銀行總行信息技術(shù)部信息科技外包管理實(shí)施細(xì)則模版

**銀行總行信息技術(shù)部信息科技外包管理實(shí)施細(xì)則第一章總則為加強(qiáng)**銀行(以下簡稱“我行”）信息科技外包管理，規(guī)范總行信息技術(shù)部各類信息科技外包活動(dòng)以及明確各外包活動(dòng)職責(zé)與分工,降低信息科技外包引發(fā)的風(fēng)險(xiǎn),依據(jù)有關(guān)銀監(jiān)會(huì)《銀行業(yè)銀行等金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》(銀監(jiān)發(fā)［＊]5號(hào)）等監(jiān)管要求,以及《**銀行信息科技外包管理指引》，擬定本細(xì)則。信息科技外包是指我行將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給信息科技外包供應(yīng)商（以下簡稱“供應(yīng)商”)進(jìn)行處理的行為,包含項(xiàng)目外包、人力外包等形式,包括開發(fā)(子領(lǐng)域包括：軟件開發(fā)、硬件開發(fā)、測(cè)試)、運(yùn)維（子領(lǐng)域包括:基礎(chǔ)設(shè)備運(yùn)維、桌面運(yùn)維、應(yīng)用運(yùn)維、服務(wù)臺(tái))、咨詢、人力外包等類型（有關(guān)類型定義請(qǐng)見《**銀行信息科技外包管理指引》)。第二章組織分工與職責(zé)“IＴ外包管理改進(jìn)組”(簡稱ＯMＩＧ)為組織級(jí)IT外包改進(jìn)管理組織，是一個(gè)總行信息技術(shù)部內(nèi)跨條線、跨領(lǐng)域的虛擬組織,作為常設(shè)的“IT外包立法監(jiān)督”機(jī)構(gòu)，承擔(dān)“IT外包管理體系”的建設(shè)、維護(hù)和監(jiān)督工作。OMＩＧ成員包括外包管理室、運(yùn)行調(diào)度室、安全管理室、設(shè)備室、桌面運(yùn)維管理組、安全內(nèi)控室等ＩT外包管理有關(guān)室組，由×××（待定)牽頭組織溝通協(xié)調(diào)OMＩG的日常工作。ＯMIG的主要職責(zé)包括:統(tǒng)籌管理總行信息技術(shù)部的IＴ外包管理工作；建立IT外包管理體系，擬定IT外包管理有關(guān)策略;維護(hù)和延續(xù)改進(jìn)IT外包管理體系;監(jiān)督IT外包管理體系的落地?？傂行畔⒓夹g(shù)部IT外包管理執(zhí)行團(tuán)隊(duì)及職責(zé)主要包括:外包管理室以及運(yùn)行調(diào)度室:作為外包過程管理部門,主要職責(zé)包括供應(yīng)商日常管理，包括供應(yīng)商技術(shù)準(zhǔn)入、評(píng)估、關(guān)系以及退出管理等；設(shè)備室:作為外包采購管理主管部門，主要職責(zé)包括供應(yīng)商采購管理以及商務(wù)準(zhǔn)入管理；安全管理室以及桌面運(yùn)維管理組：為外包安全管理主管部門,其中安全管理室主要職責(zé)包括實(shí)現(xiàn)外包安全要求,桌面運(yùn)維管理組主要職責(zé)包括執(zhí)行與檢查外包管理要求?？傂行畔⒓夹g(shù)部ＩＴ外包風(fēng)險(xiǎn)管理主管部門為安全內(nèi)控室,主要負(fù)責(zé)對(duì)外包風(fēng)險(xiǎn)進(jìn)行牽頭管理，并支持與協(xié)助配合總行操作風(fēng)險(xiǎn)管理部的工作?？傂行畔⒓夹g(shù)部IT外包管理協(xié)助配合團(tuán)隊(duì)及職責(zé)主要包括:項(xiàng)目實(shí)施部門:使用外包商進(jìn)行信息化建設(shè)或服務(wù)的部門為項(xiàng)目實(shí)施部門,負(fù)責(zé)對(duì)供應(yīng)商日常行為進(jìn)行監(jiān)控,并向外包主管部門上報(bào)外包商違規(guī)行為，并協(xié)助配合外包主管部門執(zhí)行外包管理所有日常工作,如評(píng)估管理、關(guān)系管理、資源管理等；需求部門:提出信息化建設(shè)或服務(wù)需求的部門為需求部門,主要負(fù)責(zé)協(xié)助配合外包主管部門執(zhí)行外包管理所有日常工作,如評(píng)估管理、準(zhǔn)入管理等。第三章外包策略管理ＯMIG為ＩＴ外包策略的牽頭管理組織，負(fù)責(zé)建立并維護(hù)我行IT外包管理基本策略。第四章外包風(fēng)險(xiǎn)管理安全內(nèi)控室為外包風(fēng)險(xiǎn)管理牽頭部門,主要職責(zé)包括：擬定ＩT外包風(fēng)險(xiǎn)管理策略;擬定并審議IT外包管理流程及制度;牽頭對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示;監(jiān)督、評(píng)估外包管理工作，并督促外包風(fēng)險(xiǎn)管理的處置與延續(xù)改善;向高級(jí)管理層定時(shí)報(bào)告IＴ外包服務(wù)開展有關(guān)風(fēng)險(xiǎn)管理情形。外包管理室、運(yùn)行調(diào)度室、系統(tǒng)支持室、安全管理室、項(xiàng)目實(shí)施團(tuán)隊(duì)等為外包風(fēng)險(xiǎn)管理協(xié)助配合部門,負(fù)責(zé)協(xié)助配合外包風(fēng)險(xiǎn)管理牽頭部門進(jìn)行外包風(fēng)險(xiǎn)管理工作。主要職責(zé)包括:執(zhí)行IT外包風(fēng)險(xiǎn)管理策略;執(zhí)行外包風(fēng)險(xiǎn)的識(shí)別、評(píng)估與處置工作,監(jiān)督與推進(jìn)外包服務(wù)執(zhí)行的合規(guī)性；對(duì)外包服務(wù)的風(fēng)險(xiǎn)管理進(jìn)行分析，定時(shí)向外包風(fēng)險(xiǎn)管理方報(bào)告外包服務(wù)情形。第五章供應(yīng)商管理第一節(jié)供應(yīng)商準(zhǔn)入管理總行信息技術(shù)部設(shè)備室為本行外包商準(zhǔn)入管理牽頭部門，主要職責(zé)包括:建立并定時(shí)完善外包商準(zhǔn)入與退出管理機(jī)制；組織并實(shí)施外包商的商務(wù)準(zhǔn)入資格／資質(zhì)審核;實(shí)施重要外包商的盡職調(diào)查;信息技術(shù)部外包管理室與運(yùn)行調(diào)度室為本行外包商準(zhǔn)入管理執(zhí)行部門，負(fù)責(zé)執(zhí)行外包商關(guān)系管理工作，主要職責(zé)包括:組織并實(shí)施外包商的技術(shù)準(zhǔn)入資格／資質(zhì)審核;組織重要外包商的盡職調(diào)查;組織并實(shí)施外包商的退出管理。項(xiàng)目實(shí)施部門主要負(fù)責(zé)和參加以下外包商管理工作：溝通協(xié)調(diào)有關(guān)外包商參加準(zhǔn)入評(píng)估工作;對(duì)外包商協(xié)議的執(zhí)行情形進(jìn)行監(jiān)督；對(duì)外包商實(shí)施退出管理；對(duì)外包商的風(fēng)險(xiǎn)事件及違規(guī)事件進(jìn)行報(bào)告及跟蹤處理；負(fù)責(zé)監(jiān)督外包商執(zhí)行整改計(jì)劃。項(xiàng)目實(shí)施部門在外包商管理的詳細(xì)工作由項(xiàng)目經(jīng)理執(zhí)行。詳盡職責(zé)分工和工作流程請(qǐng)參見IT外包商準(zhǔn)入管理有關(guān)實(shí)施細(xì)則。第二節(jié)供應(yīng)商評(píng)估管理設(shè)備室為IT外包商評(píng)估管理牽頭部門,負(fù)責(zé)組織外包商評(píng)估工作,并保證評(píng)估的順利實(shí)施,主要職責(zé)包括：建立并維護(hù)ＩＴ外包商評(píng)估體系;牽頭發(fā)起評(píng)估工作；溝通協(xié)調(diào)各有關(guān)部門協(xié)助配合、參加評(píng)估；組織貫徹相應(yīng)獎(jiǎng)懲措施。信息技術(shù)部外包管理室與運(yùn)行調(diào)度室為本行外包商評(píng)估執(zhí)行部門,負(fù)責(zé)執(zhí)行外包商評(píng)估工作，并保證評(píng)估的順利實(shí)施，主要職責(zé)包括:收集評(píng)估所需要的有關(guān)信息；在評(píng)估過程中,履行相應(yīng)考核評(píng)分工作;向本行外包商評(píng)估管理牽頭部門報(bào)告評(píng)估結(jié)果；協(xié)助本行外包商評(píng)估管理牽頭部門貫徹相應(yīng)獎(jiǎng)懲措施。供應(yīng)商使用部門主要職責(zé)包括：在日常的項(xiàng)目（任務(wù))進(jìn)行過程中監(jiān)督并上報(bào)外包商有關(guān)風(fēng)險(xiǎn)合規(guī)情形。在評(píng)估過程中，選擇項(xiàng)目相應(yīng)答題人，并履行有關(guān)考核評(píng)分工作。綜合管理部門、業(yè)務(wù)需求管理部門、用戶的職責(zé)為：在年度評(píng)估過程中，履行有關(guān)考核評(píng)分工作。詳盡職責(zé)分工和工作流程請(qǐng)參見IT外包商評(píng)估管理有關(guān)實(shí)施細(xì)則。第三節(jié)供應(yīng)商關(guān)系管理設(shè)備室為ＩT外包商關(guān)系管理牽頭部門，負(fù)責(zé)組織外包商關(guān)系管理工作,主要職責(zé)包括：建立并維護(hù)我行外包商關(guān)系管理策略，并針對(duì)每一種關(guān)系類型擬定相應(yīng)的管理措施；監(jiān)督外包商關(guān)系管理措施及外包商分級(jí)差異化管控措施的貫徹；溝通協(xié)調(diào)各有關(guān)部門協(xié)助配合、參加外包商關(guān)系管理；信息技術(shù)部外包管理室與運(yùn)行調(diào)度室為本行外包商關(guān)系管理執(zhí)行部門,負(fù)責(zé)執(zhí)行外包商關(guān)系管理工作，主要職責(zé)包括：在外包商關(guān)系管牽頭理部門組織下,定時(shí)更新和維護(hù)外包商關(guān)系；定時(shí)發(fā)布外包商關(guān)系劃分及分級(jí)結(jié)果;貫徹所有關(guān)系管理措施?！肮?yīng)商使用部門”指使用外包商資源進(jìn)行信息科技建設(shè)的部門，主要職責(zé)包括：在外包商日常的項(xiàng)目(任務(wù)）進(jìn)行過程中監(jiān)督并上報(bào)外包商有關(guān)風(fēng)險(xiǎn)合規(guī)情形；提供外包商關(guān)系管理評(píng)估建議及評(píng)估數(shù)據(jù)。詳盡職責(zé)分工和工作流程請(qǐng)參見IT外包商關(guān)系管理有關(guān)實(shí)施細(xì)則。第六章項(xiàng)目管理IT外包項(xiàng)目管理遵守總行信息技術(shù)部項(xiàng)目管理有關(guān)流程執(zhí)行。總行信息技術(shù)部外包管理室與運(yùn)行調(diào)度室為本行外包項(xiàng)目決策管理執(zhí)行部門，負(fù)責(zé)組織并執(zhí)行外包決策,主要職責(zé)包括受理外包需求、對(duì)外包進(jìn)行可行性評(píng)估和外包風(fēng)險(xiǎn)提示。第七章外包安全管理總行信息技術(shù)部安全管理室為本行外包商安全管理部門，負(fù)責(zé)組織外包商信息安全管理工作，并保證安全的順利實(shí)施,主要職責(zé)包括:負(fù)責(zé)擬定ＩT外包安全管理方案,并組織實(shí)施；負(fù)責(zé)建立IT外包安全事件應(yīng)急處理機(jī)制，包括管理組織、報(bào)告路線、處置方案等;負(fù)責(zé)組織調(diào)查并處理IT外包重大安全事故,提出整改或補(bǔ)救措施，并監(jiān)督執(zhí)行;及時(shí)研究、分析IT外包安全事件,提出預(yù)防措施;溝通協(xié)調(diào)信息安全組織內(nèi)部，以及和其他部門的工作。總行信息技術(shù)部運(yùn)行調(diào)度室、外包管理室為本行外包商安全管理協(xié)助部門,主要職責(zé)包括：提出IT外包安全管理要求,并驗(yàn)證實(shí)施方案是否滿足要求；協(xié)助配合ＩT外包安全事件的調(diào)查,并協(xié)助進(jìn)行處理;組織開展提升IT外包商安全意識(shí)的有關(guān)措施。總行信息技術(shù)部安全內(nèi)控室為本行外包商安全監(jiān)督部門，主要職責(zé)包括：擬定內(nèi)部檢查計(jì)劃，定時(shí)對(duì)外包商進(jìn)行信息安全檢查，輸出評(píng)估報(bào)告和整改建議;負(fù)責(zé)協(xié)助配合外包商安全內(nèi)外部審計(jì)工作。如下各室組為IT外包安全管理執(zhí)行部門，負(fù)責(zé)對(duì)本規(guī)定有關(guān)條款的貫徹和執(zhí)行,識(shí)別外包商信息安全風(fēng)險(xiǎn),實(shí)施對(duì)外包人員信息安全風(fēng)險(xiǎn)的管控：總行信息技術(shù)部綜合管理室應(yīng)負(fù)責(zé)外包商的場(chǎng)地管理、以及物理安全管理；總行信息技術(shù)部安全管理室與網(wǎng)絡(luò)管理室應(yīng)負(fù)責(zé)外包商的網(wǎng)絡(luò)安全管理;桌面運(yùn)維管理組：執(zhí)行并檢查外包安全管理要求;外包商使用部門:負(fù)責(zé)執(zhí)行提升外包商安全意識(shí)的有關(guān)措施；負(fù)責(zé)執(zhí)行外包商日常安全管理工作;協(xié)助配合執(zhí)行外包安全事件應(yīng)急處理；協(xié)助配合外包安全檢查和審計(jì)工作。詳盡職責(zé)分工和工作流程請(qǐng)參見IT外包安全管理有關(guān)指引。第八章人員管理信息技術(shù)部外包管理室為IT人力外包人員管理牽頭部門,負(fù)責(zé)組織外包人員管理工作。詳盡職責(zé)分工和工作流程請(qǐng)參見《**銀行人力外包運(yùn)營過程資料文件》。第九章外包應(yīng)急管理總行信息技術(shù)部外包管理室為開發(fā)領(lǐng)域IＴ外包服務(wù)中斷應(yīng)急管理牽頭部門,主要職責(zé)包括：制訂開發(fā)領(lǐng)域ＩＴ外包服務(wù)中斷組織級(jí)應(yīng)急響應(yīng)預(yù)案;制訂開發(fā)領(lǐng)域IT外包服務(wù)中斷組織級(jí)年度演練計(jì)劃,組織開展應(yīng)急演練；檢查開發(fā)領(lǐng)域IＴ外包突發(fā)事件應(yīng)急演練及應(yīng)急處置結(jié)果。總行信息技術(shù)部運(yùn)行調(diào)度室為運(yùn)行領(lǐng)域IT外包服務(wù)中斷應(yīng)急管理牽頭部門,主要職責(zé)包括：制訂運(yùn)行領(lǐng)域IＴ外包服務(wù)中斷組織級(jí)年度演練計(jì)劃,組織開展應(yīng)急演練；檢查運(yùn)行領(lǐng)域ＩT外包突發(fā)事件應(yīng)急演練及應(yīng)急處置結(jié)果。總行信息技術(shù)部BCP條線為運(yùn)行中心IT外包服務(wù)中斷應(yīng)急管理牽頭部門，主要職責(zé)為制訂運(yùn)行中心ＩＴ外包服務(wù)中斷組織級(jí)應(yīng)急響應(yīng)預(yù)案