(完整word版)銀行信息科技外包風(fēng)險(xiǎn)管理辦法

1、保密等級(jí)文檔名稱文檔編號(hào)發(fā)布組織發(fā)布日期執(zhí)行日期版 本號(hào)大洼恒豐村鎮(zhèn)銀行信息科技外包風(fēng)險(xiǎn)管理辦法批準(zhǔn)人簽字審核人簽字制訂人簽字日期：日期：日期：大洼恒豐村鎮(zhèn)銀行信息科技部變更履歷版本編號(hào)變 化簡要說明 ( 變更內(nèi)容、序或更改記狀 態(tài)變更位置、變更原因和變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期號(hào)*變更范圍 )錄編號(hào)1 1.0C創(chuàng)建，全頁。* 變化狀態(tài)： C創(chuàng)建， A增加， M修改， D刪除目 錄第一章總則4第二章外包管理組織架構(gòu)5第三章信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理6第一節(jié)信息科技外包戰(zhàn)略6第二節(jié)信息科技外包風(fēng)險(xiǎn)管理7第四章信息科技外包管理8第一節(jié)外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入8第二節(jié)服務(wù)提供商盡職調(diào)查10第三節(jié)外包

2、服務(wù)合同及要求10第四節(jié)外包服務(wù)安全管理12第五節(jié)外包服務(wù)監(jiān)控與評(píng)價(jià)13第六節(jié)外包服務(wù)中斷與終止14第八章監(jiān)督管理17第九章附則18第一章總則第一條為規(guī)范我行的信息科技外包活動(dòng)，降低信息科技外包風(fēng)險(xiǎn)， 根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法 、中華人民共和國商業(yè)銀行法 、銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引等法律法規(guī)，制定本辦法。第二條 本辦法所稱信息科技外包是指我行將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為，包含項(xiàng)目外包、人力資源外包等形式。包括以下類型：（一）研發(fā)咨詢類外包：科技管理及科技治理等咨詢設(shè)計(jì)外包，規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包；（二）系統(tǒng)運(yùn)行維護(hù)類外包：包括

3、數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、 POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；（三）業(yè)務(wù)外包中的信息科技活動(dòng)： 市場拓展、 業(yè)務(wù)操作、企業(yè)管理、 資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、 運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。第三條我行應(yīng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本行信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系， 控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。第四條我行在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；（二）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；（三）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢，持續(xù)改進(jìn)外包策略和

4、措施。第五條 我行在實(shí)施信息科技外包時(shí)，不得將信息科技管理責(zé)任外包。第二章外包管理組織架構(gòu)第六條為了嚴(yán)格落實(shí)我行信息科技外包風(fēng)險(xiǎn)管理的相關(guān)職責(zé) ,我行設(shè)立外包風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組成員如下：組長：荊曉輝副組長：宇文梁成員：任義、何亮外包風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)小組主要職責(zé)包括：（一）制定并審批信息科技外包戰(zhàn)略；（二）審議信息科技外包管理流程及制度；（三）督促并監(jiān)控信息科技外包風(fēng)險(xiǎn)管理效果。第七條 由內(nèi)審稽核部作為我行信息科技外包風(fēng)險(xiǎn)主管部門，主要職責(zé)包括：（一）對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示；（二）監(jiān)督、評(píng)價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；（三）向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)

5、風(fēng)險(xiǎn)管理情況；（四）董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。第八條 我行信息科技部設(shè)立信息科技外包管理崗，履行以下職責(zé)：（一）實(shí)施信息科技外包戰(zhàn)略；（二）制定并執(zhí)行信息科技外包管理制度與流程；（三）執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)供應(yīng)商關(guān)系管理策略；（四）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；（五）對(duì)外包過程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向信息科技及外包風(fēng)險(xiǎn)管理主管部門報(bào)告外包活動(dòng)情況。第三章信息科技外包戰(zhàn)略及風(fēng)險(xiǎn)管理第一節(jié)信息科技外包戰(zhàn)略第九條我行應(yīng)制定信息科技外包戰(zhàn)略規(guī)劃，以提升信息科技隊(duì)伍能力， 提高科技管理及創(chuàng)新水平，掌握信息科技核心技

6、能為目標(biāo)， 基于信息科技戰(zhàn)略、外包市場環(huán)境、 自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略， 包括：不能外包的職能、資源能力建設(shè)方案、 供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略。第十條 我行根據(jù)自身信息科技戰(zhàn)略，不能外包的職能包括：涉及戰(zhàn)略管理、 風(fēng)險(xiǎn)管理、 內(nèi)部審計(jì)及其他有關(guān)信息科技核心競爭力的職能。第十一條 我行應(yīng)當(dāng)根據(jù)外包戰(zhàn)略制定資源、能力建設(shè)方案，通過補(bǔ)充人員、提升技能、知識(shí)轉(zhuǎn)移等方式，有針對(duì)性地獲取或提升管理及技術(shù)能力，降低對(duì)服務(wù)提供商的依賴。第十二條 我行應(yīng)當(dāng)建立與自身規(guī)模、市場地位相適應(yīng)的供應(yīng)商關(guān)系管理策略。 通過準(zhǔn)入和退出機(jī)制合理管控各類高風(fēng)險(xiǎn)服務(wù)提供商的數(shù)量， 實(shí)現(xiàn)以下目標(biāo)：

7、防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險(xiǎn)，通過引入適當(dāng)?shù)母偁幵诮档筒少彸杀镜耐瑫r(shí)提高服務(wù)質(zhì)量，合理管控服務(wù)提供商的數(shù)量從而降低風(fēng)險(xiǎn)及管理成本等。第十三條 我行應(yīng)按照外包服務(wù)性質(zhì)和重要性程度對(duì)服務(wù)提供商進(jìn)行分級(jí)管理， 對(duì)不同級(jí)別的服務(wù)提供商采取差異化的管控措施，在有效管理重要風(fēng)險(xiǎn)的前提下降低管理成本第二節(jié)信息科技外包風(fēng)險(xiǎn)管理第十四條由內(nèi)審稽核部負(fù)責(zé)我行信息科技外包風(fēng)險(xiǎn)管理工作，并每年開展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估， 保持評(píng)估的獨(dú)立性， 同時(shí)向高級(jí)管理層提交評(píng)估報(bào)告。 評(píng)估內(nèi)容包括： 信息科技外包戰(zhàn)略執(zhí)行情況、 外包信息安全、 機(jī)構(gòu)集中度、 服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場變化對(duì)外包服務(wù)的影響分析等。第十五條

8、 內(nèi)審稽核部應(yīng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估， 保持評(píng)估的獨(dú)立性。 至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。 評(píng)估內(nèi)容包括： 服務(wù)提供商合規(guī)情況、 服務(wù)的執(zhí)行效果等， 評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。第十六條 由我行內(nèi)審稽核部定期開展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作， 至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)。第四章信息科技外包管理第一節(jié)外包風(fēng)險(xiǎn)評(píng)估及準(zhǔn)入第十七條在外包項(xiàng)目立項(xiàng)前，我行應(yīng)當(dāng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性， 根據(jù)項(xiàng)目內(nèi)容、 范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估， 制定相應(yīng)的風(fēng)險(xiǎn)處置措施， 不因外包活動(dòng)的引入而增

9、加整體剩余風(fēng)險(xiǎn)。 重大外包項(xiàng)目應(yīng)向董事會(huì)、 高管層報(bào)告。第十八條我行對(duì)外包商實(shí)行準(zhǔn)入管理，對(duì)于不符合準(zhǔn)入條件的外包商應(yīng)拒絕與其進(jìn)行科技合作，我行外包商準(zhǔn)入標(biāo)準(zhǔn)如下：（一）外包服務(wù)商應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊的獨(dú)立法人實(shí)體，注冊資本和實(shí)收資本不少于1000 萬，注冊成立時(shí)間不少于 3 年。（二）外包服務(wù)商應(yīng)當(dāng)擁有健全的組織架構(gòu)，并針對(duì)所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu)， 至少應(yīng)當(dāng)建立由公司高級(jí)管理層直接領(lǐng)導(dǎo)、 針對(duì)我行外包服務(wù)的、 專職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì)，為持續(xù)的外包服務(wù)提供保證。（三）外包服務(wù)商應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全、服務(wù)質(zhì)量、 服務(wù)持

10、續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行。（四）外包服務(wù)商應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境，滿足外包服務(wù)的質(zhì)量和安全管理要求。外包服務(wù)場地應(yīng)當(dāng)設(shè)置在中國境內(nèi)。（五）外包服務(wù)商應(yīng)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證:(1) 具有完善的信息安全管理體系、 業(yè)務(wù)連續(xù)性管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。(2) 具有完善的質(zhì)量管理體系， 并通過業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。(3) 為我行提供數(shù)據(jù)中心、 災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的外包服務(wù)商， 其機(jī)房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達(dá)到國家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)。(4) 承擔(dān)集中存貯我行客戶數(shù)

11、據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)我行客戶資料、 交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的外包服務(wù)商，應(yīng)當(dāng)具有完善的運(yùn)行服務(wù)管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。（五）我行對(duì)外包服務(wù)商在風(fēng)險(xiǎn)管理、審計(jì)方面提出如下要求：(1)外包服務(wù)商應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系，有效識(shí)別、監(jiān)測、評(píng)估和控制風(fēng)險(xiǎn)。外包服務(wù)商應(yīng)當(dāng)至少每季度向我行報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告，針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件，及時(shí)采取控制或緩釋措施。(2) 外包服務(wù)商應(yīng)當(dāng)每年聘請獨(dú)立的審計(jì)機(jī)構(gòu) , 對(duì)自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估 , 年度風(fēng)險(xiǎn)評(píng)估報(bào)告需報(bào)送所服務(wù)的銀行業(yè)金融機(jī)構(gòu)，并抄送銀監(jiān)會(huì)或其派出機(jī)構(gòu)。(3) 外包服務(wù)商應(yīng)當(dāng)

12、對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過往無不良記錄， 且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議， 并保留至少 10 年的法律追訴期。第二節(jié)服務(wù)提供商盡職調(diào)查第十九條 我行在與外包服務(wù)提供商簽訂合同前需深入開展盡職調(diào)查。 盡職調(diào)查報(bào)告包括但不限于： 服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場評(píng)價(jià)、監(jiān)管評(píng)價(jià)、內(nèi)部控制機(jī)制和管理流程的完善程度、 內(nèi)部控制技術(shù)和工具、 從業(yè)時(shí)間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況等。第三節(jié)外包服務(wù)合同及要求第二十條我行在實(shí)施外包服務(wù)項(xiàng)目前，應(yīng)當(dāng)與服務(wù)提供商簽訂服務(wù)合同。 合同應(yīng)當(dāng)根據(jù)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及盡職調(diào)查結(jié)果確定詳細(xì)程度和重點(diǎn)。第二十一條我行在合同

13、或協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限及安排、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；（二）合規(guī)與內(nèi)控要求，對(duì)法律法規(guī)及我行內(nèi)部管理制度的遵從要求、 監(jiān)管政策的通報(bào)貫徹機(jī)制、 服務(wù)提供商的內(nèi)控措施；（三）服務(wù)連續(xù)性要求，服務(wù)提供商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足我行業(yè)務(wù)連續(xù)性目標(biāo)要求；（四）我行監(jiān)控和檢查的權(quán)利、頻率，服務(wù)提供商配合其內(nèi)、外部審計(jì)機(jī)構(gòu)檢查，及配合銀行業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任；（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包服務(wù)提供商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排， 包括信息、 資料和設(shè)施的交接處置等過渡

14、期間相關(guān)服務(wù)的安排；（六）外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識(shí)產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍， 對(duì)服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求；（七）服務(wù)要求或服務(wù)水平條款， 至少應(yīng)當(dāng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、 服務(wù)時(shí)效和可用性、 數(shù)據(jù)的機(jī)密性和完整性要求、 變更的控制、 安全標(biāo)準(zhǔn)的遵守情況、 技術(shù)支持水平等；（八）爭端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識(shí)產(chǎn)權(quán)違約等，及在各種違約情況下的賠償以及外包爭端的解決機(jī)制；（九）報(bào)告條款，至少包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)的報(bào)告路線、報(bào)告方式及時(shí)限要求。第二十二條 我行需在合同或協(xié)議中明

15、確服務(wù)提供商在安全和保密方面的責(zé)任， 以及針對(duì)安全及保密要求需采取的具體措施。包括但不限于：（一）禁止服務(wù)提供商在合同允許范圍外使用或者披露我行的信息，以防止信息被非授權(quán)使用；（二）在合同或協(xié)議中約定服務(wù)提供商對(duì)銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款；（三）在合同或協(xié)議中約定服務(wù)提供商不得以所服務(wù)的我行名義開展活動(dòng)；（四）服務(wù)提供商接觸我行信息時(shí)，需滿足安全和保密相關(guān)條款的要求；（五）在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、 區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類突發(fā)事件時(shí)， 服務(wù)提供商應(yīng)及時(shí)向我行報(bào)告， 包括事件的影響以及處置和糾正措施。第二十三條 我行需

16、在合同或協(xié)議中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。第四節(jié)外包服務(wù)安全管理第二十四條我行應(yīng)當(dāng)制定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、 信息篡改、 信息不可用、 非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。具體措施包括：（一）對(duì)外包人員進(jìn)行信息安全培訓(xùn)， 提高風(fēng)險(xiǎn)管理意識(shí)，確保信息安全管控措施在外包服務(wù)過程中有效落實(shí)；（二）明確外包活動(dòng)需要訪問或使用的信息資產(chǎn)，包括場地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問授權(quán)；（三）對(duì)重要或核心的信息系統(tǒng)開發(fā)交付物進(jìn)行源代碼檢查和安全掃描；（四

17、）定期對(duì)服務(wù)提供商進(jìn)行安全檢查，獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。第五節(jié)外包服務(wù)監(jiān)控與評(píng)價(jià)第二十五條我行內(nèi)審稽核部應(yīng)當(dāng)對(duì)外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控，要求服務(wù)提供商建立階段性 服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行情況， 及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。第二十六條 我行應(yīng)當(dāng)根據(jù)信息科技外包需求、 合同、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo)，并進(jìn)行相應(yīng)監(jiān)控。常見指標(biāo)包括：（一）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機(jī)率；（二）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；（三）服務(wù)的次數(shù)、客戶滿意度；（四）各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；（五）外包人員工作飽和率、外包

18、人員的考核合格率。第二十七條 我行應(yīng)當(dāng)建立明確的服務(wù)目錄、服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制 , 并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性， 且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。第二十八條 我行應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。第二十九條我行在監(jiān)控到異常情況時(shí)，應(yīng)當(dāng)及時(shí)督促服務(wù)提供商采取糾正措施， 情節(jié)嚴(yán)重的或未及時(shí)糾正的， 應(yīng)當(dāng)約談服務(wù)提供商高管人員并限期整改。第三十條 外包服務(wù)結(jié)束時(shí)，我行應(yīng)當(dāng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果

19、應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。第六節(jié)外包服務(wù)中斷與終止第三十一條我行應(yīng)當(dāng)考慮信息科技外包的引入對(duì)業(yè)務(wù)連續(xù)性管理的影響， 有針對(duì)性地完善業(yè)務(wù)連續(xù)性管理計(jì)劃，包括但不限于：（一）識(shí)別出重要業(yè)務(wù)所涉及的服務(wù)提供商和資源；（二）通過合同、協(xié)議等形式明確要求服務(wù)提供商提前準(zhǔn)備并維護(hù)好相關(guān)資源；（三）對(duì)服務(wù)提供商業(yè)務(wù)連續(xù)性管理進(jìn)行監(jiān)控，并評(píng)價(jià)其管理水平；（四）在進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃演練時(shí)將相關(guān)的服務(wù)提供商納入演練范圍。第三十二條 為降低外包突發(fā)事件的可能性及影響，我行應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：（一）在外包服務(wù)實(shí)施過程中持續(xù)收集服

20、務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；（二）與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán)；（三）要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；（四）對(duì)于涉及重要業(yè)務(wù)的外包服務(wù)，我行需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力資源， 掌握必要的技能， 以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。第三十三條 我行應(yīng)當(dāng)針對(duì)重要外包服務(wù)中斷的場景，擬定相應(yīng)的應(yīng)急計(jì)劃， 并定期進(jìn)行演練， 考慮因素包括但不限于以下內(nèi)容：（一）事件場景，如重要人員流失導(dǎo)致服務(wù)無法持續(xù)，服務(wù)提供商主動(dòng)退出， 因資質(zhì)變更、 被收購、 兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)

21、退出等；（二）事件持續(xù)時(shí)間和恢復(fù)可能性；（三）事件影響范圍和可能的應(yīng)急措施；（四）服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間；（五）備選的服務(wù)提供商以及外包服務(wù)遷移方案；（六）外包服務(wù)過渡給我行自行運(yùn)作的可能性、時(shí)效及資源需求。第三十四條 對(duì)于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況，我行應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下，考慮主動(dòng)要求服務(wù)提供商終止服務(wù)， 情節(jié)特別嚴(yán)重的， 可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請對(duì)其備案。第五章機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理第三十五條我行應(yīng)當(dāng)依據(jù)服務(wù)提供商所承接外包服務(wù)的數(shù)量、金額在本行重要信息科技服務(wù)中的占比，服務(wù)提供商所承接外包服務(wù)在銀行業(yè)服務(wù)市場占比情況，識(shí)別具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商。第三十六條我行應(yīng)當(dāng)積極采用分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)行能力等形式，降低機(jī)構(gòu)集中度， 減少對(duì)外包服務(wù)提供商的依賴。第三十七條我行應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商提供充分的證據(jù)， 證明其內(nèi)部控制和管理能力、 持續(xù)運(yùn)營能力等。第三十八條 我行應(yīng)當(dāng)要求具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為我行配備相對(duì)獨(dú)立的資源，包括服務(wù)團(tuán)隊(duì)、場地、系