某银行信息科技非驻场外包管理办法

xxxx银行

信息科技非驻场外包管理办法

第一章总则

第一条为规范xxxx银行（以下简称“我行”）信息科技非驻场外包活动，保障我行信息系统安全持续稳定运行，降低信息科技非驻场外包风险，依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》，结合我行实际，特制定本管理办法。

第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务，或外包的关键基础设施和信息系统不在我行产权场所，由我行以租用设施或购买服务资源的方式获得，主要由外包服务商运维的外包方式。

第二章非驻场外包职责管理

第三条我行信息科技部是信息科技非驻场外包的职能管理部门。

第四条我行信息科技非驻场外包管理中其他涉及的部门包括：非驻场外包服务使用部门（外包服务直接应用部门）、非驻场外包审批部门、风险管理部和审计部等。

第五条我行信息科技部作为信息科技非驻场外包管理部门，其基本职能如下：

（一）负责非驻场外包管理办法的制定、修订和完善。

（二）负责协调和组织非驻场外包资源，管理非驻场外包资源台账信息；

（三）负责制定技术指标要求，协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议。

（四）规范和制定非驻场外包监控制度、考核评价机制和持续改进办法、组织验收考核；

（五）负责定期形成非驻场外包项目情况报告，提交相关部门及高级管理层审核；

（六）根据xxxx银行审计部门或风险管理部门对非驻场外包工作的评估、审计以及提出的风险管理意见对信息科技非驻场外包工作实施优化和改进。

第六条我行非驻场外包管理其他涉及的部门，其基本职能如下：

（一）配合信息科技非驻场外包管理部门做好非驻场外包服务商的日常风险信息收集；

（二）协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议；

（三）配合信息科技非驻场外包管理部门做好对非外包工作的评估、审计工作。

第七条信息科技部外包管理岗是非驻场外包执行的主管岗位，其基本职能如下：

（一）负责非驻场外包管理办法的执行，并对办法提出改进建议；

（二）负责非驻场外包供应商的尽职调查，提交尽职调查报告；

（三）负责非驻场外包供应商信息的定期收集和更新，建立供应商管理台账；

（四）负责定期形成非驻场外包项目情况报告；

（五）协助审计、风险管理部门对外包供应商进行审计和风险评估。

第三章非驻场外包管理原则

第八条我行在开展非驻场外包活动采购前，应当对非驻场外包服务商开展全面、深入的尽职调查，采集外包服务商相关资料，并由外包服务商填写《xxxx银行信息科技非驻场外包服务尽职调查书》，主要资料内容如下：

（一）外包服务商财务经营状况：外包服务商近三年审计后的财务报表；

（二）外包服务商组织架构及职责落实情况：外包服务商的组织架构及风险治理架构，包括风险管理、质量管理、运行管理、开发管理、安全管理、业务连续性管理等保障职能设置和部门主要职责以及制度建设和日常工作开展情况；

（三）外包服务商研发投入情况（机房运营服务类不适用）：近三年总销售收入、研究开发费用、研发费用占比等；

（四）外包服务商人力资源配备情况，包含但不限于：各研发人员、运维人员、操作人员、质量管理人员、科技风

险管理人员、高管层人员数量及占比，特别说明高管人员的科技从业和教育背景；

（五）外包服务商科研成果情况，包含但不限于：核心技术能力及获得自主知识产权情况，有证书的附加证书复印件；

（六）专业资质，包含但不限于：各类ISO9001、ISO20000、ISO27001、CMMI、系统集成资质、灾备资质等级、涉密资质等与开展非驻场式外包业务相关的资质与认证证明，有证书的需提供证书复印件或扫描件；

（七）外包商风险评估和审计情况：近三年外包服务商内部审计报告、风险评估报告、第三方审计评估报告、其他金融机构开展的检查报告等；

（八）业务连续性管理情况：外包服务商灾备系统建设情况、业务连续性测评认证情况等；

（九）信息安全保障情况：外包服务商网络安全、主机及系统安全、应用安全、物理安全、数据安全等领域信息安全保障情况。

第九条我行也可以委托第三方机构开展尽职调查，或者采信其他银行业金融机构对同一外包服务商6个月内的尽职调查结果。

第十条我行在开展非驻场集中式外包活动，应当经过审慎、充分的风险评估，形成书面风险评估报告，并报送高管层。

第十一条我行应当严格按照《银行业金融机构信息科技外包风险监管指引》有关非驻场外包、重点外包服务机构风险管理要求，审慎决策并选择外包服务商，非驻场外包决策应当经过高管层书面批准。

第十二条我行应当在与外包服务商签订的非驻场式外包合同中书面明确以下内容：

（一）外包服务商应当遵从银行业相关监管法规；

（二）外包服务商应当承诺接受我行和银行业监督管理机构的监督检查；

（三）外包服务商应当承诺接受我行安排的风险评估或审计；

（四）外包服务商对我行提供的服务资源应当至少与其他机构相互逻辑隔离，仅我行具有对业务系统和数据的最高访问权限；

（五）未经同意，外包服务商不得将我行数据以任何形式转移、挪用或为外包服务商自身谋取利益。

第四章非驻场外包日常管理

第十三条对于已采购的信息科技非驻场式外包活动，我行应当加强日常风险监测，建立书面风险清单台账并动态维护，并由外包管理部门制定专门的风险应对措施。

第十四条我行应组织信息科技部、风险管理部、审计部及其他相关部门人员，原则上每年至少开展一次对非驻场外

包服务商的现场评估和审计工作，并出具评估报告，评估报告作为外包商准入的重要依据。

第十五条我行可以采信监管机构对非驻场外包服务商在12个月内的现场评估或审计结果，不再重复安排现场评估或审计活动。

第十六条我行应对非驻场外包服务商的日常风险监测情况和现场检查情况进行全面评估，定期对非驻场外包服务商提出整改意见，并要求非驻场外包服务商落实整改并出具整改反馈。

第十七条我行应根据非驻场外包服务的水平、发展趋势及评估报告制定非驻场外包服务管理改进计划。

第十八条我行应根据信息科技外包管理改进计划，对信息科技非驻场外包服务管理过程进行持续改进和调整优化。

第五章附则

第十九条本办法由xxxx银行信息科技部负责制订修改和解释执行。

第二十条本办法自印发之日起执行。