農(nóng)商銀行信息科技外包管理辦法

農(nóng)商銀行信息科技外包管理辦法第一章總則第一條為了規(guī)范農(nóng)商銀行的外包活動，保障農(nóng)商銀行信息系統(tǒng)安全持續(xù)穩(wěn)定運行，依據(jù)銀監(jiān)會頒布的《商業(yè)銀行信息科技風(fēng)險管理指引》、《銀行業(yè)金融機構(gòu)外包風(fēng)險管理指引》、《山東省農(nóng)村商業(yè)銀行法人機構(gòu)信息科技工作規(guī)范3.0》以及國家有關(guān)法律法規(guī)，制定本辦法。第二條本辦法中的信息科技外包（以下簡稱“外包”）是指將原本由自身負(fù)責(zé)處理的信息科技活動委托給服務(wù)供應(yīng)商進行處理的行為，包含研發(fā)咨詢外包、系統(tǒng)運行維護外包、人力資源外包以及業(yè)務(wù)外包中的信息科技活動等，但外包時不得將信息科技管理責(zé)任外包。第三條信息科技外包管理主要是指對服務(wù)供應(yīng)商準(zhǔn)入、人員、風(fēng)險、應(yīng)急、審計等內(nèi)容的管理，通過服務(wù)供應(yīng)商資質(zhì)評價、人員管理、合同簽訂、交付物驗收、風(fēng)險評估、應(yīng)急管理、外包評價與考核、外包審計等管理流程實現(xiàn)。第二章外包管理目標(biāo)及職責(zé)第四條科技外包管理目標(biāo)是通過統(tǒng)一外包規(guī)劃、嚴(yán)格準(zhǔn)入管理、明確外包標(biāo)準(zhǔn)、細(xì)化制度要求、落實管理責(zé)任、防范外包風(fēng)險、籌劃外包應(yīng)急、實施風(fēng)險評估、做好監(jiān)控評價、完成持續(xù)改進等一系列步驟和措施，進一步規(guī)范信息科急方案可行性等，評價結(jié)果作為服務(wù)供應(yīng)商后續(xù)準(zhǔn)入及退出的重要依據(jù)。第九章外包退出管理第三十六條服務(wù)供應(yīng)商存在以下情況時，應(yīng)當(dāng)主動中斷與服務(wù)供應(yīng)商的合作或解除合同，情節(jié)嚴(yán)重的取消后續(xù)服務(wù)供應(yīng)商準(zhǔn)入資格：（一）嚴(yán)重違反合同約定；（二）服務(wù)質(zhì)量無法滿足要求，存在重大管理、技術(shù)缺陷等問題，已導(dǎo)致或可能造成重大損失；（三）因自身經(jīng)營不善或財務(wù)危機導(dǎo)致服務(wù)能力急劇下降，甚至破產(chǎn)倒閉等情況。第三十七條外包服務(wù)供應(yīng)商應(yīng)根據(jù)合同要求按時交付服務(wù)工作成果，多次驗收不通過的，可考慮終止其服務(wù)。第三十八條對于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況，應(yīng)當(dāng)在充分評估其影響及制定退出計劃的前提下,考慮主動要求外部服務(wù)商終止服務(wù)，情節(jié)特別嚴(yán)重的，應(yīng)取消其準(zhǔn)入資格，并報監(jiān)管機構(gòu)申請對其備案。第三十九條外包管理部門對服務(wù)供應(yīng)商的評價結(jié)果及審計部門對服務(wù)供應(yīng)商的審計結(jié)果，作為外包服務(wù)商準(zhǔn)入及退出的重要依據(jù)。第十章外包風(fēng)險管理第四十條信息科技在外包過程中可能產(chǎn)生科技能力喪失、業(yè)務(wù)中斷、信息泄露、服務(wù)水平下降、外包集中度等風(fēng)險，對機構(gòu)業(yè)務(wù)發(fā)展、聲譽和合規(guī)等造成影響。第四十一條要切實加強信息科技相關(guān)外包風(fēng)險管理工作，確?？蛻糍Y料等敏感信息的安全，應(yīng)采取包括但不限于以下風(fēng)險管控措施：（一）要求服務(wù)供應(yīng)商保證其相關(guān)人員遵守保密規(guī)定及信息科技風(fēng)險的相關(guān)管理制度；（二）將涉及客戶資料的信息科技外包作為重要外包;（三）確?？蛻糍Y料與服務(wù)供應(yīng)商其它托管金融機構(gòu)的客戶資料有效隔離；（四）嚴(yán)格禁止服務(wù)供應(yīng)商對外轉(zhuǎn)包，采取足夠措施確保相關(guān)信息的安全；（五）確保在終止外包協(xié)議時收回或銷毀服務(wù)供應(yīng)商保存的所有客戶資料。第四十二條要制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險，具體措施應(yīng)包括：（一）對外包人員進行信息安全培訓(xùn)，提高風(fēng)險意識，確保信息安全管控措施在外包服務(wù)過程中有效落實；（二）對重要或核心的信息系統(tǒng)開發(fā)交付物進行源代碼檢查和安全掃描;（三）定期對服務(wù)供應(yīng)商進行安全檢查，重大外包項目應(yīng)有服務(wù)供應(yīng)商自評估、內(nèi)部評估和第三方評估報告。第四十三條應(yīng)制定和建立可行的外包突發(fā)事件應(yīng)急預(yù)案和機制，以應(yīng)對服務(wù)供應(yīng)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其是需要考慮服務(wù)供應(yīng)商的重大資源損失、重大財物損失和重要人員變動、以及外包合同或協(xié)議的意外終止等情況。確保發(fā)生緊急情況時，可啟動應(yīng)急方案，補充外包技術(shù)服務(wù)資源，降低因緊急事件產(chǎn)生的不利影響。第四十四條為降低信息科技外包突發(fā)事件的可能性及影響，應(yīng)當(dāng)事先對業(yè)務(wù)連續(xù)性管理可能造成重大影響的信息科技外包服務(wù)建立風(fēng)險控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：（一）在信息科技外包服務(wù)實施的過程中，持續(xù)收集與服務(wù)供應(yīng)商相關(guān)的信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的潛在不利因素；（二）與服務(wù)供應(yīng)商事先約定，在其服務(wù)質(zhì)量不能滿足合同要求時，有獲取此單位外包服務(wù)資源的優(yōu)先權(quán)；（三）要求服務(wù)供應(yīng)商制定服務(wù)中斷時的應(yīng)急處置預(yù)案,如供應(yīng)備用設(shè)備、備份人員、技術(shù)支持等；（四）對于涉及重要業(yè)務(wù)的信息科技外包服務(wù)，需優(yōu)先考慮系統(tǒng)內(nèi)部的人力資源，以便于出現(xiàn)外包服務(wù)中斷時，能夠自行維持最低限度的服務(wù)能力。第四十五條每年至少開展一次外包風(fēng)險管理評估，保持內(nèi)部風(fēng)險評估的獨立性，并向信息科技風(fēng)險管理委員會提交《外包風(fēng)險評估報告》（可作為信息科技風(fēng)險管理報告的組成部分）。第四十六條在開展外包活動風(fēng)險評估時，如果遇到業(yè)務(wù)經(jīng)營、客戶信息安全、聲譽風(fēng)險等產(chǎn)生重大影響事件，應(yīng)及時向信息科技風(fēng)險管理委員會報告。技外包管理，逐步構(gòu)建服務(wù)持續(xù)、運營高效的外包管理體系,全面提升信息科技管理水平。第五條信息科技外包原則為：（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；（二）保持外包風(fēng)險、成本和效益的平衡；（三）強調(diào)外包風(fēng)險的事前控制，保持管控力度；（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢，持續(xù)改進外包策略和措施；（五）信息科技外包活動應(yīng)采取分級策略，對關(guān)鍵核心應(yīng)用采取審慎的合作外包方式，對一般類業(yè)務(wù)應(yīng)用采取合作外包方式，對非業(yè)務(wù)應(yīng)用可采取完全外包的方式。第三章外包管理職責(zé)第六條科技部是信息科技外包的主要執(zhí)行部門，主要職責(zé)包括：制定并執(zhí)行外包管理相關(guān)管理制度及流程，實施信息科技外包發(fā)展規(guī)劃；根據(jù)信息科技建設(shè)規(guī)劃或信息科技外包服務(wù)需求，結(jié)合信息科技建設(shè)情況，確立信息科技外包項目的范圍和內(nèi)容，制定信息科技外包年度計劃及信息科技外包階段性計劃；（三）負(fù)責(zé)信息科技外包活動的日常管理、與其他部門就信息科技外包相關(guān)事項進行溝通協(xié)調(diào)，包括盡職調(diào)查、合同簽署、信息科技外包服務(wù)技術(shù)指標(biāo)制定、信息科技外包服務(wù)供應(yīng)商準(zhǔn)入或退出等；（四）在發(fā)現(xiàn)信息科技外包服務(wù)供應(yīng)商的業(yè)務(wù)活動存在缺陷時，采取及時有效的措施防范外包風(fēng)險，并制定保障信息科技外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實施和定期演練；（五）根據(jù)合規(guī)部、審計部門或合規(guī)部門對信息科技外包項目評估、審計以及提出的風(fēng)險管理意見，對信息科技外包項目實施優(yōu)化和改進；（六）負(fù)責(zé)形成信息科技外包項目情況匯總報告，提交信息科技管理委員會。第七條合規(guī)部是信息科技外包風(fēng)險的主管部門，主要職責(zé)包括：對信息科技外包風(fēng)險進行識別、評估與風(fēng)險提示，監(jiān)督、評價信息科技外包管理工作，并督促信息科技外包風(fēng)險管理的持續(xù)改善，向信息科技風(fēng)險管理委員會提交外包風(fēng)險評估報告，并提出有關(guān)外包活動發(fā)展和風(fēng)險管控的意見和建議。第八條審計部門是對信息科技外包風(fēng)險審計的主要部門，主要職責(zé)包括：負(fù)責(zé)定期或不定期的信息科技外包活動內(nèi)部審計，確保審計范圍涵蓋所有信息科技外包活動，并將審計結(jié)果向領(lǐng)導(dǎo)匯報。第九條合規(guī)部門是信息科技外包活動的主要法律支持、咨詢部門，主要職責(zé)包括：負(fù)責(zé)外包合同的審查與修改及負(fù)責(zé)外包活動中的法律糾紛及其他法律問題咨詢。第四章外包準(zhǔn)入管理第十條外包項目立項前，要審慎檢查需外包項目與信息科技外包規(guī)劃的一致性、服務(wù)供應(yīng)商服務(wù)能力與外包項目的符合性。應(yīng)根據(jù)項目內(nèi)容、范圍、性質(zhì)對其進行風(fēng)險識別和評估，必要時根據(jù)外包管理原則評估外包風(fēng)險，制定相應(yīng)的風(fēng)險處置措施，不因外包活動的引入而增加整體剩余風(fēng)險。重大外包項目應(yīng)向信息科技風(fēng)險管理委員會報告。第十一條應(yīng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險評估結(jié)果及服務(wù)供應(yīng)商的準(zhǔn)入標(biāo)準(zhǔn)，對服務(wù)供應(yīng)商進行初步篩選,防范引入高機構(gòu)集中度風(fēng)險特點的服務(wù)供應(yīng)商，或引入增加整體風(fēng)險的服務(wù)供應(yīng)商。第十二條在選擇外包服務(wù)供應(yīng)商時，要全面了解服務(wù)供應(yīng)商的基本情況，對服務(wù)供應(yīng)商進行盡職調(diào)查，必要時可聘請第三方機構(gòu)協(xié)助調(diào)查，確保服務(wù)供應(yīng)商符合準(zhǔn)入標(biāo)準(zhǔn)。對于重大外包項目，完成盡職調(diào)查后出具《外包服務(wù)供應(yīng)商調(diào)查報告》，盡職調(diào)查應(yīng)包括但不限于以下方面：（一）技術(shù)和行業(yè)經(jīng)驗，包括服務(wù)質(zhì)量和技術(shù)實力、服務(wù)經(jīng)驗、服務(wù)人員技能、應(yīng)急處置能力、市場評價、行業(yè)地位、對銀行業(yè)知悉程度、監(jiān)管評價等；（二）內(nèi)部控制和管理能力，包括內(nèi)部控制機制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具、企業(yè)文化等；（三）持續(xù)經(jīng)營狀況，包括從業(yè)時間、經(jīng)營聲譽、發(fā)展趨勢、財務(wù)穩(wěn)健性、近期盈利情況等；（四）同業(yè)托管狀況，包括服務(wù)供應(yīng)商與多家金融單位有外包活動時，服務(wù)供應(yīng)商對其他銀行業(yè)金融機構(gòu)提供服務(wù)的情況；（五）涉及多個服務(wù)供應(yīng)商時，應(yīng)對這些服務(wù)供應(yīng)商進行關(guān)聯(lián)關(guān)系的調(diào)查；（六）根據(jù)外包管理實際需要，對服務(wù)供應(yīng)商服務(wù)能力和人員技術(shù)水平進行階段性總結(jié)分析，發(fā)現(xiàn)問題及時通報服務(wù)供應(yīng)商，并限期整改。第十三條對于數(shù)據(jù)中心的重要基礎(chǔ)設(shè)施、重要信息系統(tǒng)的維護服務(wù)外包，簽訂外包合同時，服務(wù)供應(yīng)商須保證購買商業(yè)保險以保證其有足夠的賠償能力，并告知保險覆蓋范圍。第十四條開展信息科技外包活動時要與服務(wù)供應(yīng)商簽訂書面合同或協(xié)議，明確雙方的權(quán)利、義務(wù)。合同或協(xié)議應(yīng)當(dāng)包括但不限于以下內(nèi)容：（一）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（二）外包服務(wù)款項支付方式；（三）外包服務(wù)的保密性和安全性；（四）明確外包技術(shù)成果的所屬權(quán)；（五）外包爭議的解決；（六）外包合同或協(xié)議變更或終止的條件；（七）擔(dān)保和損失賠償以及違約責(zé)任；（A）不可抗力因素出現(xiàn)時雙方對合同內(nèi)容的約定；（九）外包服務(wù)的審計和檢查；（十）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排以及服務(wù)供應(yīng)商提供專屬資源的承諾。第十五條所有與信息科技外包活動相關(guān)的重要資料應(yīng)歸檔管理。第五章外包過程管理第十六條應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平對服務(wù)過程進行持續(xù)監(jiān)控，跟蹤任務(wù)的執(zhí)行情況，及時發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。第十七條應(yīng)對服務(wù)供應(yīng)商的財務(wù)、內(nèi)控、安全管理進行監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的下降。第六章外包人員管理第十八條信息科技外包人員的管理由外包管理部門與服務(wù)供應(yīng)商共同負(fù)責(zé)。服務(wù)供應(yīng)商需要明確一名項目經(jīng)理（或項目負(fù)責(zé)人）負(fù)責(zé)協(xié)調(diào)項目相關(guān)重要事項。第十九條要對服務(wù)供應(yīng)商供應(yīng)的外包人員簡歷、資質(zhì)及其他相關(guān)資料進行審核，并留存相關(guān)資料，統(tǒng)一入檔保管。第二十條所有外包人員入場前必須簽署保密協(xié)議，并嚴(yán)格遵守所在單位的考勤制度以及其他工作規(guī)范，保證工作質(zhì)量。第二十一條應(yīng)對外包人員進行服務(wù)質(zhì)量考核，并將考核結(jié)果定期反饋服務(wù)供應(yīng)商，對考核結(jié)果不符合要求的外包服務(wù)人員限期更換。第二十二條應(yīng)對外包人員的權(quán)限配置進行管理，以滿足工作需要為前提，遵循權(quán)限最小化原則，不得授予與工作無關(guān)的權(quán)限。對于向外包人員提供的內(nèi)部資料必須嚴(yán)格審核,嚴(yán)禁未經(jīng)授權(quán)提供。第二十三條如發(fā)現(xiàn)外包人員違反規(guī)章制度，必須立即制止并糾正，多次違反情節(jié)嚴(yán)重的，應(yīng)及時停止其一切工作活動，并通知其所在的服務(wù)供應(yīng)商，造成損失的，應(yīng)向服務(wù)供應(yīng)商索取賠償。第二十四條對因項目中止或工作調(diào)整不再使用的外包工作人員，應(yīng)及時收回其使用的全部內(nèi)部資源。第七章外包交付物驗收第二十五條外包供應(yīng)商應(yīng)按時交付服務(wù)工作成果，科技部應(yīng)及時組織人員進行驗收。第二十六條開發(fā)類外包人員的交付物必須在測試環(huán)境下嚴(yán)格測試，驗收合格后方可投產(chǎn)試用。第二十七條對于外包交付物驗收不合格的，應(yīng)要求服務(wù)供應(yīng)商重新提供產(chǎn)品，并重新組織驗收，直至驗收通過，并納入服務(wù)供應(yīng)商考核評價。第二十八條由于服務(wù)供應(yīng)商的原因，導(dǎo)致未按計劃完成或完成項目質(zhì)量不高，并造成一定影響的，作為不良記錄登記，對未完成服務(wù)由服務(wù)供應(yīng)商繼續(xù)完成的，按合同約定條款執(zhí)行。第二十九條對于外包人員提交的源代碼，應(yīng)經(jīng)專門技術(shù)人員審核編譯，所產(chǎn)生的執(zhí)行程序，須經(jīng)相關(guān)人員測試通過后，按規(guī)定流程投產(chǎn)。第三十條對于外包開發(fā)人員提交的關(guān)鍵代碼（涉及業(yè)務(wù)系統(tǒng)核心處理流程、記賬或有關(guān)安全加密、認(rèn)證的代碼等）,應(yīng)對源代碼進行重點檢查，并將檢查結(jié)果存檔。第三十一條對于外包測試人員提交的測試方案、測試工具、測試案例，應(yīng)組織人員進行復(fù)核確認(rèn)。外包測試人員編寫的測試腳本和測試用例必須滿足項目測試性能要求。第三十二條外包咨詢?nèi)藛T應(yīng)及時對咨詢要求作出響應(yīng),按時協(xié)助解決問題，或提供符合要