銀行銀行信息科技外包管理指引模版

**銀行分行信息科技外包管理辦法第一章總則為規(guī)范**銀行分行（以下簡(jiǎn)稱分行)信息科技外包管理,提升外包服務(wù)水平,防范外包風(fēng)險(xiǎn),保障分行所有工作順利進(jìn)行，依據(jù)《**銀行信息科技外包管理辦法》、外包管理有關(guān)制度及監(jiān)管要求，擬定本辦法。本指引適用于分行信息化項(xiàng)目外包管理有關(guān)工作，包括擬定外包戰(zhàn)略和管理模式、采購(gòu)需求管理和供應(yīng)商盡職調(diào)查、外包項(xiàng)目實(shí)施管理、外包服務(wù)驗(yàn)收和考核管理、外包風(fēng)險(xiǎn)管理、外包人員管理、重要供應(yīng)商管理等,項(xiàng)目類型包括:開發(fā)(子領(lǐng)域包括:軟件開發(fā)、基礎(chǔ)設(shè)備建設(shè)）、運(yùn)維（子領(lǐng)域包括:基礎(chǔ)設(shè)備運(yùn)維、桌面運(yùn)維、應(yīng)用運(yùn)維、服務(wù)臺(tái)）、咨詢、人力外包、產(chǎn)品采購(gòu)（子領(lǐng)域包括：硬件采購(gòu)、軟件采購(gòu)、線路設(shè)備租用／系統(tǒng)接入）、測(cè)試；業(yè)務(wù)外包中的信息科技活動(dòng):*場(chǎng)開拓、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)。第二章職責(zé)分工總行信息技術(shù)部是分行信息科技外包管理工作的歸口管理部門,負(fù)責(zé)分行信息科技外包管理工作的組織和領(lǐng)導(dǎo)。分行信息技術(shù)部負(fù)責(zé)統(tǒng)籌分行信息科技外包管理工作，依據(jù)有關(guān)總行信息技術(shù)部有關(guān)制度和規(guī)范要求,結(jié)合分行工作實(shí)際,擬定分行ＩT項(xiàng)目外包管理流程和操作細(xì)則,并負(fù)責(zé)外包管理日常工作。第三章外包戰(zhàn)略和管理模式總行信息技術(shù)部負(fù)責(zé)擬定分行外包戰(zhàn)略，包括:未能外包的職能、資源能力建設(shè)方案、供應(yīng)商關(guān)系管理策略和外包分級(jí)管理策略，分行可結(jié)合自身能力等實(shí)際情形,在不突破整體戰(zhàn)略要求的前提下，研究確定分行外包執(zhí)行策略，進(jìn)行ＩT職能外包適宜度分析(參照總行信息技術(shù)部IＴ外包適宜度分析有關(guān)資料文件執(zhí)行）,確定未能外包的IＴ職能。分行實(shí)施自主管理模式，重大外包項(xiàng)目報(bào)總行信息技術(shù)部審核。分行信息技術(shù)部應(yīng)編制項(xiàng)目實(shí)施方案，確定采購(gòu)方式、備選供應(yīng)商名單和有關(guān)采購(gòu)需求方案,依照分行采購(gòu)管理關(guān)于流程,招標(biāo)確定供應(yīng)商并與其簽訂外包服務(wù)協(xié)議，負(fù)責(zé)組織開展協(xié)議驗(yàn)收和供應(yīng)商考核工作,負(fù)責(zé)組織開展協(xié)議驗(yàn)收和供應(yīng)商考核工作。第四章外包風(fēng)險(xiǎn)管理分行信息技術(shù)部應(yīng)對(duì)信息科技外包風(fēng)險(xiǎn)進(jìn)行全生命周期管理（風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析與評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控及風(fēng)險(xiǎn)報(bào)告)，將其貫穿于分行信息科技外包日常管理工作中,長(zhǎng)期管控外包風(fēng)險(xiǎn)。信息科技外包風(fēng)險(xiǎn)全生命周期管理可參照總行信息技術(shù)部信息科技風(fēng)險(xiǎn)管理有關(guān)資料文件執(zhí)行。分行信息技術(shù)部應(yīng)依照總行操作風(fēng)險(xiǎn)管理部要求開展信息科技外包風(fēng)險(xiǎn)管理自評(píng)估，評(píng)估內(nèi)容包括:信息科技外包戰(zhàn)略執(zhí)行情形、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及*場(chǎng)變化對(duì)外包服務(wù)的影響分析等。分行信息技術(shù)部應(yīng)對(duì)不同級(jí)別的供應(yīng)商采取差異化的管理措施,在有效管控重要風(fēng)險(xiǎn)的前提下降低管理成本。重要供應(yīng)商管控措施包括(但不限于)：對(duì)重要供應(yīng)商，在與其簽訂協(xié)議前應(yīng)當(dāng)深入開展盡職調(diào)查,必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查。對(duì)重要供應(yīng)商進(jìn)行定時(shí)的風(fēng)險(xiǎn)評(píng)估，保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要供應(yīng)商。評(píng)估內(nèi)容包括:供應(yīng)商合規(guī)情形、服務(wù)的執(zhí)行效果等，評(píng)估結(jié)果應(yīng)當(dāng)作為供應(yīng)商準(zhǔn)入及退出的重要依據(jù)。延續(xù)風(fēng)險(xiǎn)管控:項(xiàng)目過程中分行信息技術(shù)部應(yīng)須對(duì)信息科技外包進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過項(xiàng)目跟蹤和適當(dāng)?shù)募夹g(shù)手段進(jìn)行風(fēng)險(xiǎn)監(jiān)控。項(xiàng)目過程中分行信息技術(shù)部應(yīng)對(duì)供應(yīng)商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行延續(xù)監(jiān)控。第五章IＴ外包供應(yīng)商管理第一節(jié)供應(yīng)商關(guān)系管理供應(yīng)商關(guān)系管理是指對(duì)供應(yīng)商在各個(gè)外包子領(lǐng)域中進(jìn)行分類,對(duì)每類供應(yīng)商采取不同方式的管控，并與其建立不同合作關(guān)系的管理方式。分行信息技術(shù)部應(yīng)對(duì)供應(yīng)商關(guān)系進(jìn)行劃分管理（如劃分為戰(zhàn)略型、合作型、淘汰型等供應(yīng)商),針對(duì)不同關(guān)系的供應(yīng)商，區(qū)分風(fēng)險(xiǎn)管控力度和管控手段，建立相應(yīng)的懲罰或激勵(lì)措施,以提升管理效率,降低外包風(fēng)險(xiǎn)。分行信息技術(shù)部應(yīng)依據(jù)有關(guān)供應(yīng)商采購(gòu)內(nèi)容重要性（可考慮項(xiàng)目重要性、技術(shù)依賴性、壟斷性、價(jià)值性)和采購(gòu)金額占比,對(duì)供應(yīng)商的重要性進(jìn)行評(píng)分，將供應(yīng)商重要性分為一般、重要,對(duì)不同重要性的供應(yīng)商采取不同的管控方式,降低管理成本，加強(qiáng)風(fēng)險(xiǎn)管控。分行信息技術(shù)部應(yīng)確定供應(yīng)商關(guān)系分類以及維護(hù)機(jī)制(應(yīng)包括判定標(biāo)準(zhǔn)、判斷時(shí)間點(diǎn)、關(guān)系更新維護(hù)人員、關(guān)系應(yīng)用場(chǎng)景)，供應(yīng)商關(guān)系分類以及維護(hù)機(jī)制參照總行供應(yīng)商關(guān)系管理資料文件執(zhí)行。第二節(jié)供應(yīng)商準(zhǔn)入管理分行信息技術(shù)部應(yīng)對(duì)正在合作或曾經(jīng)合作的供應(yīng)商，開展準(zhǔn)入信息收集。收集的信息包括(但不限于)內(nèi)部監(jiān)控與管理能力信息、延續(xù)經(jīng)營(yíng)能力信息和技術(shù)與服務(wù)能力信息，識(shí)別供應(yīng)商的服務(wù)連續(xù)性風(fēng)險(xiǎn)。分行信息技術(shù)部應(yīng)依據(jù)有關(guān)其外包業(yè)務(wù)特點(diǎn)建立供應(yīng)商準(zhǔn)入機(jī)制(參照總行信息技術(shù)部供應(yīng)商準(zhǔn)入管理資料文件執(zhí)行),明確：供應(yīng)商準(zhǔn)入標(biāo)準(zhǔn)，準(zhǔn)入條件應(yīng)包括基礎(chǔ)條件和專業(yè)能力;供應(yīng)商準(zhǔn)入執(zhí)行時(shí)點(diǎn)；供應(yīng)商準(zhǔn)入執(zhí)行頻率；對(duì)于創(chuàng)新型、技術(shù)獨(dú)有型、負(fù)責(zé)迭代開發(fā)項(xiàng)目等特殊供應(yīng)商，當(dāng)其未能滿足準(zhǔn)入條件時(shí)，可召開討論會(huì),在確保其外包風(fēng)險(xiǎn)可控或可接受的前提下，依據(jù)詳細(xì)情形將其視為有條件準(zhǔn)入供應(yīng)商,并記錄其風(fēng)險(xiǎn)監(jiān)控方式，包括（但不限于):合作領(lǐng)域限制、增強(qiáng)企業(yè)監(jiān)控頻率、付款模式限制、簽訂應(yīng)急附加協(xié)議等。分行信息技術(shù)部可建立供應(yīng)商準(zhǔn)入白名單,對(duì)于涉及國(guó)家重要產(chǎn)業(yè)、規(guī)模較大的大型國(guó)有企業(yè)、事業(yè)單位等，可以允許直接準(zhǔn)入;準(zhǔn)入白名單應(yīng)定時(shí)報(bào)總行信息技術(shù)部審核。第三節(jié)盡職調(diào)查分行信息技術(shù)部應(yīng)對(duì)重要供應(yīng)商，簽訂協(xié)議前應(yīng)開展盡職調(diào)查并形成重要供應(yīng)商盡職調(diào)查報(bào)告（依照總行信息技術(shù)部重要供應(yīng)商盡職調(diào)查報(bào)告執(zhí)行)，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助。盡職調(diào)查時(shí)應(yīng)當(dāng)關(guān)注供應(yīng)商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括(但不限于):服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、*場(chǎng)評(píng)估、監(jiān)管評(píng)估、行業(yè)地位等；應(yīng)當(dāng)關(guān)注供應(yīng)商的內(nèi)部監(jiān)控和管理能力,包括（但不限于）：內(nèi)部監(jiān)控機(jī)制和管理流程的完善程度、突發(fā)事件應(yīng)對(duì)能力、內(nèi)部監(jiān)控技術(shù)和工具等;應(yīng)當(dāng)關(guān)注供應(yīng)商的延續(xù)經(jīng)營(yíng)狀況,包括(但不限于）：從業(yè)時(shí)間、＊場(chǎng)地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情形等；技術(shù)實(shí)力和服務(wù)質(zhì)量;對(duì)其他銀行銀行等金融機(jī)構(gòu)提供服務(wù)的情形;經(jīng)營(yíng)聲譽(yù)和企業(yè)文化;選擇跨境服務(wù)供應(yīng)商是，還應(yīng)調(diào)查確認(rèn)其所在國(guó)家或地區(qū)監(jiān)管當(dāng)局是否已與我國(guó)銀行業(yè)監(jiān)管機(jī)構(gòu)簽訂諒解備忘錄或各方認(rèn)可的其他商定；服務(wù)供應(yīng)商之間的關(guān)聯(lián)關(guān)系(涉及多個(gè)供應(yīng)商時(shí));總行操作風(fēng)險(xiǎn)管理部認(rèn)為重要的其他事項(xiàng)；第四節(jié)供應(yīng)商選擇對(duì)于非公開招標(biāo)的項(xiàng)目應(yīng)提供選擇其招標(biāo)方式的原因及風(fēng)險(xiǎn)監(jiān)控,并取得相應(yīng)管理層的審批;針對(duì)單一來源采購(gòu)形式,應(yīng)將優(yōu)質(zhì)的供應(yīng)商關(guān)系類型（如戰(zhàn)略合作關(guān)系、重點(diǎn)合作型關(guān)系等)作為評(píng)估單一來源的考慮因素,而對(duì)績(jī)效考核結(jié)果較差或存在高集中度風(fēng)險(xiǎn)的供應(yīng)商建議取消其單一來源采購(gòu)資格/資質(zhì)。如采用邀標(biāo)或?qū)_招標(biāo)對(duì)象進(jìn)行初選，具備投標(biāo)資格/資質(zhì)的潛在供應(yīng)商應(yīng)至少滿足準(zhǔn)入要求,確定項(xiàng)目備選供應(yīng)商時(shí)應(yīng)考慮供應(yīng)商關(guān)系類型,如應(yīng)將戰(zhàn)略合作關(guān)系供應(yīng)商納入備選范圍,以及對(duì)于單一來源項(xiàng)目，在同等條件下應(yīng)優(yōu)先考慮將應(yīng)急備選供應(yīng)商納入備選范圍等。第五節(jié)供應(yīng)商評(píng)估分行信息技術(shù)部應(yīng)擬定對(duì)供應(yīng)商考核評(píng)估管理體系（參照總行信息技術(shù)部供應(yīng)商評(píng)估管理有關(guān)資料文件執(zhí)行),原則上每年進(jìn)行一次對(duì)供應(yīng)商的專業(yè)資質(zhì)、工作質(zhì)量、管理能力和服務(wù)水平進(jìn)行總體評(píng)估并保留評(píng)估記錄,評(píng)估內(nèi)容包括(但不限于）:項(xiàng)目實(shí)施計(jì)劃的擬定情形;項(xiàng)目計(jì)劃的履行率；項(xiàng)目文檔管理質(zhì)量；例行服務(wù)的履行情形;電話支持電話服務(wù)情形;故障響應(yīng)的及時(shí)率;備件/耗材響應(yīng)及時(shí)率；修理修繕診斷的準(zhǔn)確率；故障及時(shí)修復(fù)率;故障報(bào)告的履行情形;由于項(xiàng)目實(shí)施致使的異常情形率;管理能力；專業(yè)資質(zhì);遵守我行信息安全保密要求、遵守我行規(guī)章制度情形等。外包服務(wù)終止時(shí)，分行信息技術(shù)部應(yīng)組織對(duì)供應(yīng)商進(jìn)行評(píng)估,評(píng)估結(jié)果應(yīng)當(dāng)作為供應(yīng)商再次準(zhǔn)入、資質(zhì)評(píng)估以及供應(yīng)商關(guān)系劃分的重要參考依據(jù)。供應(yīng)商如存在考核不合格的情形，原則上未來兩年內(nèi)不得參加我行信息科技外包服務(wù)。第六節(jié)供應(yīng)商退出管理分行信息技術(shù)部應(yīng)建立供應(yīng)商退出機(jī)制，主動(dòng)終止與不適用的供應(yīng)商的IＴ外包合作關(guān)系，將其列入黑名單,不再與其開展新的IＴ外包合作。對(duì)于現(xiàn)有IT外包項(xiàng)目,應(yīng)啟動(dòng)項(xiàng)目應(yīng)急預(yù)案，并尋求盡速替代。存在以下情形之一的供應(yīng)商，應(yīng)主動(dòng)退出與其IＴ外包合作:嚴(yán)重違反國(guó)家法律、法規(guī)的;嚴(yán)重違約、擅自變更或者終止已生效協(xié)議的;泄露我行商業(yè)秘密、技術(shù)秘密等非公開信息的；侵犯我行知識(shí)所有權(quán)的;故意提供虛假資質(zhì)材料、隱瞞真實(shí)情形的；信譽(yù)和財(cái)務(wù)發(fā)生嚴(yán)重危機(jī)的；提供的產(chǎn)品質(zhì)量和服務(wù)出現(xiàn)重大問題，并造成不良后果的;中標(biāo)后無(wú)正當(dāng)理由拒絕簽訂協(xié)議的;供應(yīng)商經(jīng)營(yíng)條件發(fā)生變化,無(wú)法繼續(xù)提供符合標(biāo)準(zhǔn)的服務(wù);對(duì)服務(wù)質(zhì)量進(jìn)行檢查，連續(xù)3次未能達(dá)到服務(wù)標(biāo)準(zhǔn);其他可能嚴(yán)重影響我行聲譽(yù)以及給我行帶來風(fēng)險(xiǎn)或損失的情形;供應(yīng)商績(jī)效考核評(píng)估連續(xù)兩年為“差”;總行操作風(fēng)險(xiǎn)管理部認(rèn)為的其他情形。分行信息技術(shù)部應(yīng)定時(shí)將供應(yīng)商黑名單及時(shí)報(bào)送總行信息技術(shù)部。第七節(jié)供應(yīng)商行為管理分行信息技術(shù)部應(yīng)擬定供應(yīng)商行為管理規(guī)范（參照總行信息技術(shù)部供應(yīng)商合規(guī)手冊(cè)執(zhí)行),針對(duì)供應(yīng)商在外包服務(wù)過程中可能出現(xiàn)的信息科技外包風(fēng)險(xiǎn)擬定行為規(guī)范：在IＴ外包管理框架下建立體系化的實(shí)際操作機(jī)制，明確我行對(duì)供應(yīng)商的管理原則及詳細(xì)實(shí)施辦法，督促IT供應(yīng)商在提供ＩT外包服務(wù)的過程中更迅速地提升自身的管理合規(guī)意識(shí)及能力,以滿足我行對(duì)其的管理要求。依據(jù)有關(guān)供應(yīng)商行為對(duì)我行造成影響范圍以及影響程度，建立懲罰機(jī)制。通過日常自評(píng)估和不定時(shí)抽查的方式對(duì)供應(yīng)商合規(guī)行為進(jìn)行行檢查，并對(duì)其合規(guī)情形進(jìn)行記錄并將供應(yīng)商日常合規(guī)情形納入整體績(jī)效評(píng)估,監(jiān)督供應(yīng)商履行管理信息科技外包行為合規(guī)職責(zé)。第八節(jié)特殊供應(yīng)商管理特殊供應(yīng)商管理包括高集中度供應(yīng)商管理、行業(yè)重點(diǎn)供應(yīng)商管理、重要非駐場(chǎng)及跨境供應(yīng)商管理。分行信息技術(shù)部應(yīng)針對(duì)高集中度供應(yīng)商、行業(yè)重點(diǎn)供應(yīng)商、跨境供應(yīng)商和非駐場(chǎng)供應(yīng)商等重點(diǎn)供應(yīng)商建立有針對(duì)性的管理要求(參照總行信息技術(shù)部供應(yīng)商合規(guī)手冊(cè)執(zhí)行)。高集中度供應(yīng)商管理：各分行應(yīng)當(dāng)依據(jù)供應(yīng)商所承接外包服務(wù)的數(shù)量、金額在重要信息科技服務(wù)中的占比,識(shí)別高集中度共度供應(yīng)商，可參考如下標(biāo)準(zhǔn)：供應(yīng)商項(xiàng)目總款項(xiàng)占比大于等于1０%(該項(xiàng)目類型供應(yīng)商大于等于１0家）,或大于等于50%（該項(xiàng)目類型供應(yīng)商小于10家),應(yīng)通過采取分散信息科技外包活動(dòng)、獲取高集中度供應(yīng)商內(nèi)部監(jiān)控和配備獨(dú)立服務(wù)資源的證明、建立高集中度供應(yīng)商服務(wù)中斷應(yīng)急預(yù)案、加強(qiáng)對(duì)高集中度供應(yīng)商的監(jiān)控與監(jiān)督等方法，降低供應(yīng)商的高集中度風(fēng)險(xiǎn)。行業(yè)重點(diǎn)供應(yīng)商管理:行業(yè)重點(diǎn)供應(yīng)商是指《銀行業(yè)銀行等金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理指引(銀監(jiān)發(fā)[＊]5號(hào))》中定義的“銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)”。各分行應(yīng)根據(jù)監(jiān)管機(jī)構(gòu)發(fā)布的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)名單,依照合規(guī)要求收集行業(yè)重點(diǎn)供應(yīng)商的信息,獲取行業(yè)重點(diǎn)供應(yīng)商的外包風(fēng)險(xiǎn)監(jiān)控報(bào)告和由獨(dú)立審計(jì)機(jī)構(gòu)出具的該供應(yīng)商外包服務(wù)的風(fēng)險(xiǎn)評(píng)估報(bào)告。應(yīng)要求重點(diǎn)供應(yīng)商對(duì)其外包人員進(jìn)行背景調(diào)查，確保其過往無(wú)不良記錄。重要非駐場(chǎng)及跨境供應(yīng)商管理:重要非駐場(chǎng)供應(yīng)商是指供應(yīng)商不在銀行業(yè)銀行等金融機(jī)構(gòu)現(xiàn)場(chǎng)提供服務(wù)的重要供應(yīng)商。對(duì)于符合以上標(biāo)注的供應(yīng)商，應(yīng)進(jìn)行定時(shí)實(shí)地考察（實(shí)地檢查原則上一年不少于一次，檢查結(jié)果作為供應(yīng)商項(xiàng)目考核及準(zhǔn)入的重要指標(biāo)),建立有針對(duì)性的管理要求，并加強(qiáng)對(duì)其內(nèi)部監(jiān)控、質(zhì)量管理、信息安全等方面的有效性評(píng)估?？缇彻?yīng)商是指在境外其他國(guó)家或地區(qū)實(shí)施信息科技外包服務(wù)活動(dòng)的供應(yīng)商。對(duì)于此類供應(yīng)商，應(yīng)對(duì)其所在國(guó)家或地區(qū)的經(jīng)濟(jì)、政治、社會(huì)情形進(jìn)行延續(xù)監(jiān)控，關(guān)注跨境供應(yīng)商所在國(guó)家或地區(qū)的法律法規(guī)、監(jiān)管要求，同時(shí)加強(qiáng)對(duì)跨境外包服務(wù)的客戶信息保護(hù)(跨境供應(yīng)商客戶信息保護(hù)保護(hù)能力為選擇的重要指標(biāo))。第六章IT外包項(xiàng)目管理分行信息技術(shù)部負(fù)責(zé)在總行信息技術(shù)部的指導(dǎo)下開展外包項(xiàng)目實(shí)施管理工作,包括外包項(xiàng)目決策、外包服務(wù)監(jiān)控、知識(shí)管理以及項(xiàng)目驗(yàn)收。第一節(jié)項(xiàng)目決策信息科技外包項(xiàng)決策前,分行信息技術(shù)部應(yīng)查閱總行操作風(fēng)險(xiǎn)管理部編制的外包業(yè)務(wù)目錄,審慎確定擬外包項(xiàng)目是否屬于我行允許的外包業(yè)務(wù)范圍。如未納入外包業(yè)務(wù)目錄，應(yīng)依照《**銀行股份有限公司外包管理辦法》履行申請(qǐng)新增外包業(yè)務(wù)品種;屬于我行允許的外包業(yè)務(wù)范圍的，應(yīng)依照《**銀行股份有限公司外包管理辦法》中關(guān)于我行外包決策的審批權(quán)限進(jìn)行審批。分行擬外包項(xiàng)目滿足如下情形之一時(shí)，分行信息技術(shù)部應(yīng)將項(xiàng)目實(shí)施方案（包括技術(shù)可行性分析、外包風(fēng)險(xiǎn)評(píng)估與處置分析）,提交總行信息技術(shù)部審批。預(yù)算金額超過12０萬(wàn)人民幣的信息科技外包項(xiàng)目；分行信息技術(shù)部實(shí)施以下重要信息科技外包時(shí),信息科技工作整體外包;數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包；涉及將銀行業(yè)銀行等金融機(jī)構(gòu)客戶資料文件資料、交易數(shù)據(jù)等敏感信息交由供應(yīng)商進(jìn)行分析或處理的信息科技外包;以非駐場(chǎng)形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包；關(guān)聯(lián)外包；涉及跨境的信息科技外包；在評(píng)估階段被我行認(rèn)為是高風(fēng)險(xiǎn)級(jí)別的其他信息科技外包;其他銀監(jiān)會(huì)認(rèn)為重要的信息科技外包；其他總行信息技術(shù)部認(rèn)為重要的信息科技外包。分行信息技術(shù)部進(jìn)行外包項(xiàng)目決策時(shí)，應(yīng)充份評(píng)估外包風(fēng)險(xiǎn),需考慮因素應(yīng)包括:（參照總行信息技術(shù)部IＴ外包項(xiàng)目決策管理有關(guān)資料文件執(zhí)行）:外購(gòu)分析因素:＊場(chǎng)成熟度、法律風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、國(guó)別風(fēng)險(xiǎn)以及其他特殊風(fēng)險(xiǎn);價(jià)值因素：聲譽(yù)、創(chuàng)新、人才培養(yǎng)和人員配置。第二節(jié)采購(gòu)以及協(xié)議管理完設(shè)立項(xiàng)審批的信息科技外包項(xiàng)目，已達(dá)到我行集中采購(gòu)規(guī)定條件的，分行信息技術(shù)部采購(gòu)管理部門應(yīng)及時(shí)將采購(gòu)需求報(bào)采購(gòu)管理部，由其組織實(shí)施集中采購(gòu)并確定合格供應(yīng)商。未達(dá)到我行集中采購(gòu)規(guī)定條件的，由分行信息技術(shù)部采購(gòu)管理部門依照我行采購(gòu)管理辦法自行組織采購(gòu)并確定合格供應(yīng)商。實(shí)施信息科技外包服務(wù)前,分行信息技術(shù)部應(yīng)當(dāng)與供應(yīng)商簽訂協(xié)議,協(xié)議應(yīng)依據(jù)有關(guān)外包服務(wù)需求、風(fēng)險(xiǎn)評(píng)估及資質(zhì)評(píng)估結(jié)果確定其詳盡程度和重點(diǎn),并由法律與合規(guī)部、IＴ外包管理部門審核。對(duì)我行已擬定外包協(xié)議標(biāo)準(zhǔn)文本或范本的,原則上應(yīng)使用我行標(biāo)準(zhǔn)協(xié)議文本或范本。對(duì)我行協(xié)議標(biāo)準(zhǔn)文本或范本條款的修改應(yīng)報(bào)法律與合規(guī)部審查。協(xié)議中應(yīng)當(dāng)明確以下內(nèi)容,包括（但不限于）：服務(wù)范圍、服務(wù)內(nèi)容、工作時(shí)限、責(zé)任分配、交付物要求；合規(guī)與內(nèi)控要求,對(duì)法律法規(guī)及分行信息技術(shù)部?jī)?nèi)部管理制度的遵從要求、監(jiān)管政策的通報(bào)貫徹機(jī)制、供應(yīng)商的內(nèi)控措施；服務(wù)連續(xù)性要求,供應(yīng)商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足分行信息技術(shù)部業(yè)務(wù)連續(xù)性目標(biāo)要求；我行監(jiān)控和檢查的權(quán)力、頻率，以及供應(yīng)商協(xié)助配合我行內(nèi)、外部審計(jì)機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)檢查的責(zé)任；政策或環(huán)境變化因素等在內(nèi)的協(xié)議變更或終止的觸發(fā)條件，供應(yīng)商在過渡期間應(yīng)該履行的主要職責(zé)及協(xié)議變更或終止的過渡安排,包括信息、資料文件資料和設(shè)備的交接處置等過渡期間有關(guān)服務(wù)的安排；外包服務(wù)過程中造成或產(chǎn)生、加工、交互的信息和知識(shí)所有權(quán)的歸屬權(quán)以及允許供應(yīng)商使用的內(nèi)容及范圍、對(duì)供應(yīng)商使用合法軟、硬件產(chǎn)品的要求;服務(wù)要求或服務(wù)水平條款，應(yīng)至少包含如下內(nèi)容:外包服務(wù)的關(guān)鍵要素、服務(wù)時(shí)效和可用性、數(shù)據(jù)的秘密性和完整性要求、變更的監(jiān)控、安全標(biāo)準(zhǔn)及業(yè)務(wù)連續(xù)性要求的遵守情形、技術(shù)支持水平等;外包爭(zhēng)端的解決機(jī)制、違約及賠償條款，括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識(shí)所有權(quán)違約等，及在各種違約情形下的賠償以及外包爭(zhēng)端的解決機(jī)制。報(bào)告條款,至少包含如下內(nèi)容:常規(guī)報(bào)告內(nèi)容和報(bào)告頻度、突發(fā)事件時(shí)報(bào)告路線、報(bào)告方式及時(shí)限要求；協(xié)議中應(yīng)當(dāng)明確供應(yīng)商在安全和保密方面的責(zé)任，以及針對(duì)信息安全及保密性要求需采取的詳細(xì)措施，包括(但不限于)：禁止供應(yīng)商在協(xié)議允許范圍外使用或者披露分行信息技術(shù)部的信息,以防止信息被非授權(quán)使用;在協(xié)議或協(xié)議中商定供應(yīng)商對(duì)銀行客戶信息安全和銀行客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款;在協(xié)議或協(xié)議中商定供應(yīng)商不得以所服務(wù)的分行信息技術(shù)部名義開展活動(dòng);供應(yīng)商接觸分行信息技術(shù)部信息時(shí)，需滿足安全和保密有關(guān)條款的要求；在發(fā)生銀監(jiān)會(huì)規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險(xiǎn)類突發(fā)事件時(shí),供應(yīng)商應(yīng)及時(shí)向分行信息技術(shù)部報(bào)告，包括事件的影響以及處置和更正糾正措施。分行信息技術(shù)部應(yīng)安排供應(yīng)商簽訂保密承諾或在協(xié)議中簽訂保密條款,供應(yīng)商需在承諾書承諾：依據(jù)有關(guān)我行要求以書面認(rèn)可的方式及時(shí)整改檢查中發(fā)現(xiàn)的問題;保障銀行客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，我行有權(quán)隨時(shí)終止外包協(xié)議。協(xié)議中應(yīng)當(dāng)明確要求供應(yīng)商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時(shí)應(yīng)當(dāng)要求：不得將外包服務(wù)的主要業(yè)務(wù)分包;主供應(yīng)商對(duì)服務(wù)水平負(fù)總責(zé),確保分包供應(yīng)商能夠嚴(yán)格遵守外包協(xié)議或協(xié)議;主供應(yīng)商對(duì)分包商進(jìn)行監(jiān)控,并對(duì)分包商的變更履行通知或報(bào)告審批義務(wù)。第三節(jié)項(xiàng)目實(shí)施管理信息科技外包以項(xiàng)目為單位實(shí)施管理,詳細(xì)管理工作由外包項(xiàng)目經(jīng)理(或項(xiàng)目負(fù)責(zé)人）承擔(dān)項(xiàng)目質(zhì)量管理、進(jìn)度管理、及有關(guān)溝通協(xié)調(diào)溝通責(zé)任。應(yīng)擬定外包項(xiàng)目的開展計(jì)劃，對(duì)項(xiàng)目進(jìn)行基本分工,明確各生命周期階段的里程碑與交付品,擬定項(xiàng)目進(jìn)度計(jì)劃,確定各階段供應(yīng)商及項(xiàng)目管理部門的負(fù)責(zé)人，建立供應(yīng)商與項(xiàng)目管理部門負(fù)責(zé)人及關(guān)鍵人員的溝通機(jī)制，并將計(jì)劃交由需求室進(jìn)行審批。發(fā)生項(xiàng)目（范圍、人員、資源等）變更時(shí),應(yīng)對(duì)發(fā)生變更的原因進(jìn)行分析,并由相應(yīng)管理層進(jìn)行審批。應(yīng)該建立明確的服務(wù)目錄,服務(wù)水平協(xié)議以及服務(wù)水平監(jiān)控評(píng)估機(jī)制,依據(jù)有關(guān)信息科技的外包需求、協(xié)議、服務(wù)水平協(xié)議等建立明確的服務(wù)質(zhì)量監(jiān)控指標(biāo)，對(duì)重要IT外包服務(wù)進(jìn)行相應(yīng)的監(jiān)控并確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)估結(jié)果的真實(shí)性和完整性，數(shù)據(jù)至少需保存到服務(wù)終止后一年?？赏ㄟ^組織討論會(huì)、安排供應(yīng)商與信息科技外包項(xiàng)目管理人員對(duì)外包項(xiàng)目的進(jìn)度進(jìn)行溝通、安排專人對(duì)外包管理人員進(jìn)行培訓(xùn)等形式加強(qiáng)知識(shí)轉(zhuǎn)移，有針對(duì)性地提升信息科技外包管理人員的管理及技術(shù)能力,降低對(duì)供應(yīng)商的依賴。建立適當(dāng)?shù)闹R(shí)轉(zhuǎn)移考核指標(biāo),驗(yàn)證知識(shí)轉(zhuǎn)移的實(shí)現(xiàn)效果。第四節(jié)交付物驗(yàn)收和管理驗(yàn)收小組應(yīng)依照協(xié)議中項(xiàng)目接收和轉(zhuǎn)移的有關(guān)規(guī)定,組織有關(guān)人員貫徹好文檔移交、技術(shù)轉(zhuǎn)移以及知識(shí)轉(zhuǎn)移等工作，依據(jù)有關(guān)服務(wù)水平協(xié)議中定義的階段性和最終驗(yàn)收時(shí)點(diǎn)開展項(xiàng)目驗(yàn)收,確定供應(yīng)商交付的產(chǎn)品或提供的服務(wù)，以及驗(yàn)收標(biāo)準(zhǔn)。分行信息技術(shù)部負(fù)責(zé)依據(jù)有關(guān)總行信息技術(shù)部的有關(guān)要求（驗(yàn)收標(biāo)準(zhǔn)參照總行信息技術(shù)部ＳLA管理有關(guān)資料文件執(zhí)行），擬定驗(yàn)收流程和實(shí)施細(xì)則,組織開展驗(yàn)收,依據(jù)有關(guān)驗(yàn)收結(jié)果和協(xié)議要求，組織開展付款工作,對(duì)于項(xiàng)目交付成果與服務(wù)水平協(xié)議出現(xiàn)差異的情形,應(yīng)對(duì)供應(yīng)商交付物進(jìn)行管理、矯正與再驗(yàn)收,確保差異均被處理；由驗(yàn)收差異對(duì)我行造成的損失,依照協(xié)議要求其進(jìn)行賠償。第八章外包人員管理分行信息技術(shù)部應(yīng)建立信息科技外包人員管理規(guī)范（包括資質(zhì)考核、背景調(diào)查、進(jìn)退場(chǎng)、考勤、加班、績(jī)效考核、離職、釋放以及安全合規(guī)檢查管理等)，由項(xiàng)目管理部門依據(jù)管理規(guī)范對(duì)外包人員進(jìn)行管理。外包人員選擇(項(xiàng)目外包人員／人力外包人員適用):分行信息技術(shù)部應(yīng)提出IT項(xiàng)目人力外包人員的資質(zhì)能力要求,通過面試、筆試等形式選定外包人員，對(duì)于重要項(xiàng)目的外包人員,應(yīng)要求供應(yīng)商對(duì)其進(jìn)行背景調(diào)查，確保其過往無(wú)不良記錄。外包人員進(jìn)場(chǎng)管理（項(xiàng)目外包人員／人力外包人員適用):分行信息技術(shù)部負(fù)責(zé)擬定外包人員進(jìn)場(chǎng)審批流程,負(fù)責(zé)外包人員的信息收集、進(jìn)場(chǎng)審批、保密和資源發(fā)放等。分行信息技術(shù)部可依據(jù)有關(guān)項(xiàng)目詳細(xì)情形與供應(yīng)商商定ＩT項(xiàng)目外包人員的試用期,對(duì)外包人員服務(wù)質(zhì)量進(jìn)行監(jiān)督。外包人員駐場(chǎng)管理(項(xiàng)目外包人員／人力外包人員適用)：分行信息技術(shù)部負(fù)責(zé)擬定ＩＴ項(xiàng)目外包人職工或員工作紀(jì)律要求,并實(shí)施檢查。人員考勤管理（項(xiàng)目外包人員/人力外包人員適用）：應(yīng)對(duì)駐場(chǎng)外包人員實(shí)施電子考勤或紙質(zhì)考勤，外包人員應(yīng)依據(jù)有關(guān)**銀行與供應(yīng)商的商定工作時(shí)間到場(chǎng)工作，不得遲到、早退或曠工。加班／請(qǐng)假/離職管理（人力外包人員適用）：規(guī)范人力外包人員加班/請(qǐng)假/離職管理流程，記錄加班/請(qǐng)假/離職信息。人員培訓(xùn)管理(項(xiàng)目外包人員/人力外包人員適用):分行信息技術(shù)部應(yīng)對(duì)外包人員進(jìn)行到到崗培訓(xùn)、信息安全培訓(xùn)以及技能類培訓(xùn)。人力外包人員變更(人力外包人員適用）:級(jí)別變更:建立級(jí)別變更流程,依據(jù)有關(guān)人員在工作中的態(tài)度、技能的提升,對(duì)職業(yè)發(fā)展的預(yù)期和績(jī)效考核結(jié)果,對(duì)其協(xié)議級(jí)別進(jìn)行調(diào)整以符合其定位過程。部室變更：建立外包人員部室變更機(jī)制，依據(jù)有關(guān)各部室對(duì)外包人員的需求變化,在部室間合理調(diào)配外包人力資源，已滿足兩個(gè)部室用人需求。外包人員考核(項(xiàng)目外包人員／人力外包人員適用）：分行信息技術(shù)部負(fù)責(zé)依據(jù)有關(guān)協(xié)議中對(duì)外包人員的要求,組織分行關(guān)于處室開展外包人員考核工作。分行信息技術(shù)部可依據(jù)有關(guān)外包人員考核結(jié)果,對(duì)其進(jìn)行獎(jiǎng)勵(lì)或懲罰，對(duì)于不稱職的外包人員，責(zé)成供應(yīng)商更換人員。外包人員退場(chǎng)管理（項(xiàng)目外包人員/人力外包人員適用):分行信息技術(shù)部負(fù)責(zé)擬定外包人員退場(chǎng)審批流程,負(fù)責(zé)外包人員資源釋放以及訪問權(quán)限回收。第九章外包服務(wù)安全管理分行信息技術(shù)部應(yīng)依據(jù)總行信息技術(shù)部外包服務(wù)安全管理要求和指導(dǎo)原則,并結(jié)合總行下發(fā)的信息安全管理關(guān)于規(guī)定，擬定和貫徹信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)備遭受破壞等風(fēng)險(xiǎn)。詳細(xì)措施包括:對(duì)外包人員進(jìn)行信息安全培訓(xùn)，提升風(fēng)險(xiǎn)管理意識(shí)，確保信息安全管控措施在外包服務(wù)過程中有效貫徹；明確外包活動(dòng)需要訪問或使用的信息資產(chǎn),包括場(chǎng)地、辦公設(shè)備、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問監(jiān)控設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問授權(quán)；對(duì)重要或核心的信息系統(tǒng)開發(fā)交付物進(jìn)行源代碼檢查和安全掃描;定時(shí)對(duì)供應(yīng)商進(jìn)行安全檢查,獲取供應(yīng)商自評(píng)估或第三方評(píng)估報(bào)告。分行信息技術(shù)部對(duì)關(guān)聯(lián)外包供應(yīng)商定時(shí)進(jìn)行的安全檢查，不得以供應(yīng)商的自評(píng)估替代。分行信息技術(shù)部應(yīng)當(dāng)關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊,及時(shí)完善信息安全管控體系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。第十章ＩT外包服務(wù)應(yīng)急管理為降低外包突發(fā)事件的可能性及影響,分行信息技術(shù)部應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)監(jiān)控、緩釋或轉(zhuǎn)移措施（參照總行信息技術(shù)部IT外包服務(wù)應(yīng)急管理有關(guān)資料文件執(zhí)行），包括(但不限于)以下內(nèi)容:在外包服務(wù)實(shí)施過程中延續(xù)收集供應(yīng)商有關(guān)信息,盡早發(fā)現(xiàn)可能致使服務(wù)中斷的情形;與供應(yīng)商事先商定在其服務(wù)質(zhì)量未能滿足協(xié)議要求的情形下獲取其外包服務(wù)資源的優(yōu)先權(quán)；要求供應(yīng)商擬定服務(wù)中斷有關(guān)的應(yīng)急處理預(yù)案，如提供備份人員;對(duì)于涉及重要業(yè)務(wù)的外包服務(wù)，分行信息技術(shù)部需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力