銀行科技外包服務(wù)管理辦法

銀行科技外包服務(wù)管理辦法第一章總則第一條為加強和規(guī)范全省銀行系統(tǒng)科技外包服務(wù)管理，根據(jù)《銀行信息系統(tǒng)信息安全等級保護(hù)實施指引（試行）》（銀發(fā)〔2011〕173號）、《銀行計算機系統(tǒng)信息安全管理規(guī)定》（銀發(fā)〔2010〕276號）等規(guī)定，特制定本辦法。第二條本辦法所指科技外包服務(wù)（以下簡稱外包）是指外包服務(wù)提供商（以下簡稱外包商）為銀行內(nèi)部網(wǎng)絡(luò)和計算機系統(tǒng)提供的技術(shù)支持、咨詢等服務(wù)。第三條本辦法適用于銀行機關(guān)、營管部、省內(nèi)各地市中心支行及縣（市）支行（以下統(tǒng)稱各單位）。第二章組織機構(gòu)第四條各單位科技部門負(fù)責(zé)制定外包的風(fēng)險管理框架以及相關(guān)制度，并將其納入全面風(fēng)險管理體系。第五條夕卜包管理團隊?wèi)?yīng)至少包含需求牽頭部門和科技部門人員各一名，如需求由科技部門牽頭，則科技部門雙人以上負(fù)責(zé)。第六條夕卜包管理團隊的職責(zé)主要包括以下方面：（一） 執(zhí)行外包管理的各項內(nèi)控制度；（二） 負(fù)責(zé)外包活動的日常管理，包括盡職調(diào)查、合同執(zhí)行情況的監(jiān)督及風(fēng)險狀況的監(jiān)督；（三） 在發(fā)現(xiàn)外包商的業(yè)務(wù)活動存在缺陷時，采取及時有效的措施；（四） 其他相關(guān)職責(zé)。第三章夕卜包準(zhǔn)備與決策第七條進(jìn)行外包活動前，應(yīng)考慮以下風(fēng)險因素：（一） 夕卜包活動的戰(zhàn)略風(fēng)險、法律風(fēng)險、聲譽風(fēng)險、合規(guī)風(fēng)險、操作風(fēng)險等；（二） 影響外包活動的夕陪陋素；（三） 對外包活動的風(fēng)險管控能力；（四） 夕卜包商的資質(zhì)認(rèn)證、技術(shù)及專業(yè)能力，業(yè)務(wù)策略和業(yè)務(wù)規(guī)模，業(yè)務(wù)連續(xù)性及破產(chǎn)風(fēng)險，風(fēng)險控制能力及外包服務(wù)的集中度，快速服務(wù)響應(yīng)和故障處理能力；（五） 應(yīng)確保安全外包商的選擇符合國家的有關(guān)規(guī)定，涉密計算機系統(tǒng)集成商應(yīng)選擇具有國家相關(guān)部門頒發(fā)的涉密系統(tǒng)集成資質(zhì)證書的單位；（六） 其他相關(guān)事項。第八條在與外包商合同談判過程中，應(yīng)考慮以下風(fēng)險因素:（一） 對外包商的報告要求和談判必要條件；（二） 通過界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)銀行信息；（三） 擔(dān)保和損失賠償是否充足；（四） 外包商遵守銀行有關(guān)信息科技風(fēng)險制度和流程的意愿及相關(guān)措施；（五） 夕卜包商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專屬資源的承諾;（六） 第三方供應(yīng)商出現(xiàn)問題時，保證服務(wù)持續(xù)可用的相關(guān)措施；（七） 變更外包協(xié)議的流程，以及變更或終止外包協(xié)議的條件，包括：外卜包商的所有權(quán)或控制權(quán)發(fā)生變化；2.外卜包商的業(yè)務(wù)經(jīng)營發(fā)生重大變化；3.外包商提供的服務(wù)不充分，造成相關(guān)銀行分支機構(gòu)不能履行監(jiān)督義務(wù)；（八） 其他相關(guān)事項。第九條各單位集中采購管理辦法規(guī)定須公開招標(biāo)的外包項目應(yīng)公開招標(biāo)（上級行統(tǒng)一協(xié)商的項目除外、第四章外包合同或協(xié)議第十條開展外包活動時應(yīng)簽訂書面合同或協(xié)議，明確雙方的權(quán)利義務(wù)，合同或協(xié)議應(yīng)充分考慮以下內(nèi)容：（一） 外包工作范圍、工作方式和服務(wù)標(biāo)準(zhǔn)；（二） 夕卜包業(yè)務(wù)連續(xù)性和安全性的安排；（三） 外包商提供的技術(shù)培訓(xùn)和服務(wù)安排；（四） 外包審計和檢查；（五） 夕卜包爭端的解決機制；（六） 合同或協(xié)議變更或終止的過渡安排；（七） 違約責(zé)任；（八） 當(dāng)夕卜包涉及分包時，應(yīng)考慮外包商分包的風(fēng)險，并在合同中考慮以下事項：外包商分包的規(guī)則；分包服務(wù)提供商應(yīng)嚴(yán)格遵守主外包商與各單位確定的外包合同或協(xié)議中的相關(guān)條款；主外包商應(yīng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；不得將外包活動的主要業(yè)務(wù)分包；不得將外包活動轉(zhuǎn)包或變相轉(zhuǎn)包。第十一條在外包合同中應(yīng)考慮要求外包商承諾以下事項：（一） 定期通報外包活動的有關(guān)事項；（二） 及時通報外包活動的突發(fā)性事件；（三） 配合各單位接受有關(guān)管理機構(gòu)或部門的檢查；（四） 保障銀行信息的安全性，當(dāng)出現(xiàn)信息安全事件或風(fēng)險時，相關(guān)銀行分支機構(gòu)有權(quán)隨時終止外包合同；（五） 不得以相關(guān)銀行分支機構(gòu)名義開展活動；（六） 嚴(yán)格遵守雙方約定的保密協(xié)議；（七） 確保骨干技術(shù)人員隊伍穩(wěn)定；（八） 做好日常工作的基礎(chǔ)上，提高應(yīng)急突發(fā)事件的現(xiàn)場處理技術(shù)能力，并保證有充足的后備資源可以隨時到達(dá)現(xiàn)場；（九） 其他相關(guān)事項。第十二條所有外包合同或協(xié)議應(yīng)經(jīng)各單位法律部門審核。第十三條夕卜包商未能按照合同履行服務(wù)義務(wù)的，追究外包商違約責(zé)任，對于多次違反合同義務(wù)，不按要求及時改進(jìn)的夕卜包商，依約及時解除合同并納入黑名單，不再進(jìn)行合作。第五章外包日常管理第十四條夕卜包服務(wù)人員進(jìn)行現(xiàn)場技術(shù)支持服務(wù)時，應(yīng)事先提交計劃操作內(nèi)容，各單位相關(guān)人員應(yīng)在現(xiàn)場陪同。涉及敏感操作（如輸入用戶口令等）應(yīng)由銀行員工進(jìn)行操作。夕卜包服務(wù)人員不得查看、復(fù)制或帶離任何敏感信息。第十五條對外包開發(fā)的軟件，應(yīng)根據(jù)開發(fā)需求檢測軟件質(zhì)量，在軟件安裝之前檢測軟件包中是否存在惡意代碼；應(yīng)要求開發(fā)單位提供軟件源代碼（軟件產(chǎn)品范疇之外，為滿足制定需求而涉及的源代碼），并審查軟件中可能存在的后門；應(yīng)要求開發(fā)單位提供軟件設(shè)計的相關(guān)文檔和使用指南，對系統(tǒng)進(jìn)行全面的測試。第六章外包變更和終止管理第十六條夕卜包實施過程中，因業(yè)務(wù)需求、技術(shù)方案等變化導(dǎo)致項目范圍、進(jìn)度、預(yù)算等發(fā)生變化的，應(yīng)由項目管理團隊與外包商充分協(xié)商后提出初步意見，并按照相關(guān)流程進(jìn)行審批后簽署補充協(xié)議。第十七條當(dāng)夕卜包商發(fā)生以下問題時，外包合作關(guān)系終止，外包商異常退出：（一） 違反國家法律、法規(guī)；（二） 違約、擅自變更或者終止已生效合同；（三） 泄露銀行商業(yè)秘密、技術(shù)秘密等非公開信息；（四） 侵犯銀行知識產(chǎn)權(quán)；（五） 故意提供虛假資質(zhì)材料、隱瞞真實情況；（六） 信譽和財務(wù)發(fā)生嚴(yán)重危機；（七） 提供的產(chǎn)品質(zhì)量和服務(wù)出現(xiàn)重大問題，并造成不良后果；（八） 中標(biāo)后無正當(dāng)理由拒絕簽訂合同；（九） 其他潛在的風(fēng)險或損失的情況。第十八條夕卜包商異常退出按照以下流程進(jìn)行：（一） 需求牽頭部門立即啟動相關(guān)應(yīng)急措施；（二） 與外包商完成知識轉(zhuǎn)移和人員工作交接；（三） 啟動后續(xù)商務(wù)流程。第七章附則第十