银行信息科技外包管理办法模版.doc

x银行信息科技外包管理办法 第一章 总 则 第一条 信息科技外包（简称外包）是指将我行的信息科技活动委托给服务提供商进行处理的行为。 第二条 根据外包商在系统开发中的不同作用，外包可以划分为研发咨询类外包、系统运行维护类外包、业务外包中的信息科技活动；根据外包的领域不同，可分为信息科技专题咨询服务，数据中心运维，灾备中心运维，信息科技基础设施、开发、测试、应用系统运维，硬件设备运维，供应商管理，数据备份及恢复，安全、加密产品运维外包，桌面终端维护及其它。 第三条 外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。 第四条 研发类的外包项目属于软件项目，必须遵循我行软件项目的相关管理办法。 第五条 本办法参照中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》中的要求制订，目标是明确外包管理要求，防范和控制信息科技外包风险，保证外包流程规范化并能达到预期成效。 第二章 适用范围及外包策略 第六条 本办法管理内容涉及外包的各个流程，包括外包项目的建立、执行、监控、考核评价、持续改进等过程。 第七条 结合我行信息化水平现状和自身实际，稳健实施信息科技外包策略： （一）在整合、利用和协调各种外部资源的同时，时刻保持IT整体战略与不断变化的银行整体战略一致； （二）加强信息科技外包人才的培养； （三）建立完善的外包政策和管理制度； （四）建立信息科技外包全过程实时风险监控体系，将其纳入全面风险管理体系； （五）合理利用信息科技外包资源。 第八条 在实施信息科技外包时应坚持以下原则： （一）以建设核心能力、掌握关键技术为导向； （二）保持外包风险、成本和效益的平衡； （三）强调外包风险的全程管理，保持管控力度； （四）根据外包管理及技术发展趋势，持续改进外包策略和措施。 第九条 在实施信息科技外包时，不得将信息科技管理责任外包。 第十条 在本行范围内缺乏相关资质、技术及管理人员的情况下，由外包使用部门提出申请，经信息科技委员会批准后，方可对外发包。 第十一条 信息科技外包应考虑以下三个方面的因素： （一）外包是否是利用本行没有的设备、生产系统、专业人员及专门技术； （二）外包可以降低成本； （三）外包能够产生比自己运作更多的利益等。 第十二条 本管理办法适用于全行范围内的信息科技外包管理，对于外包项目的立项，按照《x银行项目管理办法》执行。 第三章 职能部门及职责 第十三条 信息科技外包管理涉及的部门包括：外包管理部门、外包使用部门（外包直接应用部门）、外包审批单位以及外包审计部门、外包风险管理部门等。 第十四条 总行信息科技部作为信息科技外包管理部门，其基本职能如下： （一）根据全行信息科技建设规划或外包服务需求，确立外包项目的范围和内容； （二）负责协调和组织外包资源，管理外包资源信息； （三）规范和制定外包合同和外包服务水准的基本要求； （四）协助外包使用部门签定外包服务合同、制定外包服务水准协议和技术指标要求； （五）规范和制定外包监控制度、考核评价机制和持续改进办法、组织验收考核； （六）负责对外包公司进行考核和评审； （七）根据审计部门或风险管理部门对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进。 第十五条 享有信息科技外包服务或外包服务的直接应用部门为外包使用部门，基本职能如下： （一）负责编写提交信息科技服务服务需求； （二）参与制定外包服务合同以及外包服务水准，外包使用部门主要负责业务指标和相关罚则的制定； （三）参与对外包公司和外包人员的考核和评审； （四）负责签定外包服务合同； （五）协助外包管理部门共同管理外包过程。 第十六条 信息科技管理委员会作为外包审批单位，负责外包项目的审批，外包项目的审批、立项流程参照《x银行软件项目管理办法》等办法中有关立项流程的描述。 第十七条 总行风险管理部门为外包风险管理部门，基本职能如下： （一）根据风险控制要求，负责对外包项目的全过程进行全面的风险管理评估和控制。 （二）负责对外包服务提供商进行定期的风险评估。 （三）参与制定外包服务合同以及外包服务水准。 第十八条 总行审计部作为外包审计部门，负责对信息科技外包项目进行审计。 第十九条 总行招标管理委员会负责外包项目的招投标相关工作。 第四章 外包可行性分析 第二十条 外包使用部门应根据业务需求的具体情况，开展外包调研，调研工作包括了解业内外包的大致情况，通过实地考察、用户访谈等多种途径接触外包供应商，收集外包供应商的基本资料。 第二十一条 外包使用部门根据工作实际进行外包可行性分析，全面考虑外包是否符合本行科技发展战略，并对外包存在的潜在风险进行认真分析和评估，在此基础上形成外包可行性分析报告。 第二十二条 可行性分析包括以下内容： （一）通过对业务需求分析，形成项目背景和范围； （二）外包必要性评估； （三）外包风险评估； （四）从技术角度分析、阐述候选外包供应商必须满足的条件； （五）前期接触的外包供应商的情况分析； （六）为使外包活动得到较好地控制并具有一定的灵活性，在合同条款设计上需要如何予以规范和约束，以适应最终市场的需求变化； （七）外包过程中必须使用的人力资源。 第二十三条 可行性分析报告应逐级审核通过，经信息科技管理委员会确认项目立项后，方可进入外包供应商的评估与选择环节，进行外包确认。 第五章 外包服务提供商的评估与选择 第二十四条 外包管理部门应根据外包的实际工作需要和风险控制要求，充分审查、评估外包供应商的财务稳定性和专业资质，对外包供应商进行风险评估，考察其设施和能力是否足以承担相应的责任。 第二十五条 外包服务提供商（外包公司）资质评审由外包管理部门负责统一组织，每年定期评审一次，特殊情况可根据实际需要安排评审。 第二十六条 外包使用部门在考虑外包服务提供商时，应避免构成机构集中度风险。 第二十七条 参加资质评审的外包公司必须满足招标委员会招标文件中要求的资质水准，不符合资质要求的外包公司不准参与外包服务。外包公司必须通过资质评审方能进入后续工作。 第二十八条 外包公司资质要求包括以下内容： 第一类 部分外包模式服务提供商： 1.中华人民共和国境内外注册的独立法人； 2.招标文件没有做要求的境内企业注册资金在200万元以上，境外企业注册资金在50万美元以上；招标文件有要求的必须满足招标文件要求； 3. 能够提供满足本行要求、合格稳定的技术人员及服务。 第二类 整体外包模式服务提供商： 1.中华人民共和国境内外注册的独立法人； 2.招标文件没有做要求的境内企业注册资金在1000万元以上，境外企业注册资金在500万美元以上；招标文件有要求的必须满足招标文件要求。 3.能够提供满足本行要求、合格稳定的技术人员及服务； 4.直接或间接具备标准机房、稳定的系统运行环境； 5.具备成熟的系统运维和管理队伍。 第二十九条 外包公司参与资质评审应提供的基本材料包括： （一）公司营业执照、税务登记证、组织机构代码证、人员相关资质证书等资质证明文件； （二）公司技术能力及技术实力说明文件； （三）公司服务能力、售后服务能力说明文件； （四）公司以前提供的外包服务清单（包括客户和服务内容等）。 （五）公司具有良好履约信誉的证明； （六）公司持续履约及保障所提供技术人员稳定性承诺； （七）公司一般性服务水准承诺； （八）系统整体外包服务提供商应具备信息产业部颁发的计算机系统集成资质或同等资格说明。 第三十条 外包管理部门应组织对外包公司进行年度考核，如存在年度考核不合格的情况，未来两年内不得参与全行信息科技外包服务或者须在外包合同条款加上约束条款，对年度考核不合格的外包公司有权扣除不超过外包合同总价15%的违约金。 第三十一条 应定期针对外包服务提供商的整体表现情况开展复评，并形成合格供应商名册。外包服务提供商应在合格的供应商名册中优先选择。 第三十二条 外包服务提供商的选择主要从以下三个方面考虑: （一）技术能力和专业技能的评估，内容包括： 1.评估服务提供商提供必要服务的能力,以及对当前和未来要求的支持技术; 2.评估服务提供商在提供外包服务时所涉及的合作伙伴; 3.为了避免风险,要识别服务提供商所欠缺的、需要银行提供补充的领域; 4.要考察服务提供商在未来运行环境中提供服务的经验; 5.评估服务提供商对于因业务系统中断而采取的应急措施和响应能力; 6.实地考察服务提供商的用户和其他相关资料,获取服务商的信誉和服务水平等信息;考察服务商关键人员的技术能力。 （二）运行与控制的评估，内容包括： 1.审查服务提供商所提供的标准、政策和程序是否满足外包项目运行和控制的要求,包括:内部控制、技术设施的管理、隐私保护、交易记录保护、系统安全、系统开发与维护、雇员背景的审查。 2.评估是否能够完整而准确地访问由服务提供商运行维护的信息。 3.审查服务商是否提供足够的安全防范措施,包括:防火墙、数据加密、客户身份鉴别、银行资源的保护、以及检测和应对系统入侵等。 （三）外包服务提供商财务状况的评估，内容包括： 1.分析服务提供商已审计的财务报告、年度报告和其他因素;考察他们从事外包业务的时间、市场份额、以及波动因素; 2.考虑外包合同对外包服务提供商财务状况的重要性影响如何; 3.评估外包服务提供商的费用支出,确定他们在技术方面的投资水平是否能够支持银行的外包项目。 第三十三条 凡属于公开采购范围内的采购项目，应按照采购管理相关办法和流程进行操作处理： （一） 向候选外包供应商发出招(邀)标书； （二） 审核外包供应商的投标书，组织行内及各供应商进行唱标，以综合评分的形式对招标供应商进行评审； （三） 对每个供应商的综合评分进行汇总，形成外包供应商评审报告，经审定后，进入商务谈判环节。 第三十四条 外包公司需要严格保证外包过程中涉及全行的数据安全、保密、知识产权等，控制人员变更、转包等风险，如果因外包公司或其相关人员原因造成的损失将由外包公司承担赔偿责任。 第六章 外包商务谈判 第三十五条 在谈判过程中，应考虑的因素包括但不限于： （一）外包范围和所要达到的要求； （二）外包价格及付款方式； （三）担保和损失赔偿是否充足； （四） 银行业监管机构、内部审计和外部审计能执行足够的监督； （五）通过界定信息所有权、签署保密协议和采取技术防护措施保护科技信息和其他信息； （六）外包供应商遵守银行有关IT风险制度和流程的意愿及相关措施； （七）外包供应商提供的业务连续性保障水平，以及提供相关专属资源的承诺； （八） 第三方供应商出现问题时，保证软件持续可用的相关措施； （九）变更外包合同/协议的流程，以及双方选择变更或终止外包合同/协议的条件。 第七章 外包合同审核与签署 第三十六条 发生信息科技外包时，应与外包服务提供商签订书面合同/协议，明确双方的权利和义务，并规定外包服务提供商在安全、保密、知识产权方面的义务和责任。 第三十七条 外包合同应使用我行提供的合同签署范本，合同具体条款设置可根据实际情况，及时更新，灵活把握。 第三十八条 应及时将新的监管要求增加至合同条款中，并予以明确。若监管要求与原合同条款存在冲突，应以监管要求为准。 第三十九条 针对外包具体情况，就服务阶段报告、不间断服务保障方式及应急措施等事宜明确定性和定量指标，确保提供服务的充分性。 第四十条 变更的合同/协议条款应以《补充协议》的形式予以规范约束。 第八章 外包服务过程管理 第四十一条 外包供应商根据服务情况提交服务阶段报告，确保及时了解和把握外包供应商的服务情况。 第四十二条 应依据合同要求，按照外包服务实施的不同阶段进行支付，并提供该付款阶段外包评估情况报告及相关付款说明作为支付依据。 第四十三条 与外包供应商签署《x银行商业秘密保密协议》，并要求外包供应商采取措施，确保银行客户资料与外包供应商其他客户资料的有效隔离。 第四十四条 外包供应商如需使用银行信息，需对其提出相应的信息保护要求，保护要求应与信息在银行内的保护要求相同。 第四十五条 外包供应商不得进行对外转包，采取足够措施确保银行相关信息的安全，在中止外包合同/协议时，应收回或销毁外包供应商保存的银行所有客户资料。 第四十六条 外包供应商需在一段时期内驻场实施，必须对外包常驻人员进行管理，并签署保密承诺书，并做好外包供应商常驻人员在物理访问、逻辑访问及制度遵守等方面的控制工作。 第四十七条 要求外包供应商保证其相关人员遵守保密规定，按照“必需知道”和“最小授权”原则，对外包供应商相关人员进行授权。 第四十八条 外包文档应落实专人进行审查并集中归档，确保外包文档的完备性。归档文件应包括但不仅限于：1)业务需求书；2)外包可行性分析报告；3)外包供应商评审报告；4)外包合同；5)保密协议；6)补充协议；7)服务阶段报告；8)外包验收报告；9)相关实施文档，如项目计划、需求分析规格书、系统功能说明、概要设计、详细设计、数据库设计、测试报告、操作手册、源代码说明清单等。 第九章 外包人员使用管理 第四十九条 应明确双方首席联系人（或项目经理），与外包供应商建立有效的联络、沟通和信息交流机制，确保在意外情况下能够实现外包供应商的顺利变更，保证外包服务不间断。 第五十条 外包人员的管理方式以管理外包公司项目经理为主，也可以根据实际需要直接管理和调配外包人员。 第五十一条 外包人员在本行服务期间，应严格遵守本行的作息考勤制度以及其他工作规范，并按要求签署保密协议书，对其使用的机器安装防病毒软件、系统补丁，对于非全时工作的外包人员，应严格遵照外包合同有关履约时间的约定。 第五十二条 信息科技部负责对外包人员使用环境和权限配置管理，对使用环境中的系统权限、文件读写权限必须严格控制，以满足工作需要为前提，遵循权限最小化原则，不得授予与工作无关的权限。 第五十三条 对于向外包人员提供内部资料必须严格审核，严禁未经授权提供，对于提供的项目资料需要严格登记《项目资料提供登记表》进行备案。 第五十四条 信息科技部可根据实际工作需要为外包方项目经理（或项目负责人）提供登陆互联网账号，仅供其工作使用。 第五十五条 项目组如发现外包人员违反有关规定和规章制度，须立即制止并纠正，通知外包管理部门，多次违反情节严重的，有权停止其在本行的一切活动，并通知外包管理部门纳入对外包公司考核过程。 第五十六条 项目组对其使用的外包人员的工作饱满度负责，应及时制订和适时调整外包人员工作计划，经常检查、督促外包人员工作。 第五十七条 对由于工作调整无须再使用的外包人员，项目组应及时通知外包管理部门进行外部资源使用更新，并确认占用本行的资源已全部退还。 第十章 外包交付物验收 第五十八条 外包人员应按时交付服务工作成果，项目组应及时组织人员进行验收，具体验收办法依据项目外包初期制定的项目验收方案。 第五十九条 开发类外包人员的交付物必须在独立的测试环境下经过测试，验收合格后才可以投产试用。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。 第六十条 对于外包交付物验收不合格的，应要求外包公司重新提供产品，并重新组织验收，直到验收通过，并纳入外包公司考核评价过程。 第六十一条 由于外包公司原因导致未按计划完成或完成项目质量不高，并造成一定影响的，作为不良合作记录登记，对未完成服务由外包公司继续完成，并不再追加任何费用。 第十一章 外包交付物管理 第六十二条 对于外包人员提交的源代码，须经信息科技部审核编译。所产生的执行程序，须经信息科技部安全中心和质量控制中心相关人员测试通过后，按规定流程投入生产系统。 第六十三条 对于外包开发人员提交的关键代码（涉及核心记账、业务系统核心处理流程或有关安全加密、认证的代码），项目组我方人员必须对源代码进行重点抽查，并记录抽查结果，存档保留。 第六十四条 对于外包测试人员提交的测试方案和测试案例，项目组必须组织人员进行复核确认；外包测试人员编写的测试脚本和测试用程序必须满足本行项目测试性能要求。 第六十五条 外包咨询人员应及时对本行咨询要求做出响应，按时帮助解决问题，或提供符合要求的咨询建议或报告。 第六十六条 外包维护人员必须及时响应业务需求，并按本行统一形象要求和服务方式要求对外提供服务。 第十二章 外包人员及外包公司考核 第六十七条 项目组应每季度或根据实际需要确定周期，对在用的外包人员和外包公司的研发或其他专业能力、项目计划与进度的偏差、产品缺陷率和服务水平等进行整体考核，并及时将考核结果反馈至信息科技部和高管层。 第六十八条 外包人员的考核应着重于服务响应时间、服务质量、服务内容等，外包技术人员考核实行百分制，基本参考考核指标及标准得分如下： （一）出勤率（标准值100％，标准得分10分） 出勤率＝考核期内实际出勤次数÷考核期内应出勤次数×100％ 出勤率为100％得满分10分；90%≤出勤率<100％，得5分，出勤率<90％，得0分。 （二）工作业绩（标准得分90分） 1.技术开发类外包人员： 1、服务文档完整及规范性（2０分） 反映服务文档的完整性和代码编写符合本行技术规范的程度。 2、分配任务完成及时性（２０分） 反映是否能及时完成分配的工作任务。 3、交付成果集成测试缺陷率（3０分） 对每千行低于2个的，得满分；超过2个的，每2个扣5分，最低为0分。 4、工作任务饱满度（2０分） 反映完成的工作量和工作效率情况。 2.系统测试类外包人员： 1、测试管理平台及测试环境使用规范程度（10分） 反映测试人员熟悉测试工具使用的程度，测试经验和分析测试目标软件的功能特点、测试要求的能力。 2、测试文档适应性（20分） 反映测试人员提交的测试计划、测试结果、及各种分析报告符合要求的程度。 3、测试任务完成及时性（25分） 反映是否能及时完成分配的测试工作任务。 4、测试质量（35分） 反映是否制订切实可行的测试计划，是否有效协助使用部门制订或改进测试工作流程，是否对测试用例执行结果和缺陷生命周期进行分析和管理，缺陷发现是否及时等。 3.咨询服务类外包人员 1、服务响应时间：（15分） 服务响应时间均符合合同要求的，得15分，否则按次扣5分，扣完为止。 2、服务完成时间：（25分） 根据预计解决问题的时间和实际完成时间比例确定得分。 3、工作质量：（35分） 由使用部门根据服务情况及解决问题是否彻底，定性评分。 4、工作态度：（15分） 由使用部门根据总体服务情况，定性评分。 4.维护服务类外包人员 1、服务响应时间：（20分） 服务响应时间均符合合同要求的，得20分，否则按次扣5分，扣完为止。 2、服务完成时间：（20分） 根据预计解决问题的时间和实际完成时间比例确定得分。 3、工作质量：（30分） 由使用部门根据服务情况及解决问题是否彻底，定性评分。 4、客户满意度(20分) 根据服务对象表扬或投及其他反馈情况定性评分。 工作业绩得分=各类服务外包人员（1）至（4）项得分之和。 第六十九条 对外包公司的考核包括以下内容： 第一类 部分外包服务提供商 外包人员类技术公司考核得分=(∑同一外包技术公司人员考核得分/在用该公司外包技术人员数量)×70％＋外包公司提供人员变动率得分（满分10分）+公司整体水平（满分20分） 人员变动率＝考核期内人员变动次数÷合同约定人数×100％ 人员变动率考核方法：如考核季（年）人员变动率≤约定许可变动率，得满分10分；人员变动率＞约定许可变动率得0分。 公司整体水平：衡量标准1、公司交付物的质量（5分）、2、公司整体管理水平（5分），3、公司服务水平（5分） 第二类 整体外包服务提供商 根据外包服务水准的达成率考核整体外包服务提供商的服务情况。 第六十八条 外包人员及外包公司考核结果分为优（90－100分）、良（80－90分）、中（60－80分）和差（0－60分）四档。 第七十条 外包人员考核结果应用: （一）年度考核结果为良（含）以上的外包人员，来年将优先考虑继续使用； （二）季度考核结果为差的外包人员，将要求外包公司更换人员。 第七十一条 外包技术公司考核结果应用： （一）年度考核结果为良（含）以上的公司，可免于来年公司的资质评审； （二）年度考核结果为中的公司，可以继续参加来年公司资质评审； （三）年度考核结果为差的公司，未来2年时间内无资格参与本行组织的公司资质评审，并有权收取一定比例的违约金； 第七十二条 总行信息科技部负责统一向各外包公司反馈考核结果。 第十三章 外包合同及外包服务水准制定要求 第七十三条 外包合同必须按照法律事务所提供的法律依据和要求进行修订。 第七十四条 为保证外包人员持续在本行工作，降低人员流动增加的管理及培训成本，应在外包合同中明确许可的人员流动或变更比例。 第七十五条 系统整体外包合同需制定系统灾备和应急流程。 第七十六条 外包合同需包含服务水准要求，明确开发、维护、使用的计费方法，明确知识产权、数据安全、保密等相关内容。 第七十七条 外包服务水准制定的基本原则：量化指标，每项指标对应明确的罚则和处理办法。 第七十八条 为量化服务水准指标，须对外包过程中的问题进行分类描述。 外包问题分类标准如下： （一）一级问题：指的是关键性问题，一级问题的出现，将严重影响全行业务运作，可能或已经造成业务重大损失。 （二）二级问题：表明所报告的是重大但非关键性的问题。此类问题意味着系统能够运行但是某些功能不能正常工作。此类问题仅影响少数几个用户或者降低系统性能。 （三）三级问题：表明所报告的是次要问题。此类问题发生时外包系统能够正常运行，问题产生的影响是有限的且不对整体运行产生关键性的影响。 （四）四级问题：表明所报告的是一般性问题。此类问题发生时外包系统正常运行，对全行业务几乎无影响或根本不影响，主要是咨询和服务类的问题。 第七十九条 对于系统整体外包周期超过1年的，需要每半年（或根据合同要求）召开一次会议，调整服务标准，以保证各项指标的合理性。 第八十条 外包服务水准需要包含以下基本要素：服务内容、服务质量要求、服务问题等级分类、问题响应时间规定、问题解决时间规定、罚则以及服务水准调整规定。 第八十一条 外包公司应协助本行与第三方之间进行相关测试、审计或类似工作，对于由此可能造成的知识产权问题通过签订三方协议方式协商解决。 第十四章 外包风险管理 第八十二条 外包管理部门应针对每个项目制定信息科技外包应急方案。发生紧急情况后，应及时补充外包技术服务资源或替代方案，降低因紧急事件出现后对系统运行、开发、测试及咨询、维护服务等工作的不利影响。 第八十三条 外包服务使用部门应定期评估成本风险，防止由于成本原因造成对外包过程的不利影响。 第八十四条 外包管理部门应严格控制外包过程中的数据安全、保密、知识产权、人员变更、转包等因素相关的风险。 第十五章 持续改进 第八十五条 外包管理部门要对考核指标和服务水准体系进行全面评估，定期提出修订意见，对相应的考核指标和服务水准进行调整。 第八十六条 外包管理部门应根据外包目标的达成率和发展趋势以及评估报告制定外包管理改进计划。 第八十七条 根据改进计划，对外包实施过程进行持续改进和调整优化。 第十六章 附 则 第八十八条 本办法由信息科技部负责制定、修改和解释。 第八十九条 本管理办法自发布之日起施行。  附件：1、《外包公司及外包人员考核情况反馈表》 2、《项目资料提供登记表》 外包公司及外包人员考核情况反馈表 　　 项目编号：   项目名称   外包服务使用部门名称   外包公司名称   本行联系人   联系电话   外包公司联系人   联系电话   外包人员考核结果： 序号 姓名 考核结果 备注                                                                         外包公司考核结果：       　　　　　　　　　　　　　　　　 年 月 日 项目资料提供登记表 　　 编号：   项目名称   外包公司名称   行内文档资提供人   联系电话   公司文档资接收人   联系电话   文档提供原因：   文档清单： 序号 文档名称 介质 是否归还                                                 业务主管部门意见：     年 月 日 科技信息中心意见：     年 月 日 文档提供记录：   提供人签名： 接收人签名： 年 月 日 文档归还记录：   归还人签名： 接收人签名： 年 月 日