银行科技外包服务管理办法

银行科技外包服务管理办法

第一章总则

第一条为加强和规范全省银行系统科技外包服务管理，根据《银行信息系统信息安全等级保护实施指引（试行）》（银发〔2011〕173号）、《银行计算机系统信息安全管理规定》（银发〔2010〕276号）等规定，特制定本办法。

第二条本办法所指科技外包服务（以下简称外包）是指外包服务提供商（以下简称外包商）为银行内部网络和计算机系统提供的技术支持、咨询等服务。

第三条本办法适用于银行机关、营管部、省内各地市中心支行及县（市）支行（以下统称各单位）。

第二章组织机构

第四条各单位科技部门负责制定外包的风险管理框架以及相关制度，并将其纳入全面风险管理体系。

第五条外包管理团队应至少包含需求牵头部门和科技部门人员各一名，如需求由科技部门牵头，则科技部门双人以上负责。

第六条外包管理团队的职责主要包括以下方面：

（一）执行外包管理的各项内控制度；

（二）负责外包活动的日常管理，包括尽职调查、合同执行情况的监督及风险状况的监督；

（三）在发现外包商的业务活动存在缺陷时，采取及时有效的措施；

（四）其他相关职责。

第三章外包准备与决策

第七条进行外包活动前，应考虑以下风险因素：

（一）外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险等；

（二）影响外包活动的外部因素；

（三）对外包活动的风险管控能力；

（四）外包商的资质认证、技术及专业能力，业务策略和业务规模，业务连续性及破产风险，风险控制能力及外包服务的集中度，快速服务响应和故障处理能力；

（五）应确保安全外包商的选择符合国家的有关规定，涉密计算机系统集成商应选择具有国家相关部门颁发的涉密系统集成资质证书的单位；

（六）其他相关事项。

第八条在与外包商合同谈判过程中，应考虑以下风险因素：（一）对外包商的报告要求和谈判必要条件；

（二）通过界定信息所有权、签署保密协议和采取技术防护措施保护银行信息；

（三）担保和损失赔偿是否充足；

（四）外包商遵守银行有关信息科技风险制度和流程的意愿及相关措施；

（五）外包商提供的业务连续性保障水平，以及提供相关专

属资源的承诺；

（六）第三方供应商出现问题时，保证服务持续可用的相关措施；

（七）变更外包协议的流程，以及变更或终止外包协议的条件，包括：

1．外包商的所有权或控制权发生变化；

2．外包商的业务经营发生重大变化；

3．外包商提供的服务不充分，造成相关银行分支机构不能履行监督义务；

（八）其他相关事项。

第九条各单位集中采购管理办法规定须公开招标的外包项目应公开招标（上级行统一协商的项目除外）。

第四章外包合同或协议

第十条开展外包活动时应签订书面合同或协议，明确双方的权利义务，合同或协议应充分考虑以下内容：

（一）外包工作范围、工作方式和服务标准；

（二）外包业务连续性和安全性的安排；

（三）外包商提供的技术培训和服务安排；

（四）外包审计和检查；

（五）外包争端的解决机制；

（六）合同或协议变更或终止的过渡安排；

（七）违约责任；

（八）当外包涉及分包时，应考虑外包商分包的风险，并在合同中考虑以下事项：

1．外包商分包的规则；

2．分包服务提供商应严格遵守主外包商与各单位确定的外包合同或协议中的相关条款；

3．主外包商应确认在业务分包后继续保证对服务水平和系统控制负总责；

4．不得将外包活动的主要业务分包；

5．不得将外包活动转包或变相转包。

第十一条在外包合同中应考虑要求外包商承诺以下事项：（一）定期通报外包活动的有关事项；

（二）及时通报外包活动的突发性事件；

（三）配合各单位接受有关管理机构或部门的检查；

（四）保障银行信息的安全性，当出现信息安全事件或风险时，相关银行分支机构有权随时终止外包合同；

（五）不得以相关银行分支机构名义开展活动；

（六）严格遵守双方约定的保密协议；

（七）确保骨干技术人员队伍稳定；

（八）做好日常工作的基础上，提高应急突发事件的现场处理技术能力，并保证有充足的后备资源可以随时到达现场；

（九）其他相关事项。

第十二条所有外包合同或协议应经各单位法律部门审核。

第十三条外包商未能按照合同履行服务义务的，追究外包商违约责任，对于多次违反合同义务，不按要求及时改进的外包商，依约及时解除合同并纳入黑名单，不再进行合作。

第五章外包日常管理