(完整word版)银行信息科技外包风险管理办法

大洼恒丰村镇银行信息科技外包

风险管理办法

大洼恒丰村镇银行信息科技部

变更履历

*变化状态：C——创建，A——增加，M——修改，D——删除

目录

第一章总则 (4)

第二章外包管理组织架构 (5)

第三章信息科技外包战略及风险管理 (6)

第一节信息科技外包战略 (6)

第二节信息科技外包风险管理 (7)

第四章信息科技外包管理 (8)

第一节外包风险评估及准入 (8)

第二节服务提供商尽职调查 (10)

第三节外包服务合同及要求 (10)

第四节外包服务安全管理 (12)

第五节外包服务监控与评价 (13)

第六节外包服务中断与终止 (14)

第八章监督管理 (17)

第九章附则 (18)

第一章总则

第一条为规范我行的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规，制定本办法。

第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；

（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；

（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第三条我行应将信息科技外包管理纳入全面风险管理体系，建立与本行信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。

第四条我行在实施信息科技外包时应当坚持以下原则：（一）以不妨碍核心能力建设、积极掌握关键技术为导向；

（二）保持外包风险、成本和效益的平衡；

（三）强调外包风险的事前控制，保持管控力度；

（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。

第五条我行在实施信息科技外包时，不得将信息科技管理责任外包。

第二章外包管理组织架构

第六条为了严格落实我行信息科技外包风险管理的相关职责, 我行设立外包风险管理领导小组，领导小组成员如下：组长：荆晓辉

副组长：宇文梁

成员：任义、何亮

外包风险管理领导小组主要职责包括：

（一）制定并审批信息科技外包战略；

（二）审议信息科技外包管理流程及制度；

（三）督促并监控信息科技外包风险管理效果。

第七条由内审稽核部作为我行信息科技外包风险主管部门，主要职责包括：

（一）对外包风险进行识别、评估与风险提示；

（二）监督、评价外包管理工作，并督促外包风险管理的持续改善；

（三）向高级管理层定期汇报信息科技外包活动相关风险管理情况；

（四）董事会或高级管理层确定的其他信息科技外包风险管理职责。

第八条我行信息科技部设立信息科技外包管理岗，履行以下职责：

（一）实施信息科技外包战略；

（二）制定并执行信息科技外包管理制度与流程；

（三）执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；

（四）制定保障外包服务持续性的应急管理方案，并组织实施定期演练；

（五）对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理主管部门报告外包活动情况。

第三章信息科技外包战略及风险管理

第一节信息科技外包战略

第九条我行应制定信息科技外包战略规划，以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技能为目标，基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十条我行根据自身信息科技战略，不能外包的职能包括：涉及战略管理、风险管理、内部审计及其他有关信息科技

核心竞争力的职能。

第十一条我行应当根据外包战略制定资源、能力建设方案，通过补充人员、提升技能、知识转移等方式，有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。

第十二条我行应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务质量，合理管控服务提供商的数量从而降低风险及管理成本等。

第十三条我行应按照外包服务性质和重要性程度对服务提供商进行分级管理，对不同级别的服务提供商采取差异化的管控措施，在有效管理重要风险的前提下降低管理成本

第二节信息科技外包风险管理

第十四条由内审稽核部负责我行信息科技外包风险管理工作，并每年开展一次全面的外包风险管理评估，保持评估的独立性，同时向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第十五条内审稽核部应对重要的外包服务提供商进行定期的风险评估，保持评估的独立性。至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务

的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。

第十六条由我行内审稽核部定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。

第四章信息科技外包管理

第一节外包风险评估及准入

第十七条在外包项目立项前，我行应当审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处置措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向董事会、高管层报告。

第十八条我行对外包商实行准入管理，对于不符合准入条件的外包商应拒绝与其进行科技合作，我行外包商准入标准如下：

（一）外包服务商应当是中华人民共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间不少于3年。

（二）外包服务商应当拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应当建立由公司高级管理层直接领导、针对我行外包服务的、专职信息科技风险管理团队，为持续的外包服务提供保证。