b） 一般要求境內(nèi)企業(yè)注冊(cè)資金在 200萬(wàn)元以上，境外企業(yè)注冊(cè)資金在 50萬(wàn) 美元以上；招標(biāo)文件另

10、有要求的必須滿足招標(biāo)文件要求；c）具有ISO900R CMM等國(guó)家、行業(yè)同等資質(zhì)認(rèn)證資格；d）能夠提供滿足要求的、合格穩(wěn)定的技術(shù)人員及服務(wù)。8.3.3.2 整體外包模式服務(wù)供應(yīng)商：a）中華人民共和國(guó)境內(nèi)外注冊(cè)的獨(dú)立法人；8.3.3.3 一般要求境內(nèi)企業(yè)注冊(cè)資金在1000萬(wàn)元以上，境外企業(yè)注冊(cè)資金在 500 萬(wàn)美元以上；招標(biāo)文件另有要求的必須滿足招標(biāo)文件要求。c）具有ISO900。CMM騫國(guó)家、行業(yè)同等資質(zhì)認(rèn)證資格要求；d）能夠提供滿足要求的、合格穩(wěn)定的技術(shù)人員及服務(wù)；e）直接或間接具備標(biāo)準(zhǔn)機(jī)房、穩(wěn)定的系統(tǒng)運(yùn)行環(huán)境；f）具備成熟的系統(tǒng)運(yùn)維和管理隊(duì)伍。8.3.3.4 資質(zhì)評(píng)審的基本材料包括：a）公

11、司營(yíng)業(yè)執(zhí)照、稅務(wù)登記證、組織機(jī)構(gòu)代碼證、人員相關(guān)資質(zhì)證書等資 質(zhì)證明文件；b）公司技術(shù)能力及技術(shù)實(shí)力說(shuō)明文件；c）公司服務(wù)能力、售后服務(wù)能力說(shuō)明文件；d）公司外包服務(wù)清單；e）公司具有良好履約證明；f）公司持續(xù)履約及保障所提供技術(shù)人員穩(wěn)定性承諾；g）公司一般性服務(wù)水準(zhǔn)承諾；h）系統(tǒng)整體外包服務(wù)供應(yīng)商應(yīng)具備信息產(chǎn)業(yè)部頒發(fā)的計(jì)算機(jī)系統(tǒng)集成資質(zhì) 或同等資格說(shuō)明。8.3.4 通過(guò)資質(zhì)評(píng)審的備選供應(yīng)商，作為推薦供應(yīng)商進(jìn)入采購(gòu)環(huán)節(jié)，采購(gòu)材料中 的推薦供應(yīng)商須與經(jīng)審核后的備選供應(yīng)商一致。 供應(yīng)商的選擇確定按照招投標(biāo)或 相關(guān)項(xiàng)目采購(gòu)管理辦法相關(guān)制度要求執(zhí)行。8.3.5 對(duì)于供應(yīng)商選擇確定過(guò)程中，供應(yīng)商退出項(xiàng)目

12、或其他情況，須要增補(bǔ)備選 供應(yīng)商的，須按照上述推薦、審核流程對(duì)增補(bǔ)備選供應(yīng)商進(jìn)行審批。8.4 外包合同管理8.4.1 合同的訂立8.4.1.1 按照國(guó)家法律、法規(guī)和政策相關(guān)規(guī)定，貫徹自愿、平等互利、誠(chéng)實(shí)信用、 協(xié)商一致、等價(jià)有償?shù)脑瓌t，本行科技開發(fā)部負(fù)責(zé)人或外包業(yè)務(wù)執(zhí)行部門負(fù)責(zé)人 在授權(quán)職責(zé)范圍內(nèi)按照合同范本簽訂合同；如不能使用合同范本的，本行科技開發(fā)部或外包業(yè)務(wù)執(zhí)行部門應(yīng)與外包商對(duì)合同內(nèi)容進(jìn)行全面、仔細(xì)的協(xié)商，并交本行法律部審查后形成正式合同文本，按照本合同文本簽訂合同。8.4.1.2 合同必須具備以下基本條款：a）甲乙雙方名稱和地址；b）標(biāo)的；c）數(shù)量和質(zhì)量；d）價(jià)款或酬金；e）履行期限、

13、地點(diǎn)和方式，運(yùn)費(fèi)的承擔(dān)；f）違約責(zé)任；g）解決爭(zhēng)議的方法及管轄權(quán)的約定。8.4.1.3 與外包服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下 獲取其外包服務(wù)資源的優(yōu)先權(quán)；8.4.1.4 合同由本行法定人或授權(quán)人員簽署，簽約人應(yīng)持加蓋公章和法定人或授權(quán)人簽字的授權(quán)委托書，8.4.1.5 合同范本需經(jīng)合規(guī)管理部審查。本行科技開發(fā)部要對(duì)合同條款的支付條 件、款項(xiàng)收取、價(jià)款的形成依據(jù)等條款進(jìn)行審查； 相關(guān)歸口管理部門負(fù)責(zé)審查合 同中的技術(shù)性能、質(zhì)量要求等條款；本行合規(guī)管理部對(duì)合同文本條款的合法性和 完整性負(fù)責(zé)整體性最終審查并形成審查意見，重大合同上報(bào)信息科技管理委員會(huì) 批準(zhǔn)。8.4.2 合同的

14、履行8.4.2.1 合同一經(jīng)簽訂，對(duì)甲乙方均具有法律約束力，應(yīng)按合同約定全面履行各 自的義務(wù)。未經(jīng)雙方協(xié)商一致，任何一方都不得擅自更改、轉(zhuǎn)讓、解除合同。8.4.2.2 合同生效后，如客觀情況發(fā)生變化，雙方按法律規(guī)定或約定，可對(duì)合同 進(jìn)行變更、轉(zhuǎn)讓、解除合同，但都必須采用書面形式確認(rèn)并按合同訂立和審查程 序重新送審。8.4.2.3 科技開發(fā)部安全保障崗應(yīng)當(dāng)隨時(shí)掌握合同的履行情況。如在合同履行中發(fā)現(xiàn)問題，應(yīng)立即向科技開發(fā)部負(fù)責(zé)人匯報(bào)，科技開發(fā)部負(fù)責(zé)向高層領(lǐng)導(dǎo)匯報(bào)。對(duì)可能發(fā)生法律糾紛的，應(yīng)及時(shí)通知本行合規(guī)管理部解決。8.4.2.4 妥善保管合同在履行過(guò)程中雙方的往來(lái)函件、傳真、電子郵件等。8.4.3

15、 合同的歸檔管理8.4.3.1 科技開發(fā)部日常管理崗做好合同檔案管理，及時(shí)將簽訂完成的合同及相關(guān)材料存檔。8.4.3.2 每份合同訂立后，必須交本行計(jì)劃財(cái)務(wù)部財(cái)務(wù)人員一份。8.5 外包人員訪問控制8.5.1 外包公司應(yīng)確立項(xiàng)目經(jīng)理（或項(xiàng)目負(fù)責(zé)人）負(fù)責(zé)協(xié)調(diào)項(xiàng)目相關(guān)重要事項(xiàng)。8.5.2 外包人員在服務(wù)期間，應(yīng)嚴(yán)格按要求簽署外包人員保密協(xié)議。8.5.3 本行科技開發(fā)部相關(guān)科室負(fù)責(zé)對(duì)外包人員使用環(huán)境和權(quán)限配置管理， 對(duì)使 用環(huán)境中的系統(tǒng)權(quán)限、文件讀寫權(quán)限必須嚴(yán)格控制，以滿足工作需要為前提，遵 循權(quán)限最小化原則，不得授予與工作無(wú)關(guān)的權(quán)限。8.5.4 對(duì)于向外包人員提供本行內(nèi)部資料必須嚴(yán)格審核，嚴(yán)禁未經(jīng)授

16、權(quán)提供。8.5.5 本行科技開發(fā)部定期檢查外包人員對(duì)生產(chǎn)環(huán)境的訪問權(quán)限、訪問路徑和操 作過(guò)程等，如發(fā)現(xiàn)外包人員違反有關(guān)規(guī)定和規(guī)章制度， 須立即制止并糾正；違反 情節(jié)嚴(yán)重的，有權(quán)停止其一切活動(dòng)。8.5.6 本行稽核審計(jì)部和風(fēng)險(xiǎn)管理部門按照相關(guān)制度要求，定期監(jiān)督外包人員訪 問控制策略有效性和執(zhí)行情況，并編制外包人員審計(jì)報(bào)告上報(bào)本行信息科技管理 委員會(huì)。8.6 外包交付物管理8.6.1 外包人員應(yīng)按時(shí)交付服務(wù)工作成果，本行科技開發(fā)部應(yīng)及時(shí)組織人員進(jìn)行 驗(yàn)收，具體驗(yàn)收辦法依據(jù)項(xiàng)目外包初期制定的項(xiàng)目驗(yàn)收方案。8.6.1.1 開發(fā)類外包的交付物必須在獨(dú)立的測(cè)試環(huán)境下經(jīng)過(guò)測(cè)試，驗(yàn)收合格后才可以投產(chǎn)試用。測(cè)試

17、至少應(yīng)包括功能測(cè)試、安全性測(cè)試、壓力測(cè)試、驗(yàn)收測(cè)試、 適應(yīng)性測(cè)試。8.6.1.2 對(duì)于外包交付物驗(yàn)收不合格的，應(yīng)要求外包公司重新提供產(chǎn)品，并重新 組織驗(yàn)收，直到驗(yàn)收通過(guò)，并納入外包公司考核評(píng)價(jià)過(guò)程。8.6.2 對(duì)于外包人員提交的源代碼，須經(jīng)本行科技開發(fā)部人員審核編譯。所產(chǎn)生 的執(zhí)行程序，須經(jīng)測(cè)試通過(guò)后，按規(guī)定流程投產(chǎn)。8.6.2.1 對(duì)于外包開發(fā)人員提交的關(guān)鍵代碼（涉及核心記賬、業(yè)務(wù)系統(tǒng)核心處理 流程或有關(guān)安全加密、認(rèn)證的代碼），必須對(duì)源代碼進(jìn)行重點(diǎn)抽查，并記錄抽查 結(jié)果，存檔保留。8.6.2.2 對(duì)于外包測(cè)試人員提交的測(cè)試方案和測(cè)試案例，必須組織人員進(jìn)行復(fù)核 確認(rèn)，以確認(rèn)測(cè)試腳本和測(cè)試用程序

18、滿足項(xiàng)目測(cè)試性能要求。8.7 外包服務(wù)質(zhì)量評(píng)價(jià)8.7.1 本行科技開發(fā)部、風(fēng)險(xiǎn)管理部門、稽核審計(jì)部組織相關(guān)業(yè)務(wù)部門定期對(duì)外 包商的合同履行情況、項(xiàng)目研發(fā)或其他專業(yè)能力、項(xiàng)目計(jì)劃與進(jìn)度的偏差、外包 業(yè)務(wù)連續(xù)性和服務(wù)水平等進(jìn)行考核評(píng)價(jià)，并及時(shí)將考核結(jié)果反饋至本行高級(jí)管理 層。8.7.2 本行根據(jù)信息科技外包需求、合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量 監(jiān)控指標(biāo)，根據(jù)具體外包業(yè)務(wù)的服務(wù)特征不同任意選擇以下常用指標(biāo)的全部或部 分指標(biāo)，并進(jìn)行監(jiān)控。常見指標(biāo)包括：8.7.2.1 信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機(jī)率；8.7.2.2 故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；8.7.2.3 服務(wù)的次數(shù)

19、、客戶滿意度；8.7.2.4 各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率8.7.2.5 外包人員工作飽和率、外包人員的考核合格率。8.7.3 本行建立明確的服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制 ，并 確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性，且數(shù)據(jù)至少需保存到 服務(wù)結(jié)束后一年。8.7.4 對(duì)于在關(guān)鍵技術(shù)和業(yè)務(wù)領(lǐng)域存在合作關(guān)系或在某一技術(shù)領(lǐng)域存在長(zhǎng)期合 作關(guān)系的供應(yīng)商，應(yīng)將其列為重點(diǎn)供應(yīng)商加強(qiáng)管理。8.7.5 考核結(jié)果應(yīng)用：8.7.5.1 考核結(jié)果為良（含）以上的公司，可免于公司的資質(zhì)評(píng)審等；8.7.5.2 考核結(jié)果為中的外包商，謹(jǐn)慎選擇合作；8.7.5.3 考核結(jié)

20、果為差的外包商，未來(lái) 2年時(shí)間內(nèi)無(wú)資格參加外包項(xiàng)目建設(shè)。8.8 外包風(fēng)險(xiǎn)管理8.8.1 外包風(fēng)險(xiǎn)評(píng)估8.8.1.1 本行風(fēng)險(xiǎn)管理部會(huì)同稽核審計(jì)部、科技開發(fā)部在外包項(xiàng)目立項(xiàng)及實(shí)施過(guò) 程定期或不定期開展風(fēng)險(xiǎn)評(píng)估和外包商審計(jì)，評(píng)估實(shí)施可能帶來(lái)的風(fēng)險(xiǎn)，包括合規(guī)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)等。8.8.1.2 根據(jù)可能造成的影響可將風(fēng)險(xiǎn)分為四級(jí)，如下：一級(jí)風(fēng)險(xiǎn)：指的是關(guān)鍵性問題。問題的出現(xiàn)，將嚴(yán)重影響全區(qū)本行業(yè)務(wù)運(yùn)作， 可能或已經(jīng)造成業(yè)務(wù)重大損失，需及時(shí)向本行信息科技管理委員會(huì)請(qǐng)示，并在最 短的時(shí)間內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告。二級(jí)風(fēng)險(xiǎn)：表明所報(bào)告的是重大但非關(guān)鍵性的問題。此類問題意味著系統(tǒng)能 夠運(yùn)行但是某些功能不能正常

21、工作。此類問題僅影響少數(shù)幾個(gè)用戶或者降低系統(tǒng) 性能，需及時(shí)向本行信息科技管理委員會(huì)請(qǐng)示，并用最短的時(shí)間解決問題，必要 時(shí)向監(jiān)管機(jī)構(gòu)報(bào)告。三級(jí)風(fēng)險(xiǎn)：表明所報(bào)告的是次要問題。此類問題發(fā)生時(shí)外包系統(tǒng)能夠正常運(yùn) 行，問題產(chǎn)生的影響是有限的且不對(duì)整體運(yùn)行產(chǎn)生關(guān)鍵性的影響，需及時(shí)向本行信息科技管理委員會(huì)請(qǐng)示，并用最短的時(shí)間解決問題。四級(jí)風(fēng)險(xiǎn)：表明所報(bào)告的是一般性問題。此類問題發(fā)生時(shí)外包系統(tǒng)正常運(yùn)行， 對(duì)全區(qū)本行業(yè)務(wù)幾乎無(wú)影響或根本不影響，主要是咨詢和服務(wù)類的問題，需聯(lián)系相關(guān)技術(shù)人員與外包公司用最短時(shí)間解決問題。8.8.2 本行對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、 兼并、關(guān)鍵人員流

22、失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管 理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。8.8.3 本行特別加強(qiáng)對(duì)具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商的財(cái)務(wù)、 內(nèi)控、安 全管理情況的持續(xù)監(jiān)控，建立信息收集機(jī)制，及時(shí)掌握風(fēng)險(xiǎn)事件情況，防范外包 服務(wù)意外終止或服務(wù)質(zhì)量急劇下降對(duì)本機(jī)構(gòu)產(chǎn)生大面積影響。8.8.4 本行監(jiān)控到異常情況時(shí)，應(yīng)當(dāng)及時(shí)督促外包服務(wù)提供商采取糾正措施，情節(jié)嚴(yán)重的或未及時(shí)糾正的，應(yīng)當(dāng)約談外包服務(wù)提供商高管人員并限期整改。8.8.5 本行科技開發(fā)部會(huì)同相關(guān)業(yè)務(wù)部門制定信息科技外包風(fēng)險(xiǎn)應(yīng)急方案，并定期演練，降低因事件出現(xiàn)后對(duì)本行系統(tǒng)運(yùn)行、開發(fā)、測(cè)試及咨詢、維護(hù)服

23、務(wù)等工 作的不利影響。當(dāng)風(fēng)險(xiǎn)發(fā)生時(shí)，及時(shí)按照相關(guān)應(yīng)急預(yù)案進(jìn)行風(fēng)險(xiǎn)處置；當(dāng)問題無(wú)法有效解決，并導(dǎo)致問題等級(jí)升級(jí)時(shí)，需按照要求，向本行信息科技管理委員會(huì) 及監(jiān)管機(jī)構(gòu)報(bào)告，并做好應(yīng)急處置工作，嚴(yán)格控制外包過(guò)程中的數(shù)據(jù)安全、保密、 知識(shí)產(chǎn)權(quán)、人員變更、轉(zhuǎn)包等因素相關(guān)的風(fēng)險(xiǎn)。8.8.6 外包供應(yīng)商異常退出機(jī)制8.8.6.1 當(dāng)外包供應(yīng)商因異常原因退出時(shí)，本行科技開發(fā)部第一時(shí)間將情況上報(bào) 給本行高級(jí)管理層，并按照批示意見執(zhí)行。1）外包供應(yīng)商異常退出原因a）出現(xiàn)分包、轉(zhuǎn)包情況，一經(jīng)發(fā)現(xiàn)無(wú)條件退出，退出后2年內(nèi)不得入圍；b）項(xiàng)目啟動(dòng)后2月內(nèi)未施工的；之后工期要求兩個(gè)月未完工的； c）考評(píng)結(jié)果為差級(jí)的；d）出現(xiàn)

24、重大安全事故的，退出后2年內(nèi)不得入圍；e）公司資質(zhì)出現(xiàn)重大下調(diào)，不滿足資質(zhì)要求的；f）違反國(guó)家法律法規(guī)、本單位制度要求的；g）不能有效完成項(xiàng)目建設(shè)的。h）其他可能導(dǎo)致退出的原因g）當(dāng)出現(xiàn)以上原因時(shí)，外包供應(yīng)商需退出外包項(xiàng)目建設(shè)。2）外包供應(yīng)商退出應(yīng)急預(yù)案a）外包供應(yīng)商退出后，本行科技開發(fā)部第一時(shí)間上報(bào)本行高級(jí)管理層，主 要內(nèi)容包括：外包項(xiàng)目建設(shè)情況、異常退出原因、后續(xù)擬開展工作等，并按照批 示意見執(zhí)行。b）本行科技開發(fā)部負(fù)責(zé)人對(duì)備選供應(yīng)商資料進(jìn)行重新審核，如退出項(xiàng)目屬 于關(guān)鍵業(yè)務(wù)，并對(duì)時(shí)間有要求的，可由本行信息科技管理委員會(huì)在備選供應(yīng)商中 選擇最優(yōu)的或經(jīng)技術(shù)交流、商務(wù)談判等作為新的外包商；如退

25、出項(xiàng)目對(duì)時(shí)間沒有 要求，需按照外包供應(yīng)商選擇程序重新確定外包供應(yīng)商。8.8.6.2 本行在充分評(píng)估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求服務(wù)提 供商終止服務(wù)，情節(jié)特別嚴(yán)重的，可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其 備案。對(duì)于關(guān)聯(lián)外包，銀行業(yè)金融機(jī)構(gòu)不得因?yàn)殛P(guān)聯(lián)關(guān)系而影響服務(wù)提供商退出 機(jī)制的落實(shí)。8.9 外包保密制度8.9.1 外包合同內(nèi)容要有詳實(shí)的保密條款或保密協(xié)議，規(guī)定雙方需遵守的保密權(quán)利與義務(wù)。8.9.2 外包公司開發(fā)人員到達(dá)本行進(jìn)行現(xiàn)場(chǎng)開發(fā)，首先要與本行簽訂外包人員保 密協(xié)議，簽訂外包人員保密協(xié)議后，由本行科技開發(fā)部網(wǎng)絡(luò)運(yùn)維人員報(bào)本行科技 開發(fā)部總經(jīng)理進(jìn)行審批權(quán)限，開通外包人員接

26、入本行開發(fā)網(wǎng)權(quán)限，登記ip地址、MAC*址、人員等信息；并且將其所使用的計(jì)算機(jī)加入到本行運(yùn)維審計(jì)平臺(tái)，在 本行開發(fā)期間外包人員嚴(yán)格按照外包人員保密協(xié)議規(guī)定內(nèi)容執(zhí)行。8.10 持續(xù)改進(jìn)8.10.1 合規(guī)管理部、稽核審計(jì)部、科技開發(fā)部要對(duì)考核指標(biāo)和服務(wù)水準(zhǔn)體系進(jìn) 行全面評(píng)估，定期提出修訂意見，對(duì)相應(yīng)的考核指標(biāo)和服務(wù)進(jìn)行調(diào)整。8.10.2 合規(guī)管理部、稽核審計(jì)部、科技開發(fā)部應(yīng)根據(jù)評(píng)估報(bào)告制定外包管理改 進(jìn)計(jì)劃，并根據(jù)改進(jìn)計(jì)劃，對(duì)外包實(shí)施過(guò)程進(jìn)行持續(xù)改進(jìn)和調(diào)整優(yōu)化。9檢查與監(jiān)督9.1 科技開發(fā)部負(fù)責(zé)對(duì)本文件的可操作性、適宜性進(jìn)行日常監(jiān)督與檢查，必要 時(shí)對(duì)文件進(jìn)行更改，確保文件適用，具體執(zhí)行文件控制程序

27、09.2 稽核審計(jì)部對(duì)該文件的執(zhí)行情況，相關(guān)登記簿登記的完整性等進(jìn)行集中檢 查、督促整改。9.3 合規(guī)管理部負(fù)責(zé)每年一次對(duì)該規(guī)章制度的合規(guī)性進(jìn)行審查，并督促整改。10支持性文件10.1 外部合規(guī)文件10.1.1 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例10.1.2 金融機(jī)構(gòu)計(jì)算機(jī)信息安全保護(hù)工作暫行規(guī)定10.1.3 信息科技風(fēng)險(xiǎn)管理指引10.1.4 銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引10.2 內(nèi)部合規(guī)文件10.2.1 文件控制程序10.2.2 科技檔案管理規(guī)定10.2.3 電子設(shè)備管理規(guī)定10.2.4 計(jì)算機(jī)安全管理規(guī)定10.2.5 計(jì)算機(jī)項(xiàng)目管理規(guī)定DDB-QC-KJ-325-01DDB-QC-

28、KJ-325-02DDB-QC-KJ-325-03DDB-QC-KJ-325-04DDB-QC-KJ-325-0511支持性記錄11.1 外包人員保密協(xié)議11.2 外包人員信息審核登記表11.3 外包項(xiàng)目實(shí)施進(jìn)度確認(rèn)單11.4 外包人員考核單11.5 外包商評(píng)價(jià)報(bào)告12附錄無(wú)1、外包人員將被安置到專用的辦公區(qū)域且只能在正常上班時(shí)間到我方該辦公區(qū) 域，其活動(dòng)范圍限制在為我方項(xiàng)目而設(shè)置的區(qū)域。2、外包人員到我方工作期間，必須遵守我方的保密規(guī)定和制度，履行與其 工作崗位相應(yīng)的保密職責(zé)。我方保密規(guī)章，制度沒有規(guī)定或者規(guī)定不明之處， 應(yīng) 本著謹(jǐn)慎，負(fù)責(zé)的態(tài)度，采取必要，合理的措施，保守其知悉或者持有的任

29、何屬 于我方或者屬于第三方但我方承諾有保密義務(wù)的技術(shù)秘密和商業(yè)秘密。3、外包人員因職務(wù)上的需要所持有或者保管的一切記錄有我方秘密的文件， 資料，圖表，筆記，報(bào)告，傳真，磁帶，磁盤，照片，儀器以及其他任何形式的 載體均歸我方所有，無(wú)論這些秘密信息有無(wú)商業(yè)上的價(jià)值。4、外包人員在履行本合同過(guò)程中從我方獲知的技術(shù)和商業(yè)秘密，無(wú)論在本 合同期限內(nèi)還是合同終止后，均應(yīng)共同遵守國(guó)家有關(guān)版權(quán)，專利，商標(biāo)等知識(shí)產(chǎn) 權(quán)方面的法律規(guī)定及部分的保密規(guī)定中的相關(guān)條文，尊重我方的知識(shí)產(chǎn)權(quán)，對(duì)所 知悉的我方技術(shù)秘密和商業(yè)秘密負(fù)有保密責(zé)任。未經(jīng)我方事先書面授權(quán)，不得以 任何方式向其他組織或個(gè)人泄露， 轉(zhuǎn)讓，交換，或與任何其

30、他組織或個(gè)人共同使 用或不正當(dāng)使用。違反本條規(guī)定，給我方造成損失的，違約方應(yīng)負(fù)相關(guān)的法律責(zé) 任。5、本協(xié)議提及的技術(shù)秘密，包括但不限于技術(shù)方案，設(shè)計(jì)方法，工作業(yè)務(wù) 流程，技術(shù)指標(biāo)，計(jì)算機(jī)軟件，數(shù)據(jù)庫(kù)，研究開發(fā)記錄，技術(shù)報(bào)告，測(cè)試報(bào)告， 試驗(yàn)數(shù)據(jù)，試驗(yàn)結(jié)果，圖紙，樣品，照片， VIDEQ模型，模具，操作手冊(cè)，技 術(shù)文檔，相關(guān)的函件，文檔及涉及我方其他的商業(yè)秘密等。6、本協(xié)議提到的商業(yè)秘密，包括但不限于客戶名單，地址及聯(lián)系方式，營(yíng) 銷計(jì)劃，采購(gòu)資料，定價(jià)政策，招投標(biāo)中的標(biāo)底及標(biāo)書內(nèi)容，進(jìn)貨渠道，法律事 務(wù)信息，人力資源信息，技術(shù)資料，項(xiàng)目組人員構(gòu)成，費(fèi)用預(yù)算，利潤(rùn)情況及不 公開的財(cái)務(wù)資料等等。外包

31、人員到我方工作或?qū)W習(xí)必須遵守以上條款， 并提供身份證復(fù)印件，如果 你對(duì)以上條款已經(jīng)閱讀完畢并且同意接受，請(qǐng)?jiān)谙旅婧炞郑和獍久Q：協(xié)議簽訂人：身份證號(hào)：簽訂日期：11.2外包人員信息審核登記表DDB-QC-KJ-325-02編號(hào):所屬公司姓名設(shè)備類型設(shè)備型號(hào)登記日期離行日期計(jì)劃工作時(shí)間所屬項(xiàng)目登錄服務(wù)器登錄用戶IP地址MAC地址外包公司項(xiàng)目經(jīng)理：科技開發(fā)部總經(jīng)理：備注：外包項(xiàng) 目名稱：外包項(xiàng)目承 擔(dān)部門：外包項(xiàng) 目實(shí)施 階段外包項(xiàng)目風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)測(cè)、控制內(nèi) 容歸檔材料內(nèi)容職責(zé)部門完成時(shí)1可責(zé)任部門確認(rèn)備注一、立項(xiàng) 前階段1、外包項(xiàng)目與科技戰(zhàn) 略的一致性審查。風(fēng)險(xiǎn)分析報(bào)告或 風(fēng)險(xiǎn)評(píng)估報(bào)告科

32、技開發(fā)部、 合規(guī)管理部2、信息科技產(chǎn)品準(zhǔn)入 的審查。審計(jì)報(bào)告稽核審計(jì)部3、外包項(xiàng)目高管層審 查意見。行長(zhǎng)辦公會(huì)議記 錄、綜合辦公室4、重大外包項(xiàng)目董事 會(huì)意見。董事會(huì)會(huì)議記錄董事會(huì)辦公室二、立項(xiàng)階段1、外包項(xiàng)目的成本效 益分析。成本效益分析報(bào) 告計(jì)劃財(cái)務(wù)部2、對(duì)外包項(xiàng)目進(jìn)行成 果論證，開展立項(xiàng)評(píng) 估。評(píng)估報(bào)告科技開發(fā)部、項(xiàng)目承擔(dān)部門3、對(duì)外包商的資質(zhì)審 查。審查報(bào)告稽核審計(jì)部三、簽訂 合同階 段1、外包合同的合規(guī)性 審查。法律性意見審查 表合規(guī)管理部2、重大外包項(xiàng)目信息 科技管理委員會(huì)的意 見。信息科技管理委 員會(huì)會(huì)議記錄科技開發(fā)部3、外包合同的資料管 理。交計(jì)劃財(cái)務(wù)部復(fù) 印件保管項(xiàng)目承擔(dān)部門

33、四、測(cè)試 階段1、對(duì)項(xiàng)目開發(fā)組織和 管理風(fēng)險(xiǎn)控制點(diǎn)、業(yè) 務(wù)風(fēng)險(xiǎn)點(diǎn)、業(yè)務(wù)操作 環(huán)境及外包項(xiàng)目的風(fēng) 險(xiǎn)分析。風(fēng)險(xiǎn)分析報(bào)告或 風(fēng)險(xiǎn)評(píng)估報(bào)告科技開發(fā)部、項(xiàng)目承擔(dān)部門2、對(duì)項(xiàng)目風(fēng)險(xiǎn)的管 控。風(fēng)險(xiǎn)分析報(bào)告或 風(fēng)險(xiǎn)評(píng)估報(bào)告合規(guī)管理部3、對(duì)項(xiàng)目風(fēng)險(xiǎn)的管 控。審計(jì)報(bào)告稽核審計(jì)部四、測(cè)試 階段4、重大外包項(xiàng)目實(shí)施 情況的審查。審計(jì)報(bào)告稽核審計(jì)部5、對(duì)外包人員訪問控 制策略有效性和執(zhí)行 情況的審查。審計(jì)報(bào)告稽核審計(jì)部五、項(xiàng)目 推廣階 段1、對(duì)外包商服務(wù)連續(xù) 性、服務(wù)質(zhì)量的風(fēng)險(xiǎn) 評(píng)估。評(píng)估報(bào)告合規(guī)管理部2、根據(jù)內(nèi)審部門的意 見及自評(píng)估的內(nèi)容， 制定外包項(xiàng)目的相關(guān) 改進(jìn)計(jì)劃及措施。整改計(jì)劃或改進(jìn) 措施科技開發(fā)部、項(xiàng)目承

34、擔(dān)部門各階段填寫說(shuō)明：1、立項(xiàng)前階段1）、外包項(xiàng)目立項(xiàng)前，科技開發(fā)部、風(fēng)險(xiǎn)管理部門（合規(guī)管理部風(fēng)險(xiǎn)管理 崗）應(yīng)審慎檢查項(xiàng)目與信息科技戰(zhàn)略的一致性，根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其 進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，制定相應(yīng)的風(fēng)險(xiǎn)處置措施；稽核審計(jì)部要開展對(duì)信息科技 產(chǎn)品準(zhǔn)入情況的審查。2）、外包項(xiàng)目立項(xiàng)前，由項(xiàng)目承擔(dān)部門向主管行長(zhǎng)請(qǐng)示通過(guò)后，報(bào)綜合辦 公室，經(jīng)行長(zhǎng)辦公會(huì)議討論審議。同時(shí)，對(duì)外包合同金額為300萬(wàn)元以上的重大 外包項(xiàng)目，由綜合辦公室向董事會(huì)辦公室報(bào)告。2、立項(xiàng)階段1）、經(jīng)審批確認(rèn)的外包項(xiàng)目，由項(xiàng)目承擔(dān)部門向計(jì)劃財(cái)務(wù)部提供項(xiàng)目需求 報(bào)告、可行性研究報(bào)告、投資預(yù)算方案等項(xiàng)目檔案，計(jì)劃財(cái)務(wù)部要根據(jù)項(xiàng)目承擔(dān) 部門提供的項(xiàng)目檔案進(jìn)行成本效益分析。2）、經(jīng)審批確認(rèn)的外包項(xiàng)目，科技開發(fā)部牽頭組織項(xiàng)目承擔(dān)部門根據(jù)項(xiàng)目 實(shí)施方案，進(jìn)行成果論證，開展立項(xiàng)評(píng)估。3）、經(jīng)審批確認(rèn)的外包商，項(xiàng)目承擔(dān)部門向稽核審計(jì)部遞交外包商的資質(zhì) 等相關(guān)材料，由稽核審計(jì)部開展對(duì)外包商的資信審查，審查報(bào)告包括外包商的資 質(zhì)情況、聲譽(yù)情況、專業(yè)程度和資信財(cái)務(wù)穩(wěn)定情況等。3、簽訂合同階段1）、項(xiàng)