银行银行信息科技外包管理指引模版.doc

1、*银行分行信息科技外包管理办法第一章 总则第一条 为规范*银行分行（以下简称分行)信息科技外包管理,提升外包服务水平,防范外包风险,保障分行所有工作顺利进行，依据*银行信息科技外包管理办法、外包管理有关制度及监管要求，拟定本办法。第二条 本指引适用于分行信息化项目外包管理有关工作，包括拟定外包战略和管理模式、采购需求管理和供应商尽职调查、外包项目实施管理、外包服务验收和考核管理、外包风险管理、外包人员管理、重要供应商管理等,项目类型包括:（一） 开发(子领域包括:软件开发、基础设备建设）、运维（子领域包括:基础设备运维、桌面运维、应用运维、服务台）、咨询、人力外包、产品采购（子领域包括：硬件采

2、购、软件采购、线路设备租用系统接入）、测试；（二） 业务外包中的信息科技活动:*场开拓、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。第二章 职责分工第三条 总行信息技术部是分行信息科技外包管理工作的归口管理部门,负责分行信息科技外包管理工作的组织和领导。第四条 分行信息技术部负责统筹分行信息科技外包管理工作，依据有关总行信息技术部有关制度和规范要求,结合分行工作实际,拟定分行T项目外包管理流程和操作细则,并负责外包管理日常工作。第三章 外包战略和管理模式第五条 总行信息技术部负责拟定分行外包战略，包括:未能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管

3、理策略，分行可结合自身能力等实际情形,在不突破整体战略要求的前提下，研究确定分行外包执行策略，进行T职能外包适宜度分析(参照总行信息技术部I外包适宜度分析有关资料文件执行）,确定未能外包的I职能。第六条 分行实施自主管理模式，重大外包项目报总行信息技术部审核。分行信息技术部应编制项目实施方案，确定采购方式、备选供应商名单和有关采购需求方案,依照分行采购管理关于流程,招标确定供应商并与其签订外包服务协议，负责组织开展协议验收和供应商考核工作,负责组织开展协议验收和供应商考核工作。第四章 外包风险管理第七条 分行信息技术部应对信息科技外包风险进行全生命周期管理（风险识别、风险分析与评估、风险处置、

4、风险监控及风险报告)，将其贯穿于分行信息科技外包日常管理工作中,长期管控外包风险。信息科技外包风险全生命周期管理可参照总行信息技术部信息科技风险管理有关资料文件执行。第八条 分行信息技术部应依照总行操作风险管理部要求开展信息科技外包风险管理自评估，评估内容包括:信息科技外包战略执行情形、外包信息安全、机构集中度、服务连续性、服务质量、政策及*场变化对外包服务的影响分析等。第九条 分行信息技术部应对不同级别的供应商采取差异化的管理措施,在有效管控重要风险的前提下降低管理成本。重要供应商管控措施包括(但不限于)：（一） 对重要供应商，在与其签订协议前应当深入开展尽职调查,必要时可聘请第三方机构协助

5、调查。（二） 对重要供应商进行定时的风险评估，保持评估的独立性。至少在三年内覆盖所有重要供应商。评估内容包括:供应商合规情形、服务的执行效果等，评估结果应当作为供应商准入及退出的重要依据。第十条 延续风险管控:（一） 项目过程中分行信息技术部应须对信息科技外包进行风险评估，通过项目跟踪和适当的技术手段进行风险监控。（二） 项目过程中分行信息技术部应对供应商的财务、内控及安全管理进行延续监控。第五章 I外包供应商管理第一节 供应商关系管理第十一条 供应商关系管理是指对供应商在各个外包子领域中进行分类,对每类供应商采取不同方式的管控，并与其建立不同合作关系的管理方式。分行信息技术部应对供应商关系进

6、行划分管理（如划分为战略型、合作型、淘汰型等供应商),针对不同关系的供应商，区分风险管控力度和管控手段，建立相应的惩罚或激励措施,以提升管理效率,降低外包风险。第十二条 分行信息技术部应依据有关供应商采购内容重要性（可考虑项目重要性、技术依赖性、垄断性、价值性)和采购金额占比,对供应商的重要性进行评分，将供应商重要性分为一般、重要,对不同重要性的供应商采取不同的管控方式,降低管理成本，加强风险管控。第十三条 分行信息技术部应确定供应商关系分类以及维护机制(应包括判定标准、判断时间点、关系更新维护人员、关系应用场景)，供应商关系分类以及维护机制参照总行供应商关系管理资料文件执行。第二节供应商准入

7、管理第十四条 分行信息技术部应对正在合作或曾经合作的供应商，开展准入信息收集。收集的信息包括(但不限于)内部监控与管理能力信息、延续经营能力信息和技术与服务能力信息，识别供应商的服务连续性风险。第一条 分行信息技术部应依据有关其外包业务特点建立供应商准入机制(参照总行信息技术部供应商准入管理资料文件执行),明确：（一） 供应商准入标准，准入条件应包括基础条件和专业能力;（二） 供应商准入执行时点；（三） 供应商准入执行频率；（四） 对于创新型、技术独有型、负责迭代开发项目等特殊供应商，当其未能满足准入条件时，可召开讨论会,在确保其外包风险可控或可接受的前提下，依据详细情形将其视为有条件准入供应

8、商,并记录其风险监控方式，包括（但不限于):合作领域限制、增强企业监控频率、付款模式限制、签订应急附加协议等。第十五条 分行信息技术部可建立供应商准入白名单,对于涉及国家重要产业、规模较大的大型国有企业、事业单位等，可以允许直接准入;准入白名单应定时报总行信息技术部审核。第三节尽职调查第十六条 分行信息技术部应对重要供应商，签订协议前应开展尽职调查并形成重要供应商尽职调查报告（依照总行信息技术部重要供应商尽职调查报告执行)，必要时可聘请第三方机构协助。尽职调查时应当关注供应商的技术和行业经验，包括(但不限于):（一） 服务能力和支持技术、服务经验、服务人员技能、*场评估、监管评估、行业地位等；

9、（二） 应当关注供应商的内部监控和管理能力,包括（但不限于）：内部监控机制和管理流程的完善程度、突发事件应对能力、内部监控技术和工具等;（三） 应当关注供应商的延续经营状况,包括(但不限于）：从业时间、场地位及发展趋势、资金的安全性、近期盈利情形等；（四） 技术实力和服务质量;（五） 对其他银行银行等金融机构提供服务的情形;（六） 经营声誉和企业文化;（七） 选择跨境服务供应商是，还应调查确认其所在国家或地区监管当局是否已与我国银行业监管机构签订谅解备忘录或各方认可的其他商定；（八） 服务供应商之间的关联关系(涉及多个供应商时);（九） 总行操作风险管理部认为重要的其他事项；第四节 供应商选择

10、 第十七条 对于非公开招标的项目应提供选择其招标方式的原因及风险监控,并取得相应管理层的审批;针对单一来源采购形式,应将优质的供应商关系类型（如战略合作关系、重点合作型关系等)作为评估单一来源的考虑因素,而对绩效考核结果较差或存在高集中度风险的供应商建议取消其单一来源采购资格/资质。第十八条 如采用邀标或对公开招标对象进行初选，具备投标资格/资质的潜在供应商应至少满足准入要求,确定项目备选供应商时应考虑供应商关系类型,如应将战略合作关系供应商纳入备选范围,以及对于单一来源项目，在同等条件下应优先考虑将应急备选供应商纳入备选范围等。第五节 供应商评估第十九条 分行信息技术部应拟定对供应商考核评估

11、管理体系（参照总行信息技术部供应商评估管理有关资料文件执行),原则上每年进行一次对供应商的专业资质、工作质量、管理能力和服务水平进行总体评估并保留评估记录,评估内容包括(但不限于）:（一） 项目实施计划的拟定情形;（二） 项目计划的履行率；（三） 项目文档管理质量；（四） 例行服务的履行情形;（五） 电话支持电话服务情形;（六） 故障响应的及时率;（七） 备件/耗材响应及时率；（八） 修理修缮诊断的准确率；（九） 故障及时修复率;（十） 故障报告的履行情形;（十一） 由于项目实施致使的异常情形率;（十二） 管理能力；（十三） 专业资质;（十四） 遵守我行信息安全保密要求、遵守我行规章制度情形等

12、。第二十条 外包服务终止时，分行信息技术部应组织对供应商进行评估,评估结果应当作为供应商再次准入、资质评估以及供应商关系划分的重要参考依据。供应商如存在考核不合格的情形，原则上未来两年内不得参加我行信息科技外包服务。第六节 供应商退出管理第二十一条 分行信息技术部应建立供应商退出机制，主动终止与不适用的供应商的I外包合作关系，将其列入黑名单,不再与其开展新的I外包合作。对于现有IT外包项目,应启动项目应急预案，并寻求尽速替代。第二条 存在以下情形之一的供应商，应主动退出与其I外包合作:（一） 严重违反国家法律、法规的;（二） 严重违约、擅自变更或者终止已生效协议的;（三） 泄露我行商业秘密、技

13、术秘密等非公开信息的；（四） 侵犯我行知识所有权的;（五） 故意提供虚假资质材料、隐瞒真实情形的；（六） 信誉和财务发生严重危机的；（七） 提供的产品质量和服务出现重大问题，并造成不良后果的;（八） 中标后无正当理由拒绝签订协议的;（九） 供应商经营条件发生变化,无法继续提供符合标准的服务;（十） 对服务质量进行检查，连续3次未能达到服务标准;（十一） 其他可能严重影响我行声誉以及给我行带来风险或损失的情形;（十二） 供应商绩效考核评估连续两年为“差”;（十三） 总行操作风险管理部认为的其他情形。第二十二条 分行信息技术部应定时将供应商黑名单及时报送总行信息技术部。第七节 供应商行为管理第二十

14、三条 分行信息技术部应拟定供应商行为管理规范（参照总行信息技术部供应商合规手册执行),针对供应商在外包服务过程中可能出现的信息科技外包风险拟定行为规范：（一） 在I外包管理框架下建立体系化的实际操作机制，明确我行对供应商的管理原则及详细实施办法，（二） 督促IT供应商在提供T外包服务的过程中更迅速地提升自身的管理合规意识及能力,以满足我行对其的管理要求。第二十四条 依据有关供应商行为对我行造成影响范围以及影响程度，建立惩罚机制。第二十五条 通过日常自评估和不定时抽查的方式对供应商合规行为进行行检查，并对其合规情形进行记录并将供应商日常合规情形纳入整体绩效评估,监督供应商履行管理信息科技外包行为

15、合规职责。第八节 特殊供应商管理第二十六条 特殊供应商管理包括高集中度供应商管理、行业重点供应商管理、重要非驻场及跨境供应商管理。第二十七条 分行信息技术部应针对高集中度供应商、行业重点供应商、跨境供应商和非驻场供应商等重点供应商建立有针对性的管理要求(参照总行信息技术部供应商合规手册执行)。第二十八条 高集中度供应商管理：各分行应当依据供应商所承接外包服务的数量、金额在重要信息科技服务中的占比,识别高集中度共度供应商，可参考如下标准：供应商项目总款项占比大于等于1%(该项目类型供应商大于等于0家）,或大于等于50%（该项目类型供应商小于10家),应通过采取分散信息科技外包活动、获取高集中度供

16、应商内部监控和配备独立服务资源的证明、建立高集中度供应商服务中断应急预案、加强对高集中度供应商的监控与监督等方法，降低供应商的高集中度风险。第二十九条 行业重点供应商管理:行业重点供应商是指银行业银行等金融机构信息科技外包风险管理指引(银监发5号)中定义的“银行业重点外包服务机构”。各分行应根据监管机构发布的银行业重点外包服务机构名单,依照合规要求收集行业重点供应商的信息,获取行业重点供应商的外包风险监控报告和由独立审计机构出具的该供应商外包服务的风险评估报告。应要求重点供应商对其外包人员进行背景调查，确保其过往无不良记录。第三十条 重要非驻场及跨境供应商管理:（一） 重要非驻场供应商是指供应

17、商不在银行业银行等金融机构现场提供服务的重要供应商。对于符合以上标注的供应商，应进行定时实地考察（实地检查原则上一年不少于一次，检查结果作为供应商项目考核及准入的重要指标),建立有针对性的管理要求，并加强对其内部监控、质量管理、信息安全等方面的有效性评估。 （二） 跨境供应商是指在境外其他国家或地区实施信息科技外包服务活动的供应商。对于此类供应商，应对其所在国家或地区的经济、政治、社会情形进行延续监控，关注跨境供应商所在国家或地区的法律法规、监管要求，同时加强对跨境外包服务的客户信息保护(跨境供应商客户信息保护保护能力为选择的重要指标)。第六章 IT外包项目管理第三十一条 分行信息技术部负责在

18、总行信息技术部的指导下开展外包项目实施管理工作,包括外包项目决策、外包服务监控、知识管理以及项目验收。第一节 项目决策第三十二条 信息科技外包项决策前,分行信息技术部应查阅总行操作风险管理部编制的外包业务目录,审慎确定拟外包项目是否属于我行允许的外包业务范围。如未纳入外包业务目录，应依照*银行股份有限公司外包管理办法履行申请新增外包业务品种;属于我行允许的外包业务范围的，应依照*银行股份有限公司外包管理办法中关于我行外包决策的审批权限进行审批。第三十三条 分行拟外包项目满足如下情形之一时，分行信息技术部应将项目实施方案（包括技术可行性分析、外包风险评估与处置分析）,提交总行信息技术部审批。（一

19、） 预算金额超过12万人民币的信息科技外包项目；（二） 分行信息技术部实施以下重要信息科技外包时, 信息科技工作整体外包; 数据中心或灾备中心整体外包； 涉及将银行业银行等金融机构客户资料文件资料、交易数据等敏感信息交由供应商进行分析或处理的信息科技外包; 以非驻场形式实施的、集中存贮客户数据的业务交易系统外包； 关联外包； 涉及跨境的信息科技外包； 在评估阶段被我行认为是高风险级别的其他信息科技外包; 其他银监会认为重要的信息科技外包； 其他总行信息技术部认为重要的信息科技外包。第三十四条 分行信息技术部进行外包项目决策时，应充份评估外包风险,需考虑因素应包括:（参照总行信息技术部I外包项目

20、决策管理有关资料文件执行）: 外购分析因素:场成熟度、法律风险、战略风险、操作风险、声誉风险、国别风险以及其他特殊风险; 价值因素：声誉、创新、人才培养和人员配置。第二节 采购以及协议管理第三十五条 完设立项审批的信息科技外包项目，已达到我行集中采购规定条件的，分行信息技术部采购管理部门应及时将采购需求报采购管理部，由其组织实施集中采购并确定合格供应商。未达到我行集中采购规定条件的，由分行信息技术部采购管理部门依照我行采购管理办法自行组织采购并确定合格供应商。第三十六条 实施信息科技外包服务前,分行信息技术部应当与供应商签订协议,协议应依据有关外包服务需求、风险评估及资质评估结果确定其详尽程度

21、和重点,并由法律与合规部、I外包管理部门审核。对我行已拟定外包协议标准文本或范本的,原则上应使用我行标准协议文本或范本。对我行协议标准文本或范本条款的修改应报法律与合规部审查。第三十七条 协议中应当明确以下内容,包括（但不限于）：（一） 服务范围、服务内容、工作时限、责任分配、交付物要求；（二） 合规与内控要求,对法律法规及分行信息技术部内部管理制度的遵从要求、监管政策的通报贯彻机制、供应商的内控措施；（三） 服务连续性要求,供应商的服务连续性管理目标应当满足分行信息技术部业务连续性目标要求；（四） 我行监控和检查的权力、频率，以及供应商协助配合我行内、外部审计机构和监管机构检查的责任；（五）

22、 政策或环境变化因素等在内的协议变更或终止的触发条件，供应商在过渡期间应该履行的主要职责及协议变更或终止的过渡安排,包括信息、资料文件资料和设备的交接处置等过渡期间有关服务的安排；（六） 外包服务过程中造成或产生、加工、交互的信息和知识所有权的归属权以及允许供应商使用的内容及范围、对供应商使用合法软、硬件产品的要求;（七） 服务要求或服务水平条款，应至少包含如下内容:外包服务的关键要素、服务时效和可用性、数据的秘密性和完整性要求、变更的监控、安全标准及业务连续性要求的遵守情形、技术支持水平等;（八） 外包争端的解决机制、违约及赔偿条款，括如下内容：服务质量违约、安全违约、知识所有权违约等，及在

23、各种违约情形下的赔偿以及外包争端的解决机制。（九） 报告条款,至少包含如下内容:常规报告内容和报告频度、突发事件时报告路线、报告方式及时限要求；第三十八条 协议中应当明确供应商在安全和保密方面的责任，以及针对信息安全及保密性要求需采取的详细措施，包括(但不限于)：（三） 禁止供应商在协议允许范围外使用或者披露分行信息技术部的信息,以防止信息被非授权使用;（四） 在协议或协议中商定供应商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款;（五） 在协议或协议中商定供应商不得以所服务的分行信息技术部名义开展活动;（六） 供应商接触分行信息技术部信息时，需满足安全和保密有关条款的

24、要求；（七） 在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行业信息科技风险类突发事件时,供应商应及时向分行信息技术部报告，包括事件的影响以及处置和更正纠正措施。第三十九条 分行信息技术部应安排供应商签订保密承诺或在协议中签订保密条款,供应商需在承诺书承诺： 依据有关我行要求以书面认可的方式及时整改检查中发现的问题; 保障银行客户信息的安全性，当客户信息不安全或客户权利受到影响时，我行有权随时终止外包协议。第四十条 协议中应当明确要求供应商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：（一） 不得将外包服务的主要业务分包;（二） 主供应商对服务水平负总责,确保

25、分包供应商能够严格遵守外包协议或协议;（三） 主供应商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。第三节项目实施管理第四十一条 信息科技外包以项目为单位实施管理,详细管理工作由外包项目经理(或项目负责人）承担项目质量管理、进度管理、及有关沟通协调沟通责任。第四十二条 应拟定外包项目的开展计划， 对项目进行基本分工,明确各生命周期阶段的里程碑与交付品,拟定项目进度计划,确定各阶段供应商及项目管理部门的负责人，建立供应商与项目管理部门负责人及关键人员的沟通机制，并将计划交由需求室进行审批。第四十三条 发生项目（范围、人员、资源等）变更时,应对发生变更的原因进行分析,并由相应管理层进行

26、审批。第四十四条 应该建立明确的服务目录,服务水平协议以及服务水平监控评估机制,依据有关信息科技的外包需求、协议、服务水平协议等建立明确的服务质量监控指标，对重要IT外包服务进行相应的监控并确保外包服务监控基础数据和评估结果的真实性和完整性，数据至少需保存到服务终止后一年。第四十五条 可通过组织讨论会、安排供应商与信息科技外包项目管理人员对外包项目的进度进行沟通、安排专人对外包管理人员进行培训等形式加强知识转移，有针对性地提升信息科技外包管理人员的管理及技术能力,降低对供应商的依赖。建立适当的知识转移考核指标,验证知识转移的实现效果。第四节 交付物验收和管理第四十六条 验收小组应依照协议中项目

27、接收和转移的有关规定,组织有关人员贯彻好文档移交、技术转移以及知识转移等工作，依据有关服务水平协议中定义的阶段性和最终验收时点开展项目验收,确定供应商交付的产品或提供的服务，以及验收标准。第四十七条 分行信息技术部负责依据有关总行信息技术部的有关要求（验收标准参照总行信息技术部LA管理有关资料文件执行），拟定验收流程和实施细则,组织开展验收,依据有关验收结果和协议要求，组织开展付款工作,对于项目交付成果与服务水平协议出现差异的情形,应对供应商交付物进行管理、矫正与再验收,确保差异均被处理；由验收差异对我行造成的损失,依照协议要求其进行赔偿。第八章 外包人员管理第四十八条 分行信息技术部应建立信

28、息科技外包人员管理规范（包括资质考核、背景调查、进退场、考勤、加班、绩效考核、离职、释放以及安全合规检查管理等)，由项目管理部门依据管理规范对外包人员进行管理。第四十九条 外包人员选择(项目外包人员人力外包人员适用):分行信息技术部应提出IT项目人力外包人员的资质能力要求,通过面试、笔试等形式选定外包人员，对于重要项目的外包人员,应要求供应商对其进行背景调查，确保其过往无不良记录。第五十条 外包人员进场管理（项目外包人员人力外包人员适用):分行信息技术部负责拟定外包人员进场审批流程,负责外包人员的信息收集、进场审批、保密和资源发放等。分行信息技术部可依据有关项目详细情形与供应商商定T项目外包人

29、员的试用期,对外包人员服务质量进行监督。第五十一条 外包人员驻场管理(项目外包人员人力外包人员适用)：分行信息技术部负责拟定项目外包人职工或员工作纪律要求,并实施检查。第五十二条 人员考勤管理（项目外包人员/人力外包人员适用）：应对驻场外包人员实施电子考勤或纸质考勤，外包人员应依据有关*银行与供应商的商定工作时间到场工作，不得迟到、早退或旷工。第五十三条 加班请假/离职管理（人力外包人员适用）：规范人力外包人员加班/请假/离职管理流程，记录加班/请假/离职信息。第五十四条 人员培训管理(项目外包人员/人力外包人员适用):分行信息技术部应对外包人员进行到到岗培训、信息安全培训以及技能类培训。第五

30、十五条 人力外包人员变更(人力外包人员适用）:(一) 级别变更:建立级别变更流程,依据有关人员在工作中的态度、技能的提升,对职业发展的预期和绩效考核结果,对其协议级别进行调整以符合其定位过程。(二) 部室变更：建立外包人员部室变更机制，依据有关各部室对外包人员的需求变化,在部室间合理调配外包人力资源，已满足两个部室用人需求。第五十六条 外包人员考核(项目外包人员人力外包人员适用）：分行信息技术部负责依据有关协议中对外包人员的要求,组织分行关于处室开展外包人员考核工作。分行信息技术部可依据有关外包人员考核结果,对其进行奖励或惩罚，对于不称职的外包人员，责成供应商更换人员。第五十七条 外包人员退场

31、管理（项目外包人员/人力外包人员适用):分行信息技术部负责拟定外包人员退场审批流程,负责外包人员资源释放以及访问权限回收。第九章外包服务安全管理第五十八条 分行信息技术部应依据总行信息技术部外包服务安全管理要求和指导原则,并结合总行下发的信息安全管理关于规定，拟定和贯彻信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设备遭受破坏等风险。详细措施包括:（一） 对外包人员进行信息安全培训，提升风险管理意识，确保信息安全管控措施在外包服务过程中有效贯彻；（二） 明确外包活动需要访问或使用的信息资产,包括场地、办公设备、计算机、服务器、软件、数据、信息、物理访

32、问监控设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；（三） 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描;（四） 定时对供应商进行安全检查,获取供应商自评估或第三方评估报告。第五十九条 分行信息技术部对关联外包供应商定时进行的安全检查，不得以供应商的自评估替代。第六十条 分行信息技术部应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击,及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。第十章 T外包服务应急管理第六十一条 为降低外包突发事件的可能性及影响,分行信息技术部应当事先对业务连续性管理造成重大影响的

33、外包服务建立风险监控、缓释或转移措施（参照总行信息技术部IT外包服务应急管理有关资料文件执行），包括(但不限于)以下内容:（一） 在外包服务实施过程中延续收集供应商有关信息,尽早发现可能致使服务中断的情形;（二） 与供应商事先商定在其服务质量未能满足协议要求的情形下获取其外包服务资源的优先权；（三） 要求供应商拟定服务中断有关的应急处理预案，如提供备份人员;（四） 对于涉及重要业务的外包服务，分行信息技术部需考虑预先在其内部配置相应的人力资源，掌握必要的技能,以在外包服务中断期间自行保持最低限度的服务能力。第六十二条 分行信息技术部应当针对重要外包服务中断的场景，拟定相应的应急计划,并定时进行

34、演练,考虑因素包括（但不限于）以下内容:（一） 事件场景,如重要人员流失致使服务无法延续，供应商主动退出，因资质变更、被收购、兼并或破产等原因致使的供应商被动退出等;（二） 事件延续时间和恢复可能性;（三） 事件影响范围和可能的应急措施;（四） 供应商自行恢复服务的可能性和时间;（五） 备选的供应商以及外包服务迁移方案；（六） 外包服务过渡给分行信息技术部自行运作的可能性、时效及资源需求。第六十三条 对于无法满足外包服务要求或发生重大事件的情形，分行信息技术部应当在充份评估其影响及拟定退出计划的前提下,考虑主动要求供应商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。第

35、十一章 监督管理第六十四条 总行信息技术部负责对分行信息科技外包工作进行监督、检查和指导。第六十五条 分行信息技术部实施以下重要信息科技外包时,应当在外包协议签订前二十个工作日书面报告中国银监会或属地银监局：（一） 信息科技工作整体外包；（二） 对生产中心、灾备中心等数据中心运维管理的整体外包;（三） 对核心系统、电子银行系统、卡系统的运行、维护的整体外包；（四） 信息系统开发职能的整体外包;（五） 涉及核心系统、电子银行系统、卡系统，且外包人员占项目开发团队人员总数80%以上的信息系统开发外包项目;（六） 在境外实施的信息科技外包;（七） 一旦外包服务意外终止，短时间内就有可能对我行的业务运

36、营、管理、声誉或者安全造成或产生严重、显著不良影响的信息科技外包；（八） 涉及将银行业银行等金融机构客户资料文件资料、交易数据等敏感信息交由供应商进行分析或处理的信息科技外包；（九） 以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;（十） 关联外包;（十一） 在评估阶段被我行认为是高风险级别的其他信息科技外包；（十二） 监管机构认定的其他重要信息科技外包。第六十六条 分行信息技术部在外包活动中发生如下重大事件时，应当及时向总行信息技术部以及中国银监会或属地银监局报告：(一) 敏感数据泄露等各类信息安全事件;(二) 数据损毁或者重要业务运营中断; (三) 由于不可抗力或供应商重大经营、财务问题、管理问题，致使或可能致使的外包服务中断或外包服务水平显著下降；(四) 其他重大的供应商违法违规事件；(五) 总行信息技术部规定需要报告的其他重大事件。第六十七条 分行信息技术部在开展年度外包风险评估工作后，应当将年度风险评估报告报送总行信息技术部。第十二章 附则第六十八条 本指引由总行信息技术部负责说明。第六十九条 本办法自 年 月 日起施行。