銀行信息科技外包風險管理辦法

1、保密等級文檔名稱文檔編號發(fā)布組織發(fā)布日期執(zhí)行日期版本號大洼恒豐村鎮(zhèn)銀行信息科技外包風險治理方法批準人簽字審核人簽字制訂人簽字日期：日期：日期：大洼恒豐村鎮(zhèn)銀行信息科技部變更履歷序號版本編號或更改記錄編號變化狀態(tài)*簡要說明變更內(nèi)容、變更位置、變更原因和變更范圍變更日期變更人審核人批準人批準日期11.0C創(chuàng)立,全頁.*變化狀態(tài)：C-創(chuàng)立,A增加,M修改,D刪除第一章總那么4第二章外包治理組織架構(gòu)5第三章信息科技外包戰(zhàn)略及風險治理6第一節(jié)信息科技外包戰(zhàn)略6第二節(jié)信息科技外包風險治理7第四章信息科技外包治理8第一節(jié)外包風險評估及準入8第二節(jié)效勞提供商盡職調(diào)查10第三節(jié)外包效勞合同及要求10第四節(jié)外包效

2、勞平安治理12第五節(jié)外包效勞監(jiān)控與評價13第六節(jié)外包效勞中斷與終止14第八章監(jiān)督治理17第九章附那么18第一章總那么第一條為標準我行的信息科技外包活動,降低信息科技外包風險,根據(jù)?中華人民共和國銀行業(yè)監(jiān)督治理法?、?中華人民共和國商業(yè)銀行法?、?銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引?等法律法規(guī),制定本方法.第二條本方法所稱信息科技外包是指我行將原本由自身負責處理的信息科技活動委托給效勞提供商進行處理的行為,包含工程外包、人力資源外包等形式.包括以下類型：一研發(fā)咨詢類外包：科技治理及科技治理等咨詢設(shè)計外包,規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包；二系統(tǒng)運行維護類外包：包括數(shù)據(jù)中央災(zāi)備中央、機房配套設(shè)施

3、、網(wǎng)絡(luò)、系統(tǒng)的運維外包,自助設(shè)備、posm等遠程終端及辦公設(shè)備的運維外包；三業(yè)務(wù)外包中的信息科技活動：市場拓展、業(yè)務(wù)操作、企業(yè)治理、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運行維護和數(shù)據(jù)處理活動.第三條我行應(yīng)將信息科技外包治理納入全面風險治理體系,建立與本行信息科技戰(zhàn)略目標相適應(yīng)的外包治理體系,控制或降低由于外包而引發(fā)的風險.第四條我行在實施信息科技外包時應(yīng)當堅持以下原那么：一以不阻礙核心水平建設(shè)、積極掌握關(guān)鍵技術(shù)為導向；二保持外包風險、本錢和效益的平衡;三強調(diào)外包風險的事前限制,保持管控力度；四根據(jù)外包治理及技術(shù)開展趨勢,持續(xù)改良外包策略和舉措.第五條我行在實施信息科技外包時,不得將信息科技治理責任外包

4、.第二章外包治理組織架構(gòu)第六條為了嚴格落實我行信息科技外包風險治理的相關(guān)責任,我行設(shè)立外包風險治理領(lǐng)導小組,領(lǐng)導小組成員如下：組長：荊曉輝副組長：宇文梁成員：任義、何亮外包風險治理領(lǐng)導小組主要責任包括：一制定并審批信息科技外包戰(zhàn)略；二審議信息科技外包治理流程及制度；三催促并監(jiān)控信息科技外包風險治理效果.第七條由內(nèi)審稽核部作為我行信息科技外包風險主管部門,主要責任包括：一對外包風險進行識別、評估與風險提示；二監(jiān)督、評價外包治理工作,并催促外包風險治理的持續(xù)改善；三向高級治理層定期匯報信息科技外包活動相關(guān)風險四董事會或高級治理層確定的其他信息科技外包風險治理責任.第八條我行信息科技部設(shè)立信息科技外

5、包治理崗,履行以下責任：一實施信息科技外包戰(zhàn)略；二制定并執(zhí)行信息科技外包治理制度與流程；三執(zhí)行供給商準入、評價、退由治理,建立并維護供給商關(guān)系治理策略；四制定保證外包效勞持續(xù)性的應(yīng)急治理方案,并組織實施定期演練；五對外包過程中的各項治理活動進行監(jiān)控及分析,定期向信息科技及外包風險治理主管部門報告外包活動情況.第三章信息科技外包戰(zhàn)略及風險治理第一節(jié)信息科技外包戰(zhàn)略第九條我行應(yīng)制定信息科技外包戰(zhàn)略規(guī)劃,以提升信息科技隊伍水平,提升科技治理及創(chuàng)新水平,掌握信息科技核心技能為目標,基于信息科技戰(zhàn)略、外包市場環(huán)境、自身風險限制水平和風險偏好制定信息科技外包戰(zhàn)略,包括：不能外包的職能、資源水平建設(shè)方案、供

6、給商關(guān)系治理策略和外包分級治理策略.第十條我行根據(jù)自身信息科技戰(zhàn)略,不能外包的職能包括：涉及戰(zhàn)略治理、風險治理、內(nèi)部審計及其他有關(guān)信息科技核心競爭力的職能.第十一條我行應(yīng)當根據(jù)外包戰(zhàn)略制定資源、水平建設(shè)方案,通過補充人員、提升技能、知識轉(zhuǎn)移等方式,有針對性地獲取或提升治理及技術(shù)水平,降低對效勞提供商的依賴.第十二條我行應(yīng)當建立與自身規(guī)模、市場地位相適應(yīng)的供給商關(guān)系治理策略.通過準入和退由機制合理管控各類高風險效勞提供商的數(shù)量,實現(xiàn)以下目標：防范行業(yè)壟斷和機構(gòu)集中度風險,通過引入適當?shù)母偁幵诮档筒少彵惧X的同時提升效勞質(zhì)量,合理管控效勞提供商的數(shù)量從而降低風險及治理本錢等.第十三條我行應(yīng)根據(jù)外包效

7、勞性質(zhì)和重要性程度對效勞提供商進行分級治理,對不同級別的效勞提供商采取差異化的管控舉措,在有效治理重要風險的前提下降低治理本錢第二節(jié)信息科技外包風險治理第十四條由內(nèi)審稽核部負責我行信息科技外包風險治理工作,并每年開展一次全面的外包風險治理評估,保持評估的獨立性,同時向高級治理層提交評估報告.評估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息平安、機構(gòu)集中度、效勞連續(xù)性、效勞質(zhì)量、政策及市場變化對外包效勞的影響分析等.第十五條內(nèi)審稽核部應(yīng)對重要的外包效勞提供商進行定期的風險評估,保持評估的獨立性.至少在三年內(nèi)覆蓋所有重要的效勞提供商.評估內(nèi)容包括：效勞提供商合規(guī)情況、效勞的執(zhí)行效果等,評估結(jié)果應(yīng)當

8、作為效勞提供商準入及退由的重要依據(jù).第十六條由我行內(nèi)審稽核部定期開展信息科技外包風險治理審計工作,至少每三年對重要的外包效勞活動進行一次全面審計.發(fā)生外包風險事件后應(yīng)當及時開展專項審計.第四章信息科技外包治理第一節(jié)外包風險評估及準入第十七條在外包工程立項前,我行應(yīng)當審慎檢查工程與信息科技外包戰(zhàn)略的一致性,根據(jù)工程內(nèi)容、范圍、性質(zhì)對其進行風險識別和評估,制定相應(yīng)的風險處置舉措,不因外包活動的引入而增加整體剩余風險.重大外包工程應(yīng)向董事會、高管層報告.第十八條我行對外包商實行準入治理,對于不符合準入條件的外包商應(yīng)拒絕與其進行科技合作,我行外包商準入標準如下：一外包效勞商應(yīng)當是中華人民共和國境內(nèi)注冊

9、的獨立法人實體,注冊資本和實收資本不少于1000萬,注冊成立時間不少于3年.二外包效勞商應(yīng)當擁有健全的組織架構(gòu),并針對所提供的外包效勞建立有效的風險治理架構(gòu),至少應(yīng)當建立由公司高級治理層直接領(lǐng)導、針對我行外包效勞的、專職信息科技風險治理團隊,為持續(xù)的外包效勞提供保證.(三)外包效勞商應(yīng)當建立與所承當?shù)男诜秶鸵?guī)模相適應(yīng)的效勞治理體系,建立完善的信息平安、效勞質(zhì)量、效勞持續(xù)性等治理制度體系,擁有有效的檢查、監(jiān)控和考核機制,保證治理標準有效執(zhí)行.(四)外包效勞商應(yīng)當具有足夠的技術(shù)水平、人力資源和設(shè)施、環(huán)境,滿足外包效勞的質(zhì)量和平安治理要求.外包效勞場地應(yīng)當設(shè)置在中國境內(nèi).(五)外包效勞商應(yīng)具有如

10、下相關(guān)領(lǐng)域資質(zhì)認證：(1)具有完善的信息平安治理體系、業(yè)務(wù)連續(xù)性治理體系,并通過業(yè)界公認較為權(quán)威的信息平安治理和業(yè)務(wù)連續(xù)性治理資質(zhì)認證.(2)具有完善的質(zhì)量治理體系,并通過業(yè)界公認較為權(quán)威的質(zhì)量治理資質(zhì)認證.(3)為我行提供數(shù)據(jù)中央、災(zāi)備中央機房及根底設(shè)施外包效勞的外包效勞商,其機房及根底設(shè)施應(yīng)當?shù)竭_國家電子計算機機房最高標準.(4)承當集中存貯我行客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包效勞,或承當我行客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理效勞的外包效勞商,應(yīng)當具有完善的運行效勞治理體系,并通過業(yè)界公認較為權(quán)威的運行效勞治理資質(zhì)認證.(五)我行對外包效勞商在風險治理、審計方面提由如下要求：(1)外包

11、效勞商應(yīng)當具有信息科技風險的治理體系,有效識別、監(jiān)測、評估和限制風險.外包效勞商應(yīng)當至少每季度向我行報送外包風險監(jiān)控報告,針對監(jiān)控發(fā)現(xiàn)的潛在風險或風險事件,及時采取限制或緩釋舉措.(2)外包效勞商應(yīng)當每年聘請獨立的審計機構(gòu),對自身外包效勞進行風險評估,年度風險評估報告需報送所效勞的銀行業(yè)金融機構(gòu),并抄送銀監(jiān)會或其派由機構(gòu).(3)外包效勞商應(yīng)當對其外包效勞團隊成員進行背景調(diào)查,保證其過往無不良記錄,且應(yīng)當與工程成員簽訂保密協(xié)議,并保存至少10年的法律追訴期.第二節(jié)效勞提供商盡職調(diào)查第十九條我行在與外包效勞提供商簽訂合同前需深入開展盡職調(diào)查.盡職調(diào)查報告包括但不限于：效勞水平和支持技術(shù)、效勞經(jīng)驗、

12、效勞人員技能、市場評價、監(jiān)管評價、內(nèi)部限制機制和治理流程的完善程度、內(nèi)部限制技術(shù)和工具、從業(yè)時間、市場地位及開展趨勢、資金的平安性、近期盈利情況等.第三節(jié)外包效勞合同及要求第二十條我行在實施外包效勞工程前,應(yīng)當與效勞提供商簽訂效勞合同.合同應(yīng)當根據(jù)外包效勞需求、風險評估及盡職調(diào)查結(jié)果確定詳細程度和重點.第二十一條我行在合同或協(xié)議中應(yīng)當明確以下內(nèi)容,包括但不限于:一效勞范圍、效勞內(nèi)容、工作時限及安排、責任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件；二合規(guī)與內(nèi)控要求,對法律法規(guī)及我行內(nèi)部治理制度的遵從要求、監(jiān)管政策的通報貫徹機制、效勞提供商的內(nèi)控舉措；三效勞連續(xù)性要求,效勞提供商的效勞連續(xù)性治理

13、目標應(yīng)當滿足我行業(yè)務(wù)連續(xù)性目標要求；四我行監(jiān)控和檢查的權(quán)利、頻率,效勞提供商配合其內(nèi)、外部審計機構(gòu)檢查,及配合銀行業(yè)監(jiān)管機構(gòu)檢查的責任；五政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件,外包效勞提供商在過渡期間應(yīng)該履行的主要責任及合同變更或終止的過渡安排,包括信息、資料和設(shè)施的交接處置等過渡期間相關(guān)效勞的安排；六外包效勞過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許效勞提供商使用的內(nèi)容及范圍,對效勞提供商使用合法軟、硬件產(chǎn)品的要求；七效勞要求或效勞水平條款,至少應(yīng)當包括如下內(nèi)容：外包效勞的關(guān)鍵要素、效勞時效和可用性、數(shù)據(jù)的機密性和完整性要求、變更的限制、平安標準的遵守情況、技術(shù)支持

14、水平等；八爭端解決機制、違約及賠償條款,至少包括如下內(nèi)容：效勞質(zhì)量違約、平安違約、知識產(chǎn)權(quán)違約等,及在各種違約情況下的賠償以及外包爭端的解決機制;九報告條款,至少包括常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求.第二十二條我行需在合同或協(xié)議中明確效勞提供商在平安和保密方面的責任,以及針對平安及保密要求需采取的具體舉措.包括但不限于：一禁止效勞提供商在合同允許范圍外使用或者披露我行的信息,以預(yù)防信息被非授權(quán)使用；二在合同或協(xié)議中約定效勞提供商對銀行客戶信息安全和銀行客戶權(quán)利的保護條款、事故處理方式及違約賠償條款；三在合同或協(xié)議中約定效勞提供商不得以所效勞的我行名義開展活動；四

15、效勞提供商接觸我行信息時,需滿足平安和保密相關(guān)條款的要求；五在發(fā)生銀監(jiān)會規(guī)定的信息科技突發(fā)事件,或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風險類突發(fā)事件時,服務(wù)提供商應(yīng)及時向我行報告,包括事件的影響以及處置和糾正舉措.第二十三條我行需在合同或協(xié)議中明確要求效勞提供商不得將外包效勞轉(zhuǎn)包和變相轉(zhuǎn)包.第四節(jié)外包效勞平安治理第二十四條我行應(yīng)當制定和落實信息平安管控舉措,防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風險.具體舉措包括：一對外包人員進行信息平安培訓,提升風險治理意識,保證信息平安管控舉措在外包效勞過程中有效落實；二明確外包活動需要訪問或使用的信息資

16、產(chǎn),包括場地、辦公設(shè)施、計算機、效勞器、軟件、數(shù)據(jù)、信息、物理訪問限制設(shè)備、賬號、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等,按“必需知道和“最小授權(quán)原那么進行訪問授權(quán)；三對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和平安掃描；四定期對效勞提供商進行平安檢查,獲取效勞提供商自評估或第三方評估報告.第五節(jié)外包效勞監(jiān)控與評價第二十五條我行內(nèi)審稽核部應(yīng)當對外包效勞過程進行持續(xù)監(jiān)控,要求效勞提供商建立階段性效勞目標及任務(wù),并跟蹤任務(wù)的執(zhí)行情況,及時發(fā)現(xiàn)和糾正效勞過程中存在的各類異常情況.第二十六條我行應(yīng)當根據(jù)信息科技外包需求、合同、效勞水平協(xié)議等建立明確的效勞質(zhì)量監(jiān)控指標,并進行相應(yīng)監(jiān)控.常見指標包括：一信息系統(tǒng)和設(shè)備及

17、根底設(shè)施的可用率、設(shè)備的開機二故障次數(shù)、故障解決率、故障的響應(yīng)時間；三效勞的次數(shù)、客戶滿意度；四各階段業(yè)務(wù)需求的及時完成率、程序的缺陷數(shù)、需求變更率；五外包人員工作飽和率、外包人員的考核合格率.第二十七條我行應(yīng)當建立明確的效勞目錄、效勞水平協(xié)議以及效勞水平監(jiān)控評價機制,并保證外包效勞監(jiān)控根底數(shù)據(jù)和評價結(jié)果的真實性和完整性,且數(shù)據(jù)至少需保存到效勞結(jié)束后一年.第二十八條我行應(yīng)當對效勞提供商的財務(wù)、內(nèi)控及平安治理進行持續(xù)監(jiān)控,關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入缺乏和治理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部治理混亂等情況,防范外包效勞意外終止或效勞質(zhì)量的急劇下降.第二十九條我行在監(jiān)控到異常情況時,應(yīng)

18、當及時催促效勞提供商采取糾正舉措,情節(jié)嚴重的或未及時糾正的,應(yīng)當約談效勞提供商高管人員并限期整改.第三十條外包效勞結(jié)束時,我行應(yīng)當對效勞提供商進行評價,評價結(jié)果應(yīng)當作為效勞提供商準入的重要參考依據(jù).第六節(jié)外包效勞中斷與終止第三十一條我行應(yīng)當考慮信息科技外包的引入對業(yè)務(wù)連續(xù)性治理的影響,有針對性地完善業(yè)務(wù)連續(xù)性治理方案,包括但不限于:一識別由重要業(yè)務(wù)所涉及的效勞提供商和資源；二通過合同、協(xié)議等形式明確要求效勞提供商提前準備并維護好相關(guān)資源；三對效勞提供商業(yè)務(wù)連續(xù)性治理進行監(jiān)控,并評價其治理水平；四在進行業(yè)務(wù)連續(xù)性方案演練時將相關(guān)的效勞提供商納入演練范圍.第三十二條為降低外包突發(fā)事件的可能性及影響

19、,我行應(yīng)當事先對業(yè)務(wù)連續(xù)性治理造成重大影響的外包效勞建立風險限制、緩釋或轉(zhuǎn)移舉措,包括但不限于以下內(nèi)容：一在外包效勞實施過程中持續(xù)收集效勞提供商相關(guān)信息,盡早發(fā)現(xiàn)可能導致效勞中斷的情況；二與效勞提供商事先約定在其效勞質(zhì)量不能滿足合同要求的情況下獲取其外包效勞資源的優(yōu)先權(quán)；三要求效勞提供商制定效勞中斷相關(guān)的應(yīng)急處理預(yù)案,如提供備份人員；四對于涉及重要業(yè)務(wù)的外包效勞,我行需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力資源,掌握必要的技能,以在外包效勞中斷期間自行維持最低限度的效勞水平.第三十三條我行應(yīng)當針對重要外包效勞中斷的場景,擬定相應(yīng)的應(yīng)急方案,并定期進行演練,考慮因素包括但不限于以下內(nèi)容:一事件場景,如重

20、要人員流失導致效勞無法持續(xù),效勞提供商主動退由,因資質(zhì)變更、被收購、兼并或破產(chǎn)等原因?qū)е碌男谔峁┥瘫粍油擞傻?；二事件持續(xù)時間和恢復可能性；三事件影響范圍和可能的應(yīng)急舉措；四效勞提供商自行恢復效勞的可能性和時間；五備選的效勞提供商以及外包效勞遷移方案；六外包效勞過渡給我行自行運作的可能性、時效及資源需求.第三十四條對于無法滿足外包效勞要求或發(fā)生重大事件的情況,我行應(yīng)當在充分評估其影響及制定退由方案的前提下,考慮主動要求效勞提供商終止效勞,情節(jié)特別嚴重的,可考慮取消準入資質(zhì),并報監(jiān)管機構(gòu)申請對其備案.第五章機構(gòu)集中度風險治理第三十五條我行應(yīng)當依據(jù)效勞提供商所承接外包效勞的數(shù)量、金額在本行重要信息科技效勞中的占比,效勞提供商所承接外包效勞在銀行業(yè)效勞市場占比情況,識別具有機構(gòu)集中度特點的外包效勞提供商.第三十六條我行應(yīng)當積極采用分散信息科技外包活動、提升自主研發(fā)運行水平等形式,降低機構(gòu)集中度,減少對外包效勞提供商的依賴.第三十七條我行應(yīng)當要求具有機構(gòu)集中度特點的外包服務(wù)提供商提供充分的證據(jù),證實其內(nèi)部限制和治理水平、持續(xù)運營水平等.第三十八條我行應(yīng)當要求具有機構(gòu)集中度特點的外包服務(wù)提供商為我行配備相對獨立的資源,包括效勞團隊、