農(nóng)商銀行信息科技外包管理辦法

農(nóng)商銀行信息科技外包管理辦法第一章總則第一條為了規(guī)范農(nóng)商銀行的外包活動(dòng)，保障農(nóng)商銀行信息系統(tǒng)安全持續(xù)穩(wěn)定運(yùn)行，依據(jù)銀監(jiān)會(huì)頒布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》、《山東省農(nóng)村商業(yè)銀行法人機(jī)構(gòu)信息科技工作規(guī)范3.0》以及國家有關(guān)法律法規(guī)，制定本辦法。第二條本辦法中的信息科技外包（以下簡(jiǎn)稱“外包”）是指將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)供應(yīng)商進(jìn)行處理的行為，包含研發(fā)咨詢外包、系統(tǒng)運(yùn)行維護(hù)外包、人力資源外包以及業(yè)務(wù)外包中的信息科技活動(dòng)等，但外包時(shí)不得將信息科技管理責(zé)任外包。第三條信息科技外包管理主要是指對(duì)服務(wù)供應(yīng)商準(zhǔn)入、人員、風(fēng)險(xiǎn)、應(yīng)急、審計(jì)等內(nèi)容的管理，通過服務(wù)供應(yīng)商資質(zhì)評(píng)價(jià)、人員管理、合同簽訂、交付物驗(yàn)收、風(fēng)險(xiǎn)評(píng)估、應(yīng)急管理、外包評(píng)價(jià)與考核、外包審計(jì)等管理流程實(shí)現(xiàn)。第二章外包管理目標(biāo)及職責(zé)第四條科技外包管理目標(biāo)是通過統(tǒng)一外包規(guī)劃、嚴(yán)格準(zhǔn)入管理、明確外包標(biāo)準(zhǔn)、細(xì)化制度要求、落實(shí)管理責(zé)任、防范外包風(fēng)險(xiǎn)、籌劃外包應(yīng)急、實(shí)施風(fēng)險(xiǎn)評(píng)估、做好監(jiān)控評(píng)價(jià)、完成持續(xù)改進(jìn)等一系列步驟和措施，進(jìn)一步規(guī)范信息科急方案可行性等，評(píng)價(jià)結(jié)果作為服務(wù)供應(yīng)商后續(xù)準(zhǔn)入及退出的重要依據(jù)。第九章外包退出管理第三十六條服務(wù)供應(yīng)商存在以下情況時(shí)，應(yīng)當(dāng)主動(dòng)中斷與服務(wù)供應(yīng)商的合作或解除合同，情節(jié)嚴(yán)重的取消后續(xù)服務(wù)供應(yīng)商準(zhǔn)入資格：（一）嚴(yán)重違反合同約定；（二）服務(wù)質(zhì)量無法滿足要求，存在重大管理、技術(shù)缺陷等問題，已導(dǎo)致或可能造成重大損失；（三）因自身經(jīng)營不善或財(cái)務(wù)危機(jī)導(dǎo)致服務(wù)能力急劇下降，甚至破產(chǎn)倒閉等情況。第三十七條外包服務(wù)供應(yīng)商應(yīng)根據(jù)合同要求按時(shí)交付服務(wù)工作成果，多次驗(yàn)收不通過的，可考慮終止其服務(wù)。第三十八條對(duì)于無法滿足外包服務(wù)要求或發(fā)生重大事件的情況，應(yīng)當(dāng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下,考慮主動(dòng)要求外部服務(wù)商終止服務(wù)，情節(jié)特別嚴(yán)重的，應(yīng)取消其準(zhǔn)入資格，并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。第三十九條外包管理部門對(duì)服務(wù)供應(yīng)商的評(píng)價(jià)結(jié)果及審計(jì)部門對(duì)服務(wù)供應(yīng)商的審計(jì)結(jié)果，作為外包服務(wù)商準(zhǔn)入及退出的重要依據(jù)。第十章外包風(fēng)險(xiǎn)管理第四十條信息科技在外包過程中可能產(chǎn)生科技能力喪失、業(yè)務(wù)中斷、信息泄露、服務(wù)水平下降、外包集中度等風(fēng)險(xiǎn)，對(duì)機(jī)構(gòu)業(yè)務(wù)發(fā)展、聲譽(yù)和合規(guī)等造成影響。第四十一條要切實(shí)加強(qiáng)信息科技相關(guān)外包風(fēng)險(xiǎn)管理工作，確?？蛻糍Y料等敏感信息的安全，應(yīng)采取包括但不限于以下風(fēng)險(xiǎn)管控措施：（一）要求服務(wù)供應(yīng)商保證其相關(guān)人員遵守保密規(guī)定及信息科技風(fēng)險(xiǎn)的相關(guān)管理制度；（二）將涉及客戶資料的信息科技外包作為重要外包;（三）確保客戶資料與服務(wù)供應(yīng)商其它托管金融機(jī)構(gòu)的客戶資料有效隔離；（四）嚴(yán)格禁止服務(wù)供應(yīng)商對(duì)外轉(zhuǎn)包，采取足夠措施確保相關(guān)信息的安全；（五）確保在終止外包協(xié)議時(shí)收回或銷毀服務(wù)供應(yīng)商保存的所有客戶資料。第四十二條要制定和落實(shí)信息安全管控措施，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)，具體措施應(yīng)包括：（一）對(duì)外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)意識(shí)，確保信息安全管控措施在外包服務(wù)過程中有效落實(shí)；（二）對(duì)重要或核心的信息系統(tǒng)開發(fā)交付物進(jìn)行源代碼檢查和安全掃描;（三）定期對(duì)服務(wù)供應(yīng)商進(jìn)行安全檢查，重大外包項(xiàng)目應(yīng)有服務(wù)供應(yīng)商自評(píng)估、內(nèi)部評(píng)估和第三方評(píng)估報(bào)告。第四十三條應(yīng)制定和建立可行的外包突發(fā)事件應(yīng)急預(yù)案和機(jī)制，以應(yīng)對(duì)服務(wù)供應(yīng)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其是需要考慮服務(wù)供應(yīng)商的重大資源損失、重大財(cái)物損失和重要人員變動(dòng)、以及外包合同或協(xié)議的意外終止等情況。確保發(fā)生緊急情況時(shí)，可啟動(dòng)應(yīng)急方案，補(bǔ)充外包技術(shù)服務(wù)資源，降低因緊急事件產(chǎn)生的不利影響。第四十四條為降低信息科技外包突發(fā)事件的可能性及影響，應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理可能造成重大影響的信息科技外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：（一）在信息科技外包服務(wù)實(shí)施的過程中，持續(xù)收集與服務(wù)供應(yīng)商相關(guān)的信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的潛在不利因素；（二）與服務(wù)供應(yīng)商事先約定，在其服務(wù)質(zhì)量不能滿足合同要求時(shí)，有獲取此單位外包服務(wù)資源的優(yōu)先權(quán)；（三）要求服務(wù)供應(yīng)商制定服務(wù)中斷時(shí)的應(yīng)急處置預(yù)案,如供應(yīng)備用設(shè)備、備份人員、技術(shù)支持等；（四）對(duì)于涉及重要業(yè)務(wù)的信息科技外包服務(wù)，需優(yōu)先考慮系統(tǒng)內(nèi)部的人力資源，以便于出現(xiàn)外包服務(wù)中斷時(shí)，能夠自行維持最低限度的服務(wù)能力。第四十五條每年至少開展一次外包風(fēng)險(xiǎn)管理評(píng)估，保持內(nèi)部風(fēng)險(xiǎn)評(píng)估的獨(dú)立性，并向信息科技風(fēng)險(xiǎn)管理委員會(huì)提交《外包風(fēng)險(xiǎn)評(píng)估報(bào)告》（可作為信息科技風(fēng)險(xiǎn)管理報(bào)告的組成部分）。第四十六條在開展外包活動(dòng)風(fēng)險(xiǎn)評(píng)估時(shí)，如果遇到業(yè)務(wù)經(jīng)營、客戶信息安全、聲譽(yù)風(fēng)險(xiǎn)等產(chǎn)生重大影響事件，應(yīng)及時(shí)向信息科技風(fēng)險(xiǎn)管理委員會(huì)報(bào)告。技外包管理，逐步構(gòu)建服務(wù)持續(xù)、運(yùn)營高效的外包管理體系,全面提升信息科技管理水平。第五條信息科技外包原則為：（一）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；（二）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；（三）強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；（四）根據(jù)外包管理及技術(shù)發(fā)展趨勢(shì)，持續(xù)改進(jìn)外包策略和措施；（五）信息科技外包活動(dòng)應(yīng)采取分級(jí)策略，對(duì)關(guān)鍵核心應(yīng)用采取審慎的合作外包方式，對(duì)一般類業(yè)務(wù)應(yīng)用采取合作外包方式，對(duì)非業(yè)務(wù)應(yīng)用可采取完全外包的方式。第三章外包管理職責(zé)第六條科技部是信息科技外包的主要執(zhí)行部門，主要職責(zé)包括：制定并執(zhí)行外包管理相關(guān)管理制度及流程，實(shí)施信息科技外包發(fā)展規(guī)劃；根據(jù)信息科技建設(shè)規(guī)劃或信息科技外包服務(wù)需求，結(jié)合信息科技建設(shè)情況，確立信息科技外包項(xiàng)目的范圍和內(nèi)容，制定信息科技外包年度計(jì)劃及信息科技外包階段性計(jì)劃；（三）負(fù)責(zé)信息科技外包活動(dòng)的日常管理、與其他部門就信息科技外包相關(guān)事項(xiàng)進(jìn)行溝通協(xié)調(diào)，包括盡職調(diào)查、合同簽署、信息科技外包服務(wù)技術(shù)指標(biāo)制定、信息科技外包服務(wù)供應(yīng)商準(zhǔn)入或退出等；（四）在發(fā)現(xiàn)信息科技外包服務(wù)供應(yīng)商的業(yè)務(wù)活動(dòng)存在缺陷時(shí)，采取及時(shí)有效的措施防范外包風(fēng)險(xiǎn)，并制定保障信息科技外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施和定期演練；（五）根據(jù)合規(guī)部、審計(jì)部門或合規(guī)部門對(duì)信息科技外包項(xiàng)目評(píng)估、審計(jì)以及提出的風(fēng)險(xiǎn)管理意見，對(duì)信息科技外包項(xiàng)目實(shí)施優(yōu)化和改進(jìn)；（六）負(fù)責(zé)形成信息科技外包項(xiàng)目情況匯總報(bào)告，提交信息科技管理委員會(huì)。第七條合規(guī)部是信息科技外包風(fēng)險(xiǎn)的主管部門，主要職責(zé)包括：對(duì)信息科技外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示，監(jiān)督、評(píng)價(jià)信息科技外包管理工作，并督促信息科技外包風(fēng)險(xiǎn)管理的持續(xù)改善，向信息科技風(fēng)險(xiǎn)管理委員會(huì)提交外包風(fēng)險(xiǎn)評(píng)估報(bào)告，并提出有關(guān)外包活動(dòng)發(fā)展和風(fēng)險(xiǎn)管控的意見和建議。第八條審計(jì)部門是對(duì)信息科技外包風(fēng)險(xiǎn)審計(jì)的主要部門，主要職責(zé)包括：負(fù)責(zé)定期或不定期的信息科技外包活動(dòng)內(nèi)部審計(jì)，確保審計(jì)范圍涵蓋所有信息科技外包活動(dòng)，并將審計(jì)結(jié)果向領(lǐng)導(dǎo)匯報(bào)。第九條合規(guī)部門是信息科技外包活動(dòng)的主要法律支持、咨詢部門，主要職責(zé)包括：負(fù)責(zé)外包合同的審查與修改及負(fù)責(zé)外包活動(dòng)中的法律糾紛及其他法律問題咨詢。第四章外包準(zhǔn)入管理第十條外包項(xiàng)目立項(xiàng)前，要審慎檢查需外包項(xiàng)目與信息科技外包規(guī)劃的一致性、服務(wù)供應(yīng)商服務(wù)能力與外包項(xiàng)目的符合性。應(yīng)根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，必要時(shí)根據(jù)外包管理原則評(píng)估外包風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)處置措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向信息科技風(fēng)險(xiǎn)管理委員會(huì)報(bào)告。第十一條應(yīng)根據(jù)供應(yīng)商關(guān)系管理策略，結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果及服務(wù)供應(yīng)商的準(zhǔn)入標(biāo)準(zhǔn)，對(duì)服務(wù)供應(yīng)商進(jìn)行初步篩選,防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)供應(yīng)商，或引入增加整體風(fēng)險(xiǎn)的服務(wù)供應(yīng)商。第十二條在選擇外包服務(wù)供應(yīng)商時(shí)，要全面了解服務(wù)供應(yīng)商的基本情況，對(duì)服務(wù)供應(yīng)商進(jìn)行盡職調(diào)查，必要時(shí)可聘請(qǐng)第三方機(jī)構(gòu)協(xié)助調(diào)查，確保服務(wù)供應(yīng)商符合準(zhǔn)入標(biāo)準(zhǔn)。對(duì)于重大外包項(xiàng)目，完成盡職調(diào)查后出具《外包服務(wù)供應(yīng)商調(diào)查報(bào)告》，盡職調(diào)查應(yīng)包括但不限于以下方面：（一）技術(shù)和行業(yè)經(jīng)驗(yàn)，包括服務(wù)質(zhì)量和技術(shù)實(shí)力、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、應(yīng)急處置能力、市場(chǎng)評(píng)價(jià)、行業(yè)地位、對(duì)銀行業(yè)知悉程度、監(jiān)管評(píng)價(jià)等；（二）內(nèi)部控制和管理能力，包括內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具、企業(yè)文化等；（三）持續(xù)經(jīng)營狀況，包括從業(yè)時(shí)間、經(jīng)營聲譽(yù)、發(fā)展趨勢(shì)、財(cái)務(wù)穩(wěn)健性、近期盈利情況等；（四）同業(yè)托管狀況，包括服務(wù)供應(yīng)商與多家金融單位有外包活動(dòng)時(shí)，服務(wù)供應(yīng)商對(duì)其他銀行業(yè)金融機(jī)構(gòu)提供服務(wù)的情況；（五）涉及多個(gè)服務(wù)供應(yīng)商時(shí)，應(yīng)對(duì)這些服務(wù)供應(yīng)商進(jìn)行關(guān)聯(lián)關(guān)系的調(diào)查；（六）根據(jù)外包管理實(shí)際需要，對(duì)服務(wù)供應(yīng)商服務(wù)能力和人員技術(shù)水平進(jìn)行階段性總結(jié)分析，發(fā)現(xiàn)問題及時(shí)通報(bào)服務(wù)供應(yīng)商，并限期整改。第十三條對(duì)于數(shù)據(jù)中心的重要基礎(chǔ)設(shè)施、重要信息系統(tǒng)的維護(hù)服務(wù)外包，簽訂外包合同時(shí)，服務(wù)供應(yīng)商須保證購買商業(yè)保險(xiǎn)以保證其有足夠的賠償能力，并告知保險(xiǎn)覆蓋范圍。第十四條開展信息科技外包活動(dòng)時(shí)要與服務(wù)供應(yīng)商簽訂書面合同或協(xié)議，明確雙方的權(quán)利、義務(wù)。合同或協(xié)議應(yīng)當(dāng)包括但不限于以下內(nèi)容：（一）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（二）外包服務(wù)款項(xiàng)支付方式；（三）外包服務(wù)的保密性和安全性；（四）明確外包技術(shù)成果的所屬權(quán)；（五）外包爭(zhēng)議的解決；（六）外包合同或協(xié)議變更或終止的條件；（七）擔(dān)保和損失賠償以及違約責(zé)任；（A）不可抗力因素出現(xiàn)時(shí)雙方對(duì)合同內(nèi)容的約定；（九）外包服務(wù)的審計(jì)和檢查；（十）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排以及服務(wù)供應(yīng)商提供專屬資源的承諾。第十五條所有與信息科技外包活動(dòng)相關(guān)的重要資料應(yīng)歸檔管理。第五章外包過程管理第十六條應(yīng)當(dāng)根據(jù)信息科技外包需求、合同、服務(wù)水平對(duì)服務(wù)過程進(jìn)行持續(xù)監(jiān)控，跟蹤任務(wù)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。第十七條應(yīng)對(duì)服務(wù)供應(yīng)商的財(cái)務(wù)、內(nèi)控、安全管理進(jìn)行監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的下降。第六章外包人員管理第十八條信息科技外包人員的管理由外包管理部門與服務(wù)供應(yīng)商共同負(fù)責(zé)。服務(wù)供應(yīng)商需要明確一名項(xiàng)目經(jīng)理（或項(xiàng)目負(fù)責(zé)人）負(fù)責(zé)協(xié)調(diào)項(xiàng)目相關(guān)重要事項(xiàng)。第十九條要對(duì)服務(wù)供應(yīng)商供應(yīng)的外包人員簡(jiǎn)歷、資質(zhì)及其他相關(guān)資料進(jìn)行審核，并留存相關(guān)資料，統(tǒng)一入檔保管。第二十條所有外包人員入場(chǎng)前必須簽署保密協(xié)議，并嚴(yán)格遵守所在單位的考勤制度以及其他工作規(guī)范，保證工作質(zhì)量。第二十一條應(yīng)對(duì)外包人員進(jìn)行服務(wù)質(zhì)量考核，并將考核結(jié)果定期反饋服務(wù)供應(yīng)商，對(duì)考核結(jié)果不符合要求的外包服務(wù)人員限期更換。第二十二條應(yīng)對(duì)外包人員的權(quán)限配置進(jìn)行管理，以滿足工作需要為前提，遵循權(quán)限最小化原則，不得授予與工作無關(guān)的權(quán)限。對(duì)于向外包人員提供的內(nèi)部資料必須嚴(yán)格審核,嚴(yán)禁未經(jīng)授權(quán)提供。第二十三條如發(fā)現(xiàn)外包人員違反規(guī)章制度，必須立即制止并糾正，多次違反情節(jié)嚴(yán)重的，應(yīng)及時(shí)停止其一切工作活動(dòng)，并通知其所在的服務(wù)供應(yīng)商，造成損失的，應(yīng)向服務(wù)供應(yīng)商索取賠償。第二十四條對(duì)因項(xiàng)目中止或工作調(diào)整不再使用的外包工作人員，應(yīng)及時(shí)收回其使用的全部?jī)?nèi)部資源。第七章外包交付物驗(yàn)收第二十五條外包供應(yīng)商應(yīng)按時(shí)交付服務(wù)工作成果，科技部應(yīng)及時(shí)組織人員進(jìn)行驗(yàn)收。第二十六條開發(fā)類外包人員的交付物必須在測(cè)試環(huán)境下嚴(yán)格測(cè)試，驗(yàn)收合格后方可投產(chǎn)試用。第二十七條對(duì)于外包交付物驗(yàn)收不合格的，應(yīng)要求服務(wù)供應(yīng)商重新提供產(chǎn)品，并重新組織驗(yàn)收，直至驗(yàn)收通過，并納入服務(wù)供應(yīng)商考核評(píng)價(jià)。第二十八條由于服務(wù)供應(yīng)商的原因，導(dǎo)致未按計(jì)劃完成或完成項(xiàng)目質(zhì)量不高，并造成一定影響的，作為不良記錄登記，對(duì)未完成服務(wù)由服務(wù)供應(yīng)商繼續(xù)完成的，按合同約定條款執(zhí)行。第二十九條對(duì)于外包人員提交的源代碼，應(yīng)經(jīng)專門技術(shù)人員審核編譯，所產(chǎn)生的執(zhí)行程序，須經(jīng)相關(guān)人員測(cè)試通過后，按規(guī)定流程投產(chǎn)。第三十條對(duì)于外包開發(fā)人員提交的關(guān)鍵代碼（涉及業(yè)務(wù)系統(tǒng)核心處理流程、記賬或有關(guān)安全加密、認(rèn)證的代碼等）,應(yīng)對(duì)源代碼進(jìn)行重點(diǎn)檢查，并將檢查結(jié)果存檔。第三十一條對(duì)于外包測(cè)試人員提交的測(cè)試方案、測(cè)試工具、測(cè)試案例，應(yīng)組織人員進(jìn)行復(fù)核確認(rèn)。外包測(cè)試人員編寫的測(cè)試腳本和測(cè)試用例必須滿足項(xiàng)目測(cè)試性能要求。第三十二條外包咨詢?nèi)藛T應(yīng)及時(shí)對(duì)咨詢要求作出響應(yīng),按時(shí)協(xié)助解決問題，或提供符合要