XX銀行信息科技外包風(fēng)險(xiǎn)管理辦法

1、XX銀行信息科技外包風(fēng)險(xiǎn)管理辦法第一章總則第一條為了規(guī)范XX銀行（以下簡(jiǎn)稱(chēng)“本行”）信息科技外包管理，控制外包服務(wù)風(fēng)險(xiǎn)，根據(jù)中國(guó)銀監(jiān)會(huì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引和銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引，結(jié)合本行實(shí)際，制定本辦法。第二條信息科技外包系指因本行技術(shù)人員技術(shù)力量不足或特殊情況，將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)供應(yīng)商進(jìn)行處理的行為。第三條本行外包管理原則包括：（一）自主可控原則。信息科技外包活動(dòng)以不妨礙核心能力建設(shè)、關(guān)鍵技術(shù)自主可控為導(dǎo)向。（二）協(xié)調(diào)統(tǒng)一原則。符合科技風(fēng)險(xiǎn)管理策略，保持外包風(fēng)險(xiǎn)、成本和效益的平衡。（三）預(yù)防優(yōu)先原則。審慎管理信息科技外包活動(dòng)，秉承事前預(yù)防重

2、于事后控制、日常防控重于應(yīng)急處理的原則。（四）動(dòng)態(tài)優(yōu)化原則。根據(jù)外部監(jiān)管要求、信息科技發(fā)展趨勢(shì)和本行業(yè)務(wù)發(fā)展需求，持續(xù)優(yōu)化本行信息科技風(fēng)險(xiǎn)外包管理策略和工作機(jī)制。第四條本辦法適用于本行與信息科技相關(guān)外包活動(dòng)的管理。第五條本行的信息科技外包活動(dòng)應(yīng)遵守國(guó)家相關(guān)法律法規(guī)及監(jiān)管部門(mén)的相關(guān)規(guī)定。第二章組織架構(gòu)與職責(zé)分工第六條本行外包管理的組織架構(gòu)包括董事會(huì)、信息科技管理委員會(huì)、外包風(fēng)險(xiǎn)主管部門(mén)、外包管理執(zhí)行團(tuán)隊(duì)、外包管理審計(jì)部門(mén)。第七條董事會(huì)承擔(dān)信息科技外包管理的最終責(zé)任。主要職責(zé)包括：（一）審議批準(zhǔn)信息科技外包戰(zhàn)略；（二）審議批準(zhǔn)外包管理基本制度；（三）審議批準(zhǔn)本機(jī)構(gòu)的外包范圍及相關(guān)安排；（四）定期審

3、閱本機(jī)構(gòu)外包活動(dòng)相關(guān)報(bào)告；（五）銀監(jiān)會(huì)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引要求的其它工作。第八條高級(jí)管理層設(shè)信息科技管理委員會(huì)，負(fù)責(zé)全行科技外包工作的日常決策工作。主要職責(zé)包括：（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；（二）確定外包業(yè)務(wù)的范圍及相關(guān)安排；（三）確定科技外包管理團(tuán)隊(duì)職責(zé)，并對(duì)其行為進(jìn)行有效監(jiān)督；（四）定期審閱本行外包活動(dòng)相關(guān)報(bào)告；（五）指導(dǎo)內(nèi)部審計(jì)部門(mén)獨(dú)立開(kāi)展外包審計(jì)工作；（六）董事會(huì)確定的其它職責(zé)。第九條風(fēng)險(xiǎn)管理部門(mén)負(fù)責(zé)制定外包風(fēng)險(xiǎn)管理的制度，組織識(shí)別和評(píng)估信息科技外包風(fēng)險(xiǎn)，監(jiān)督、評(píng)價(jià)外包管理工作，對(duì)外包執(zhí)行情況進(jìn)行監(jiān)督檢查，定期向高級(jí)管理層匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)情況。第十條外包管理執(zhí)行團(tuán)隊(duì)由信

4、息科技部、計(jì)劃財(cái)務(wù)部、法律合規(guī)部等相關(guān)部門(mén)組成。外包管理執(zhí)行團(tuán)隊(duì)具體負(fù)責(zé)科技外包項(xiàng)目的執(zhí)行和管理工作，主要職責(zé)包括：（一）信息科技部門(mén)實(shí)施全行信息科技外包管理戰(zhàn)略；執(zhí)行供應(yīng)商準(zhǔn)入、評(píng)價(jià)和退由管理；制定保障外包服務(wù)連續(xù)性的應(yīng)急管理措施；分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)防范措施，監(jiān)督和管理外包實(shí)施過(guò)程，定期或不定期向風(fēng)險(xiǎn)管理部提交有關(guān)外包風(fēng)險(xiǎn)報(bào)告、進(jìn)行風(fēng)險(xiǎn)事件報(bào)告。（二）業(yè)務(wù)需求部門(mén)負(fù)責(zé)業(yè)務(wù)需求的整體規(guī)劃與編寫(xiě)、外包業(yè)務(wù)可行性評(píng)估分析、業(yè)務(wù)功能及范圍選型、業(yè)務(wù)驗(yàn)收測(cè)試、業(yè)務(wù)推廣等工作，并參與項(xiàng)目的實(shí)施。（三）計(jì)劃財(cái)務(wù)部門(mén)是全行信息科技外包項(xiàng)目招投標(biāo)工作的組織單位，負(fù)責(zé)科技外包項(xiàng)目的招投

5、標(biāo)活動(dòng)的組織協(xié)調(diào)工作。（四）法律合規(guī)部門(mén)負(fù)責(zé)對(duì)信息科技外包項(xiàng)目的合同進(jìn)行審核，并對(duì)信息科技外包項(xiàng)目提供法律方面的指導(dǎo)。第十一條稽核部負(fù)責(zé)對(duì)信息科技外包服務(wù)項(xiàng)目以及外包服務(wù)商管理等進(jìn)行審計(jì)。第三章外包管理戰(zhàn)略第十二條本行信息科技外包戰(zhàn)略是為提升本行可持續(xù)發(fā)展能力和核心競(jìng)爭(zhēng)力，大力推進(jìn)本行信息化建設(shè)，打造先進(jìn)高效、適應(yīng)業(yè)務(wù)發(fā)展和市場(chǎng)變化的現(xiàn)代商業(yè)銀行信息化產(chǎn)品和服務(wù)體系。通過(guò)強(qiáng)化平臺(tái)整合能力和風(fēng)險(xiǎn)控制能力，合理審慎開(kāi)展信息科技外包活動(dòng)，降低信息系統(tǒng)建設(shè)運(yùn)營(yíng)成本，提升本行掌控核心技術(shù)和自主開(kāi)發(fā)、自主運(yùn)維的能力。第十三條本行信息科技外包服務(wù)策略系指外包服務(wù)制定的預(yù)期目標(biāo)，以及評(píng)判外包服務(wù)績(jī)效的標(biāo)準(zhǔn)。本

6、行外包服務(wù)的一般策略如下：（一）成本控制策略。降低本行信息系統(tǒng)建設(shè)和運(yùn)維的總體成本。（二）高質(zhì)高效策略。提升本行信息科技服務(wù)水平、提高工作效率、縮短系統(tǒng)上線(xiàn)時(shí)間。（三）創(chuàng)新變革策略。促進(jìn)本行創(chuàng)新、轉(zhuǎn)型發(fā)展。第十四條本行信息科技外包的主要內(nèi)容包括：（一）科技管理及科技治理的咨詢(xún)；（二）信息科技系統(tǒng)的規(guī)劃、設(shè)計(jì)、需求、開(kāi)發(fā)、測(cè)試外包；（三）數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；（四）業(yè)務(wù)外包如市場(chǎng)拓展、業(yè)務(wù)操作、內(nèi)部管理、資產(chǎn)處置等外包中涉及到系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理等的信息科技活動(dòng)。第十五條本行在信息科技活動(dòng)中不得將信息科

7、技管理責(zé)任外包，涉及戰(zhàn)略管理、風(fēng)險(xiǎn)管理、安全管理、內(nèi)部審計(jì)職能的業(yè)務(wù)也不宜外包。第五章外包風(fēng)險(xiǎn)管理第十六條本行信息科技外包風(fēng)險(xiǎn)評(píng)估應(yīng)關(guān)注外包活動(dòng)的戰(zhàn)略風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、國(guó)別風(fēng)險(xiǎn)、機(jī)構(gòu)集中度等風(fēng)險(xiǎn)，并制定應(yīng)對(duì)措施。第十七條本行信息科技外包風(fēng)險(xiǎn)評(píng)估過(guò)程應(yīng)該充分考慮如下因素：（一）是否符合本行戰(zhàn)略規(guī)劃、戰(zhàn)略目標(biāo)和業(yè)務(wù)需求；（二）本行是否有管理外包關(guān)系的能力；（三）是否可能導(dǎo)致本行失去科技控制和創(chuàng)新能力；（四）可能導(dǎo)致業(yè)務(wù)中斷的情況；（五）可能導(dǎo)致信息泄露的情況；（六）是否會(huì)導(dǎo)致本行服務(wù)水平的降低。第十九條判斷外包服務(wù)商具有機(jī)構(gòu)集中度的標(biāo)準(zhǔn)包括：（一）外包服務(wù)商所承接外包服務(wù)的數(shù)量或

8、者金額在本行重要信息科技服務(wù)中達(dá)到三分之一以上；（二）外包服務(wù)商承接外包服務(wù)在銀行業(yè)服務(wù)市場(chǎng)占比達(dá)到三分之一以上；（三）外包服務(wù)商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)的情況，應(yīng)將分支機(jī)構(gòu)或關(guān)聯(lián)公司作為統(tǒng)一的整體來(lái)計(jì)算機(jī)構(gòu)集中度。第二十條對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)商，每年應(yīng)及時(shí)向本行報(bào)送公司的財(cái)務(wù)報(bào)表、內(nèi)控與安全管理情況，外包服務(wù)商因資質(zhì)變動(dòng)、被收購(gòu)、兼并或破產(chǎn)、資源發(fā)生重大損失、由現(xiàn)財(cái)務(wù)失敗等情況時(shí)，應(yīng)及時(shí)函告本行。本行應(yīng)定期或不定期檢查外包風(fēng)險(xiǎn)，必要時(shí)可指派專(zhuān)人現(xiàn)場(chǎng)監(jiān)督。在有條件的情況下，本行應(yīng)采取分散信息科技外包活動(dòng)、提高自主研發(fā)運(yùn)營(yíng)能力等形式，減少對(duì)外包服務(wù)商的依賴(lài)。第二十一條涉及

9、跨境外包的活動(dòng)應(yīng)遵守以下原則：（一）審慎評(píng)估境外國(guó)家或地區(qū)的經(jīng)濟(jì)與政治環(huán)境、技術(shù)風(fēng)險(xiǎn)以及境外權(quán)限的法律和管制風(fēng)險(xiǎn)。（二）確保國(guó)家秘密、商業(yè)秘密和客戶(hù)信息的安全。（三）選擇境外服務(wù)提供商時(shí)，應(yīng)明確其所在國(guó)家或地區(qū)監(jiān)管當(dāng)局已與我國(guó)銀行監(jiān)管機(jī)構(gòu)簽訂諒解備忘錄。第二十二條本行應(yīng)提取必要的風(fēng)險(xiǎn)準(zhǔn)備，以應(yīng)對(duì)不可預(yù)料的IT外包服務(wù)的風(fēng)險(xiǎn)發(fā)生。第二十三條本行應(yīng)從風(fēng)險(xiǎn)控制、合規(guī)要求、可行性、成本效益等方面評(píng)估信息科技外包活動(dòng)，對(duì)外包或自主建設(shè)兩種方案進(jìn)行分析比較，形成可行性報(bào)告。第六章外包服務(wù)商分級(jí)管理第二十四條根據(jù)外包服務(wù)性質(zhì)和重要程度將外包商劃分為重點(diǎn)外包服務(wù)商和一般外包服務(wù)商。對(duì)不同類(lèi)型外包服務(wù)商的資質(zhì)、

10、監(jiān)督、管理等實(shí)施不同的管理要求，當(dāng)涉及敏感信息、商業(yè)秘密和客戶(hù)隱私數(shù)據(jù)時(shí)，應(yīng)符合國(guó)家有關(guān)法律法規(guī)和監(jiān)管部門(mén)規(guī)定。第二十五條重點(diǎn)外包服務(wù)商系指負(fù)責(zé)本行關(guān)鍵系統(tǒng)、基礎(chǔ)設(shè)施建設(shè)和運(yùn)維的外包服務(wù)商。如其外包服務(wù)失敗，可能導(dǎo)致本行大面積數(shù)據(jù)損毀、丟失、泄露或者信息系統(tǒng)服務(wù)中斷，造成較大經(jīng)濟(jì)損失。第二十六條一般外包服務(wù)商系指其提供的服務(wù)對(duì)本行影響較小，其外包服務(wù)失敗影響范圍可控，不會(huì)產(chǎn)生較大的經(jīng)濟(jì)損失。第二十七條根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)提示，本行重點(diǎn)外包服務(wù)商原則上應(yīng)符合以下資質(zhì)要求：（一）在中國(guó)境內(nèi)注冊(cè)的獨(dú)立法人實(shí)體，注冊(cè)資本和實(shí)收資本不少于1000萬(wàn)，注冊(cè)成立時(shí)間不少于3年；（二）具有完

11、善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證；（三）具有完善的質(zhì)量管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證，擁有有效的檢查、監(jiān)控和考核機(jī)制,確保管理規(guī)范有效執(zhí)行；（四）承擔(dān)本行數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的重點(diǎn)外包服務(wù)商，其機(jī)房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達(dá)到國(guó)家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)；（五）擁有健全的組織架構(gòu)，并針對(duì)所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu)，至少應(yīng)建立由公司高級(jí)管理層直接領(lǐng)導(dǎo)、針對(duì)本行外包服務(wù)的、專(zhuān)職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì)，為持續(xù)的外包服務(wù)提供保證；（六）應(yīng)具有足夠的技術(shù)能力和人力資源；（七）承擔(dān)本行外包服務(wù)的場(chǎng)地

12、應(yīng)設(shè)置在中國(guó)境內(nèi)。第二十八條外包服務(wù)商必須接受本行對(duì)外包服務(wù)活動(dòng)的監(jiān)督。其中,重點(diǎn)外包服務(wù)商須遵循以下要求：（一）至少每季度向本行報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告，并針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)和風(fēng)險(xiǎn)事件，及時(shí)采取控制或緩釋措施。（二）每年聘請(qǐng)獨(dú)立的審計(jì)機(jī)構(gòu)，對(duì)自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，將年度風(fēng)險(xiǎn)報(bào)告報(bào)送本行。（三）對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過(guò)往無(wú)不良記錄，且應(yīng)與項(xiàng)目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。第七章外包服務(wù)商準(zhǔn)入管理第二十九條外包服務(wù)商承接本行外包服務(wù)，應(yīng)先成為本行認(rèn)定的候選外包服務(wù)商。本行建立并維護(hù)候選外包服務(wù)商清單，在需要引入新的外包服務(wù)商時(shí)，統(tǒng)一組織資質(zhì)評(píng)審。第三十條本

13、行應(yīng)對(duì)外包服務(wù)商進(jìn)行充分調(diào)查、評(píng)估、審查，組織必要的盡職調(diào)查，內(nèi)容包括但不限于：（一）資質(zhì)證明、行業(yè)地位以及對(duì)其他銀行業(yè)金融機(jī)構(gòu)提供服務(wù)的情況；（二）技術(shù)實(shí)力和服務(wù)質(zhì)量；（三）對(duì)銀行業(yè)務(wù)的熟悉程度；（四）經(jīng)營(yíng)聲譽(yù)和企業(yè)文化；（五）業(yè)務(wù)連續(xù)性及突發(fā)事件應(yīng)對(duì)能力；（六）內(nèi)部控制和管理能力；（七）財(cái)務(wù)穩(wěn)健性；（八）是否滿(mǎn)足履行監(jiān)管義務(wù)的需要；（九）其設(shè)施和能力是否可以補(bǔ)償潛在的責(zé)任；（十）是否接受本行監(jiān)督其外包有關(guān)的操作風(fēng)險(xiǎn)；（H一）如何安排外包變更時(shí)的順利過(guò)渡，包括終止合同可能發(fā)生的情況；（十二）本行認(rèn)為重要的其它事項(xiàng)。第三十一條如果本行認(rèn)為無(wú)法對(duì)外包服務(wù)商進(jìn)行以上盡職調(diào)查時(shí)，可以委托第三方獨(dú)立機(jī)

14、構(gòu)進(jìn)行盡職調(diào)查。第三十二條外包活動(dòng)涉及多個(gè)服務(wù)提供商時(shí)，應(yīng)對(duì)服務(wù)提供商進(jìn)行關(guān)聯(lián)關(guān)系調(diào)查。第三十三條外包服務(wù)的招標(biāo)應(yīng)嚴(yán)格按照本行集中采購(gòu)管理辦法等相關(guān)規(guī)定執(zhí)行。參加招標(biāo)的外包服務(wù)商必須符合招標(biāo)文件中的資質(zhì)要求，本行外包活動(dòng)將遵循公開(kāi)、公平、公正的原則，從候選的多個(gè)外包服務(wù)商中進(jìn)行選擇。第三十四條涉及本行關(guān)聯(lián)機(jī)構(gòu)的關(guān)聯(lián)外包的活動(dòng)，應(yīng)保持外包決策的獨(dú)立性，不能降低對(duì)外包服務(wù)的相關(guān)要求。第三十五條對(duì)于同業(yè)托管機(jī)構(gòu)，應(yīng)關(guān)注機(jī)構(gòu)集中度風(fēng)險(xiǎn)，參照本辦法第十九條執(zhí)行。第八章外包服務(wù)合同管理第三十六條本行開(kāi)展服務(wù)外包活動(dòng)時(shí)應(yīng)與外包服務(wù)商簽訂書(shū)面合同或協(xié)議，明確雙方的權(quán)利義務(wù)。合同或協(xié)議應(yīng)包括但不限于以下內(nèi)容：（

15、一）外包服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限與安排、責(zé)任分配、驗(yàn)收標(biāo)準(zhǔn)、交付物要求及后續(xù)合作中的相關(guān)限定條件；（二）合規(guī)與內(nèi)控要求；（三）外包服務(wù)的保密性和安全性的安排；（四）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排以及外包服務(wù)商提供專(zhuān)屬資源的承諾；（五）外包服務(wù)的審計(jì)和檢查；（六）外包服務(wù)爭(zhēng)端的解決機(jī)制；（七）合同或協(xié)議的變更或終止的過(guò)渡安排；（八）擔(dān)保和損失賠償以及違約責(zé)任；（九）明確知識(shí)產(chǎn)權(quán)的歸屬；（十）服務(wù)要求與服務(wù)水平條款；（十一）報(bào)告條款，包括常規(guī)報(bào)告內(nèi)容和報(bào)告頻率、突發(fā)事件時(shí)的報(bào)告路線(xiàn)、報(bào)告方式及時(shí)限要求。第三十七條簽訂外包合同時(shí)外包服務(wù)商須在合同中承諾以下事項(xiàng)：（一）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；（二

16、）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；（三）配合本行接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的監(jiān)控和檢查；（四）保障客戶(hù)信息的安全性，當(dāng)客戶(hù)信息不安全或客戶(hù)權(quán)利受到影響時(shí)，本行有權(quán)隨時(shí)終止外包合同；（五）遵守法律法規(guī)和本行內(nèi)部管理制度的要求；（六）第三方供應(yīng)商由現(xiàn)問(wèn)題時(shí)，保證服務(wù)連續(xù)性的相關(guān)措施；（七）提供服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案；（八）不得以本行的名義開(kāi)展活動(dòng)；（九）提供第三方由具外包系統(tǒng)的系統(tǒng)安全檢測(cè)報(bào)告；（十）本行認(rèn)為應(yīng)當(dāng)承諾的其它事項(xiàng)。第三十八條合同或協(xié)議應(yīng)約定外包服務(wù)商不得將外包活動(dòng)轉(zhuǎn)包或者變相轉(zhuǎn)包。第三十九條未經(jīng)本行同意，外包服務(wù)商不得對(duì)外包服務(wù)進(jìn)行分包。外包服務(wù)涉及分包時(shí)應(yīng)當(dāng)要求：（一）不得將外包服務(wù)

17、的主要業(yè)務(wù)分包。（二）主服務(wù)提供商對(duì)服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議。（三）主服務(wù)提供商對(duì)分包商進(jìn)行監(jiān)控，并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。第四十條本行與外包服務(wù)商簽訂的服務(wù)水平協(xié)議應(yīng)設(shè)定可衡量的目標(biāo)，包括但不限于以下內(nèi)容：（一）客戶(hù)支持的及時(shí)性，包括問(wèn)題報(bào)告及問(wèn)題解決保障流程、時(shí)限；（二）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開(kāi)機(jī)率；（三）故障次數(shù)、故障解決率、故障的響應(yīng)時(shí)間；（四）服務(wù)的次數(shù)、客戶(hù)滿(mǎn)意度；（五）各階段業(yè)務(wù)需求的及時(shí)完成率、程序的缺陷數(shù)、需求變更率；（六）外包人員工作飽和率、外包人員的考核合格率；（七）業(yè)務(wù)連續(xù)性和災(zāi)難的恢復(fù)，包括在災(zāi)難發(fā)生

18、條件下的恢復(fù)條款、設(shè)備冗余、分布式備份和存儲(chǔ)計(jì)劃；（八）系統(tǒng)響應(yīng)時(shí)間，定義系統(tǒng)響應(yīng)一個(gè)用戶(hù)操作請(qǐng)求所用的最大時(shí)間；（九）系統(tǒng)吞吐量，定義系統(tǒng)傳送給用戶(hù)數(shù)據(jù)時(shí)的速率；（十）用戶(hù)使用數(shù)目，定義在保障系統(tǒng)響應(yīng)時(shí)間和系統(tǒng)吞吐量前提下所允許的最大的用戶(hù)使用服務(wù)數(shù)目。第四十一條服務(wù)水平協(xié)議的指標(biāo)衡量應(yīng)與服務(wù)費(fèi)用直接桂鉤。對(duì)于未達(dá)到服務(wù)水平的情況，本行可拒付相關(guān)時(shí)段的服務(wù)費(fèi)用，減少外包企業(yè)的服務(wù)年限，直至要求賠償。第四十二條本行應(yīng)定期對(duì)服務(wù)水平協(xié)議進(jìn)行重審和改進(jìn)。第四十三條合同或協(xié)議的簽訂按照本行合同管理辦法執(zhí)行。第九章外包服務(wù)過(guò)程管理第四十四條本行應(yīng)根據(jù)業(yè)務(wù)的重要程度及其風(fēng)險(xiǎn)管理水平，確定相適應(yīng)的外包管理

19、活動(dòng)范圍，尤其是重要業(yè)務(wù)的外包活動(dòng)范圍。在確定莫項(xiàng)外包業(yè)務(wù)是否為重要業(yè)務(wù)時(shí)，應(yīng)評(píng)估以下因素：（一）是否涵蓋到本行大部分的信息技術(shù)、財(cái)務(wù)會(huì)計(jì)、信貸處理及客戶(hù)信息等業(yè)務(wù)事項(xiàng)。（二）業(yè)務(wù)一旦中斷是否對(duì)本行的業(yè)務(wù)經(jīng)營(yíng)、聲譽(yù)或利潤(rùn)等產(chǎn)生重大影響。（三）在無(wú)法確定莫項(xiàng)即將被外包的業(yè)務(wù)是否為重要業(yè)務(wù)時(shí)，可向所在地監(jiān)管機(jī)構(gòu)進(jìn)行咨詢(xún)。第四十五條外包人員入場(chǎng)與變更必須經(jīng)本行認(rèn)可，本行應(yīng)組織對(duì)外包人員進(jìn)行相關(guān)制度的培訓(xùn)，以確保外包人員在本行服務(wù)期間嚴(yán)格遵守本行規(guī)章制度與行為規(guī)范，接受本行人員管理。第四十六條按照本行信息科技項(xiàng)目管理辦法，管理外包服務(wù)過(guò)程交付物，檢查交付物是否滿(mǎn)足技術(shù)、服務(wù)、質(zhì)量管理等方面要求。第四十

20、七條本行定期檢查外包項(xiàng)目的進(jìn)度安排與執(zhí)行情況，并及時(shí)評(píng)價(jià)外包服務(wù)商的服務(wù)水平與質(zhì)量。第四十八條外包服務(wù)項(xiàng)目的驗(yàn)收由信息科技部牽頭組織，會(huì)同外包服務(wù)商、系統(tǒng)主管部門(mén)及其他有關(guān)單位或部門(mén)，按合同條款要求對(duì)項(xiàng)目、服務(wù)進(jìn)行驗(yàn)收，由具外包服務(wù)項(xiàng)目驗(yàn)收?qǐng)?bào)告。第十章外包服務(wù)商退由管理第四十九條本行每年開(kāi)展外包服務(wù)用戶(hù)調(diào)查，通過(guò)最終用戶(hù)評(píng)分，由被服務(wù)對(duì)象對(duì)外包服務(wù)商的服務(wù)項(xiàng)目進(jìn)行評(píng)價(jià)。第五十條與外包服務(wù)商在其服務(wù)質(zhì)量不能滿(mǎn)足合同要求的，本行在充分評(píng)估其影響和制定退由計(jì)劃的前提下，可主動(dòng)要求外包服務(wù)商終止服務(wù)；情節(jié)特別嚴(yán)重的，應(yīng)取消其外包準(zhǔn)入資質(zhì)，并報(bào)銀監(jiān)會(huì)申請(qǐng)對(duì)其備案。第五H一條外包服務(wù)終止前，要求外包商承擔(dān)

21、的義務(wù)包括但不限于以下內(nèi)容：（一）交回并妥善處理相關(guān)資料；（二）進(jìn)行相應(yīng)的知識(shí)交接，包括文檔交接，如功能規(guī)則說(shuō)明書(shū)，系統(tǒng)設(shè)計(jì)規(guī)則說(shuō)明書(shū)，操作運(yùn)行手冊(cè)，服務(wù)記錄等，必要時(shí)進(jìn)行相應(yīng)的培訓(xùn)；（三）進(jìn)行相應(yīng)的物品交接，包括銀行門(mén)禁卡、銀行計(jì)算機(jī)等設(shè)備。第十一章外包服務(wù)安全管理第五十二條外包服務(wù)人員應(yīng)遵守本行對(duì)安全管理的要求。第五十三條本行應(yīng)定期對(duì)外包人員進(jìn)行培訓(xùn)，使外包人員了解本行的安全管理、風(fēng)險(xiǎn)管理等相關(guān)制度。第五十四條對(duì)于外包活動(dòng)需要訪(fǎng)問(wèn)或使用的信息資產(chǎn)，本行應(yīng)按照“必須知道”和“最小授權(quán)”的原則進(jìn)行訪(fǎng)問(wèn)授權(quán)，從物理訪(fǎng)問(wèn)、邏輯訪(fǎng)問(wèn)兩方面確定安全訪(fǎng)問(wèn)控制策略，防范外包活動(dòng)引起信息泄露、信息篡改、信息

22、不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞。第五十五條本行應(yīng)要求重點(diǎn)外包服務(wù)商建立完善的應(yīng)急管理體系和外包突發(fā)事件應(yīng)急預(yù)案，并定期配合本行開(kāi)展應(yīng)急演練。第五十六條本行應(yīng)定期對(duì)外包服務(wù)商進(jìn)行安全檢查，獲得外包服務(wù)商自評(píng)估或第三方評(píng)估報(bào)告，但不得以外包服務(wù)商自評(píng)估代替本行的安全檢查，不得因關(guān)聯(lián)關(guān)系影響檢查的獨(dú)立性、客觀(guān)性及公正性。第五十七條本行應(yīng)建立外包突發(fā)事件應(yīng)急預(yù)案和機(jī)制。高級(jí)管理層對(duì)外包突發(fā)風(fēng)險(xiǎn)事件，應(yīng)及時(shí)啟動(dòng)應(yīng)急計(jì)劃，在第一時(shí)間向董事會(huì)和監(jiān)管部門(mén)報(bào)告，并通過(guò)采取替代方案、尋求合同項(xiàng)下的保險(xiǎn)安排等措施，確保業(yè)務(wù)活動(dòng)的正常經(jīng)營(yíng)。第十二章外包服務(wù)監(jiān)控評(píng)價(jià)第五十八條本行應(yīng)持續(xù)監(jiān)控外包服務(wù)商的服務(wù)質(zhì)量

23、，依據(jù)服務(wù)水平協(xié)議進(jìn)行性能評(píng)估，要求外包服務(wù)商定期提交服務(wù)報(bào)告。本行同時(shí)應(yīng)進(jìn)行評(píng)估，如果外包服務(wù)質(zhì)量和服務(wù)協(xié)議發(fā)生偏離或者表現(xiàn)不足時(shí)，及時(shí)整改和處理。第五十九條外包管理執(zhí)行團(tuán)隊(duì)?wèi)?yīng)與外包服務(wù)商建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并進(jìn)行日常管理。主要包括以下內(nèi)容：（一）與服務(wù)商進(jìn)行定期的工作會(huì)議，討論相關(guān)問(wèn)題；（二）對(duì)服務(wù)商不定期開(kāi)展現(xiàn)場(chǎng)訪(fǎng)問(wèn)和審計(jì)；（三）對(duì)服務(wù)商年度表現(xiàn)進(jìn)行用戶(hù)調(diào)查和評(píng)估。第六十條本行開(kāi)展重要信息科技活動(dòng)和跨境信息科技外包活動(dòng)時(shí)，應(yīng)事先向所在地銀行業(yè)監(jiān)管機(jī)構(gòu)報(bào)告。報(bào)告內(nèi)容包括但不限于：（一）外包合同的文本草案；（二）對(duì)服務(wù)外包商的風(fēng)險(xiǎn)評(píng)估報(bào)告；（三）業(yè)務(wù)持續(xù)性以及突發(fā)事件應(yīng)急預(yù)案

24、；（四）外包信息的安全及保密措施。第六十一條本行在開(kāi)展重要信息科技外包時(shí)如遇到下列事項(xiàng)，應(yīng)及時(shí)向所在地銀行業(yè)監(jiān)管機(jī)構(gòu)報(bào)告：（一）合同期內(nèi)終止合同；（二）發(fā)生突發(fā)事件；（三）IT外包商違反法律、法規(guī)的情況。第六十二條本行應(yīng)當(dāng)定期開(kāi)展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開(kāi)展專(zhuān)項(xiàng)審計(jì)。第六十三條信息科技外包應(yīng)納入本行總體安全策略和風(fēng)險(xiǎn)控制。本行每年應(yīng)對(duì)重要信息系統(tǒng)外包服務(wù)商進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，并提交評(píng)估報(bào)告。第十三章外包服務(wù)中斷管理第六十四條本行應(yīng)識(shí)別重要業(yè)務(wù)所涉及的外包服務(wù)商和資源，通過(guò)合同、協(xié)議等形式明確要求外包服務(wù)商提前準(zhǔn)備

25、并維護(hù)好相關(guān)資源。通過(guò)合同等形式約定，在外包服務(wù)商不能提供服務(wù)或者不能滿(mǎn)足約定服務(wù)質(zhì)量要求時(shí)，本行可優(yōu)先獲得外包服務(wù)資源。第六十五條本行應(yīng)持續(xù)收集外包服務(wù)商的相關(guān)信息，監(jiān)控外包服務(wù)實(shí)施過(guò)程，評(píng)價(jià)外包服務(wù)商業(yè)務(wù)連續(xù)性管理水平，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況。第六十六條本行應(yīng)不斷完善業(yè)務(wù)連續(xù)性管理計(jì)劃，考慮因素包括但不限于以下內(nèi)容：（一）事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，外包服務(wù)商主動(dòng)退由，因資質(zhì)變動(dòng)、被收購(gòu)、兼并或破產(chǎn)、資源發(fā)生重大損失、由現(xiàn)財(cái)務(wù)失敗、外包服務(wù)中斷、外包協(xié)議終止、外包服務(wù)商變更等原因?qū)е碌耐獍?wù)商被動(dòng)退由；（二）事件持續(xù)時(shí)間和恢復(fù)可能性；（三）事件影響范圍和可能的應(yīng)急措

26、施；（四）外包服務(wù)商自行恢復(fù)服務(wù)的可能性和時(shí)間；（五）備選外包服務(wù)商以及外包服務(wù)遷移方案；（六）外包服務(wù)過(guò)渡給本行自行運(yùn)作的可能性、時(shí)效及資源要求。第六十七條針對(duì)重要外包服務(wù)，本行應(yīng)根據(jù)應(yīng)急預(yù)案的場(chǎng)景定期進(jìn)行演練，并在內(nèi)部配置相應(yīng)的人力資源，保證在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。第六十八條外包服務(wù)商應(yīng)提供服務(wù)中斷的應(yīng)急處理預(yù)案，提供備份人員，并配合本行定期和不定期開(kāi)展應(yīng)急演練。第十四章外包服務(wù)資料管理第六十九條信息科技部門(mén)應(yīng)將外包服務(wù)合同、外包服務(wù)框架性協(xié)議，及外包服務(wù)相關(guān)資料進(jìn)行統(tǒng)一管理和妥善保存。第七十條信息科技部門(mén)應(yīng)對(duì)外包人員實(shí)施系統(tǒng)維護(hù)或技術(shù)支持時(shí)所有操作內(nèi)容和技術(shù)參數(shù)配置的變更情況記錄、外包人員維護(hù)或維修設(shè)備的授權(quán)記錄、進(jìn)由機(jī)房的手續(xù)登記記錄、外包人員在完成技術(shù)支持服務(wù)后由具的有關(guān)報(bào)告或記錄等，進(jìn)行統(tǒng)一管理和妥善保存。第七十一條信息科技部門(mén)對(duì)網(wǎng)絡(luò)系統(tǒng)建設(shè)、軟件系統(tǒng)開(kāi)發(fā)、機(jī)房建設(shè)和改造等較大外包服務(wù)項(xiàng)目完工后的有關(guān)項(xiàng)目