XX銀行信息科技外包風險管理辦法

1、XX銀行信息科技外包風險管理辦法第一章總則第一條為了規(guī)范XX銀行（以下簡稱“本行”）信息科技外包管理，控制外包服務(wù)風險，根據(jù)中國銀監(jiān)會商業(yè)銀行信息科技風險管理指引和銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引，結(jié)合本行實際，制定本辦法。第二條信息科技外包系指因本行技術(shù)人員技術(shù)力量不足或特殊情況，將原本由自身負責處理的信息科技活動委托給服務(wù)供應(yīng)商進行處理的行為。第三條本行外包管理原則包括：（一）自主可控原則。信息科技外包活動以不妨礙核心能力建設(shè)、關(guān)鍵技術(shù)自主可控為導(dǎo)向。（二）協(xié)調(diào)統(tǒng)一原則。符合科技風險管理策略，保持外包風險、成本和效益的平衡。（三）預(yù)防優(yōu)先原則。審慎管理信息科技外包活動，秉承事前預(yù)防重

2、于事后控制、日常防控重于應(yīng)急處理的原則。（四）動態(tài)優(yōu)化原則。根據(jù)外部監(jiān)管要求、信息科技發(fā)展趨勢和本行業(yè)務(wù)發(fā)展需求，持續(xù)優(yōu)化本行信息科技風險外包管理策略和工作機制。第四條本辦法適用于本行與信息科技相關(guān)外包活動的管理。第五條本行的信息科技外包活動應(yīng)遵守國家相關(guān)法律法規(guī)及監(jiān)管部門的相關(guān)規(guī)定。第二章組織架構(gòu)與職責分工第六條本行外包管理的組織架構(gòu)包括董事會、信息科技管理委員會、外包風險主管部門、外包管理執(zhí)行團隊、外包管理審計部門。第七條董事會承擔信息科技外包管理的最終責任。主要職責包括：（一）審議批準信息科技外包戰(zhàn)略；（二）審議批準外包管理基本制度；（三）審議批準本機構(gòu)的外包范圍及相關(guān)安排；（四）定期審

3、閱本機構(gòu)外包活動相關(guān)報告；（五）銀監(jiān)會信息科技外包風險監(jiān)管指引要求的其它工作。第八條高級管理層設(shè)信息科技管理委員會，負責全行科技外包工作的日常決策工作。主要職責包括：（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；（二）確定外包業(yè)務(wù)的范圍及相關(guān)安排；（三）確定科技外包管理團隊職責，并對其行為進行有效監(jiān)督；（四）定期審閱本行外包活動相關(guān)報告；（五）指導(dǎo)內(nèi)部審計部門獨立開展外包審計工作；（六）董事會確定的其它職責。第九條風險管理部門負責制定外包風險管理的制度，組織識別和評估信息科技外包風險，監(jiān)督、評價外包管理工作，對外包執(zhí)行情況進行監(jiān)督檢查，定期向高級管理層匯報信息科技外包活動相關(guān)風險情況。第十條外包管理執(zhí)行團隊由信

4、息科技部、計劃財務(wù)部、法律合規(guī)部等相關(guān)部門組成。外包管理執(zhí)行團隊具體負責科技外包項目的執(zhí)行和管理工作，主要職責包括：（一）信息科技部門實施全行信息科技外包管理戰(zhàn)略；執(zhí)行供應(yīng)商準入、評價和退由管理；制定保障外包服務(wù)連續(xù)性的應(yīng)急管理措施；分析和評估外包存在的潛在風險，制定相應(yīng)的風險防范措施，監(jiān)督和管理外包實施過程，定期或不定期向風險管理部提交有關(guān)外包風險報告、進行風險事件報告。（二）業(yè)務(wù)需求部門負責業(yè)務(wù)需求的整體規(guī)劃與編寫、外包業(yè)務(wù)可行性評估分析、業(yè)務(wù)功能及范圍選型、業(yè)務(wù)驗收測試、業(yè)務(wù)推廣等工作，并參與項目的實施。（三）計劃財務(wù)部門是全行信息科技外包項目招投標工作的組織單位，負責科技外包項目的招投

5、標活動的組織協(xié)調(diào)工作。（四）法律合規(guī)部門負責對信息科技外包項目的合同進行審核，并對信息科技外包項目提供法律方面的指導(dǎo)。第十一條稽核部負責對信息科技外包服務(wù)項目以及外包服務(wù)商管理等進行審計。第三章外包管理戰(zhàn)略第十二條本行信息科技外包戰(zhàn)略是為提升本行可持續(xù)發(fā)展能力和核心競爭力，大力推進本行信息化建設(shè)，打造先進高效、適應(yīng)業(yè)務(wù)發(fā)展和市場變化的現(xiàn)代商業(yè)銀行信息化產(chǎn)品和服務(wù)體系。通過強化平臺整合能力和風險控制能力，合理審慎開展信息科技外包活動，降低信息系統(tǒng)建設(shè)運營成本，提升本行掌控核心技術(shù)和自主開發(fā)、自主運維的能力。第十三條本行信息科技外包服務(wù)策略系指外包服務(wù)制定的預(yù)期目標，以及評判外包服務(wù)績效的標準。本

6、行外包服務(wù)的一般策略如下：（一）成本控制策略。降低本行信息系統(tǒng)建設(shè)和運維的總體成本。（二）高質(zhì)高效策略。提升本行信息科技服務(wù)水平、提高工作效率、縮短系統(tǒng)上線時間。（三）創(chuàng)新變革策略。促進本行創(chuàng)新、轉(zhuǎn)型發(fā)展。第十四條本行信息科技外包的主要內(nèi)容包括：（一）科技管理及科技治理的咨詢；（二）信息科技系統(tǒng)的規(guī)劃、設(shè)計、需求、開發(fā)、測試外包；（三）數(shù)據(jù)中心（災(zāi)備中心）、機房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運維外包，自助設(shè)備、POS機等遠程終端及辦公設(shè)備的運維外包；（四）業(yè)務(wù)外包如市場拓展、業(yè)務(wù)操作、內(nèi)部管理、資產(chǎn)處置等外包中涉及到系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理等的信息科技活動。第十五條本行在信息科技活動中不得將信息科

7、技管理責任外包，涉及戰(zhàn)略管理、風險管理、安全管理、內(nèi)部審計職能的業(yè)務(wù)也不宜外包。第五章外包風險管理第十六條本行信息科技外包風險評估應(yīng)關(guān)注外包活動的戰(zhàn)略風險、聲譽風險、合規(guī)風險、操作風險、國別風險、機構(gòu)集中度等風險，并制定應(yīng)對措施。第十七條本行信息科技外包風險評估過程應(yīng)該充分考慮如下因素：（一）是否符合本行戰(zhàn)略規(guī)劃、戰(zhàn)略目標和業(yè)務(wù)需求；（二）本行是否有管理外包關(guān)系的能力；（三）是否可能導(dǎo)致本行失去科技控制和創(chuàng)新能力；（四）可能導(dǎo)致業(yè)務(wù)中斷的情況；（五）可能導(dǎo)致信息泄露的情況；（六）是否會導(dǎo)致本行服務(wù)水平的降低。第十九條判斷外包服務(wù)商具有機構(gòu)集中度的標準包括：（一）外包服務(wù)商所承接外包服務(wù)的數(shù)量或

8、者金額在本行重要信息科技服務(wù)中達到三分之一以上；（二）外包服務(wù)商承接外包服務(wù)在銀行業(yè)服務(wù)市場占比達到三分之一以上；（三）外包服務(wù)商之間為集團子公司、關(guān)聯(lián)公司或附屬機構(gòu)的情況，應(yīng)將分支機構(gòu)或關(guān)聯(lián)公司作為統(tǒng)一的整體來計算機構(gòu)集中度。第二十條對于具有機構(gòu)集中度特點的外包服務(wù)商，每年應(yīng)及時向本行報送公司的財務(wù)報表、內(nèi)控與安全管理情況，外包服務(wù)商因資質(zhì)變動、被收購、兼并或破產(chǎn)、資源發(fā)生重大損失、由現(xiàn)財務(wù)失敗等情況時，應(yīng)及時函告本行。本行應(yīng)定期或不定期檢查外包風險，必要時可指派專人現(xiàn)場監(jiān)督。在有條件的情況下，本行應(yīng)采取分散信息科技外包活動、提高自主研發(fā)運營能力等形式，減少對外包服務(wù)商的依賴。第二十一條涉及

9、跨境外包的活動應(yīng)遵守以下原則：（一）審慎評估境外國家或地區(qū)的經(jīng)濟與政治環(huán)境、技術(shù)風險以及境外權(quán)限的法律和管制風險。（二）確保國家秘密、商業(yè)秘密和客戶信息的安全。（三）選擇境外服務(wù)提供商時，應(yīng)明確其所在國家或地區(qū)監(jiān)管當局已與我國銀行監(jiān)管機構(gòu)簽訂諒解備忘錄。第二十二條本行應(yīng)提取必要的風險準備，以應(yīng)對不可預(yù)料的IT外包服務(wù)的風險發(fā)生。第二十三條本行應(yīng)從風險控制、合規(guī)要求、可行性、成本效益等方面評估信息科技外包活動，對外包或自主建設(shè)兩種方案進行分析比較，形成可行性報告。第六章外包服務(wù)商分級管理第二十四條根據(jù)外包服務(wù)性質(zhì)和重要程度將外包商劃分為重點外包服務(wù)商和一般外包服務(wù)商。對不同類型外包服務(wù)商的資質(zhì)、

10、監(jiān)督、管理等實施不同的管理要求，當涉及敏感信息、商業(yè)秘密和客戶隱私數(shù)據(jù)時，應(yīng)符合國家有關(guān)法律法規(guī)和監(jiān)管部門規(guī)定。第二十五條重點外包服務(wù)商系指負責本行關(guān)鍵系統(tǒng)、基礎(chǔ)設(shè)施建設(shè)和運維的外包服務(wù)商。如其外包服務(wù)失敗，可能導(dǎo)致本行大面積數(shù)據(jù)損毀、丟失、泄露或者信息系統(tǒng)服務(wù)中斷，造成較大經(jīng)濟損失。第二十六條一般外包服務(wù)商系指其提供的服務(wù)對本行影響較小，其外包服務(wù)失敗影響范圍可控，不會產(chǎn)生較大的經(jīng)濟損失。第二十七條根據(jù)監(jiān)管機構(gòu)發(fā)布的重點外包服務(wù)機構(gòu)風險提示，本行重點外包服務(wù)商原則上應(yīng)符合以下資質(zhì)要求：（一）在中國境內(nèi)注冊的獨立法人實體，注冊資本和實收資本不少于1000萬，注冊成立時間不少于3年；（二）具有完

11、善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過業(yè)界公認較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認證；（三）具有完善的質(zhì)量管理體系，并通過業(yè)界公認較為權(quán)威的質(zhì)量管理資質(zhì)認證，擁有有效的檢查、監(jiān)控和考核機制,確保管理規(guī)范有效執(zhí)行；（四）承擔本行數(shù)據(jù)中心、災(zāi)備中心機房及基礎(chǔ)設(shè)施外包服務(wù)的重點外包服務(wù)商，其機房及基礎(chǔ)設(shè)施應(yīng)當達到國家電子計算機機房最高標準；（五）擁有健全的組織架構(gòu)，并針對所提供的外包服務(wù)建立有效的風險治理架構(gòu)，至少應(yīng)建立由公司高級管理層直接領(lǐng)導(dǎo)、針對本行外包服務(wù)的、專職信息科技風險管理團隊，為持續(xù)的外包服務(wù)提供保證；（六）應(yīng)具有足夠的技術(shù)能力和人力資源；（七）承擔本行外包服務(wù)的場地

12、應(yīng)設(shè)置在中國境內(nèi)。第二十八條外包服務(wù)商必須接受本行對外包服務(wù)活動的監(jiān)督。其中,重點外包服務(wù)商須遵循以下要求：（一）至少每季度向本行報送外包風險監(jiān)控報告，并針對監(jiān)控發(fā)現(xiàn)的潛在風險和風險事件，及時采取控制或緩釋措施。（二）每年聘請獨立的審計機構(gòu)，對自身外包服務(wù)進行風險評估，將年度風險報告報送本行。（三）對其外包服務(wù)團隊成員進行背景調(diào)查，確保其過往無不良記錄，且應(yīng)與項目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。第七章外包服務(wù)商準入管理第二十九條外包服務(wù)商承接本行外包服務(wù)，應(yīng)先成為本行認定的候選外包服務(wù)商。本行建立并維護候選外包服務(wù)商清單，在需要引入新的外包服務(wù)商時，統(tǒng)一組織資質(zhì)評審。第三十條本

13、行應(yīng)對外包服務(wù)商進行充分調(diào)查、評估、審查，組織必要的盡職調(diào)查，內(nèi)容包括但不限于：（一）資質(zhì)證明、行業(yè)地位以及對其他銀行業(yè)金融機構(gòu)提供服務(wù)的情況；（二）技術(shù)實力和服務(wù)質(zhì)量；（三）對銀行業(yè)務(wù)的熟悉程度；（四）經(jīng)營聲譽和企業(yè)文化；（五）業(yè)務(wù)連續(xù)性及突發(fā)事件應(yīng)對能力；（六）內(nèi)部控制和管理能力；（七）財務(wù)穩(wěn)健性；（八）是否滿足履行監(jiān)管義務(wù)的需要；（九）其設(shè)施和能力是否可以補償潛在的責任；（十）是否接受本行監(jiān)督其外包有關(guān)的操作風險；（H一）如何安排外包變更時的順利過渡，包括終止合同可能發(fā)生的情況；（十二）本行認為重要的其它事項。第三十一條如果本行認為無法對外包服務(wù)商進行以上盡職調(diào)查時，可以委托第三方獨立機

14、構(gòu)進行盡職調(diào)查。第三十二條外包活動涉及多個服務(wù)提供商時，應(yīng)對服務(wù)提供商進行關(guān)聯(lián)關(guān)系調(diào)查。第三十三條外包服務(wù)的招標應(yīng)嚴格按照本行集中采購管理辦法等相關(guān)規(guī)定執(zhí)行。參加招標的外包服務(wù)商必須符合招標文件中的資質(zhì)要求，本行外包活動將遵循公開、公平、公正的原則，從候選的多個外包服務(wù)商中進行選擇。第三十四條涉及本行關(guān)聯(lián)機構(gòu)的關(guān)聯(lián)外包的活動，應(yīng)保持外包決策的獨立性，不能降低對外包服務(wù)的相關(guān)要求。第三十五條對于同業(yè)托管機構(gòu)，應(yīng)關(guān)注機構(gòu)集中度風險，參照本辦法第十九條執(zhí)行。第八章外包服務(wù)合同管理第三十六條本行開展服務(wù)外包活動時應(yīng)與外包服務(wù)商簽訂書面合同或協(xié)議，明確雙方的權(quán)利義務(wù)。合同或協(xié)議應(yīng)包括但不限于以下內(nèi)容：（

15、一）外包服務(wù)范圍、服務(wù)內(nèi)容、工作時限與安排、責任分配、驗收標準、交付物要求及后續(xù)合作中的相關(guān)限定條件；（二）合規(guī)與內(nèi)控要求；（三）外包服務(wù)的保密性和安全性的安排；（四）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排以及外包服務(wù)商提供專屬資源的承諾；（五）外包服務(wù)的審計和檢查；（六）外包服務(wù)爭端的解決機制；（七）合同或協(xié)議的變更或終止的過渡安排；（八）擔保和損失賠償以及違約責任；（九）明確知識產(chǎn)權(quán)的歸屬；（十）服務(wù)要求與服務(wù)水平條款；（十一）報告條款，包括常規(guī)報告內(nèi)容和報告頻率、突發(fā)事件時的報告路線、報告方式及時限要求。第三十七條簽訂外包合同時外包服務(wù)商須在合同中承諾以下事項：（一）定期通報外包活動的有關(guān)事項；（二

16、）及時通報外包活動的突發(fā)性事件；（三）配合本行接受銀行業(yè)監(jiān)督管理機構(gòu)的監(jiān)控和檢查；（四）保障客戶信息的安全性，當客戶信息不安全或客戶權(quán)利受到影響時，本行有權(quán)隨時終止外包合同；（五）遵守法律法規(guī)和本行內(nèi)部管理制度的要求；（六）第三方供應(yīng)商由現(xiàn)問題時，保證服務(wù)連續(xù)性的相關(guān)措施；（七）提供服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案；（八）不得以本行的名義開展活動；（九）提供第三方由具外包系統(tǒng)的系統(tǒng)安全檢測報告；（十）本行認為應(yīng)當承諾的其它事項。第三十八條合同或協(xié)議應(yīng)約定外包服務(wù)商不得將外包活動轉(zhuǎn)包或者變相轉(zhuǎn)包。第三十九條未經(jīng)本行同意，外包服務(wù)商不得對外包服務(wù)進行分包。外包服務(wù)涉及分包時應(yīng)當要求：（一）不得將外包服務(wù)

17、的主要業(yè)務(wù)分包。（二）主服務(wù)提供商對服務(wù)水平負總責，確保分包服務(wù)提供商能夠嚴格遵守外包合同或協(xié)議。（三）主服務(wù)提供商對分包商進行監(jiān)控，并對分包商的變更履行通知或報告審批義務(wù)。第四十條本行與外包服務(wù)商簽訂的服務(wù)水平協(xié)議應(yīng)設(shè)定可衡量的目標，包括但不限于以下內(nèi)容：（一）客戶支持的及時性，包括問題報告及問題解決保障流程、時限；（二）信息系統(tǒng)和設(shè)備及基礎(chǔ)設(shè)施的可用率、設(shè)備的開機率；（三）故障次數(shù)、故障解決率、故障的響應(yīng)時間；（四）服務(wù)的次數(shù)、客戶滿意度；（五）各階段業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率；（六）外包人員工作飽和率、外包人員的考核合格率；（七）業(yè)務(wù)連續(xù)性和災(zāi)難的恢復(fù)，包括在災(zāi)難發(fā)生

18、條件下的恢復(fù)條款、設(shè)備冗余、分布式備份和存儲計劃；（八）系統(tǒng)響應(yīng)時間，定義系統(tǒng)響應(yīng)一個用戶操作請求所用的最大時間；（九）系統(tǒng)吞吐量，定義系統(tǒng)傳送給用戶數(shù)據(jù)時的速率；（十）用戶使用數(shù)目，定義在保障系統(tǒng)響應(yīng)時間和系統(tǒng)吞吐量前提下所允許的最大的用戶使用服務(wù)數(shù)目。第四十一條服務(wù)水平協(xié)議的指標衡量應(yīng)與服務(wù)費用直接桂鉤。對于未達到服務(wù)水平的情況，本行可拒付相關(guān)時段的服務(wù)費用，減少外包企業(yè)的服務(wù)年限，直至要求賠償。第四十二條本行應(yīng)定期對服務(wù)水平協(xié)議進行重審和改進。第四十三條合同或協(xié)議的簽訂按照本行合同管理辦法執(zhí)行。第九章外包服務(wù)過程管理第四十四條本行應(yīng)根據(jù)業(yè)務(wù)的重要程度及其風險管理水平，確定相適應(yīng)的外包管理

19、活動范圍，尤其是重要業(yè)務(wù)的外包活動范圍。在確定莫項外包業(yè)務(wù)是否為重要業(yè)務(wù)時，應(yīng)評估以下因素：（一）是否涵蓋到本行大部分的信息技術(shù)、財務(wù)會計、信貸處理及客戶信息等業(yè)務(wù)事項。（二）業(yè)務(wù)一旦中斷是否對本行的業(yè)務(wù)經(jīng)營、聲譽或利潤等產(chǎn)生重大影響。（三）在無法確定莫項即將被外包的業(yè)務(wù)是否為重要業(yè)務(wù)時，可向所在地監(jiān)管機構(gòu)進行咨詢。第四十五條外包人員入場與變更必須經(jīng)本行認可，本行應(yīng)組織對外包人員進行相關(guān)制度的培訓(xùn)，以確保外包人員在本行服務(wù)期間嚴格遵守本行規(guī)章制度與行為規(guī)范，接受本行人員管理。第四十六條按照本行信息科技項目管理辦法，管理外包服務(wù)過程交付物，檢查交付物是否滿足技術(shù)、服務(wù)、質(zhì)量管理等方面要求。第四十

20、七條本行定期檢查外包項目的進度安排與執(zhí)行情況，并及時評價外包服務(wù)商的服務(wù)水平與質(zhì)量。第四十八條外包服務(wù)項目的驗收由信息科技部牽頭組織，會同外包服務(wù)商、系統(tǒng)主管部門及其他有關(guān)單位或部門，按合同條款要求對項目、服務(wù)進行驗收，由具外包服務(wù)項目驗收報告。第十章外包服務(wù)商退由管理第四十九條本行每年開展外包服務(wù)用戶調(diào)查，通過最終用戶評分，由被服務(wù)對象對外包服務(wù)商的服務(wù)項目進行評價。第五十條與外包服務(wù)商在其服務(wù)質(zhì)量不能滿足合同要求的，本行在充分評估其影響和制定退由計劃的前提下，可主動要求外包服務(wù)商終止服務(wù)；情節(jié)特別嚴重的，應(yīng)取消其外包準入資質(zhì)，并報銀監(jiān)會申請對其備案。第五H一條外包服務(wù)終止前，要求外包商承擔

21、的義務(wù)包括但不限于以下內(nèi)容：（一）交回并妥善處理相關(guān)資料；（二）進行相應(yīng)的知識交接，包括文檔交接，如功能規(guī)則說明書，系統(tǒng)設(shè)計規(guī)則說明書，操作運行手冊，服務(wù)記錄等，必要時進行相應(yīng)的培訓(xùn)；（三）進行相應(yīng)的物品交接，包括銀行門禁卡、銀行計算機等設(shè)備。第十一章外包服務(wù)安全管理第五十二條外包服務(wù)人員應(yīng)遵守本行對安全管理的要求。第五十三條本行應(yīng)定期對外包人員進行培訓(xùn)，使外包人員了解本行的安全管理、風險管理等相關(guān)制度。第五十四條對于外包活動需要訪問或使用的信息資產(chǎn)，本行應(yīng)按照“必須知道”和“最小授權(quán)”的原則進行訪問授權(quán)，從物理訪問、邏輯訪問兩方面確定安全訪問控制策略，防范外包活動引起信息泄露、信息篡改、信息

22、不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞。第五十五條本行應(yīng)要求重點外包服務(wù)商建立完善的應(yīng)急管理體系和外包突發(fā)事件應(yīng)急預(yù)案，并定期配合本行開展應(yīng)急演練。第五十六條本行應(yīng)定期對外包服務(wù)商進行安全檢查，獲得外包服務(wù)商自評估或第三方評估報告，但不得以外包服務(wù)商自評估代替本行的安全檢查，不得因關(guān)聯(lián)關(guān)系影響檢查的獨立性、客觀性及公正性。第五十七條本行應(yīng)建立外包突發(fā)事件應(yīng)急預(yù)案和機制。高級管理層對外包突發(fā)風險事件，應(yīng)及時啟動應(yīng)急計劃，在第一時間向董事會和監(jiān)管部門報告，并通過采取替代方案、尋求合同項下的保險安排等措施，確保業(yè)務(wù)活動的正常經(jīng)營。第十二章外包服務(wù)監(jiān)控評價第五十八條本行應(yīng)持續(xù)監(jiān)控外包服務(wù)商的服務(wù)質(zhì)量

23、，依據(jù)服務(wù)水平協(xié)議進行性能評估，要求外包服務(wù)商定期提交服務(wù)報告。本行同時應(yīng)進行評估，如果外包服務(wù)質(zhì)量和服務(wù)協(xié)議發(fā)生偏離或者表現(xiàn)不足時，及時整改和處理。第五十九條外包管理執(zhí)行團隊應(yīng)與外包服務(wù)商建立有效的聯(lián)絡(luò)、溝通和信息交流機制，并進行日常管理。主要包括以下內(nèi)容：（一）與服務(wù)商進行定期的工作會議，討論相關(guān)問題；（二）對服務(wù)商不定期開展現(xiàn)場訪問和審計；（三）對服務(wù)商年度表現(xiàn)進行用戶調(diào)查和評估。第六十條本行開展重要信息科技活動和跨境信息科技外包活動時，應(yīng)事先向所在地銀行業(yè)監(jiān)管機構(gòu)報告。報告內(nèi)容包括但不限于：（一）外包合同的文本草案；（二）對服務(wù)外包商的風險評估報告；（三）業(yè)務(wù)持續(xù)性以及突發(fā)事件應(yīng)急預(yù)案

24、；（四）外包信息的安全及保密措施。第六十一條本行在開展重要信息科技外包時如遇到下列事項，應(yīng)及時向所在地銀行業(yè)監(jiān)管機構(gòu)報告：（一）合同期內(nèi)終止合同；（二）發(fā)生突發(fā)事件；（三）IT外包商違反法律、法規(guī)的情況。第六十二條本行應(yīng)當定期開展信息科技外包風險管理審計工作，至少每三年對重要的外包服務(wù)活動進行一次全面審計。發(fā)生外包風險事件后應(yīng)當及時開展專項審計。第六十三條信息科技外包應(yīng)納入本行總體安全策略和風險控制。本行每年應(yīng)對重要信息系統(tǒng)外包服務(wù)商進行信息安全風險評估，并提交評估報告。第十三章外包服務(wù)中斷管理第六十四條本行應(yīng)識別重要業(yè)務(wù)所涉及的外包服務(wù)商和資源，通過合同、協(xié)議等形式明確要求外包服務(wù)商提前準備

25、并維護好相關(guān)資源。通過合同等形式約定，在外包服務(wù)商不能提供服務(wù)或者不能滿足約定服務(wù)質(zhì)量要求時，本行可優(yōu)先獲得外包服務(wù)資源。第六十五條本行應(yīng)持續(xù)收集外包服務(wù)商的相關(guān)信息，監(jiān)控外包服務(wù)實施過程，評價外包服務(wù)商業(yè)務(wù)連續(xù)性管理水平，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況。第六十六條本行應(yīng)不斷完善業(yè)務(wù)連續(xù)性管理計劃，考慮因素包括但不限于以下內(nèi)容：（一）事件場景，如重要人員流失導(dǎo)致服務(wù)無法持續(xù)，外包服務(wù)商主動退由，因資質(zhì)變動、被收購、兼并或破產(chǎn)、資源發(fā)生重大損失、由現(xiàn)財務(wù)失敗、外包服務(wù)中斷、外包協(xié)議終止、外包服務(wù)商變更等原因?qū)е碌耐獍?wù)商被動退由；（二）事件持續(xù)時間和恢復(fù)可能性；（三）事件影響范圍和可能的應(yīng)急措

26、施；（四）外包服務(wù)商自行恢復(fù)服務(wù)的可能性和時間；（五）備選外包服務(wù)商以及外包服務(wù)遷移方案；（六）外包服務(wù)過渡給本行自行運作的可能性、時效及資源要求。第六十七條針對重要外包服務(wù)，本行應(yīng)根據(jù)應(yīng)急預(yù)案的場景定期進行演練，并在內(nèi)部配置相應(yīng)的人力資源，保證在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。第六十八條外包服務(wù)商應(yīng)提供服務(wù)中斷的應(yīng)急處理預(yù)案，提供備份人員，并配合本行定期和不定期開展應(yīng)急演練。第十四章外包服務(wù)資料管理第六十九條信息科技部門應(yīng)將外包服務(wù)合同、外包服務(wù)框架性協(xié)議，及外包服務(wù)相關(guān)資料進行統(tǒng)一管理和妥善保存。第七十條信息科技部門應(yīng)對外包人員實施系統(tǒng)維護或技術(shù)支持時所有操作內(nèi)容和技術(shù)參數(shù)配置的變更情況記錄、外包人員維護或維修設(shè)備的授權(quán)記錄、進由機房的手續(xù)登記記錄、外包人員在完成技術(shù)支持服務(wù)后由具的有關(guān)報告或記錄等，進行統(tǒng)一管理和妥善保存。第七十一條信息科技部門對網(wǎng)絡(luò)系統(tǒng)建設(shè)、軟件系統(tǒng)開發(fā)、機房建設(shè)和改造等較大外包服務(wù)項目完工后的有關(guān)項目