信息系统外包管理暂行办法
第一章 总则
第一条 为有效防范信息系统外包过程中产生的风险,促进信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、国家信息安全相关要求和有关信息系统外包管理的法律法规,制定本办法。
第二条 本办法所称信息系统外包,是指将全部或部分IT 工作外包给专业性公司完成的商业模式。目的是通过整合、利用适当的外部专业化IT 资源,达到降低成本、提高效率、增强核心竞争力、提高应变能力。范围包括将信息系统的规划、研发、建设、运行、维护、监控、服务等委托给业务合作伙伴或第三方(以下统称为外包服务商)承担的活动。
第三条 各部门应当按照本办法的规定开展信息系统外包活动。
第二章 外包内容管理
第四条 应根据业务发展的实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险。
第五条 严禁外包涉及重要商业秘密、机密数据管理与传递和IT 信息战略相关的业务和服务。
第六条 对于将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据管理与传递等内容进行外包时,应遵守国家有关
法律法规,符合银监会的有关规定,经过董事会办公会议批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。
第七条 PC 日常管理服务:与PC 及PC 周边产品有关的系统支持、数据恢复、系统重建等服务,包括电脑配件购买、硬件维修与安装、电脑软件(操作系统、办公软件、客户端程序、防病毒软件等)安装等相关工作。
第八条 IT 系统基础设施服务:网络、主机、服务器、存储、安全、机房设施等IT 系统基础设施的硬件保障与维护、运行监控与维护、系统管理等服务。IT 系统基础设施方案设计、项目实施、软硬件安装与配臵等服务。
第九条 应用系统开发和技术支持服务:根据业务要求,全部或部分承担计算机应用系统开发、变更工作,向提交满足业务要求的应用系统的服务。为满足业务需求,保障系统运行稳定、促进计算机应用系统功能的正常发挥而向提供的应用系统技术支持服务。
第十条 应用系统运行保障服务:为使计算机应用系统安全、可靠、持续运行、有效支持业务运作而提供的技术服务。
第十一条 信息系统租用服务:根据业务需要,租用外部信息系统,由信息系统提供商提供信息处理能力和业务功能,支持业务运作的服务方式。
第十二条 IT 咨询服务:包括IT 治理和信息安全咨询服务,IT 发展规划咨询,以及其他专项IT 咨询服务。
第三章 职责和流程
第十三条 信息科技管理委员会为公司IT 外包服务的职能管理机构,信息中心为IT 外包服务管理工作的执行机构,各分支机构和业务单位(部门)参与配合实施。信息中心职责:
● 制定IT 外包服务管理规章制度和管理流程,规范IT 外包服务执行过程。
● 按照公司有关规定参与IT 外包服务商评选。
● 制定IT 外包服务商的考核指标。
● 评估、管理与监控IT 外包服务水平,保证其对服务要求的符合性。
● 协调最终用户和IT 外包服务商关系,促进业务工作开展。 ● 负责公司总部IT 外包服务的监控与管理。
第三章 外包服务商管理
第十四条 风险管理部应当建立健全外包服务方评估机制,充分审查、评估服务商的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查(见《外包服务商管理细则》)。
第十五条 签订外包服务合同时,应当明确双方的权利、义务,规定外包服务商应当承担的安全、保密、知识产权方面的义务和责任。
第十六条 外包合同中应当详细地明确服务商必须提供的最低
服务水平、详细的服务范围和标准、发生故障时的服务级别及相应时间等,以防范服务商综合状况及业务需求变化所可能产生的风险。
第四章 外包风险管理
第十七条 风险管理部应建立完整的外包监测程序,审慎监测和管理外包实施过程中可能产生的风险。
第十八条 充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第十九条 信息系统的设计开发外包应当进行缺陷风险管理,包括代码检查、文档管理和技术转移。
第二十条 信息系统外包风险管理应当符合风险管理标准和策略,并建立针对外包风险的应急计划。
第二十一条 应与外包服务商建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现服务方的顺利变更,保证外包服务不间断的应急预案。
第五章 外包审计
第二十二条 稽核部负责信息系统外包的审计。
第二十三条 信息系统外包的审计应当遵照《商业银行信息科技风险管理指引》的规定开展工作。
第二十四条 外包软件应当建立代码检查机制,确保代码的安全性、准确性、完整性和一致性。代码检查中应当采用有效的技术手段,
或通过工具、抽检、脚本审核、逐条阅读等方式,确保代码的安全审计;应当落实代码检查的责任、验收和登记制度。
第六章 附则
第二十五条 本办法由风险管理部、稽核部和信息中心负责解释。 第二十六条 本办法自发文之日起施行。
附:外包服务商管理细则
外包服务商管理细则
第一章 外包服务商准入与评定标准
第一条 综合条件
(1) 企业变革发展历程清晰,从事金融信息系统集成、开发和
服务(以下简称“外包项目”)三年以上,原则上应取得相应二级资质一年以上;
(2) 企业主业是外包项目,其收入是企业收入的主要来源;
(3) 企业产权关系明确,注册资金分别为系统集成原则要求400
万元以上、开发200万元以上、服务100万元以上;
(4) 企业经济状况良好,财务数据真实可信,并须经国家认可
的会计师事务所审计;
(5) 企业有良好的资信和公众形象,近三年没有触犯知识产权
保护等国家有关法律法规的行为。
第二条 业绩
(1) 近三年内完成的外包项目按合同要求质量合格,已通过验
收并投入实际应用;
(2) 近三年内完成的外包项目有较高的技术含量且至少应部分
使用了有企业自主知识产权的软件;
(3) 近三年内未出现过验收未获通过的外包项目或者应由企业
承担责任的用户重大投诉;
(4) 主要业务领域的典型项目在技术水平、经济效益和社会效
益等方面居国内同行业的领先水平。
第三条 管理能力
(1) 已建立完备的企业质量管理体系,通过国家认可的第三方
认证机构认证并有效运行一年以上;
(2) 已建立完备的客户服务体系,配臵专门的机构和人员,能
及时、有效地为客户提供优质服务;
(3) 企业的主要负责人应具有5年以上从事电子信息技术领域
企业管理经历,主要技术负责人应获得电子信息类高级职称且从事外包项目技术工作不少于5年,财务负责人应具有财务系列中级以上职称。
第四条 技术实力
(1) 有明确的业务领域,在主要业务领域内技术实力、市场占
有率等居国内前列;
(2) 对主要业务领域的业务流程有深入研究,有自主知识产权
的基础业务软件平台或其他先进的开发平台,有自主开发的软件产品和工具,且在已完成的项目中加以应用;
(3) 有专门从事集成、开发的高级研发人员及与之相适应的场
地、设备等,并建立完善的软件开发与测试体系。
第五条 人才实力
(1) 从事外包项目相关人员原则上,集成不少于30人、开发不
少于50人、服务不少于10人、且其中大学本科以上学历人员所占比例不低于80%;
(2) 主要技术人员应具有相关资格证书;
(3) 培训体系健全,具有系统地对员工进行新知识、 新技术以
及职业道德培训的计划并能有效组织实施与考核;
(4) 建立合理的人力资源管理与绩效考核制度并能有效实施
第二章 管理与监督
第六条 稽核部对外包服务商的履约和服务情况按年或不定期地进行评估和监督检查,并作为后续项目准入资格审核的重要依据。
第七条 外包服务商的服务水平指标体系包含质量水平、合同履约能力、价格水平 、技术能力、设计能力、服务响应、人力资源、
合作融洽关系等内容。
第八条 属于下列情形之一的外包服务商,给予取消项目准入资格的处罚;
(1) 提供虚假材料,骗取项目准入资格的;
(2) 提供虚假投标材料的;
(3) 采用不正当手段诋毁、排挤其他外包服务商的;
(4) 与其他外包服务商违规串通的;
(5) 中标后无正当理由不与招标人签订合同的;
(6) 向招标人方等行贿或者提供其他不正当利益的;
(7) 其他违反有关规定的情形;
(8) 其他触犯国家法律的行为。
第九条 IT 外包服务前期的需求申报:总行科技和业务部门、分支行各业务部门根据业务需要向信息中心提交IT 外包服务需求报告,经信息中心审核通过后统一向公司申报。
第十条 IT 外包服务协议应包含IT 外包服务工作任务书,它作为IT 外包服务的执行标准和内容贯穿在整个IT 外包服务过程中。内容包含:
(1) 确定IT 外包服务的工作目标、实施范围、工作性质;
(2) 公司业务需求定义及对相应技术实现的要求;
(3) 工作计划;
(4) IT 外包服务双方联系人和联系方式的确定;
(5) 服务级别定义;
(6) 事件处理时间、响应时间、工作时间定义;
(7) 交付文档定义;
(8) 验收或检查方式定义;
(9) 外包服务作业流程定义。
第十一条 对外包开发软件项目,由稽核部和IT 部门共同实施代码检查管理,制定审查流程,确定检查的方式,做好检查的记录和管理等。根据IT 外包服务工作任务书对服务执行情况进行检查,必要时要求整改并监督执行。
第十二条 外包项目实施验收管理,由业务部门和IT 部门制定项目验收流程和标准、与外包服务商的验收交接规程,并做好外包项目的验收记录等。
第十三条 IT 外包服务期末,信息中心对服务情况进行综合评估,不合格的,次年相应服务商不得参加评选,信息中心对IT 外包服务执行情况作总体监督与检查
信息系统外包管理暂行办法
第一章 总则
第一条 为有效防范信息系统外包过程中产生的风险,促进信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、国家信息安全相关要求和有关信息系统外包管理的法律法规,制定本办法。
第二条 本办法所称信息系统外包,是指将全部或部分IT 工作外包给专业性公司完成的商业模式。目的是通过整合、利用适当的外部专业化IT 资源,达到降低成本、提高效率、增强核心竞争力、提高应变能力。范围包括将信息系统的规划、研发、建设、运行、维护、监控、服务等委托给业务合作伙伴或第三方(以下统称为外包服务商)承担的活动。
第三条 各部门应当按照本办法的规定开展信息系统外包活动。
第二章 外包内容管理
第四条 应根据业务发展的实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险。
第五条 严禁外包涉及重要商业秘密、机密数据管理与传递和IT 信息战略相关的业务和服务。
第六条 对于将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据管理与传递等内容进行外包时,应遵守国家有关
法律法规,符合银监会的有关规定,经过董事会办公会议批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。
第七条 PC 日常管理服务:与PC 及PC 周边产品有关的系统支持、数据恢复、系统重建等服务,包括电脑配件购买、硬件维修与安装、电脑软件(操作系统、办公软件、客户端程序、防病毒软件等)安装等相关工作。
第八条 IT 系统基础设施服务:网络、主机、服务器、存储、安全、机房设施等IT 系统基础设施的硬件保障与维护、运行监控与维护、系统管理等服务。IT 系统基础设施方案设计、项目实施、软硬件安装与配臵等服务。
第九条 应用系统开发和技术支持服务:根据业务要求,全部或部分承担计算机应用系统开发、变更工作,向提交满足业务要求的应用系统的服务。为满足业务需求,保障系统运行稳定、促进计算机应用系统功能的正常发挥而向提供的应用系统技术支持服务。
第十条 应用系统运行保障服务:为使计算机应用系统安全、可靠、持续运行、有效支持业务运作而提供的技术服务。
第十一条 信息系统租用服务:根据业务需要,租用外部信息系统,由信息系统提供商提供信息处理能力和业务功能,支持业务运作的服务方式。
第十二条 IT 咨询服务:包括IT 治理和信息安全咨询服务,IT 发展规划咨询,以及其他专项IT 咨询服务。
第三章 职责和流程
第十三条 信息科技管理委员会为公司IT 外包服务的职能管理机构,信息中心为IT 外包服务管理工作的执行机构,各分支机构和业务单位(部门)参与配合实施。信息中心职责:
● 制定IT 外包服务管理规章制度和管理流程,规范IT 外包服务执行过程。
● 按照公司有关规定参与IT 外包服务商评选。
● 制定IT 外包服务商的考核指标。
● 评估、管理与监控IT 外包服务水平,保证其对服务要求的符合性。
● 协调最终用户和IT 外包服务商关系,促进业务工作开展。 ● 负责公司总部IT 外包服务的监控与管理。
第三章 外包服务商管理
第十四条 风险管理部应当建立健全外包服务方评估机制,充分审查、评估服务商的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查(见《外包服务商管理细则》)。
第十五条 签订外包服务合同时,应当明确双方的权利、义务,规定外包服务商应当承担的安全、保密、知识产权方面的义务和责任。
第十六条 外包合同中应当详细地明确服务商必须提供的最低
服务水平、详细的服务范围和标准、发生故障时的服务级别及相应时间等,以防范服务商综合状况及业务需求变化所可能产生的风险。
第四章 外包风险管理
第十七条 风险管理部应建立完整的外包监测程序,审慎监测和管理外包实施过程中可能产生的风险。
第十八条 充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第十九条 信息系统的设计开发外包应当进行缺陷风险管理,包括代码检查、文档管理和技术转移。
第二十条 信息系统外包风险管理应当符合风险管理标准和策略,并建立针对外包风险的应急计划。
第二十一条 应与外包服务商建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现服务方的顺利变更,保证外包服务不间断的应急预案。
第五章 外包审计
第二十二条 稽核部负责信息系统外包的审计。
第二十三条 信息系统外包的审计应当遵照《商业银行信息科技风险管理指引》的规定开展工作。
第二十四条 外包软件应当建立代码检查机制,确保代码的安全性、准确性、完整性和一致性。代码检查中应当采用有效的技术手段,
或通过工具、抽检、脚本审核、逐条阅读等方式,确保代码的安全审计;应当落实代码检查的责任、验收和登记制度。
第六章 附则
第二十五条 本办法由风险管理部、稽核部和信息中心负责解释。 第二十六条 本办法自发文之日起施行。
附:外包服务商管理细则
外包服务商管理细则
第一章 外包服务商准入与评定标准
第一条 综合条件
(1) 企业变革发展历程清晰,从事金融信息系统集成、开发和
服务(以下简称“外包项目”)三年以上,原则上应取得相应二级资质一年以上;
(2) 企业主业是外包项目,其收入是企业收入的主要来源;
(3) 企业产权关系明确,注册资金分别为系统集成原则要求400
万元以上、开发200万元以上、服务100万元以上;
(4) 企业经济状况良好,财务数据真实可信,并须经国家认可
的会计师事务所审计;
(5) 企业有良好的资信和公众形象,近三年没有触犯知识产权
保护等国家有关法律法规的行为。
第二条 业绩
(1) 近三年内完成的外包项目按合同要求质量合格,已通过验
收并投入实际应用;
(2) 近三年内完成的外包项目有较高的技术含量且至少应部分
使用了有企业自主知识产权的软件;
(3) 近三年内未出现过验收未获通过的外包项目或者应由企业
承担责任的用户重大投诉;
(4) 主要业务领域的典型项目在技术水平、经济效益和社会效
益等方面居国内同行业的领先水平。
第三条 管理能力
(1) 已建立完备的企业质量管理体系,通过国家认可的第三方
认证机构认证并有效运行一年以上;
(2) 已建立完备的客户服务体系,配臵专门的机构和人员,能
及时、有效地为客户提供优质服务;
(3) 企业的主要负责人应具有5年以上从事电子信息技术领域
企业管理经历,主要技术负责人应获得电子信息类高级职称且从事外包项目技术工作不少于5年,财务负责人应具有财务系列中级以上职称。
第四条 技术实力
(1) 有明确的业务领域,在主要业务领域内技术实力、市场占
有率等居国内前列;
(2) 对主要业务领域的业务流程有深入研究,有自主知识产权
的基础业务软件平台或其他先进的开发平台,有自主开发的软件产品和工具,且在已完成的项目中加以应用;
(3) 有专门从事集成、开发的高级研发人员及与之相适应的场
地、设备等,并建立完善的软件开发与测试体系。
第五条 人才实力
(1) 从事外包项目相关人员原则上,集成不少于30人、开发不
少于50人、服务不少于10人、且其中大学本科以上学历人员所占比例不低于80%;
(2) 主要技术人员应具有相关资格证书;
(3) 培训体系健全,具有系统地对员工进行新知识、 新技术以
及职业道德培训的计划并能有效组织实施与考核;
(4) 建立合理的人力资源管理与绩效考核制度并能有效实施
第二章 管理与监督
第六条 稽核部对外包服务商的履约和服务情况按年或不定期地进行评估和监督检查,并作为后续项目准入资格审核的重要依据。
第七条 外包服务商的服务水平指标体系包含质量水平、合同履约能力、价格水平 、技术能力、设计能力、服务响应、人力资源、
合作融洽关系等内容。
第八条 属于下列情形之一的外包服务商,给予取消项目准入资格的处罚;
(1) 提供虚假材料,骗取项目准入资格的;
(2) 提供虚假投标材料的;
(3) 采用不正当手段诋毁、排挤其他外包服务商的;
(4) 与其他外包服务商违规串通的;
(5) 中标后无正当理由不与招标人签订合同的;
(6) 向招标人方等行贿或者提供其他不正当利益的;
(7) 其他违反有关规定的情形;
(8) 其他触犯国家法律的行为。
第九条 IT 外包服务前期的需求申报:总行科技和业务部门、分支行各业务部门根据业务需要向信息中心提交IT 外包服务需求报告,经信息中心审核通过后统一向公司申报。
第十条 IT 外包服务协议应包含IT 外包服务工作任务书,它作为IT 外包服务的执行标准和内容贯穿在整个IT 外包服务过程中。内容包含:
(1) 确定IT 外包服务的工作目标、实施范围、工作性质;
(2) 公司业务需求定义及对相应技术实现的要求;
(3) 工作计划;
(4) IT 外包服务双方联系人和联系方式的确定;
(5) 服务级别定义;
(6) 事件处理时间、响应时间、工作时间定义;
(7) 交付文档定义;
(8) 验收或检查方式定义;
(9) 外包服务作业流程定义。
第十一条 对外包开发软件项目,由稽核部和IT 部门共同实施代码检查管理,制定审查流程,确定检查的方式,做好检查的记录和管理等。根据IT 外包服务工作任务书对服务执行情况进行检查,必要时要求整改并监督执行。
第十二条 外包项目实施验收管理,由业务部门和IT 部门制定项目验收流程和标准、与外包服务商的验收交接规程,并做好外包项目的验收记录等。
第十三条 IT 外包服务期末,信息中心对服务情况进行综合评估,不合格的,次年相应服务商不得参加评选,信息中心对IT 外包服务执行情况作总体监督与检查