银行信息科技外包管理制度模版.docx

1、银行信息科技外包管理制度第一章总则第一条目的为了防范和控制我行信息科技外包项目的风险，提高我行信息系统安全运行的效率，根据中国银行业监督管理委员会银行业金融机构信息科技外包风险监管指引和我行相关管理制度，特制定本办法。第二条定义信息科技外包项目：指将信息系统的规划、开发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商的项目。第三条信息科技外包项目分类信息科技外包项目分为软件定制开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询及技术服务外包等。软件开发外包项目：指我行与软件开发供应商合作开发我行信息系统的外包项目，或者采购软件开发供应商软件产品并以合作方式进行

2、客户化开发我行信息系统的外包项目；生产系统维保外包项目：指我行采购生产系统各类设备、系统软件、应用系统的运行维护服务的外包项目，或租赁通讯线路、采购生产系统的安全服务的外包项目；办公桌面设备维保外包项目：指采购办公桌面设备的维修保养服务的外包项目；灾难备份服务外包项目：指采购总行数据中心的灾难备份服务的外包项目；咨询服务外包项目：指采购的IT战略规划、IT流程梳理、IT体系架构、IT技术方案、IT安全管理等与IT相关的各类咨询外包项目。非驻场集中外包项目：非驻场集中式外包主要包括机房运营类外包服务、应用系统托管类外包服务。第四条适用范围本办法适用于我行信息科技外包项目管理、服务全过程。第二章外

3、包原则第五条总行数据中心生产运营管理不可外包，信息科技风险责任不可外包。第六条总行可以对全行软件项目开发、生产系统维保、总行办公桌面设备维保、灾难备份服务、咨询服务实行外包；分行科技运营部门可以对本行软件项目开发、本行生产系统维保（总行统一外包的除外）、办公桌面设备维保、咨询服务实行外包。第七条对于本办法所述的信息科技外包项目类型和范围以外的外包需求，由信息科技管理委员会确定是否可以外包，并以会议纪要形式作为本办法的修订或补充。第三章组织与职责第八条信息科技管理委员会负责外包的管理，信息科技部门负责外包工作的具体实施。第四章外包项目采购第九条信息科技外包项目由项目主办单位明确外包服务需求，包括

4、但不限于服务方式和服务种类：一、服务方式：包括现场服务方式、非现场服务方式；二、服务种类：包括软件项目开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询服务外包。第十条依照相关采购管理办法实行采购，并签订合同。第十一条根据信息科技外包项目的特殊性，外包合同除一般合同内容外，还应包括但不限于以下内容：一、服务方式：包括现场服务方式、非现场服务方式；二、服务种类：包括软件项目开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询服务外包。三、根据服务方式、服务种类，确定信息安全管理手段：（一）工作环境访问权限的设置和说明；（二）服务商使用设备的管理；（三）在

5、服务过程中，明确对设备的授权方式、监视和撤销用户活动的权限；（四）签署保密协议。四、对外包服务商实施服务人员的管理。（一）人员资格要求：项目主要实施人员应具有相关资质认证（毕业证书、专业技能资质认证），有5年以上工作经验，有类似项目背景（项目名称、客户证明人员及联系方式）；（二）人员外包：原则上项目禁止外包，若项目实施需要引入外部专家，应在项目中提前明确说明；（三）明确服务人员要求：人员资格要求、撤换人员的规定、安全规范的遵守。五、明确服务水平要求：明确服务商报告的格式与服务报告被确认的标准；服务商服务过程中提供产品的要求；明确服务商服务的响应时间的要求与衡量方式；列明期望的服务水平。六、明确

6、服务过程中，异常事件的通报与处理机制：确定正常工作程序；明确服务商工作过程中的变更授权流程；异常情况报告机制，包括报告事件程序；安全事故处理机制，包括如何调查、通知处理、应急方案和实施计划。七、对于软件开发外包或咨询服务外包项目，应明确项目接收和转移的相关要求。包括明确外包商的系统核心技术，以便项目验收人员接收除系统核心技术外的全部源代码，也方便第三方评估在本项目中有多少关键技术被外包商垄断。八、明确软件开发外包项目在项目验收前必须进行源代码检查。九、明确规定我行软件项目开发外包、咨询服务外包项目的知识产权归属。十、制订服务商所提供服务不能满足服务水平要求的惩罚条款，明确发生问题时的赔偿责任与

7、解决争端的程序。十一、咨询项目应加强培训工作，做到知识的转移，使客户最终了解和全面掌握项目成果。十二、制订服务商所提供服务不能满足服务水平要求的惩罚条款，明确发生问题时的赔偿责任与解决争端的程序。十三、明确以信息科技外包项目进度和质量监督为主要内容的项目监控计划。十四、明确有权监视、审核、评估服务商所提供服务的状况，并根据合同予以相应奖惩。十五、明确风险责任的承担。十六、明确双方提前终止合同的条件、流程及其赔偿办法。第五章信息科技外包项目监控第十二条信息科技外包项目合同执行人应与外包服务商建立有效的联络、沟通和信息交流的机制。内容可包括但不限于联系人制度、项目工作例会、项目报告的内容及周期、异

8、常情况的报告和处置计划等。第十三条信息科技外包项目合同执行人要按照合同中项目接收和转移的相关规定，组织相关人员落实好文档移交、技术转移以及知识转移等工作。第十四条信息科技外包项目合同执行人定期对外包商的服务进行评估，特别是在项目进展的里程碑时段应进行评估，并将评估结果告知外包商；里程碑时段应在项目合同或项目计划书中明确。第十五条评估报告内容包括但不限于：项目实施计划的制定情况、项目计划的完成率、项目文档管理质量、例行服务的完成情况、热线电话服务情况、故障响应的及时率、备件/耗材响应及时率、维修诊断的正确率、故障及时修复率、故障报告的完成情况、由于项目实施导致的异常情况率、遵守集团信息安全保密要

9、求、遵守集团规章制度情况等。第十六条评估报告内容包括但不限于：项目实施计划的制定情况、项目计划的完成率、项目文档管理质量、例行服务的完成情况、热线电话服务情况、故障响应的及时率、备件/耗材响应及时率、维修诊断的正确率、故障及时修复率、故障报告的完成情况、由于项目实施导致的异常情况率、遵守我行信息安全保密要求、遵守我行规章制度情况等。第十七条信息科技外包项目的合同执行人负责外包风险评估与监测，通过项目跟踪和适当的技术手段进行风险控制。第十八条对外包服务商的监督应包括：一、监控服务商的财务状况和经营状况；二、监控服务商的服务质量和技术支持水平；三、监控服务商内部关键人员的变动情况，尤其是服务商高层

10、的变动、为银行提供IT服务的关键技术人员的变动情况；四、监控服务商全面履行合同的情况；五、监控服务商把服务再次分包的情况，做到严格按约定履行合同条款并保留相关书面记录；六、项目进度和质量与计划的要求是否相符等。第十九条根据不同的外包分类应关注以下可能产生的风险点：一、软件项目开发外包可能产生的风险点包括但不限于：外包服务商的服务质量和技术支持水平、为我行提供服务的关键技术人员的变动情况、遵守信息安全保密要求、遵守我行的规章制度情况、及时合理解决我方意见等；二、生产系统维保外包可能产生的风险点包括但不限于：故障响应的及时率、备件响应及时率、维修诊断的正确率、故障及时修复率、外包服务商的服务质量和

11、技术支持水平、为我行提供服务的关键技术人员的变动情况、遵守信息安全保密要求、遵守我行的规章制度情况、及时合理解决我方意见等；三、办公桌面设备维保外包可能产生的风险包括但不限于：故障响应的及时率、备件响应及时率、维修诊断的正确率、故障及时修复率、遵守信息安全保密要求、遵守我行的规章制度情况、及时合理解决我方意见等；四、灾难备份外包可能产生的风险点包括但不限于：外包服务商的财务状况和经营状况、外包服务商的服务质量和技术支持水平、外包服务商内部关键人员的变动情况、为我行提供服务的关键技术人员的变动情况、外包服务商把服务再次分包的情况、遵守信息安全保密要求等；五、咨询服务外包可能产生的风险点包括但不限于：对我行需求的理解、外包服务商内部关键人员的变动情况、为我行提供服务的关键技术人员的变动情况、外包服务商把服务再次分包的情况、遵守信息安全保密要求等。第六章附则第二十条本办法由信息科技管理委员会负责解释，修订。第二十一条本办法自公布之日起执行。二*年六月三十日