XX银行信息科技外包风险管理办法
某银行信息科技关联外包管理办法
xxxx银行信息科技关联外包管理办法第一章总则第一条为规范xxxx银行(以下简称“我行”)信息科技关联外包活动,保障xxxx银行信息系统安全持续稳定运行,降低信息科技关联外包风险,依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》,结合我行实际,特制定本管理办法。
第二条本办法所称关联外包是指外包服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构所提供的信息科技外包服务。
第二章部门及职责第三条xxxx银行信息科技部为我行信息科技关联外包的职能管理部门。
第四条我行信息科技关联外包管理其他涉及的部门包括:关联外包服务使用部门(外包服务直接应用部门)、关联外包审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技关联外包管理部门,其基本职能如下:(一)负责协调和组织关联外包资源,管理关联外包资源台账信息;(二)规范和制定关联外包合同和外包服务水准的基本要求;(三)协助相关部门签定关联外包服务合同、制定关联外包服务水准协议,信息科技部主要负责制定技术指标要求;(四)规范和制定关联外包监控制度、考核评价机制和持续改进办法、组织验收考核;(五)负责定期形成关联外包项目情况报告,提交相关部门及高级管理层;(六)根据xxxx银行审计部门或风险管理部门对关联外包工作的评估、审计以及提出的风险管理意见对信息科技关联外包工作实施优化和改进。
第六条我行关联外包管理其他涉及的部门,其基本职能如下:(一)配合信息科技关联外包管理部门做好关联外包服务商的日常风险信息收集;(二)协助相关部门签定关联外包服务合同、制定关联外包服务水准协议;(三)配合信息科技关联外包管理部门做好对关联外包工作的评估、审计工作。
第三章关联外包管理原则第七条我行在开展关联外包活动采购前,应当在外包合同签订前10个工作日向银保监会或其派出机构报告。
第八条我行在开展关联外包活动时,应遵循独立交易原则,对所有参与外包商需采用统一标准和原则,遵循正常市场交易原则和营业常规,不得违背公平交易原则。
某银行信息科技非驻场外包管理办法
xxxx银行信息科技非驻场外包管理办法第一章总则第一条为规范xxxx银行(以下简称“我行”)信息科技非驻场外包活动,保障我行信息系统安全持续稳定运行,降低信息科技非驻场外包风险,依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》,结合我行实际,特制定本管理办法。
第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务,或外包的关键基础设施和信息系统不在我行产权场所,由我行以租用设施或购买服务资源的方式获得,主要由外包服务商运维的外包方式。
第二章非驻场外包职责管理第三条我行信息科技部是信息科技非驻场外包的职能管理部门。
第四条我行信息科技非驻场外包管理中其他涉及的部门包括:非驻场外包服务使用部门(外包服务直接应用部门)、非驻场外包审批部门、风险管理部和审计部等。
第五条我行信息科技部作为信息科技非驻场外包管理部门,其基本职能如下:(一)负责非驻场外包管理办法的制定、修订和完善。
(二)负责协调和组织非驻场外包资源,管理非驻场外包资源台账信息;(三)负责制定技术指标要求,协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议。
(四)规范和制定非驻场外包监控制度、考核评价机制和持续改进办法、组织验收考核;(五)负责定期形成非驻场外包项目情况报告,提交相关部门及高级管理层审核;(六)根据xxxx银行审计部门或风险管理部门对非驻场外包工作的评估、审计以及提出的风险管理意见对信息科技非驻场外包工作实施优化和改进。
第六条我行非驻场外包管理其他涉及的部门,其基本职能如下:(一)配合信息科技非驻场外包管理部门做好非驻场外包服务商的日常风险信息收集;(二)协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议;(三)配合信息科技非驻场外包管理部门做好对非外包工作的评估、审计工作。
第七条信息科技部外包管理岗是非驻场外包执行的主管岗位,其基本职能如下:(一)负责非驻场外包管理办法的执行,并对办法提出改进建议;(二)负责非驻场外包供应商的尽职调查,提交尽职调查报告;(三)负责非驻场外包供应商信息的定期收集和更新,建立供应商管理台账;(四)负责定期形成非驻场外包项目情况报告;(五)协助审计、风险管理部门对外包供应商进行审计和风险评估。
农商银行信息科技外包管理办法
农商银行信息科技外包管理办法农商银行信息科技外包管理办法第一章总则第一条为规范农商银行信息科技外包工作,提高信息技术服务质量,保障信息安全和业务连续性,制定本办法。
第二条农商银行信息科技外包,是指依托第三方机构提供的专业技术和服务,对信息科技系统的建设、运维、服务和安全进行外包。
第三条农商银行信息科技外包工作应遵循统一规划、分类管理、风险可控、服务可持续、监管有序、安全保障的原则。
第二章外包范围和内容第四条农商银行信息科技外包的范围包括但不限于以下内容:(一)信息系统及设备建设和维护;(二)网络和服务器管理;(三)软件开发和维护;(四)数据中心运维;(五)安全防护和风险管理;(六)业务流程外包等。
第五条农商银行信息科技外包应符合相关法规和监管要求,并按照农商银行的信息技术发展规划进行合理选择。
第六条农商银行信息科技外包应与农商银行总行外包管理部门建立合作关系,按照监管部门的要求,进行合规运营。
第三章外包机构的选择和管理第七条农商银行信息科技外包应选择具有相应资质和经验的专业机构进行合作,并签订详细的合同和协议。
第八条农商银行应建立信息科技外包管理团队,负责对外包机构的选择和绩效评估。
第九条农商银行应对外包机构进行定期的考核和监管,对外包机构的服务质量和合规运营进行评估。
第四章风险控制和安全保障第十条农商银行信息科技外包涉及的风险应进行全面的评估,并制定相应的风险防控措施。
第十一条农商银行应与外包机构共同建立信息安全保障体系,加强对信息安全的监控和防范。
第十二条农商银行应定期对信息科技外包进行风险评估和演练,保障业务连续性和应急响应能力。
第五章监督和绩效评估第十三条农商银行信息科技外包应接受农商银行总行外包管理部门和监管部门的监督和检查。
第十四条农商银行应定期对信息科技外包工作进行绩效评估,对外包合作机构进行考核和奖惩。
第六章附则第十五条农商银行信息科技外包管理办法的解释权归农商银行总行所有。
第十六条本办法自颁布之日起执行,原有农商银行信息科技外包管理办法同时废止。
XX银行信息科技风险管理办法
第一章总则为建立健全信息科技风险管理体系,防范信息科技风险,提高信息科技风险管理水平,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构信息科技外包风险管理指引》等法律法规和监管要求,结合本行实际,制定本办法。
术语释义(一)信息科技。
系指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,包括进行信息科技管理,建立完整的管理组织架构,制定完善的管理制度和流程等。
(二) 信息科技风险。
系指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的操作、法律和声誉等风险。
(三) 信息科技风险管理。
系指通过建立信息科技风险的识别、评估、应对、监测和持续改进的方法和流程,实施具体的风险管控措施,将信息科技风险降低或者控制在适当水平,增强银行核心竞争力和可持续发展能力。
管理原则(一) 协调统一原则。
本行信息科技风险管理充分考虑管理目标与业务发展、成本与效益之间的关系,协调统一确定全行信息科技风险管理策略。
(二)全面覆盖原则。
信息科技风险覆盖到全行各条线、部门、岗位、人员和业务环节,本行全体人员均是信息安全和风险防范工作的参预者和责任人。
(三) 预防优先原则。
本行信息科技风险管理秉承事前预防重于事后控制、日常防控重于应急处理的原则,注重信息科技风险管理工作的主动性与前瞻性,降低风险发生的可能性。
(四)动态管理原则。
根据外部监管要求,本行业务及信息科技发展情况,在发展过程中动态调整、持续优化信息科技风险管理策略和工作机制。
合用范围。
本办法合用于本行各级机构、部门、岗位人员及业务环节。
第二章职责分工本行董事会是本行信息科技风险管理的最高决策机构。
其中,董事会风险管理委员会负责落实董事会信息科技风险管理职责,稽核部负责落实董事会审计监督职责。
银行外包风险管理办法
银行外包风险管理办法银行外包是指银行将自身业务中的某些环节或部分业务委托给专业的第三方服务机构进行处理、管理和运营。
外包业务在一定程度上可以降低银行的成本,提高效率和竞争力。
但银行外包也带来了一定风险,如信息安全风险、服务质量风险、合规风险等。
为了有效管理外包风险,保障银行的安全稳健运营,银行需要建立完善的外包风险管理办法。
一、外包风险管理的基本原则银行应根据实际情况和合规要求,建立外包风险管理制度,明确相应的组织和职责分工,制定规范的外包合同,定期开展风险评估和检查,确保外包活动稳健可控、合规可靠。
1. 风险识别原则。
银行在开展外包活动前应全面了解外包服务机构的资质、信用状况、经验和功能水平等信息,对外包的业务、流程和所有环节进行全面了解,建立相应的外包风险识别机制,及时发现、分析和评价外包风险。
2. 合规原则。
银行在外包过程中应严格遵守相关法律法规和内部规定,明确合同的法律效力和标准,确保符合业务、合规和风险要求,与服务机构共同承担合规风险。
3. 风险管理原则。
银行应建立有效的风险管理机制,制定合理的风险控制措施,确保外包活动的有效运营和风险可控。
4. 监督管理原则。
银行需及时跟踪外包服务机构的业务运营情况,定期进行评估和监督,确保其符合相关要求,严格控制服务过程中出现的风险,保障银行自身利益和声誉。
二、外包风险管理的具体规定1. 外包风险管理制度的建立银行需建立外包风险管理制度,明确组织机构、职责分工、工作流程和内部监管要求。
制定外包风险识别、评估、监测和处置程序,阐明合同的签订、管理和履行要求,确保外包活动符合银行的业务和风险要求。
2. 合规风险控制的要求银行在外包活动中需严格执行法律法规,保障客户信息的安全和服务质量,要求服务机构承担相应责任。
银行应按照规定制定合同的内容和格式,严格审查合同条款,明确法律约束力和申诉机制。
银行应确保服务机构在外包过程中的业务操作符合银行的操作规程和风险要求。
银行保险机构信息科技外包风险监管办法
银行保险机构信息科技外包风险监管办法第一章总则第一条为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。
银保监会及其派出机构监管的其他金融机构参照本办法执行。
第三条本办法所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,按照本办法相关要求进行管理,法律法规另有要求的除外。
第四条银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
第五条银行保险机构在实施信息科技外包时应当坚持以下原则:(一)不得将信息科技管理责任、网络安全主体责任外包;(二)以不妨碍核心能力建设、积极掌握关键技术为导向;(三)保持外包风险、成本和效益的平衡;(四)保障网络和信息安全,加强重要数据和个人信息保护;(五)强调事前控制和事中监督;(六)持续改进外包策略和风险管理措施。
第二章信息科技外包治理第六条银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。
第七条银行保险机构董(理)事会或其授权设立的专业委员会应负责推动建立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策,高级管理层应负责制定信息科技外包战略,明确信息科技外包风险主管部门和信息科技外包执行团队,明确信息科技外包及其风险管理职责,审议信息科技外包管理流程及制度,监控信息科技外包及其风险管理成效。
银行信息科技外包风险管理办法
`大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录第一章总则 (4)第二章外包管理组织架构 (5)第三章信息科技外包战略及风险管理 (6)第一节信息科技外包战略 (6)第二节信息科技外包风险管理 (7)第四章信息科技外包管理 (8)第一节外包风险评估及准入 (8)第二节服务提供商尽职调查 (10)第三节外包服务合同及要求 (10)第四节外包服务安全管理 (12)第五节外包服务监控与评价 (13)第六节外包服务中断与终止 (14)第八章监督管理 (17)第九章附则 (18)第一章总则第一条为规我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
第五条我行在实施信息科技外包时,不得将信息科技管理责任外包。
XX银行信息科技外包风险管理办法
XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。
第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。
第三条本行外包管理原则包括:(一)自主可控原则。
信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。
(二)协调统一原则。
符合科技风险管理策略,保持外包风险、成本和效益的平衡。
(三)预防优先原则。
审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。
(四)动态优化原则。
根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。
第四条本办法适用于本行与信息科技相关外包活动的管理。
第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。
第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。
第七条董事会承担信息科技外包管理的最终责任。
主要职责包括:(一)审议批准信息科技外包战略;(二)审议批准外包管理基本制度;(三)审议批准本机构的外包范围及相关安排;(四)定期审阅本机构外包活动相关报告;(五)银监会信息科技外包风险监管指引要求的其它工作。
第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。
主要职责包括:(一)制定外包战略发展规划;(二)确定外包业务的范围及相关安排;(三)确定科技外包管理团队职责,并对其行为进行有效监督;(四)定期审阅本行外包活动相关报告;(五)指导内部审计部门独立开展外包审计工作;(六)董事会确定的其它职责。
第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。
银行信息科技外包服务管理办法模版
银行信息科技外包服务管理办法模版银行信息科技外包服务管理办法模板第一章总则第一条为规范银行信息科技外包服务的管理,提高管理水平,保障客户合法权益,依据《中华人民共和国合同法》、《中华人民共和国电子签名法》、《中华人民共和国电信条例》等有关法律、法规规定,特制定本管理办法。
第二条本办法适用于行业内银行与外部单位、个人之间进行信息科技外包服务活动的管理。
第三条银行应根据实际业务情况制定外包服务计划和外包服务实施方案,遵循科学、合理、可行的原则。
第四条银行对外包服务所采用的技术和服务、服务供应商资质和管理、服务内容、人员配备和考核、服务风险控制等全部有权进行审核、评估和监督管理,确保外包服务质量和安全。
第五条外包服务合作应签订书面合同或协议,银行应明确外包服务合同或协议的双方、服务内容、服务标准、服务时间、服务费用、服务质量、违约责任等条款。
第六条银行应设置信息科技外包服务管理机构,对外包服务进行专业化、标准化的管理。
第二章外包服务报备和审核第七条银行实施信息科技外包服务时,应向国家银行业监督管理机构报备,提交有关外包服务的申请材料,包括外包服务计划、外包服务实施方案、合同或协议等。
第八条国家银行业监督管理机构应对提交的申请材料进行审核,审核合格后向银行颁发信息科技外包服务经营许可证。
第九条银行外包服务合作方应按照有关要求向银行审请合法经营业务的相关许可证,如互联网信息服务许可证、电信服务经营许可证、电子商务实体经营许可证等。
第三章外包服务合同第十条银行与外包服务合作方应在合同中明确一下基本内容:(一)服务内容:根据银行与合作方共同确定的具体业务需求,明确外包服务的范围、类型、服务内容和要求。
(二)服务标准:明确外包服务标准和要求,如服务质量、响应时间、服务效率和服务水平等。
(三)服务时间:明确服务时间和工作量要求,如工作时间、工作日历、工作计划和工作标准等。
(四)服务报酬:明确服务报酬的支付方式、金额、收款账号等。
银行科技外包服务管理办法
银行科技外包服务管理办法第一章总则第一条为加强和规范全省银行系统科技外包服务管理,根据《银行信息系统信息安全等级保护实施指引(试行)》(银发〔2011〕173号)、《银行计算机系统信息安全管理规定》(银发〔2010〕276号)等规定,特制定本办法。
第二条本办法所指科技外包服务(以下简称外包)是指外包服务提供商(以下简称外包商)为银行内部网络和计算机系统提供的技术支持、咨询等服务。
第三条本办法适用于银行机关、营管部、省内各地市中心支行及县(市)支行(以下统称各单位)。
第二章组织机构第四条各单位科技部门负责制定外包的风险管理框架以及相关制度,并将其纳入全面风险管理体系。
第五条外包管理团队应至少包含需求牵头部门和科技部门人员各一名,如需求由科技部门牵头,则科技部门双人以上负责。
第六条外包管理团队的职责主要包括以下方面:(一)执行外包管理的各项内控制度;(二)负责外包活动的日常管理,包括尽职调查、合同执行情况的监督及风险状况的监督;(三)在发现外包商的业务活动存在缺陷时,采取及时有效的措施;(四)其他相关职责。
第三章外包准备与决策第七条进行外包活动前,应考虑以下风险因素:(一)外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险等;(二)影响外包活动的外部因素;(三)对外包活动的风险管控能力;(四)外包商的资质认证、技术及专业能力,业务策略和业务规模,业务连续性及破产风险,风险控制能力及外包服务的集中度,快速服务响应和故障处理能力;(五)应确保安全外包商的选择符合国家的有关规定,涉密计算机系统集成商应选择具有国家相关部门颁发的涉密系统集成资质证书的单位;(六)其他相关事项。
第八条在与外包商合同谈判过程中,应考虑以下风险因素:(一)对外包商的报告要求和谈判必要条件;(二)通过界定信息所有权、签署保密协议和采取技术防护措施保护银行信息;(三)担保和损失赔偿是否充足;(四)外包商遵守银行有关信息科技风险制度和流程的意愿及相关措施;(五)外包商提供的业务连续性保障水平,以及提供相关专属资源的承诺;(六)第三方供应商出现问题时,保证服务持续可用的相关措施;(七)变更外包协议的流程,以及变更或终止外包协议的条件,包括:1.外包商的所有权或控制权发生变化;2.外包商的业务经营发生重大变化;3.外包商提供的服务不充分,造成相关银行分支机构不能履行监督义务;(八)其他相关事项。
银行信息科技外包风险管理方案
银行信息科技外包风险管理方案首先很高兴能回答您的问题。
然后我来简单说一下银行信息科技外包风险管理方案,该方案主要针对银行在将部分信息技术服务或项目外包给第三方时可能出现的风险,采取一系列管理措施来降低和控制这些风险。
以下是一份简化版的风险管理方案:一、风险识别与评估1. 明确外包范围:首先确定要外包的信息科技服务内容,评估哪些环节可能产生风险,如数据安全、服务质量、法律合规、业务连续性等。
2. 外包商资质审查:对潜在外包服务商进行全面评估,包括但不限于公司的规模、信誉、技术水平、财务状况、信息安全认证等。
3. 风险因素分析:深入分析外包过程中可能面临的技术风险、操作风险、法律风险、声誉风险、市场风险等。
二、风险防控措施1. 合同约束:与外包商签订详尽的外包服务合同,明确双方责任义务,特别是关于数据保密、知识产权、服务水平协议(SLA)、违约赔偿等方面。
2. 服务监控:建立严格的服务质量和进度监控机制,确保外包服务按质按时完成,同时对外包商的操作进行实时或定期审计。
3. 数据安全管控:在外包过程中实施严格的数据加密、访问权限控制、数据备份和恢复等措施,防止敏感信息泄露。
4. 应急预案:制定完备的业务连续性计划和灾难恢复方案,以应对可能由于外包服务商故障导致的银行信息系统中断风险。
5. 法律法规遵从:确保外包服务遵守国家法律法规及监管政策,定期开展合规审查,对外包服务商进行法律知识培训。
三、风险监督与改进1. 建立风险报告制度:要求外包服务商定期提交工作报告、风险评估报告等,银行内部设立专门的外包风险管理团队负责监控和评估。
2. 持续改进:根据内外部审计结果和日常监控数据,不断调整和完善外包管理策略,促使外包服务商不断提升服务质量和技术能力。
3. 退出机制:设定清晰的外包服务终止条款和紧急替换方案,确保在出现重大风险事件时,银行有能力迅速切换服务提供商,保障业务不受严重影响。
希望我的回答能帮到你。
(完整word版)银行信息科技外包风险管理办法
大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录第一章总则 (4)第二章外包管理组织架构 (5)第三章信息科技外包战略及风险管理 (6)第一节信息科技外包战略 (6)第二节信息科技外包风险管理 (7)第四章信息科技外包管理 (8)第一节外包风险评估及准入 (8)第二节服务提供商尽职调查 (10)第三节外包服务合同及要求 (10)第四节外包服务安全管理 (12)第五节外包服务监控与评价 (13)第六节外包服务中断与终止 (14)第八章监督管理 (17)第九章附则 (18)第一章总则第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
银行外包风险管理办法
广*银行外包风险管理办法第一章总则第一条为有效防范本行外包风险,保障各项业务可持续发展,进一步完善全面风险管理体系,依据中国银行业监督管理委员会《银行业金融机构外包风险管理指引》,结合本行实际,制定本办法。
第二条本办法适用于本行信息技术外包、业务流程外包、知识技术外包等所有外包项目。
第三条本办法所称的外包是指银行业金融机构将原本应由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。
第四条本办法所称的服务提供商包括独立第三方,银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。
第五条本行外包风险管理是指识别、评估、监测和控制外包风险的全过程。
第六条本行外包风险管理遵循“适宜适度、审慎管理、业务外包,风险责任不外包”的原则。
即本行应根据审慎经营原则制定外包风险管理政策,确定与本行风险管理水平相适宜的外包活动范围,并明确业务外包不等于风险责任外包的原则。
第七条本行外包风险管理采取主动防范的政策取向。
即在满足监管要求的基础上,采取积极有效的管理措施,严格控制外包风险。
第八条本行外包风险管理的目标是:通过建立适时、合理、有效的外包风险管理机制,实现对外包风险的识别、评估、监测和控制,将外包风险控制在本行可以承受的范围之内,以推动本行业务持续高效运行。
第九条本行通过建立科学的风险管理组织架构,划分明确的风险管理职责,制定有效的风险管理政策、程序和制度,强化考核监督,持续推动外包风险管理工作的开展。
第十条本行的战略管理、核心管理、内部审计以及监管明确禁止外包的业务或职能严禁外包。
核心管理包括但不限于对核心人员的管理、核心业务的管理和核心客户的管理。
第二章外包风险管理的组织架构和职责第十一条本行建立与外包风险特点相适应的组织架构,包括董事会、监事会、高级管理层、外包风险管理的相关责任部室。
第十二条本行董事会承担对外包风险管理的最终责任,履行以下职责:(一)审议批准外包的战略发展规划;(二)审议批准外包的风险管理制度;(三)审议批准本行的外包范围及相关安排;(四)定期审阅本行外包活动相关报告;(五)定期安排内部审计,确保审计范围涵盖所有的外包安排。
XX银行信息科技风险管理办法
XX银行信息科技风险管理办法第一章总则第一条为建立健全信息科技风险管理体系,防范信息科技风险,提高信息科技风险管理水平,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《商业银行数据中心监管指引》、《银行业金融机构信息科技外包风险管理指引》等法律法规和监管要求,结合本行实际,制定本办法。
第二条术语释义(一)信息科技。
系指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,包括进行信息科技治理,建立完整的管理组织架构,制定完善的管理制度和流程等。
(二)信息科技风险。
系指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷等产生的操作、法律和声誉等风险。
(三)信息科技风险管理。
系指通过建立信息科技风险的识别、评估、应对、监测和持续改进的方法和流程,实施具体的风险管控措施,将信息科技风险降低或控制在适当水平,增强银行核心竞争力和可持续发展能力。
第三条管理原则(一)协调统一原则。
本行信息科技风险管理充分考虑管理目标与业务发展、成本与效益之间的关系,协调统一确定全行信息科技风险管理策略。
(二)全面覆盖原则。
信息科技风险覆盖到全行各条线、部门、岗位、人员和业务环节,本行全体人员均是信息安全和风险防范工作的参与者和责任人。
(三)预防优先原则。
本行信息科技风险管理秉承事前预防重于事后控制、日常防控重于应急处理的原则,注重信息科技风险管理工作的主动性与前瞻性,降低风险发生的可能性。
(四)动态管理原则。
根据外部监管要求,本行业务及信息科技发展情况,在发展过程中动态调整、持续优化信息科技风险管理策略和工作机制。
第四条适用范围。
本办法适用于本行各级机构、部门、岗位人员及业务环节。
第二章职责分工第五条本行董事会是本行信息科技风险管理的最高决策机构。
其中,董事会风险管理委员会负责落实董事会信息科技风险管理职责,稽核部负责落实董事会审计监督职责。
银行信息科技外包服务应急管理办法
xx银行信息科技外包服务应急管理办法xx总技〔xx〕43号附件1,xx年11月19日印发第一章总则第一条为有效防范重要信息科技外包服务中断产生的风险,促进本行信息系统安全、持续、稳健运行,根据银监会《商业银行信息科技风险管理指引》的有关规定,制定本办法。
第二条本办法适用于xx银行全行的信息科技外包项目。
第二章组织与职责第三条风险管理部在外包服务应急管理中的主要职责包括:负责牵头组织对重要信息科技外包项目的外包服务商失效、异常退出等重大缺失进行风险评估。
第四条稽核监察部负责对重要信息科技外包应急管理的执行演练进行内部审计。
第五条科技部项目(外包)管理办公室,主要职责包括:(一)牵头对外包项目按重要性进行分级;(二)建立外包项目应急预案模板;(三)组织制定各重要信息科技外包项目的应急预案;(四)组织重要外包项目应急预案演练。
第三章外包项目应急管理第六条外包商选择时,应充分考虑外包商的管理能力和行业地位、财务稳健性、经营声誉、技术实力和服务质量、突发事件的应对能力、行业熟悉度等,重点应关注外包商应对突发事件的能力。
第七条签订外包合同时,项目经理应要求外包服务商提供外包服务连续性计划,外包合同中应该明确外包服务商应该提供的业务连续性保障水平,以及提供相关资源的承诺。
第八条项目(外包)管理办公室收集信息科技外包项目和信息,按系统重要性进行分级,分级标准参考《xx银行信息科技项目管理办法》中第3条甲、乙、丙类和关于重大项目的定义并结合系统数据重要性进行分类:(一)甲类项目是指资源投入规模大、技术复杂度高、由总行决策的年度重点工作的项目或者为符合监管等要求必须开展的外包项目。
(二)乙类项目是指资源投入规模较大、技术复杂度较高、商业价值较大的外包项目。
(三)丙类项目是指资源投入规模小、技术复杂度低、风险小的变更维护类项目。
丙类项目的IT人力资源投入一般在30人天以下。
以上三类项目中预算投资规模超过500万元(含)或风险影响程度为重大级的计算机应用开发项目列为重大项目,形成外包服务项目管理台账。
银行信息科技外包风险管理办法
. .. . .. ..大洼恒丰村镇银行信息科技外包风险管理办法大洼恒丰村镇银行信息科技部变更履历*变化状态:C——创建,A——增加,M——修改,D——删除目录第一章总则 (4)第二章外包管理组织架构 (5)第三章信息科技外包战略及风险管理 (6)第一节信息科技外包战略 (6)第二节信息科技外包风险管理 (7)第四章信息科技外包管理 (8)第一节外包风险评估及准入 (8)第二节服务提供商尽职调查 (10)第三节外包服务合同及要求 (10)第四节外包服务安全管理 (12)第五节外包服务监控与评价 (13)第六节外包服务中断与终止 (14)第八章监督管理 (17)第九章附则 (18)第一章总则第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。
第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。
包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。
第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。
第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。
第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。
第三条本行外包管理原则包括:(一)自主可控原则。
信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。
(二)协调统一原则。
符合科技风险管理策略,保持外包风险、成本和效益的平衡。
(三)预防优先原则。
审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。
(四)动态优化原则。
根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。
第四条本办法适用于本行与信息科技相关外包活动的管理。
第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。
第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。
第七条董事会承担信息科技外包管理的最终责任。
主要职责包括:(一)审议批准信息科技外包战略;(二)审议批准外包管理基本制度;(三)审议批准本机构的外包范围及相关安排;(四)定期审阅本机构外包活动相关报告;(五)银监会信息科技外包风险监管指引要求的其它工作。
第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。
主要职责包括:(一)制定外包战略发展规划;(二)确定外包业务的范围及相关安排;(三)确定科技外包管理团队职责,并对其行为进行有效监督;(四)定期审阅本行外包活动相关报告;(五)指导内部审计部门独立开展外包审计工作;(六)董事会确定的其它职责。
第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。
第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。
外包管理执行团队具体负责科技外包项目的执行和管理工作,主要职责包括:(一)信息科技部门实施全行信息科技外包管理战略;执行供应商准入、评价和退出管理;制定保障外包服务连续性的应急管理措施;分析和评估外包存在的潜在风险,制定相应的风险防范措施,监督和管理外包实施过程,定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。
(二)业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作,并参与项目的实施。
(三)计划财务部门是全行信息科技外包项目招投标工作的组织单位,负责科技外包项目的招投标活动的组织协调工作。
(四)法律合规部门负责对信息科技外包项目的合同进行审核,并对信息科技外包项目提供法律方面的指导。
第十一条稽核部负责对信息科技外包服务项目以及外包服务商管理等进行审计。
第三章外包管理战略第十二条本行信息科技外包战略是为提升本行可持续发展能力和核心竞争力,大力推进本行信息化建设,打造先进高效、适应业务发展和市场变化的现代商业银行信息化产品和服务体系。
通过强化平台整合能力和风险控制能力,合理审慎开展信息科技外包活动,降低信息系统建设运营成本,提升本行掌控核心技术和自主开发、自主运维的能力。
第十三条本行信息科技外包服务策略系指外包服务制定的预期目标,以及评判外包服务绩效的标准。
本行外包服务的一般策略如下:(一)成本控制策略。
降低本行信息系统建设和运维的总体成本。
(二)高质高效策略。
提升本行信息科技服务水平、提高工作效率、缩短系统上线时间。
(三)创新变革策略。
促进本行创新、转型发展。
第十四条本行信息科技外包的主要内容包括:(一)科技管理及科技治理的咨询;(二)信息科技系统的规划、设计、需求、开发、测试外包;(三)数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(四)业务外包如市场拓展、业务操作、内部管理、资产处置等外包中涉及到系统开发、运行维护和数据处理等的信息科技活动。
第十五条本行在信息科技活动中不得将信息科技管理责任外包,涉及战略管理、风险管理、安全管理、内部审计职能的业务也不宜外包。
第五章外包风险管理第十六条本行信息科技外包风险评估应关注外包活动的战略风险、声誉风险、合规风险、操作风险、国别风险、机构集中度等风险,并制定应对措施。
第十七条本行信息科技外包风险评估过程应该充分考虑如下因素:(一)是否符合本行战略规划、战略目标和业务需求;(二)本行是否有管理外包关系的能力;(三)是否可能导致本行失去科技控制和创新能力;(四)可能导致业务中断的情况;(五)可能导致信息泄露的情况;(六)是否会导致本行服务水平的降低。
第十九条判断外包服务商具有机构集中度的标准包括:(一)外包服务商所承接外包服务的数量或者金额在本行重要信息科技服务中达到三分之一以上;(二)外包服务商承接外包服务在银行业服务市场占比达到三分之一以上;(三)外包服务商之间为集团子公司、关联公司或附属机构的情况,应将分支机构或关联公司作为统一的整体来计算机构集中度。
第二十条对于具有机构集中度特点的外包服务商,每年应及时向本行报送公司的财务报表、内控与安全管理情况,外包服务商因资质变动、被收购、兼并或破产、资源发生重大损失、出现财务失败等情况时,应及时函告本行。
本行应定期或不定期检查外包风险,必要时可指派专人现场监督。
在有条件的情况下,本行应采取分散信息科技外包活动、提高自主研发运营能力等形式,减少对外包服务商的依赖。
第二十一条涉及跨境外包的活动应遵守以下原则:(一)审慎评估境外国家或地区的经济与政治环境、技术风险以及境外权限的法律和管制风险。
(二)确保国家秘密、商业秘密和客户信息的安全。
(三)选择境外服务提供商时,应明确其所在国家或地区监管当局已与我国银行监管机构签订谅解备忘录。
第二十二条本行应提取必要的风险准备,以应对不可预料的IT外包服务的风险发生。
第二十三条本行应从风险控制、合规要求、可行性、成本效益等方面评估信息科技外包活动,对外包或自主建设两种方案进行分析比较,形成可行性报告。
第六章外包服务商分级管理第二十四条根据外包服务性质和重要程度将外包商划分为重点外包服务商和一般外包服务商。
对不同类型外包服务商的资质、监督、管理等实施不同的管理要求,当涉及敏感信息、商业秘密和客户隐私数据时,应符合国家有关法律法规和监管部门规定。
第二十五条重点外包服务商系指负责本行关键系统、基础设施建设和运维的外包服务商。
如其外包服务失败,可能导致本行大面积数据损毁、丢失、泄露或者信息系统服务中断,造成较大经济损失。
第二十六条一般外包服务商系指其提供的服务对本行影响较小,其外包服务失败影响范围可控,不会产生较大的经济损失。
第二十七条根据监管机构发布的重点外包服务机构风险提示,本行重点外包服务商原则上应符合以下资质要求:(一)在中国境内注册的独立法人实体,注册资本和实收资本不少于1000万,注册成立时间不少于3年;(二)具有完善的信息安全管理体系、业务连续性管理体系,并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证;(三)具有完善的质量管理体系,并通过业界公认较为权威的质量管理资质认证,拥有有效的检查、监控和考核机制,确保管理规范有效执行;(四)承担本行数据中心、灾备中心机房及基础设施外包服务的重点外包服务商,其机房及基础设施应当达到国家电子计算机机房最高标准;(五)拥有健全的组织架构,并针对所提供的外包服务建立有效的风险治理架构,至少应建立由公司高级管理层直接领导、针对本行外包服务的、专职信息科技风险管理团队,为持续的外包服务提供保证;(六)应具有足够的技术能力和人力资源;(七)承担本行外包服务的场地应设置在中国境内。
第二十八条外包服务商必须接受本行对外包服务活动的监督。
其中,重点外包服务商须遵循以下要求:(一)至少每季度向本行报送外包风险监控报告,并针对监控发现的潜在风险和风险事件,及时采取控制或缓释措施。
(二)每年聘请独立的审计机构,对自身外包服务进行风险评估,将年度风险报告报送本行。
(三)对其外包服务团队成员进行背景调查,确保其过往无不良记录,且应与项目成员签订保密协议,并保留至少10年的法律追诉期。
第七章外包服务商准入管理第二十九条外包服务商承接本行外包服务,应先成为本行认定的候选外包服务商。
本行建立并维护候选外包服务商清单,在需要引入新的外包服务商时,统一组织资质评审。
第三十条本行应对外包服务商进行充分调查、评估、审查,组织必要的尽职调查,内容包括但不限于:(一)资质证明、行业地位以及对其他银行业金融机构提供服务的情况;(二)技术实力和服务质量;(三)对银行业务的熟悉程度;(四)经营声誉和企业文化;(五)业务连续性及突发事件应对能力;(六)内部控制和管理能力;(七)财务稳健性;(八)是否满足履行监管义务的需要;(九)其设施和能力是否可以补偿潜在的责任;(十)是否接受本行监督其外包有关的操作风险;(十一)如何安排外包变更时的顺利过渡,包括终止合同可能发生的情况;(十二)本行认为重要的其它事项。
第三十一条如果本行认为无法对外包服务商进行以上尽职调查时,可以委托第三方独立机构进行尽职调查。
第三十二条外包活动涉及多个服务提供商时,应对服务提供商进行关联关系调查。
第三十三条外包服务的招标应严格按照本行集中采购管理办法等相关规定执行。
参加招标的外包服务商必须符合招标文件中的资质要求,本行外包活动将遵循公开、公平、公正的原则,从候选的多个外包服务商中进行选择。
第三十四条涉及本行关联机构的关联外包的活动,应保持外包决策的独立性,不能降低对外包服务的相关要求。
第三十五条对于同业托管机构,应关注机构集中度风险,参照本办法第十九条执行。
第八章外包服务合同管理第三十六条本行开展服务外包活动时应与外包服务商签订书面合同或协议,明确双方的权利义务。
合同或协议应包括但不限于以下内容:(一)外包服务范围、服务内容、工作时限与安排、责任分配、验收标准、交付物要求及后续合作中的相关限定条件;(二)合规与内控要求;(三)外包服务的保密性和安全性的安排;(四)外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺;(五)外包服务的审计和检查;(六)外包服务争端的解决机制;(七)合同或协议的变更或终止的过渡安排;(八)担保和损失赔偿以及违约责任;(九)明确知识产权的归属;(十)服务要求与服务水平条款;(十一)报告条款,包括常规报告内容和报告频率、突发事件时的报告路线、报告方式及时限要求。