银行总行信息技术部信息科技外包管理实施细则模版.docx

1、*银行总行信息技术部信息科技外包管理实施细则第一章 总则第一条 为加强*银行(以下简称“我行”）信息科技外包管理，规范总行信息技术部各类信息科技外包活动以及明确各外包活动职责与分工,降低信息科技外包引发的风险,依据有关银监会银行业银行等金融机构信息科技外包风险监管指引(银监发5号）等监管要求,以及*银行信息科技外包管理指引，拟定本细则。第二条 信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给信息科技外包供应商（以下简称“供应商”)进行处理的行为,包含项目外包、人力外包等形式,包括开发(子领域包括：软件开发、硬件开发、测试)、运维（子领域包括:基础设备运维、桌面运维、应用运维、服务台

2、)、咨询、人力外包等类型（有关类型定义请见*银行信息科技外包管理指引)。第二章 组织分工与职责 第三条 “I外包管理改进组”(简称M)为组织级IT外包改进管理组织，是一个总行信息技术部内跨条线、跨领域的虚拟组织,作为常设的“IT外包立法监督”机构，承担“IT外包管理体系”的建设、维护和监督工作。第四条 OM成员包括外包管理室、运行调度室、安全管理室、设备室、桌面运维管理组、安全内控室等T外包管理有关室组，由（待定)牵头组织沟通协调OMG的日常工作。MIG的主要职责包括:（一） 统筹管理总行信息技术部的I外包管理工作；（二） 建立IT外包管理体系，拟定IT外包管理有关策略;（三） 维护和延续改进

3、IT外包管理体系;（四） 监督IT外包管理体系的落地。第五条 总行信息技术部IT外包管理执行团队及职责主要包括:（一） 外包管理室以及运行调度室:作为外包过程管理部门,主要职责包括供应商日常管理，包括供应商技术准入、评估、关系以及退出管理等；（二） 设备室:作为外包采购管理主管部门，主要职责包括供应商采购管理以及商务准入管理；（三） 安全管理室以及桌面运维管理组：为外包安全管理主管部门,其中安全管理室主要职责包括实现外包安全要求,桌面运维管理组主要职责包括执行与检查外包管理要求。第六条 总行信息技术部外包风险管理主管部门为安全内控室,主要负责对外包风险进行牵头管理，并支持与协助配合总行操作风险

4、管理部的工作。第七条 总行信息技术部IT外包管理协助配合团队及职责主要包括:（一） 项目实施部门: 使用外包商进行信息化建设或服务的部门为项目实施部门,负责对供应商日常行为进行监控,并向外包主管部门上报外包商违规行为，并协助配合外包主管部门执行外包管理所有日常工作,如评估管理、关系管理、资源管理等；（二） 需求部门:提出信息化建设或服务需求的部门为需求部门,主要负责协助配合外包主管部门执行外包管理所有日常工作,如评估管理、准入管理等。第三章 外包策略管理第八条 MIG为外包策略的牵头管理组织，负责建立并维护我行IT外包管理基本策略。第四章外包风险管理第九条 安全内控室为外包风险管理牵头部门,主

5、要职责包括：（一） 拟定T外包风险管理策略;（二） 拟定并审议IT外包管理流程及制度;（三） 牵头对外包风险进行识别、评估与风险提示;（四） 监督、评估外包管理工作，并督促外包风险管理的处置与延续改善;（五） 向高级管理层定时报告I外包服务开展有关风险管理情形。第十条 外包管理室、运行调度室、系统支持室、安全管理室、项目实施团队等为外包风险管理协助配合部门,负责协助配合外包风险管理牵头部门进行外包风险管理工作。主要职责包括:（一） 执行IT外包风险管理策略;（二） 执行外包风险的识别、评估与处置工作,监督与推进外包服务执行的合规性；（三） 对外包服务的风险管理进行分析，定时向外包风险管理方报告

6、外包服务情形。第五章 供应商管理第一节 供应商准入管理第十一条 总行信息技术部设备室为本行外包商准入管理牵头部门，主要职责包括:(一) 建立并定时完善外包商准入与退出管理机制；(二) 组织并实施外包商的商务准入资格资质审核;(三) 实施重要外包商的尽职调查;第十二条 信息技术部外包管理室与运行调度室为本行外包商准入管理执行部门，负责执行外包商关系管理工作，主要职责包括:（一） 组织并实施外包商的技术准入资格资质审核;（二） 组织重要外包商的尽职调查;（三） 组织并实施外包商的退出管理。第十三条 项目实施部门主要负责和参加以下外包商管理工作：(一) 沟通协调有关外包商参加准入评估工作;(二) 对

7、外包商协议的执行情形进行监督；(三) 对外包商实施退出管理；(四) 对外包商的风险事件及违规事件进行报告及跟踪处理；(五) 负责监督外包商执行整改计划。项目实施部门在外包商管理的详细工作由项目经理执行。第十四条 详尽职责分工和工作流程请参见IT外包商准入管理有关实施细则。第二节 供应商评估管理第十五条 设备室为IT外包商评估管理牵头部门,负责组织外包商评估工作,并保证评估的顺利实施,主要职责包括：（一） 建立并维护外包商评估体系;（二） 牵头发起评估工作；（三） 沟通协调各有关部门协助配合、参加评估；（四） 组织贯彻相应奖惩措施。第十六条 信息技术部外包管理室与运行调度室为本行外包商评估执行部

8、门,负责执行外包商评估工作，并保证评估的顺利实施，主要职责包括:（一） 收集评估所需要的有关信息；（二） 在评估过程中,履行相应考核评分工作;（三） 向本行外包商评估管理牵头部门报告评估结果；（四） 协助本行外包商评估管理牵头部门贯彻相应奖惩措施。第十七条 供应商使用部门主要职责包括：(一) 在日常的项目（任务)进行过程中监督并上报外包商有关风险合规情形。(二) 在评估过程中，选择项目相应答题人，并履行有关考核评分工作。第十八条 综合管理部门、业务需求管理部门、用户的职责为：在年度评估过程中，履行有关考核评分工作。第十九条 详尽职责分工和工作流程请参见IT外包商评估管理有关实施细则。第三节 供

9、应商关系管理第二十条 设备室为T外包商关系管理牵头部门，负责组织外包商关系管理工作,主要职责包括：（一） 建立并维护我行外包商关系管理策略，并针对每一种关系类型拟定相应的管理措施；（二） 监督外包商关系管理措施及外包商分级差异化管控措施的贯彻；（三） 沟通协调各有关部门协助配合、参加外包商关系管理；第二十一条 信息技术部外包管理室与运行调度室为本行外包商关系管理执行部门,负责执行外包商关系管理工作，主要职责包括：（一） 在外包商关系管牵头理部门组织下,定时更新和维护外包商关系；（二） 定时发布外包商关系划分及分级结果;（三） 贯彻所有关系管理措施。第二十二条 “供应商使用部门”指使用外包商资源

10、进行信息科技建设的部门，主要职责包括：（一） 在外包商日常的项目(任务）进行过程中监督并上报外包商有关风险合规情形；（二） 提供外包商关系管理评估建议及评估数据。第二十三条 详尽职责分工和工作流程请参见IT外包商关系管理有关实施细则。第六章 项目管理第二十四条 IT外包项目管理遵守总行信息技术部项目管理有关流程执行。第二十五条 总行信息技术部外包管理室与运行调度室为本行外包项目决策管理执行部门，负责组织并执行外包决策,主要职责包括受理外包需求、对外包进行可行性评估和外包风险提示。第七章 外包安全管理第二十六条 总行信息技术部安全管理室为本行外包商安全管理部门，负责组织外包商信息安全管理工作，并

11、保证安全的顺利实施,主要职责包括:（一） 负责拟定T外包安全管理方案,并组织实施；（二） 负责建立IT外包安全事件应急处理机制，包括管理组织、报告路线、处置方案等;（三） 负责组织调查并处理IT外包重大安全事故,提出整改或补救措施，并监督执行;（四） 及时研究、分析IT外包安全事件,提出预防措施;（五） 沟通协调信息安全组织内部，以及和其他部门的工作。第二十七条 总行信息技术部运行调度室、外包管理室为本行外包商安全管理协助部门,主要职责包括：（一） 提出IT外包安全管理要求,并验证实施方案是否满足要求；（二） 协助配合T外包安全事件的调查,并协助进行处理;（三） 组织开展提升IT外包商安全意识

12、的有关措施。第二十八条 总行信息技术部安全内控室为本行外包商安全监督部门，主要职责包括：（一） 拟定内部检查计划，定时对外包商进行信息安全检查，输出评估报告和整改建议;（二） 负责协助配合外包商安全内外部审计工作。第二十九条 如下各室组为IT外包安全管理执行部门，负责对本规定有关条款的贯彻和执行,识别外包商信息安全风险,实施对外包人员信息安全风险的管控：（一） 总行信息技术部综合管理室应负责外包商的场地管理、以及物理安全管理；（二） 总行信息技术部安全管理室与网络管理室应负责外包商的网络安全管理;（三） 桌面运维管理组：执行并检查外包安全管理要求;（四） 外包商使用部门: 负责执行提升外包商安

13、全意识的有关措施； 负责执行外包商日常安全管理工作; 协助配合执行外包安全事件应急处理； 协助配合外包安全检查和审计工作。第三十条 详尽职责分工和工作流程请参见IT外包安全管理有关指引。第八章 人员管理第三十一条 信息技术部外包管理室为IT人力外包人员管理牵头部门,负责组织外包人员管理工作。第三十二条 详尽职责分工和工作流程请参见*银行人力外包运营过程资料文件。第九章 外包应急管理第三十三条 总行信息技术部外包管理室为开发领域I外包服务中断应急管理牵头部门,主要职责包括：(一) 制订开发领域外包服务中断组织级应急响应预案;(二) 制订开发领域IT外包服务中断组织级年度演练计划,组织开展应急演练

14、；(三) 检查开发领域I外包突发事件应急演练及应急处置结果。第三十四条 总行信息技术部运行调度室为运行领域IT外包服务中断应急管理牵头部门,主要职责包括：(一) 制订运行领域I外包服务中断组织级年度演练计划,组织开展应急演练；(二) 检查运行领域T外包突发事件应急演练及应急处置结果。第三十五条 总行信息技术部BCP条线为运行中心IT外包服务中断应急管理牵头部门，主要职责为制订运行中心外包服务中断组织级应急响应预案。第三十六条 项目实施部门的主要外包应急职责包括：(一) 制订外包服务中断项目级应急响应预案;(二) 制订IT外包服务中断项目级应急演练计划，进行演练并对结果进行总结;(三) 在I外包服务日常管理中实施外包服务中断风险监控、缓释或转移措施；(四) 发生IT外包突发事件时组织实施对事件的应急处置并对结果进行总结;第三十七条 详尽职责分工和工作流程请参见T外包服务中断应急管理有关指引。第十章 附则第三十八条 本细则由*银行总行信息技术部负责说明。