銀行信息科技外包服務(wù)管理辦法模版

信息科技外包服務(wù)管理辦法編制部門(mén)： 版次號(hào)： 生效日期：xx年06月01日修改與審批記錄錯(cuò)誤！未定義書(shū)簽。修改與審批記錄TOC\o"1-5"\h\z\o"CurrentDocument"第一章總則 3\o"CurrentDocument"第二章外包管理組織架構(gòu) 4第三章信息科技外包管理 5????????\o"CurrentDocument"第一節(jié)外包準(zhǔn)入風(fēng)險(xiǎn)評(píng)估 5\o"CurrentDocument"第二節(jié) 外包服務(wù)商的日常管理和監(jiān)督 7\o"CurrentDocument"第三節(jié)外包服務(wù)監(jiān)督與評(píng)價(jià) 8第四章外包服務(wù)風(fēng)險(xiǎn)管理 9.????????\o"CurrentDocument"第一節(jié)風(fēng)險(xiǎn)評(píng)估與審計(jì) 9\o"CurrentDocument"第二節(jié)外包服務(wù)安全管理 9\o"CurrentDocument"第三節(jié)夕卜包服務(wù)中斷與終止 10\o"CurrentDocument"第四節(jié)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理 11第五章報(bào)告管理 11????????第六章附則 12????????\o"CurrentDocument"附件： 13附件1.《外包服務(wù)商盡職調(diào)查表》 16第一章總則第一條為規(guī)范銀行（以下簡(jiǎn)稱“本行”）信息科技外包服務(wù)管理，防范和控制信息科技外包服務(wù)風(fēng)險(xiǎn)，根據(jù)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》，制定本辦法。第二條本辦法所稱信息科技外包，是指本行將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為，包含項(xiàng)目外包、人力資源外包等形式。原則上包括以下類型：（一） 研發(fā)咨詢類外包：科技管理及科技治理等咨詢?cè)O(shè)計(jì)外包、規(guī)劃、需求、系統(tǒng)開(kāi)發(fā)、測(cè)試外包；（二） 系統(tǒng)運(yùn)行維護(hù)類外包：包括數(shù)據(jù)中心（災(zāi)備中心）、機(jī)房配套設(shè)施、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POS機(jī)等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包；（三） 業(yè)務(wù)外包中的信息科技活動(dòng)：市場(chǎng)拓展、業(yè)務(wù)操作、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開(kāi)發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動(dòng)；第三條本行信息科技外包服務(wù)管理須堅(jiān)持自主為主、嚴(yán)格控制、規(guī)范管理、風(fēng)險(xiǎn)可控、信息安全的原則。（一） 自主為主。本行核心業(yè)務(wù)系統(tǒng)的運(yùn)營(yíng)堅(jiān)持自我為主的原則，非核心業(yè)務(wù)系統(tǒng)的運(yùn)營(yíng)根據(jù)需要審慎采用信息科技外包服務(wù)；（二） 嚴(yán)格控制。各級(jí)行、各部門(mén)的信息科技外包服務(wù)須根據(jù)本辦法的有關(guān)規(guī)定，嚴(yán)格審批，做好準(zhǔn)入控制；（三） 規(guī)范管理。信息科技外包服務(wù)由總行統(tǒng)籌管理，分支行禁止任何組織以任何形式自主進(jìn)行信息科技的外包活動(dòng)；（四） 風(fēng)險(xiǎn)可控。各級(jí)行、各部門(mén)須將信息科技外包服務(wù)風(fēng)險(xiǎn)控制作為開(kāi)展外包活動(dòng)的首要任務(wù)，采用制度約束、崗位制約、系統(tǒng)控制、監(jiān)督檢查等手段，防范和控制風(fēng)險(xiǎn)；（五） 信息安全。各級(jí)行、各部門(mén)與外包服務(wù)提供商合作時(shí)，必須按照《銀行信息科技外包服務(wù)合同管理辦法》的有關(guān)要求，明確權(quán)責(zé)；同時(shí)采取有效的技術(shù)措施確保本行信息資產(chǎn)的安全。第四條本辦法所稱機(jī)構(gòu)集中度風(fēng)險(xiǎn)，是指銀行業(yè)金融機(jī)構(gòu)將信息科技外包服務(wù)集中交由少量服務(wù)提供商承接而產(chǎn)生的風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)可能造成集中性的服務(wù)中斷、質(zhì)量下降、安全事件等。第五條本辦法適用于本行信息科技外包服務(wù)的管理，使用信息科技外包資源的各部門(mén)或本行分支機(jī)構(gòu)應(yīng)根據(jù)本辦法要求進(jìn)行信息科技外包管理工作，并可根據(jù)本辦法各項(xiàng)要求，酌情制訂相應(yīng)實(shí)施細(xì)則或工作流程。第二章外包管理組織架構(gòu)第六條作為信息科技外包服務(wù)執(zhí)行部門(mén)，主要職責(zé)包括：（一） 負(fù)責(zé)研究、論證信息科技外包服務(wù)項(xiàng)目的必要性、合理性、可行性，為決策層審定信息科技外包服務(wù)項(xiàng)目提供依據(jù)；（二） 負(fù)責(zé)規(guī)劃信息科技外包服務(wù)資源配置及建設(shè)，審核信息科技外包服務(wù)的技術(shù)方案；（三） 負(fù)責(zé)制訂信息科技外包服務(wù)合同的基本技術(shù)要求，協(xié)助相關(guān)部門(mén)起草與簽訂非標(biāo)準(zhǔn)化的信息科技外包服務(wù)合同；（四） 負(fù)責(zé)信息科技外包服務(wù)人員的進(jìn)出場(chǎng)管理、日常管理、變更管理以及信息科技外包服務(wù)合同履約跟蹤；（五） 負(fù)責(zé)制訂、改進(jìn)信息外包服務(wù)管理考核評(píng)價(jià)機(jī)制和指標(biāo)，并組織實(shí)施各項(xiàng)考核；（六） 負(fù)責(zé)驗(yàn)收和評(píng)價(jià)信息科技外包服務(wù)提供商按照約定要求最終提供的產(chǎn)品、技術(shù)和服務(wù)，并負(fù)責(zé)對(duì)信息科技外包服務(wù)提供商合作情況提出建議并督促改進(jìn)；（七） 負(fù)責(zé)在業(yè)務(wù)連續(xù)性管理框架下，制訂信息科技外包服務(wù)風(fēng)險(xiǎn)應(yīng)急方案；（八） 協(xié)助風(fēng)險(xiǎn)管理部組織信息科技外包服務(wù)風(fēng)險(xiǎn)管控活動(dòng)。第七條下設(shè)信息科技外包管理崗，主要職責(zé)包括：（一）負(fù)責(zé)實(shí)施信息科技外包戰(zhàn)略;（二） 落實(shí)本部門(mén)外包管理職責(zé)；（三） 負(fù)責(zé)制定并實(shí)施信息科技外包服務(wù)各項(xiàng)管理制度；（四） 負(fù)責(zé)協(xié)調(diào)執(zhí)行提供商準(zhǔn)入、評(píng)價(jià)、退出管理，建立并維護(hù)提供商關(guān)系管理策略；（五） 負(fù)責(zé)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練；（六） 負(fù)責(zé)對(duì)外包過(guò)程中的各項(xiàng)管理活動(dòng)進(jìn)行監(jiān)控及分析，定期向及風(fēng)險(xiǎn)管理部報(bào)告外包活動(dòng)情況。第八條風(fēng)險(xiǎn)管理部作為信息科技外包服務(wù)風(fēng)險(xiǎn)管理部門(mén)，主要職責(zé)包括：（一） 對(duì)外包風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估與風(fēng)險(xiǎn)提示；（二） 監(jiān)督、評(píng)價(jià)外包管理工作，并督促外包風(fēng)險(xiǎn)管理的持續(xù)改善；（三） 向高級(jí)管理層定期匯報(bào)信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)管理情況；（四） 董事會(huì)或高級(jí)管理層確定的其他信息科技外包風(fēng)險(xiǎn)管理職責(zé)。第九條法律事務(wù)部負(fù)責(zé)對(duì)信息科技外包合同進(jìn)行審核。第十條為本行信息科技外包服務(wù)的審計(jì)部門(mén)，負(fù)責(zé)對(duì)信息科技外包項(xiàng)目進(jìn)行審計(jì)。第十一條負(fù)責(zé)信息科技外包項(xiàng)目采購(gòu)和招標(biāo)相關(guān)的商務(wù)工作。第三章信息科技外包管理第一節(jié)外包準(zhǔn)入風(fēng)險(xiǎn)評(píng)估第十二條應(yīng)審慎檢查項(xiàng)目與信息科技外包戰(zhàn)略的一致性，根據(jù)項(xiàng)目?jī)?nèi)容、范圍、性質(zhì)對(duì)其進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估，制定相應(yīng)的風(fēng)險(xiǎn)處置措施，不因外包活動(dòng)的引入而增加整體剩余風(fēng)險(xiǎn)。重大外包項(xiàng)目應(yīng)向董事會(huì)、高級(jí)管理層報(bào)告。第十三條在選擇外包服務(wù)提供商時(shí)，應(yīng)重點(diǎn)考察服務(wù)商的以下條件：（一）是否符合本行對(duì)合作單位的總體要求;（二） 服務(wù)商的技術(shù)能力和服務(wù)質(zhì)量；（三） 突發(fā)事件應(yīng)對(duì)能力；（四） 對(duì)銀行業(yè)務(wù)的熟悉程度；（五） 對(duì)同業(yè)提供服務(wù)的情況；（六） 具有從事相關(guān)產(chǎn)品服務(wù)的資質(zhì)；（七） 外包服務(wù)商保護(hù)個(gè)人金融信息的能力；（八） 本行認(rèn)為重要的其他事項(xiàng)等。第十四條高度關(guān)注銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)的準(zhǔn)入。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)是指集中為銀行業(yè)金融機(jī)構(gòu)提供外包服務(wù)，并同時(shí)滿足下述條件，若其外包服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng)服務(wù)中斷，造成經(jīng)濟(jì)損失的機(jī)構(gòu)，具體條件如下：（一） 承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)；或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù);或承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)；且上述服務(wù)均為非駐場(chǎng)外包服務(wù)；（二） 服務(wù)的法人銀行業(yè)金融機(jī)構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場(chǎng)份額的三分之一以上；或服務(wù)的跨區(qū)域經(jīng)營(yíng)法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到3家或以上；或服務(wù)的其他類型法人銀行業(yè)金融機(jī)構(gòu)數(shù)量達(dá)到10家或以上。第十五條外包服務(wù)提供商為銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)的，應(yīng)具備以下條件：（一） 應(yīng)當(dāng)是中華人民共和國(guó)境內(nèi)注冊(cè)的獨(dú)立法人實(shí)體，注冊(cè)資本和實(shí)收資本不少于1000萬(wàn)元，注冊(cè)成立時(shí)間不少于3年；（二） 應(yīng)當(dāng)擁有健全的組織架構(gòu)，并針對(duì)所提供的外包服務(wù)建立有效的風(fēng)險(xiǎn)治理架構(gòu)，至少應(yīng)當(dāng)建立由公司高級(jí)管理層直接領(lǐng)導(dǎo)、針對(duì)銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險(xiǎn)管理團(tuán)隊(duì)，為持續(xù)的外包服務(wù)提供保證；（三） 應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行;（四） 應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境，滿足外包服務(wù)的質(zhì)量和安全管理要求；（五） 其承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場(chǎng)地應(yīng)當(dāng)設(shè)置在中國(guó)境內(nèi)。第十六條外包服務(wù)提供商為銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)的，應(yīng)具有如下相關(guān)領(lǐng)域資質(zhì)認(rèn)證：（一） 具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證；（二） 具有完善的質(zhì)量管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證；（三） 承擔(dān)銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)中心、災(zāi)備中心機(jī)房及基礎(chǔ)設(shè)施外包服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，其機(jī)房及基礎(chǔ)設(shè)施應(yīng)當(dāng)達(dá)到國(guó)家電子計(jì)算機(jī)機(jī)房最高標(biāo)準(zhǔn)；（四） 承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)，應(yīng)當(dāng)具有完善的運(yùn)行服務(wù)管理體系，并通過(guò)業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。第十七條為本行提供信息科技外包服務(wù)的提供商應(yīng)通過(guò)本行的準(zhǔn)入評(píng)估，方可獲得為本行信息化項(xiàng)目提供服務(wù)的資格。第十八條對(duì)銀監(jiān)會(huì)定期發(fā)布的服務(wù)提供商風(fēng)險(xiǎn)預(yù)警中涉及的問(wèn)題機(jī)構(gòu)，按要求在兩年內(nèi)禁止其準(zhǔn)入，兩年內(nèi)仍未整改的，延長(zhǎng)禁止期。第二節(jié) 外包服務(wù)商的日常管理和監(jiān)督第十九條對(duì)重要的服務(wù)提供商，應(yīng)在合同簽訂前對(duì)服務(wù)提供商進(jìn)行深入的盡職調(diào)查，包括：（一）關(guān)注服務(wù)提供商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等；（二）應(yīng)當(dāng)關(guān)注服務(wù)提供商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具等;（三）應(yīng)當(dāng)關(guān)注服務(wù)提供商的持續(xù)經(jīng)營(yíng)狀況，包括但不限于：從業(yè)時(shí)間、市場(chǎng)地位及發(fā)展趨勢(shì)、資金的安全性、近期盈利情況等。第二十條信息科技外包服務(wù)按照“誰(shuí)使用、誰(shuí)負(fù)責(zé)”的原則，進(jìn)行信息科技外包服務(wù)提供商的日常管理和監(jiān)督。第二十一條應(yīng)及時(shí)發(fā)現(xiàn)和掌握與信息科技外包服務(wù)提供商在合作過(guò)程中存在的問(wèn)題和風(fēng)險(xiǎn)。第二十二條信息科技外包服務(wù)人員須接受本行的管理。包括進(jìn)出場(chǎng)管理、考勤、培訓(xùn)、考核、信息資產(chǎn)安全保護(hù)、人員變更等。第二十三條信息科技外包服務(wù)人員的考勤及工作表現(xiàn)應(yīng)作為信息科技外包服務(wù)提供商考核的重要組成部分。第二十四條應(yīng)對(duì)其所提供信息科技服務(wù)的外包人員進(jìn)行相關(guān)規(guī)章制度和基本行為準(zhǔn)則的培訓(xùn)。第二十五條各級(jí)行、各部門(mén)作為信息科技外包服務(wù)使用部門(mén)應(yīng)通過(guò)信息接觸、授權(quán)、銷毀等方面的限制措施，確保信息資產(chǎn)的安全。風(fēng)險(xiǎn)管理部應(yīng)對(duì)措施的執(zhí)行情況進(jìn)行監(jiān)督和檢查。第三節(jié)外包服務(wù)監(jiān)督與評(píng)價(jià)第二十六條應(yīng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控，要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)，并跟蹤任務(wù)的執(zhí)行情況，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類異常情況。第二十七條應(yīng)依據(jù)《銀行信息科技外包服務(wù)合同管理辦法》與服務(wù)提供商簽訂合同，并根據(jù)合同或協(xié)議規(guī)定的服務(wù)考核指標(biāo)對(duì)服務(wù)提供商進(jìn)行定期評(píng)價(jià)，確保外包服務(wù)監(jiān)控基礎(chǔ)數(shù)據(jù)和評(píng)價(jià)結(jié)果的真實(shí)性和完整性，且數(shù)據(jù)至少需保存到服務(wù)結(jié)束后一年。第二十八條應(yīng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。第二十九條監(jiān)控到異常情況時(shí)，應(yīng)及時(shí)督促服務(wù)提供商采取糾正措施，對(duì)于情節(jié)嚴(yán)重的或未及時(shí)糾正的，應(yīng)約談服務(wù)提供商高管人員并限期整改，同時(shí)向風(fēng)險(xiǎn)管理部報(bào)告。第三十條外包服務(wù)結(jié)束時(shí)，應(yīng)對(duì)服務(wù)提供商進(jìn)行評(píng)價(jià)，評(píng)價(jià)結(jié)果應(yīng)作為服務(wù)提供商準(zhǔn)入的重要參考依據(jù)。第四章 外包服務(wù)風(fēng)險(xiǎn)管理第一節(jié)風(fēng)險(xiǎn)評(píng)估與審計(jì)第三十一條風(fēng)險(xiǎn)管理部應(yīng)至少每年開(kāi)展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估，保持評(píng)估的獨(dú)立性，并向高級(jí)管理層提交評(píng)估報(bào)告。評(píng)估內(nèi)容包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及市場(chǎng)變化對(duì)外包服務(wù)的影響分析等。第三十二條應(yīng)對(duì)重要的外包服務(wù)提供商進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估，保持評(píng)估的獨(dú)立性。至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評(píng)估內(nèi)容包括：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評(píng)估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退出的重要依據(jù)。第三十三條董事會(huì)內(nèi)審辦會(huì)室應(yīng)定期開(kāi)展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)及時(shí)開(kāi)展專項(xiàng)審計(jì)。第二節(jié)外包服務(wù)安全管理第三十四條為確保信息安全，防范因外包活動(dòng)引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。應(yīng)當(dāng)采取以下措施：（一）對(duì)外包人員進(jìn)行信息安全培訓(xùn)，提高風(fēng)險(xiǎn)管理意識(shí)，確保信息安全管控措施在外包服務(wù)過(guò)程中有效落實(shí)；（二）明確外包活動(dòng)需要訪問(wèn)或使用的信息資產(chǎn)，包括場(chǎng)地、辦公設(shè)施、計(jì)算機(jī)、服務(wù)器、軟件、數(shù)據(jù)、信息、物理訪問(wèn)控制設(shè)備、賬號(hào)、網(wǎng)絡(luò)寬帶、網(wǎng)絡(luò)端口等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問(wèn)授權(quán)；（三） 對(duì)重要或核心的信息系統(tǒng)開(kāi)發(fā)交付物進(jìn)行源代碼檢查和安全掃描；（四） 定期對(duì)服務(wù)提供商進(jìn)行安全檢查，獲取服務(wù)提供商自評(píng)估或第三方評(píng)估報(bào)告。第三十五條關(guān)注外包服務(wù)引入的新技術(shù)或新應(yīng)用對(duì)現(xiàn)有治理模式及安全架構(gòu)的沖擊，及時(shí)完善信息安全管控體系，避免因新技術(shù)或應(yīng)用的引入而增加額外的信息安全風(fēng)險(xiǎn)。第三節(jié)外包服務(wù)中斷與終止第三十六條為降低外包突發(fā)事件的可能性及影響，應(yīng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施，包括但不限于以下內(nèi)容：（一） 在外包服務(wù)實(shí)施過(guò)程中持續(xù)收集服務(wù)提供商相關(guān)信息，盡早發(fā)現(xiàn)可能導(dǎo)致服務(wù)中斷的情況；（二） 與服務(wù)提供商事先約定在其服務(wù)質(zhì)量不能滿足合同要求的情況下獲取其外包服務(wù)資源的優(yōu)先權(quán)；（三） 要求服務(wù)提供商制定服務(wù)中斷相關(guān)的應(yīng)急處理預(yù)案，如提供備份人員；（四） 對(duì)于涉及重要業(yè)務(wù)的外包服務(wù)，本行需考慮預(yù)先在其內(nèi)部配置相應(yīng)的人力資源，掌握必要的技能，以在外包服務(wù)中斷期間自行維持最低限度的服務(wù)能力。第三十七條為應(yīng)對(duì)突發(fā)的外包服務(wù)中斷事件，應(yīng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景，擬定相應(yīng)的應(yīng)急計(jì)劃，并定期進(jìn)行演練，考慮因素包括但不限于以下內(nèi)容：（一） 事件場(chǎng)景，如重要人員流失導(dǎo)致服務(wù)無(wú)法持續(xù)，服務(wù)提供商主動(dòng)退出，因資質(zhì)變更、被收購(gòu)、兼并或破產(chǎn)等原因?qū)е碌姆?wù)提供商被動(dòng)退出等；（二） 事件持續(xù)時(shí)間和恢復(fù)可能性；（三）事件影響范圍和可能的應(yīng)急措施;（四）服務(wù)提供商自行恢復(fù)服務(wù)的可能性和時(shí)間;（五） 備選的服務(wù)提供商以及外包服務(wù)遷移方案；（六） 外包服務(wù)過(guò)渡給本行自行運(yùn)作的可能性、時(shí)效及資源需求。第三十八條對(duì)于無(wú)法滿足外包服務(wù)要求或發(fā)生重大事件的情況，應(yīng)在充分評(píng)估其影響及制定退出計(jì)劃的前提下,考慮主動(dòng)要求服務(wù)提供商終止服務(wù)，情節(jié)特別嚴(yán)重的,可考慮取消準(zhǔn)入資質(zhì)，并報(bào)監(jiān)管機(jī)構(gòu)申請(qǐng)對(duì)其備案。第四節(jié) 重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理第三十九條應(yīng)在風(fēng)險(xiǎn)管理、審計(jì)方面對(duì)銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)提出如下要求：（一） 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)具有信息科技風(fēng)險(xiǎn)的管理體系，有效識(shí)別、監(jiān)測(cè)、評(píng)估和控制風(fēng)險(xiǎn)。至少每季度向本行報(bào)送外包風(fēng)險(xiǎn)監(jiān)控報(bào)告，針對(duì)監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險(xiǎn)或風(fēng)險(xiǎn)事件，及時(shí)采取控制或緩釋措施；（二） 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)每年聘請(qǐng)獨(dú)立的審計(jì)機(jī)構(gòu)，對(duì)自身外包服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，年度風(fēng)險(xiǎn)評(píng)估報(bào)告需報(bào)送本行，并抄送銀監(jiān)會(huì)或其派出機(jī)構(gòu)；（三） 銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對(duì)其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過(guò)往無(wú)不良記錄，且應(yīng)當(dāng)與項(xiàng)目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。第五章報(bào)告管理第四十條本行開(kāi)展以下信息科技外包服務(wù)時(shí)，應(yīng)在外包合同簽訂前二十個(gè)工作日向銀監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告：（一） 信息科技工作整體外包；（二） 數(shù)據(jù)中心或?yàn)?zāi)備中心整體外包；（三）涉及將本行客戶資料、交易數(shù)據(jù)等敏感信息交由服務(wù)提供商進(jìn)行分析或處理的信息科技外包;（四） 以非駐場(chǎng)形式實(shí)施的、集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包；（五） 關(guān)聯(lián)外包；即：服務(wù)提供商為本行或所屬集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)提供信息科技外包；（六） 涉及跨境的信息科技外包；（七） 其他銀監(jiān)會(huì)認(rèn)為重要的信息科技外包。第四^一條本行信息科技外包活動(dòng)中發(fā)生如下重大事件時(shí)，應(yīng)在兩個(gè)工作日內(nèi)銀監(jiān)會(huì)派出機(jī)構(gòu)報(bào)告：（一） 本行客戶信息等敏感數(shù)據(jù)泄露；（二） 數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷；（三） 由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問(wèn)題，導(dǎo)致或可能導(dǎo)致多家銀行業(yè)金融機(jī)構(gòu)外包服務(wù)中斷；（四） 其他重大的服務(wù)提供商違法違規(guī)事件；（五） 銀監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。第四十二條風(fēng)險(xiǎn)管理部在開(kāi)展年度外包風(fēng)險(xiǎn)管理評(píng)估工作后，應(yīng)將年度風(fēng)險(xiǎn)評(píng)估報(bào)告報(bào)送銀監(jiān)會(huì)派出機(jī)構(gòu)。第六章附則第四十三條本辦法由銀行負(fù)責(zé)制定、解釋和修改。第四十四條本辦法自發(fā)布之日起施行。附件：1.《外包服務(wù)商盡職調(diào)查表》附件1.《銀行外包服務(wù)商盡職調(diào)查表》銀行外包服務(wù)商盡職調(diào)查表1?基本情況問(wèn)題選項(xiàng)

企業(yè)性質(zhì)A.國(guó)有控股企業(yè)B.民營(yíng)控股企業(yè)C.中外合資，外資控股企業(yè)D.外商獨(dú)資企業(yè)企業(yè)成立于年企業(yè)從事外包業(yè)務(wù)的年數(shù)年企業(yè)分支機(jī)構(gòu)設(shè)立情況國(guó)內(nèi)： 個(gè)，分布在（分支機(jī)構(gòu)包括：子公司、分公司和辦事處）國(guó)外： 個(gè)，分布在2業(yè)務(wù)類型go編號(hào)問(wèn)題選項(xiàng)企業(yè)金融類外包業(yè)務(wù)占全部外包業(yè)務(wù)比例業(yè)務(wù)比例 %企業(yè)金融類外包業(yè)務(wù)主要客戶包括A.金融監(jiān)管機(jī)構(gòu)業(yè)務(wù)比例 %B.國(guó)有大型銀行業(yè)務(wù)比例 %C.股份制銀行業(yè)務(wù)比例 %D.城市商業(yè)銀行業(yè)務(wù)比例 %E.農(nóng)村信用社業(yè)務(wù)比例 %F.其他業(yè)務(wù)比例 %3?資質(zhì)認(rèn)證

go編號(hào)指標(biāo)選項(xiàng)□A.CMM/CMMI認(rèn)證等級(jí)企業(yè)通過(guò)以下哪些資質(zhì)（可多選）B.IS027001/BS7799C.IS020000D.IS09001E.PCMMF.SAS70企業(yè)系統(tǒng)集成資質(zhì)級(jí)別A.一級(jí)B.二級(jí)C.三級(jí)D.其他4經(jīng)營(yíng)狀況go編號(hào)問(wèn)題選項(xiàng)企業(yè)的營(yíng)業(yè)總額前年度：萬(wàn)元上年度：萬(wàn)元5合同規(guī)模和年限go編號(hào)問(wèn)題選項(xiàng)企業(yè)上年度所承接的最大外包項(xiàng)目的合同金額（不包括硬件