某银行信息科技非驻场外包管理办法

XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行（以下简称“本行”）信息科技外包管理,控制外包服务风险，根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》，结合本行实际，制定本办法。

第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况，将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。

第三条本行外包管理原则包括：（一）自主可控原则。

信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。

（二）协调统一原则。

符合科技风险管理策略，保持外包风险、成本和效益的平衡。

（三）预防优先原则。

审慎管理信息科技外包活动，秉承事前预防重于事后控制、日常防控重于应急处理的原则。

（四）动态优化原则。

根据外部监管要求、信息科技发展趋势和本行业务发展需求，持续优化本行信息科技风险外包管理策略和工作机制。

第四条本办法适用于本行与信息科技相关外包活动的管理。

第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。

第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。

第七条董事会承担信息科技外包管理的最终责任。

主要职责包括：（一）审议批准信息科技外包战略；（二）审议批准外包管理基本制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）银监会信息科技外包风险监管指引要求的其它工作。

第八条高级管理层设信息科技管理委员会，负责全行科技外包工作的日常决策工作。

主要职责包括：（一）制定外包战略发展规划；（二）确定外包业务的范围及相关安排；（三）确定科技外包管理团队职责，并对其行为进行有效监督；（四）定期审阅本行外包活动相关报告；（五）指导内部审计部门独立开展外包审计工作；（六）董事会确定的其它职责。

第九条风险管理部门负责制定外包风险管理的制度，组织识别和评估信息科技外包风险，监督、评价外包管理工作，对外包执行情况进行监督检查，定期向高级管理层汇报信息科技外包活动相关风险情况。

xxxx银行信息科技外包战略及管理办法第一章总则第一条为了规范xxxx银行（以下简称“我行”）的信息科技外包活动，保障我行信息系统安全持续稳定运行，降低信息科技外包风险，依据中国银监会颁布的《银行业金融机构信息科技外包风险监管指引》、《银行业金融机构外包风险管理指引》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本办法。

第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第三条信息科技外包可能产生如下风险，并导致我行的战略、声誉、合规风险：（一）科技能力丧失：我行过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的我行非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得我行信息科技服务水平下降。

第四条本办法所称机构集中度风险是指我行将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第五条本办法所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第六条实施信息科技外包时应当坚持以下原则：（一）以不妨碍核心能力建设、积极掌握关键技术为导向；（二）保持外包风险、成本和效益的平衡；（三）强调外包风险的事前控制，保持管控力度；（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。

x银行信息科技外包管理办法第一章总则第一条信息科技外包（简称外包）是指将我行的信息科技活动委托给服务提供商进行处理的行为。

第二条根据外包商在系统开发中的不同作用，外包可以划分为研发咨询类外包、系统运行维护类外包、业务外包中的信息科技活动；根据外包的领域不同，可分为信息科技专题咨询服务，数据中心运维，灾备中心运维，信息科技基础设施、开发、测试、应用系统运维，硬件设备运维，供应商管理，数据备份及恢复，安全、加密产品运维外包，桌面终端维护及其它。

第三条外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。

第四条研发类的外包项目属于软件项目，必须遵循我行软件项目的相关管理办法。

第五条本办法参照中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》中的要求制订，目标是明确外包管理要求，防范和控制信息科技外包风险，保证外包流程规范化并能达到预期成效。

第二章适用范围及外包策略第六条本办法管理内容涉及外包的各个流程，包括外包项目的建立、执行、监控、考核评价、持续改进等过程。

第七条结合我行信息化水平现状和自身实际，稳健实施信息科技外包策略：（一）在整合、利用和协调各种外部资源的同时，时刻保持IT 整体战略与不断变化的银行整体战略一致；（二）加强信息科技外包人才的培养；（三）建立完善的外包政策和管理制度；（四）建立信息科技外包全过程实时风险监控体系，将其纳入全面风险管理体系；（五）合理利用信息科技外包资源。

第八条在实施信息科技外包时应坚持以下原则：（一）以建设核心能力、掌握关键技术为导向；（二）保持外包风险、成本和效益的平衡；（三）强调外包风险的全程管理，保持管控力度；（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。

第九条在实施信息科技外包时，不得将信息科技管理责任外包。

第十条在本行范围内缺乏相关资质、技术及管理人员的情况下，由外包使用部门提出申请，经信息科技委员会批准后，方可对外发包。

银行信息科技外包管理办法模版银行信息科技外包管理办法模板第一章：总则一、为规范银行信息科技外包管理工作，促进银行信息科技安全稳定运营，根据《中华人民共和国银行业监督管理法》、《关于规范银行业信息科技外包管理的指导意见》等有关法规和规范性文件，制定本办法。

二、本办法适用于各银行信息科技外包服务活动，包括但不限于信息技术开发、技术支持、数据处理、网络维护等。

三、银行应当制定内部信息科技外包管理制度，建立信息科技外包工作档案，确保信息科技外包服务的整个合作过程合法、安全、稳定。

第二章：银行与外包服务提供方合作一、银行应当依据业务需要通过公开招标或者采购等方式选择外包服务提供方，定期考核外包服务提供方工作绩效，确保其服务质量和口碑服务客户。

二、银行应当与外包服务提供方签订合同或者协议，明确外包服务项目、服务内容、服务质量标准、服务期限、服务报酬等具体事宜，明确双方权利和义务，确保交易合法、合规。

三、银行应当对外包服务提供方进行严格的管理，及时指导引导外包服务提供方完成银行交代的任务，保证外包服务提供方能够按时按质地完成任务。

第三章：银行信息科技外包服务审核一、银行应当建立信息科技服务审核体系，对外包服务提供方的服务情况进行审核，检验其安全性、稳定性、合规性等问题，对问题进行反馈，确保业务的正常推进。

二、银行应当对外包服务提供方信息科技服务情况进行监控和跟踪，及时发现和处理问题，并制定风险防范措施，确保银行信息科技系统的安全和稳定。

三、银行应当定期收集外包服务提供方的服务质量数据，并进行综合分析，为下一步提高外包服务质量提供依据。

第四章：银行信息科技服务风险防范一、银行应当建立信息科技服务风险防范机制，针对信息科技服务出现风险进行应急措施制定，确保业务的正常推进。

1 / 2。

中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.07.01•【文号】银监办发[2014]187号•【施行日期】2014.07.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知银监办发[2014]187号各银监局、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：根据《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号，以下简称《指引》），为保护银行业金融机构关键基础设施和信息安全，防范银行业信息科技外包集中度风险，守住不发生系统性、全局性风险的底线，现就加强银行业金融机构信息科技非驻场集中式外包行为监管工作通知如下：一、本通知所称非驻场集中式外包是指外包服务商不在银行业金融机构提供现场服务，或外包的关键基础设施和信息系统不在银行业金融机构产权场所，由银行业金融机构以租用设施或购买服务资源的方式获得，主要由外包服务商运维，并且外包服务商同时为3家（含）以上银行业金融机构或其他机构提供服务的外包方式。

信息科技非驻场集中式外包服务商分为银行类机构和社会类机构两类，银行类机构是指依法设立的由银监会监管的银行业金融机构，其他属于社会类机构。

二、银行业金融机构应当对非驻场集中式外包服务商开展全面、深入的尽职调查，除《指引》要求的尽职调查内容以外，对社会类机构和提供外包服务未满3年的银行类机构应当重点调查如下内容：（一）外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界；（二）外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性；（三）外包服务商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；（四）外包服务商是否拥有或可能拥有业务系统的最高管理权限，外包服务商是否拥有或可能拥有业务系统的访问权限，是否能够浏览、获取客户敏感信息；（五）外包服务商是否有完善的灾难恢复设施和应急管理体系，对关键基础设施和信息系统运行是否有业务连续性安排；（六）外包服务商是否知晓并遵从了银行业相关监管法规要求。

银行信息科技外包服务管理办法模版银行信息科技外包服务管理办法模板第一章总则第一条为规范银行信息科技外包服务的管理，提高管理水平，保障客户合法权益，依据《中华人民共和国合同法》、《中华人民共和国电子签名法》、《中华人民共和国电信条例》等有关法律、法规规定，特制定本管理办法。

第二条本办法适用于行业内银行与外部单位、个人之间进行信息科技外包服务活动的管理。

第三条银行应根据实际业务情况制定外包服务计划和外包服务实施方案，遵循科学、合理、可行的原则。

第四条银行对外包服务所采用的技术和服务、服务供应商资质和管理、服务内容、人员配备和考核、服务风险控制等全部有权进行审核、评估和监督管理，确保外包服务质量和安全。

第五条外包服务合作应签订书面合同或协议，银行应明确外包服务合同或协议的双方、服务内容、服务标准、服务时间、服务费用、服务质量、违约责任等条款。

第六条银行应设置信息科技外包服务管理机构，对外包服务进行专业化、标准化的管理。

第二章外包服务报备和审核第七条银行实施信息科技外包服务时，应向国家银行业监督管理机构报备，提交有关外包服务的申请材料，包括外包服务计划、外包服务实施方案、合同或协议等。

第八条国家银行业监督管理机构应对提交的申请材料进行审核，审核合格后向银行颁发信息科技外包服务经营许可证。

第九条银行外包服务合作方应按照有关要求向银行审请合法经营业务的相关许可证，如互联网信息服务许可证、电信服务经营许可证、电子商务实体经营许可证等。

第三章外包服务合同第十条银行与外包服务合作方应在合同中明确一下基本内容：（一）服务内容：根据银行与合作方共同确定的具体业务需求，明确外包服务的范围、类型、服务内容和要求。

（二）服务标准：明确外包服务标准和要求，如服务质量、响应时间、服务效率和服务水平等。

（三）服务时间：明确服务时间和工作量要求，如工作时间、工作日历、工作计划和工作标准等。

（四）服务报酬：明确服务报酬的支付方式、金额、收款账号等。

某银行信息科技外包服务应急预案管理办法xxxx银行信息科技外包服务应急预案管理办法第一章总则第一条为确保xxxx银行（以下简称“我行”）各项外包服务持续、稳定进行，加强外包管理，预防因外包管理的原因造成业务系统服务中断或外包协议的意外终止，并将外包风险可能造成的损失控制在最小范围内，根据《商业银行信息科技风险管理指引》、《商业银行外包风险管理指引》等相关规定，结合我行实际，特制定本管理办法。

第二条本办法用于指导对外包服务的风险评估和应急处置方案，适用于外包服务商在项目开发、咨询、服务的全过程中可能出现的重大缺失，尤其需要考虑外包服务商的重大资源损失，重大财务损失和重要人员的变动，以及外包协议的意外终止时应采取的应对措施。

第二章部门及职责第三条xxxx银行信息科技部为我行信息科技外包服务应急处理的职能管理部门。

第四条我行信息科技外包服务应急管理其他涉及的部门包括：外包服务使用部门（外包服务直接应用部门）、外包服务审批部门、风险管理部和审计部等。

第五条我行信息科技部作为信息科技外包服务应急管理部门，其基本职能如下：（一）负责信息科技外包服务的日常监控和管理工作；（二）负责信息科技外包服务的风险收集和风险评估工作；（三）负责信息科技外包服务风险管理策略的制定和改进工作；（四）负责风险发生后的风险应急措施的实施工作。

第六条我行信息科技外包服务应急管理其他涉及的部门，其基本职能如下：（一）配合信息科技外包服务的日常监控和管理工作；（二）协助配合信息科技外包服务的风险收集和风险评估工作；（三）协助配合风险发生后的风险应急措施的实施工作。

第三章外包服务应急管理原则第七条在外包服务入场实施前，我行外包项目经理根据外包服务内容填写《xxxx银行外包服务项目应急预案》（附件1），明确外包服务风险，我行业务人员、技术人员及外包服务商相关人员联系方式。

第八条我行外包项目经理根据外包服务计划，定期对外包项目进行审查，包括但不限于项目进度、项目人员变动、人员培训、技术水平、设计变更、软硬件设备、数据安全，定期或事件触发向部门经理及相关中心主任汇报。

xxxx银行信息科技外包策略及管理办法引言信息科技已经渗透到现代银行的方方面面，金融科技的高速发展也促使银行加强技术创新。

然而，银行也面临着技术更新和人才短缺等问题。

为了提高业务效率和降低成本，xx银行开始采用外包的模式来解决问题。

应对信息技术的新挑战xx银行面对的新挑战是如何应对技术更新更换成本高和人才短缺等问题。

通过提供优秀的外包服务，xx银行已经成功突破了这些挑战。

外包可认为是一种策略，通过外包服务，银行能够将主要的注意力关注于业务的核心领域，同时招聘外界专业人士加入到行列中，从而顺利地达到定位目标。

确定外包策略在选择外包服务提供商时，需要参考银行的内部需求，明晰其优势。

另外，也需考虑到外包提供商的信誉、安全和数据保护能力。

如果能够找到一家全方位服务及平台都比较完善的外包提供商，会更有利于银行。

管理外包服务xx银行关注到所选择的外包服务提供商所拥有的区别化服务能力。

所以，需要对外包提供商进行严格的管理和约束，并将其视为银行的延伸，严格要求其服务水平和合作期限。

国际外包成功案例中国银行上海市分行与IBM合作推出了银行核心外包，通过的创新性实践、和IBM贴身合作的方式，成功地加速了银行IT技术转型。

对于中国银行而言，IBM是它非常重要的基础设施技术服务伙伴，从而也成功了当代银行业务繁荣的多元化发展。

如今，中国银行分散服务模式下出现的问题得到了有效解决，客户的服务质量也得到了提升。

结论外包服务已经成为信息时代的重要内容之一，尤其是对于那些拥有巨额资金、信息技术水平不低、而又需要降低成本的银行。

对于这样的银行，外包服务的优势是非常明显的。

通过借助合作伙伴的优秀资源，搭建自己的行业系统，从而开展银行业务。

以上是xx银行关于信息科技外包策略及管理办法的简要内容。

银行将会继续通过现代技术的运用来实现创新和发展，从而建立更加高效的银行服务网络。

农商银行信息科技外包管理办法农商银行信息科技外包管理办法第一章总则第一条为规范农商银行信息科技外包工作，提高信息技术服务质量，保障信息安全和业务连续性，制定本办法。

第二条农商银行信息科技外包，是指依托第三方机构提供的专业技术和服务，对信息科技系统的建设、运维、服务和安全进行外包。

第三条农商银行信息科技外包工作应遵循统一规划、分类管理、风险可控、服务可持续、监管有序、安全保障的原则。

第二章外包范围和内容第四条农商银行信息科技外包的范围包括但不限于以下内容：（一）信息系统及设备建设和维护；（二）网络和服务器管理；（三）软件开发和维护；（四）数据中心运维；（五）安全防护和风险管理；（六）业务流程外包等。

第五条农商银行信息科技外包应符合相关法规和监管要求，并按照农商银行的信息技术发展规划进行合理选择。

第六条农商银行信息科技外包应与农商银行总行外包管理部门建立合作关系，按照监管部门的要求，进行合规运营。

第三章外包机构的选择和管理第七条农商银行信息科技外包应选择具有相应资质和经验的专业机构进行合作，并签订详细的合同和协议。

第八条农商银行应建立信息科技外包管理团队，负责对外包机构的选择和绩效评估。

第九条农商银行应对外包机构进行定期的考核和监管，对外包机构的服务质量和合规运营进行评估。

第四章风险控制和安全保障第十条农商银行信息科技外包涉及的风险应进行全面的评估，并制定相应的风险防控措施。

第十一条农商银行应与外包机构共同建立信息安全保障体系，加强对信息安全的监控和防范。

第十二条农商银行应定期对信息科技外包进行风险评估和演练，保障业务连续性和应急响应能力。

第五章监督和绩效评估第十三条农商银行信息科技外包应接受农商银行总行外包管理部门和监管部门的监督和检查。

第十四条农商银行应定期对信息科技外包工作进行绩效评估，对外包合作机构进行考核和奖惩。

第六章附则第十五条农商银行信息科技外包管理办法的解释权归农商银行总行所有。

第十六条本办法自颁布之日起执行，原有农商银行信息科技外包管理办法同时废止。

银行总行信息技术部信息科技外包管理实施细则模版信息科技外包是现代企业普遍采用的一种信息技术管理方式，银行总行作为重大的信息科技应用单位，面对复杂的信息化环境，自身的信息技术能力与资源仍有限，需要利用外部资源，实现快速发展。

为了更好地管理信息科技外包，特制定以下实施细则模板。

一、外包管理模式银行总行信息技术部对信息科技外包管理模式应采取全面、综合性管理。

管理模式应充分考虑信息科技外包的拆分、转移、整合、协调等应用过程中的阶段性和系统化特点，充分发挥外包优势，加强对外包对接机制建设，建立多元化的供应商管理机制，提高信息科技外包成本效益。

二、外包管理流程（一）外包需求管理1.明确外包需求，根据业务的实际情况，制定外包计划以及人员、物资、资金的配备方案。

2.制定外包任务书，确定外包任务、目标、范围、成果、验收标准、质量标准、保密要求、验收方法等内容，明确相关要求。

3.制定外包合同，并明确合同签订、履行、变更、终止的的规定。

（二）供应商准备1.选择外包供应商，对供应商背景、资质、执照等进行严格的审核，避免因供应商因素造成不良影响。

2.对供应商的管理制度进行审核，对其技术、管理、能力以及经济条件等进行考察。

3.明确供应商提供的服务范围、服务时间、服务安排等规定，细化供应商服务的内容，为后续服务奠定基础。

（三）外包管理执行1.执行外包计划，按合同要求开展外包工作，并按照计划安排实施。

2.制定问题处理机制。

定期召开会议，记录处理问题的过程及结果，及时督促问题解决。

3.加强对外包项目进度、质量等方面的监督，及时发现问题并进行处理，确保外包项目顺利实施。

（四）外包管理决策1.在外包发展过程中，密切关注行业动态和技术变化，随时调整策略，确保外包与市场需求相适应。

2.采用风险管理措施对外包项目风险进行评估，并建立和完善应急预案，加强管理和减轻风险带来的影响。

3.建立外包成本核算机制，进行成本控制和核算，及时评估外包效益，优化管理效果。

中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.12.02•【文号】银监办发[2014]272号•【施行日期】2014.12.02•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知银监办发[2014]272号各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：根据《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号），为进一步做好对非驻场集中式外包服务的风险评估，加强监督管理，防范银行业区域性、系统性信息科技风险，现就开展非驻场集中式外包服务监管评估工作有关事项通知如下：一、本通知中监管评估是指根据非驻场集中式外包服务商接受风险监督的主动申请，银监会及其派出机构对非驻场集中式外包服务开展信息科技风险监测、现场核查、评级和处置的过程。

二、村镇银行信息系统交由发起行管理、农村金融机构信息系统交由省级农村信用联社管理、外资银行信息系统交由母行管理的，不纳入本通知监管评估范围。

三、纳入监管评估的非驻场集中式外包服务类型包括：(一)机房运营服务，包括机房基础设施运维，设备运维、虚拟化资源服务等计算机基础设施服务。

(二)应用系统托管服务，包括：1．数据中心（灾备中心）整体运维及系统管理；2．应用系统服务，包括核心银行、电子银行、银行卡、网站、电子商城等业务处理系统开发与运维；3．金融自助设备整体运维，即自助设备(含多媒体终端)产权为外包服务商所有或由外包服务商向第三方租赁，监控、运维管理由外包商独立完成。

银行信息科技外包管理制度第一章总则第一条目的为了防范和控制我行信息科技外包项目的风险，提高我行信息系统安全运行的效率，根据中国银行业监督管理委员会《银行业金融机构信息科技外包风险监管指引》和我行相关管理制度，特制定本办法。

第二条定义信息科技外包项目：指将信息系统的规划、开发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商的项目。

第三条信息科技外包项目分类信息科技外包项目分为软件定制开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询及技术服务外包等。

软件开发外包项目：指我行与软件开发供应商合作开发我行信息系统的外包项目，或者采购软件开发供应商软件产品并以合作方式进行客户化开发我行信息系统的外包项目；生产系统维保外包项目：指我行采购生产系统各类设备、系统软件、应用系统的运行维护服务的外包项目，或租赁通讯线路、采购生产系统的安全服务的外包项目；办公桌面设备维保外包项目：指采购办公桌面设备的维修保养服务的外包项目；灾难备份服务外包项目：指采购总行数据中心的灾难备份服务的外包项目；咨询服务外包项目：指采购的IT战略规划、IT流程梳理、IT体系架构、IT技术方案、IT安全管理等与IT相关的各类咨询外包项目。

非驻场集中外包项目：非驻场集中式外包主要包括机房运营类外包服务、应用系统托管类外包服务。

第四条适用范围本办法适用于我行信息科技外包项目管理、服务全过程。

第二章外包原则第五条总行数据中心生产运营管理不可外包，信息科技风险责任不可外包。

第六条总行可以对全行软件项目开发、生产系统维保、总行办公桌面设备维保、灾难备份服务、咨询服务实行外包；分行科技运营部门可以对本行软件项目开发、本行生产系统维保（总行统一外包的除外）、办公桌面设备维保、咨询服务实行外包。

第七条对于本办法所述的信息科技外包项目类型和范围以外的外包需求，由信息科技管理委员会确定是否可以外包，并以会议纪要形式作为本办法的修订或补充。

XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行（以下简称“本行”）信息科技外包管理,控制外包服务风险，根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》，结合本行实际，制定本办法。

第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况，将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。

第三条本行外包管理原则包括：（一）自主可控原则。

信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。

（二）协调统一原则。

符合科技风险管理策略，保持外包风险、成本和效益的平衡。

（三）预防优先原则。

审慎管理信息科技外包活动，秉承事前预防重于事后控制、日常防控重于应急处理的原则。

（四）动态优化原则。

根据外部监管要求、信息科技发展趋势和本行业务发展需求，持续优化本行信息科技风险外包管理策略和工作机制。

第四条本办法适用于本行与信息科技相关外包活动的管理。

第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。

第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。

第七条董事会承担信息科技外包管理的最终责任。

主要职责包括：（一）审议批准信息科技外包战略；（二）审议批准外包管理基本制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）银监会信息科技外包风险监管指引要求的其它工作。

第八条高级管理层设信息科技管理委员会，负责全行科技外包工作的日常决策工作。

主要职责包括：（一）制定外包战略发展规划；（二）确定外包业务的范围及相关安排；（三）确定科技外包管理团队职责，并对其行为进行有效监督；（四）定期审阅本行外包活动相关报告；（五）指导内部审计部门独立开展外包审计工作；（六）董事会确定的其它职责。

第九条风险管理部门负责制定外包风险管理的制度，组织识别和评估信息科技外包风险，监督、评价外包管理工作，对外包执行情况进行监督检查，定期向高级管理层汇报信息科技外包活动相关风险情况。

XX银行IT外包服务安全管理办法XX银行IT外包管理办法（试行）第一章总则第一条为规范XX银行股份有限公司(以下简称“我行”)IT 外包服务管理，控制第三方服务和外包中的相关风险，依据《商业银行信息科技风险管理指引》.《商业银行外包风险管理指引》对IT外包的有关要求，特制定本管理办法。

第二条 IT外包是指企业战略性选择外部专业技术和服务资源，以协助内部部门和人员来承担企业IT系统或系统之上的业务流程的运营.维护和支持的IT服务。

第三条本管理办法在XX银行总行及各分支机构范围内具有强制效力，任何例外或违背的情况都需上报XX银行信息化委员会，以供复查与风险审批。

第二章 IT外包服务的目标与原则第四条 IT外包活动的目标是通过借助外包服务商的核心竞争力.创新能力和专业技能等优势资源，有效开展信息系统开发或技术服务等活动，实现紧跟技术前沿，创新服务手段，提升服务质量。

第五条通过外包服务合理配置资源，节省我行人.财.物力支出，节约时间，提高效率，达到规模效益。

第六条通过外包服务规避我行IT运营风险，降低损失。

第七条通过外包服务实现我行科技管理和服务过程中的持续改进。

第八条信息科技项目外包应遵循以下原则：(一)不得将信息科技管理责任外包，应合理谨慎监督外包职能的履行；(二)应根据业务发展的实际需要，在合理控制外包成本.收益.风险的基础上，开展信息科技项目外包活动。

第九条重要或敏感信息科技项目外包时，必须提交信息化委员会批准。

第条重大信息科技项目外包时，应根据监管部门要求，及时报告和报备。

第三章 IT外包服务的管理组织第一条我行IT外包管理组织架构应当包括决策机构.管理机构.执行机构.监督检查机构和风险管理机构。

第二条 IT外包管理的决策机构是信息化委员会，其管理职责主要包括：(一)制定/维护信息科技外包计划；(二)制定/维护信息科技外包管理策略/制度；批准所有重要IT业务的外包安排；(四)定期审阅IT外包安排的有关报告；第三条 IT外包的管理机构是集中采购委员会，其管理职责主要包括：(一)对制度执行情况进行监督检查；(二)配合完成内部审计/行业监管；(三)组织外包项目的招标工作；(四)对外包服务商能力进行综合评定，选定合适的外包服务商；(五)参与执行外包项目突发事件应急处置。

银行科技外包服务管理办法第一章总则第一条为加强和规范全省银行系统科技外包服务管理，根据《银行信息系统信息安全等级保护实施指引（试行）》（银发〔2011〕173号）、《银行计算机系统信息安全管理规定》（银发〔2010〕276号）等规定，特制定本办法。

第二条本办法所指科技外包服务（以下简称外包）是指外包服务提供商（以下简称外包商）为银行内部网络和计算机系统提供的技术支持、咨询等服务。

第三条本办法适用于银行机关、营管部、省内各地市中心支行及县（市）支行（以下统称各单位）。

第二章组织机构第四条各单位科技部门负责制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第五条外包管理团队应至少包含需求牵头部门和科技部门人员各一名，如需求由科技部门牵头，则科技部门双人以上负责。

第六条外包管理团队的职责主要包括以下方面：（一）执行外包管理的各项内控制度；（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；（三）在发现外包商的业务活动存在缺陷时，采取及时有效的措施；（四）其他相关职责。

第三章外包准备与决策第七条进行外包活动前，应考虑以下风险因素：（一）外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险等；（二）影响外包活动的外部因素；（三）对外包活动的风险管控能力；（四）外包商的资质认证、技术及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度，快速服务响应和故障处理能力；（五）应确保安全外包商的选择符合国家的有关规定，涉密计算机系统集成商应选择具有国家相关部门颁发的涉密系统集成资质证书的单位；（六）其他相关事项。

第八条在与外包商合同谈判过程中，应考虑以下风险因素：（一）对外包商的报告要求和谈判必要条件；（二）通过界定信息所有权、签署保密协议和采取技术防护措施保护银行信息；（三）担保和损失赔偿是否充足；（四）外包商遵守银行有关信息科技风险制度和流程的意愿及相关措施；（五）外包商提供的业务连续性保障水平，以及提供相关专属资源的承诺；（六）第三方供应商出现问题时，保证服务持续可用的相关措施；（七）变更外包协议的流程，以及变更或终止外包协议的条件，包括：1．外包商的所有权或控制权发生变化；2．外包商的业务经营发生重大变化；3．外包商提供的服务不充分，造成相关银行分支机构不能履行监督义务；（八）其他相关事项。

**银行总行信息技术部信息科技外包管理实施细则第一章总则第一条为加强**银行(以下简称“我行”）信息科技外包管理，规范总行信息技术部各类信息科技外包活动以及明确各外包活动职责与分工,降低信息科技外包引发的风险,依据有关银监会《银行业银行等金融机构信息科技外包风险监管指引》(银监发［＊]5号）等监管要求,以及《**银行信息科技外包管理指引》，拟定本细则。

第二条信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给信息科技外包供应商（以下简称“供应商”)进行处理的行为,包含项目外包、人力外包等形式,包括开发(子领域包括：软件开发、硬件开发、测试)、运维（子领域包括:基础设备运维、桌面运维、应用运维、服务台)、咨询、人力外包等类型（有关类型定义请见《**银行信息科技外包管理指引》)。

第二章组织分工与职责第三条“IＴ外包管理改进组”(简称ＯMＩＧ)为组织级IT外包改进管理组织，是一个总行信息技术部内跨条线、跨领域的虚拟组织,作为常设的“IT外包立法监督”机构，承担“IT外包管理体系”的建设、维护和监督工作。

第四条OMＩＧ成员包括外包管理室、运行调度室、安全管理室、设备室、桌面运维管理组、安全内控室等ＩT外包管理有关OMＩG的日常工作。

ＯMIG的主要职责包括:（一）统筹管理总行信息技术部的IＴ外包管理工作；（二）建立IT外包管理体系，拟定IT外包管理有关策略;（三）维护和延续改进IT外包管理体系;（四）监督IT外包管理体系的落地。

第五条总行信息技术部IT外包管理执行团队及职责主要包括:（一）外包管理室以及运行调度室:作为外包过程管理部门,主要职责包括供应商日常管理，包括供应商技术准入、评估、关系以及退出管理等；（二）设备室:作为外包采购管理主管部门，主要职责包括供应商采购管理以及商务准入管理；（三）安全管理室以及桌面运维管理组：为外包安全管理主管部门,其中安全管理室主要职责包括实现外包安全要求,桌面运维管理组主要职责包括执行与检查外包管理要求。