银行业-农信社-计算机-信息科技外包管理办法

附件

农村信用社联合社

信息科技外包管理办法(试行)

第一章总则

第一条为了规范省农村信用社联合社（以下简称“省联社”）的外包活动，保障省联社信息系统安全持续稳定运行，依据银监会颁布的《商业银行信息科技风险管理指引》和《银行业金融机构外包风险管理指引》，以及国家有关法律法规，制定本办法。

第二条本办法中的信息科技外包（以下简称“外包”）是指省联社将某些信息系统项目委托给服务提供商进行处理的行为。

第三条外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。

第四条省联社信息科技的战略管理、核心管理以及内部审计等职能不宜外包。

第二章组织架构及职责

第五条省联社外包管理的组织架构包括理事会、高级管理层及外包管理部门，其中外包管理部门主要包括省联社银信金融服务中心信息技术部（以下简称“信息技术部”）、稽核审计中心、合规部等部门。

第六条省联社理事会的职责主要包括以下方面：

（一）审议批准信息科技外包的战略发展规划；

（二）审议批准外包的风险管理制度；

（三）审议批准外包范围及相关安排；

（四）审阅本机构外包活动相关报告；

（五）安排内部审计，确保审计范围涵盖所有的外包活动。

第七条省联社高级管理层的职责主要包括以下方面：

（一）制定外包战略发展规划；

（二）制定外包风险管理的政策、操作流程和内控制度；

（三）确定外包业务的范围及相关安排；

（四）确定外包管理部门职责，并对其行为进行有效监督。

第八条信息技术部的职责主要包括以下方面：

（一）执行外包风险管理的政策、操作流程和内控制度；

（二）根据省联社信息科技建设规划或外包服务需求，结合省联社信息科技的建设情况，确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划；

（三）负责外包活动的日常管理，包括尽职调查、合同签署以及外包服务技术指标的制定等；

（四）负责形成外包项目情况汇总报告，提交省联社合规部和稽核审计中心；

（五）根据省联社稽核审计中心或合规部对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进；

（六）在发现外包服务提供商的业务活动存在缺陷时，采取及时有效的措施；

（七）高级管理层确定的其他职责。

第九条稽核审计中心的职责主要包括以下方面：

（一）负责内部审计，确保审计范围涵盖所有的信息科技外包活动。

（二）高级管理层确定的其他职责。

第十条合规部的职责主要包括以下方面：

（一）负责外包合同的审查与修改；

（二）负责外包风险状况的监督及风险管理；

（三）向高级管理层提出有关外包活动发展和风险管控的意见和建议；

（四）根据信息技术部提交的外包项目情况报告，及时发现信息科技外包风险，并进行风险提示。

（五）定期向高级管理层和监管部门提交外包风险评估报告；

（六）高级管理层确定的其他职责。

第三章外包服务商资质评审

第十一条外包服务提供商的资质评审由信息技术部负责统一组织，原则上每年评审一次，特殊情况可根据实际需要安排评审。

第十二条参加资质评审的外包服务商必须满足省联社招标文件中要求的资质，不符合资质要求的外包服务商不准参与外包服务，并严格按照《省农村信用社联合社电子设备项目采购管理办法》规定的流程确定外包服务商。

第十三条开展外包服务商资质评审前必须对服务提供商进行尽职调查，并形成尽职调查报告。对外包服务商的尽职调查主要包括以下内容：

（一）管理能力和行业地位；

（二）财务稳健性；

（三）经营声誉和企业文化；

（四）技术实力和服务质量；

（五）突发事件应对能力；

（六）对银行业的熟悉程度；

（七）对其他银行业金融机构提供服务的情况；

（八）省联社认为重要的其他事项。

如果外包活动涉及多个服务提供商时，应当对这些服务提供商进行关联关系的调查。

第四章外包合同

第十四条省联社开展信息科技外包活动时与外包服务商签订书面合同或协议，明确双方的权利义务。合同或协议应当包括但不限于以下内容：

（一）外包服务的范围和标准；

（二）外包服务的保密性和安全性的安排；

（三）外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺；

（四）外包服务的审计和检查；

（五）外包争端的解决机制；

（六）合同或协议变更或终止的过渡安排；

（七）担保和损失赔偿以及违约责任。

第十五条签订外包合同时外包服务提供商须承诺以下事项：（一）定期通报外包活动的有关事项；

（二）及时通报外包活动的突发性事件；

（三）配合省联社接受银行业监督管理机构的检查；

（四）保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，省联社有权随时终止外包合同；

（五）遵守省联社有关信息科技风险管理制度和流程；

（六）第三方供应商出现问题时，保证软硬件持续可用的相关措施；

（七）不得以省联社的名义开展活动；

（八）省联社认为应当承诺的其他事项。

第十六条对于数据中心的重要基础设施、重要信息系统的维护服务外包，签订外包合同时，外包服务商须保证购买商业保险以保证其有足够的赔偿能力，并告知保险覆盖范围。

第十七条省联社所有信息科技外包合同须由合规部审核通过、省联社高级管理层批准后方可实施。

第五章风险管理

第十八条外包管理部门要切实加强信息科技相关外包管理工作，确保省农村合作金融机构的客户资料等敏感信息的安