农商银行信息科技外包管理办法

农商银行信息科技外包管理办法第一章 总则第一条 为了规范农商银行的外包活动，保障农商银行信息系统安全持续稳定运行，依据银监会颁布的商业银行信息科技风险管理指引、银行业金融机构外包风险管理指引、山东省农村商业银行法人机构信息科技工作规范3.0以及国家有关法律法规，制定本办法。第二条 本办法中的信息科技外包（以下简称“外包” ）是指将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为，包含研发咨询外包、系统运行维护外包、人力资源外包以及业务外包中的信息科技活动等，但外包时不得将信息科技管理责任外包。第三条 信息科技外包管理主要是指对服务供应商准入、人员、风险、应急、审计等内容的管理，通过服务供应商资质评价、人员管理、合同签订、交付物验收、风险评估、应急管理、外包评价与考核、外包审计等管理流程实现。第二章 外包管理目标及职责第四条 科技外包管理目标是通过统一外包规划、严格准入管理、明确外包标准、细化制度要求、落实管理责任、防范外包风险、筹划外包应急、实施风险评估、做好监控评价、完成持续改进等一系列步骤和措施，进一步规范信息科技外包管理，逐步构建服务持续、运营高效的外包管理体系，全面提升信息科技管理水平。第五条 信息科技外包原则为： （一）以不妨碍核心能力建设、积极掌握关键技术为导向； （二）保持外包风险、成本和效益的平衡； （三）强调外包风险的事前控制，保持管控力度； （四）根据外包管理及技术发展趋势，持续改进外包策略和措施； （五）信息科技外包活动应采取分级策略，对关键核心应用采取审慎的合作外包方式，对一般类业务应用采取合作外包方式，对非业务应用可采取完全外包的方式。第三章 外包管理职责第六条 科技部是信息科技外包的主要执行部门，主要职责包括： 制定并执行外包管理相关管理制度及流程，实施信息科技外包发展规划； 根据信息科技建设规划或信息科技外包服务需求，结合信息科技建设情况，确立信息科技外包项目的范围和内容，制定信息科技外包年度计划及信息科技外包阶段性计划； （三）负责信息科技外包活动的日常管理、与其他部门就信息科技外包相关事项进行沟通协调，包括尽职调查、合同签署、信息科技外包服务技术指标制定、信息科技外包服务供应商准入或退出等； （四）在发现信息科技外包服务供应商的业务活动存在缺陷时，采取及时有效的措施防范外包风险，并制定保障信息科技外包服务持续性的应急管理方案，并组织实施和定期演练； （五）根据合规部、审计部门或合规部门对信息科技外包项目评估、审计以及提出的风险管理意见，对信息科技外包项目实施优化和改进； （六）负责形成信息科技外包项目情况汇总报告，提交信息科技管理委员会。第七条 合规部是信息科技外包风险的主管部门，主要职责包括：对信息科技外包风险进行识别、评估与风险提示，监督、评价信息科技外包管理工作，并督促信息科技外包风险管理的持续改善，向信息科技风险管理委员会提交外包风险评估报告，并提出有关外包活动发展和风险管控的意见和建议。第八条 审计部门是对信息科技外包风险审计的主要部门，主要职责包括：负责定期或不定期的信息科技外包活动内部审计，确保审计范围涵盖所有信息科技外包活动，并将审计结果向领导汇报。第九条 合规部门是信息科技外包活动的主要法律支持、咨询部门，主要职责包括：负责外包合同的审查与修改及负责外包活动中的法律纠纷及其他法律问题咨询。第四章 外包准入管理第十条 外包项目立项前，要审慎检查需外包项目与信息科技外包规划的一致性、服务供应商服务能力与外包项目的符合性。应根据项目内容、范围、性质对其进行风险识别和评估，必要时根据外包管理原则评估外包风险，制定相应的风险处置措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向信息科技风险管理委员会报告。第十一条 应根据供应商关系管理策略，结合风险评估结果及服务供应商的准入标准，对服务供应商进行初步筛选，防范引入高机构集中度风险特点的服务供应商，或引入增加整体风险的服务供应商。第十二条 在选择外包服务供应商时，要全面了解服务供应商的基本情况，对服务供应商进行尽职调查，必要时可聘请第三方机构协助调查，确保服务供应商符合准入标准。对于重大外包项目，完成尽职调查后出具外包服务供应商调查报告，尽职调查应包括但不限于以下方面： （一）技术和行业经验，包括服务质量和技术实力、服务经验、服务人员技能、应急处置能力、市场评价、行业地位、对银行业知悉程度、监管评价等； （二）内部控制和管理能力，包括内部控制机制和管理流程的完善程度、内部控制技术和工具、企业文化等； （三）持续经营状况，包括从业时间、经营声誉、发展趋势、财务稳健性、近期盈利情况等； （四）同业托管状况，包括服务供应商与多家金融单位有外包活动时，服务供应商对其他银行业金融机构提供服务的情况； （五）涉及多个服务供应商时，应对这些服务供应商进行关联关系的调查； （六）根据外包管理实际需要，对服务供应商服务能力和人员技术水平进行阶段性总结分析，发现问题及时通报服务供应商，并限期整改。第十三条 对于数据中心的重要基础设施、重要信息系统的维护服务外包，签订外包合同时，服务供应商须保证购买商业保险以保证其有足够的赔偿能力，并告知保险覆盖范围。第十四条 开展信息科技外包活动时要与服务供应商签订书面合同或协议，明确双方的权利、义务。合同或协议应当包括但不限于以下内容： （一）外包服务的范围和标准； （二）外包服务款项支付方式；（三）外包服务的保密性和安全性； （四）明确外包技术成果的所属权； （五）外包争议的解决； （六）外包合同或协议变更或终止的条件； （七）担保和损失赔偿以及违约责任； （八）不可抗力因素出现时双方对合同内容的约定； （九）外包服务的审计和检查； （十）外包服务的业务连续性的安排以及服务供应商提供专属资源的承诺。第十五条 所有与信息科技外包活动相关的重要资料应归档管理。第五章 外包过程管理第十六条 应当根据信息科技外包需求、合同、服务水平对服务过程进行持续监控，跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。 第十七条 应对服务供应商的财务、内控、安全管理进行监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的下降。第六章 外包人员管理第十八条 信息科技外包人员的管理由外包管理部门与服务供应商共同负责。服务供应商需要明确一名项目经理（或项目负责人）负责协调项目相关重要事项。第十九条 要对服务供应商供应的外包人员简历、资质及其他相关资料进行审核，并留存相关资料，统一入档保管。 第二十条 所有外包人员入场前必须签署保密协议，并严格遵守所在单位的考勤制度以及其他工作规范，保证工作质量。 第二十一条 应对外包人员进行服务质量考核，并将考核结果定期反馈服务供应商，对考核结果不符合要求的外包服务人员限期更换。 第二十二条 应对外包人员的权限配置进行管理，以满足工作需要为前提，遵循权限最小化原则，不得授予与工作无关的权限。对于向外包人员提供的内部资料必须严格审核，严禁未经授权提供。 第二十三条 如发现外包人员违反规章制度，必须立即制止并纠正，多次违反情节严重的，应及时停止其一切工作活动，并通知其所在的服务供应商，造成损失的，应向服务供应商索取赔偿。 第二十四条 对因项目中止或工作调整不再使用的外包工作人员，应及时收回其使用的全部内部资源。第七章 外包交付物验收第二十五条 外包供应商应按时交付服务工作成果，科技部应及时组织人员进行验收。 第二十六条 开发类外包人员的交付物必须在测试环境下严格测试，验收合格后方可投产试用。 第二十七条 对于外包交付物验收不合格的，应要求服务供应商重新提供产品，并重新组织验收，直至验收通过，并纳入服务供应商考核评价。 第二十八条 由于服务供应商的原因，导致未按计划完成或完成项目质量不高，并造成一定影响的，作为不良记录登记，对未完成服务由服务供应商继续完成的，按合同约定条款执行。 第二十九条 对于外包人员提交的源代码，应经专门技术人员审核编译，所产生的执行程序，须经相关人员测试通过后，按规定流程投产。 第三十条 对于外包开发人员提交的关键代码（涉及业务系统核心处理流程、记账或有关安全加密、认证的代码等），应对源代码进行重点检查，并将检查结果存档。 第三十一条 对于外包测试人员提交的测试方案、测试工具、测试案例，应组织人员进行复核确认。外包测试人员编写的测试脚本和测试用例必须满足项目测试性能要求。 第三十二条 外包咨询人员应及时对咨询要求作出响应，按时协助解决问题，或提供符合要求的咨询建议或报告。 第三十三条 外包维护人员必须限时响应业务需求，并按机构的统一形象和服务方式提供服务。第八章 外包评价 第三十四条 应定期对服务供应商的服务水平、服务质量、合同履行、人员能力等内容进行评价，评价结果作为评审服务供应商资质的重要依据，服务供应商如存在考核不合格的情况，原则上未来两年内不得参与信息科技外包服务。 第三十五条 应根据外包项目的重要程度，每年对重要的服务供应商进行管理评价，三年内覆盖所有重要的服务供应商。评价完成后形成服务供应商评价报告，内容包括：服务供应商合规情况、合同履行情况、服务质量及效果、应急方案可行性等，评价结果作为服务供应商后续准入及退出的重要依据。 第九章 外包退出管理 第三十六条 服务供应商存在以下情况时，应当主动中断与服务供应商的合作或解除合同，情节严重的取消后续服务供应商准入资格： （一）严重违反合同约定；（二）服务质量无法满足要求，存在重大管理、技术缺陷等问题，已导致或可能造成重大损失； （三）因自身经营不善或财务危机导致服务能力急剧下降，甚至破产倒闭等情况。 第三十七条 外包服务供应商应根据合同要求按时交付服务工作成果，多次验收不通过的，可考虑终止其服务。 第三十八条 对于无法满足外包服务要求或发生重大事件的情况，应当在充分评估其影响及制定退出计划的前提下，考虑主动要求外部服务商终止服务，情节特别严重的，应取消其准入资格，并报监管机构申请对其备案。 第三十九条 外包管理部门对服务供应商的评价结果及审计部门对服务供应商的审计结果，作为外包服务商准入及退出的重要依据。 第十章 外包风险管理 第四十条 信息科技在外包过程中可能产生科技能力丧失、业务中断、信息泄露、服务水平下降、外包集中度等风险，对机构业务发展、声誉和合规等造成影响。 第四十一条 要切实加强信息科技相关外包风险管理工作，确保客户资料等敏感信息的安全，应采取包括但不限于以下风险管控措施： （一）要求服务供应商保证其相关人员遵守保密规定及信息科技风险的相关管理制度； （二）将涉及客户资料的信息科技外包作为重要外包； （三）确保客户资料与服务供应商其它托管金融机构的客户资料有效隔离； （四）严格禁止服务供应商对外转包，采取足够措施确保相关信息的安全； （五）确保在终止外包协议时收回或销毁服务供应商保存的所有客户资料。 第四十二条 要制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险，具体措施应包括： （一）对外包人员进行信息安全培训，提高风险意识，确保信息安全管控措施在外包服务过程中有效落实； （二）对重要或核心的信息系统开发交付物进行源代码检查和安全扫描； （三）定期对服务供应商进行安全检查，重大外包项目应有服务供应商自评估、内部评估和第三方评估报告。 第四十三条 应制定和