银行信息科技外包管理指引模版.docx

1、*银行信息科技外包管理指引第一章 总则第一条 为加强*银行(以下简称“我行”）信息科技外包管理，规范各类信息科技外包活动,降低信息科技外包引发的风险,依据有关银监会银行业银行等金融机构信息科技外包风险监管指引(银监发5号)等监管要求，拟定本指引。第二条 信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给信息科技外包供应商(以下简称“供应商”）进行处理的行为，包含项目外包、人力外包等形式，包括以下类型(有关类型定义请见附件一：IT外包服务领域分类):（一） 研发类外包、系统运行维护类外包、咨询类外包;（二） 业务外包中的信息科技活动:*场开拓、业务操作、企业管理、资产处置等外包中的系统

2、开发、运行维护和数据处理活动。第三条 为了满足我行发展战略，提升信息科技服务能力和弹性,我行的信息科技活动可在“风险可控”的前提下“适度外包”。第四条 我行在实施信息科技外包时,应当坚持以下基本原则：（一） 以不妨碍核心能力建设、积极掌握关键技术为导向；（二） 保持外包风险、成本和效益的平衡；（三） 强调外包风险的事前监控，保持管控力度;（四） 依据有关外包管理及技术发展趋势，延续改进外包策略和措施。第五条 对于不涉及客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设备服务,应当充份评估其信息科技风险，参照本指引“第五章第八节 特殊供应商管理”的

3、要求进行管理。第六条 应将信息科技外包管理纳入我行全面风险管理体系,建立与我行信息科技战略目标相适应的信息科技外包管理体系，监控或降低由于外包而引发的风险。第七条 本指引所称重要外包服务(项目)为：（一） 信息科技工作整体外包;（二） 数据中心或灾备中心整体外包;（三） 涉及将我行客户资料文件资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包;（四） 以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;（五） 关联外包；（六） 涉及跨境的信息科技外包;（七） 项目金额在1000万以上的信息科技外包服务;（八） 其他银监会认为重要的信息科技外包。第八条 本指引办法所称重要供应

4、商为：（一） 承担集中存贮我行客户数据的业务交易系统外包服务；或承担我行客户资料文件资料、交易数据等敏感信息的批量分析或处理服务；或承担我行数据中心、灾备中心机房及基础设备外包服务；且上述服务均为非驻场外包服务；（二） 我行认为的其他重要信息科技外包商。第九条 本指引适用于我行信息科技外包服务活动,使用信息科技外包资源的总行各部门应依据有关本指引办法要求开展信息科技外包管理工作，并可依据有关本指引办法所有要求,制订相应实施细则或工作流程;我行分支机构参照本指引所有要求贯彻信息科技外包管理工作。第二章 组织分工与职责第十条 我行董事会及高级管理层的信息科技外包管理职责主要包括：（一） 审议信息科

5、技外包战略规划;（二） 审议信息科技外包有关制度及流程;（三） 审批重大信息科技外包事项;（四） 督促并监控信息科技外包风险管理效果。第十一条 总行操作风险管理部是信息科技外包风险主管部门，其职责主要包括:（一） 对信息科技外包风险进行识别、评估与风险提示;（二） 监督、评估信息科技外包管理工作,并督促外包风险管理的延续改善;（三） 向高级管理层定时报告信息科技外包活动有关风险管理情形;（四） 参加外包项目实施情形的跟踪检查和后评估；（五） 董事会或高级管理层确定的其他信息科技外包风险管理职责。第十二条 总行信息技术部、分行信息技术部以及业务部门中科技管理团队为I外包管理的执行部门，其职责主要

6、包括：（一） 起草并实施信息科技外包战略；（二） 拟定并贯彻信息科技外包管理有关办法、操作流程；（三） 拟定并贯彻信息科技外包项目的向上申报、审批制度和流程。（四） 拟定并贯彻供应商准入、评估、退出管理，建立并维护供应商关系管理策略;（五） 拟定保障外包服务延续性的应急管理方案,组织实施定时演练;（六） 监控外包活动,定时向信息科技外包风险管理主管部门报告外包活动情形。第十三条 总行审计部负责将外包管理纳入内部审计内容，定时对T外包活动进行全面审计与评估,监督各部门切实履行IT外包管理职责。第十四条 其他有关部门和机构的IT外包管理职责主要包括：（一） 总行战略发展部：负责起草我行外包战略发展

7、规划,提交董事会和高级管理层；（二） 总行人力资源部：负责审核和评价各类外包项目的人员效益;（三） 总行计划财务部:负责审核和评价各类外包项目的财务效益；（四） 总行法律与合规部:负责协助拟定我行外包协议范本;审查我行与服务提供商签订的法律协议，协助处理有关法律纠纷;（五） 总行采购管理部:负责对超过规定金额的外包项目实施集中采购;（六） 总行监察保卫部：负责驻场外包工作地点的安全防护设备建设和环境安全监督检查;审核和评估各类驻场外包项目的环境安全性;（七） 境内外分行及分支机构：负责依据有关总行拟定的关于规定，拟定本机构的外包管理实施细则。第三章 信息科技外包策略 第十五条 为了指导日常信息

8、科技外包活动,我行详细的信息科技外包策略为：（一） 信息科技管理责任以及涉及我行战略管理、风险管理、内部审计及其他关于信息科技核心竞争力的职能不外包。（二） 信息科技外包管理需与我行的信息科技战略相一致，平衡风险、成本、效益和质量，并考虑当前外包场环境、自身风险监控能力和风险偏好，不因外包降低对我行客户的服务质量和效率。（三） 严格依照以下外包策略选择信息科技外包区域，保障我行核心领域信息安全: 核心业务产品、影响我行核心竞争力的产品、需要快速响应业务的产品,原则上不外包，由我行主导研发和运维; 外部监管规定、我行信息安全管理制度不允许外包的领域,由我行自主研发和运维; 非核心业务、*场具备专

9、业性和成熟解决方案的业务领域,我行没有技术储备或我行不具备专业性的领域，在风险、成本、质量可控的条件下可考虑外包； 在自主研发资源不足的情形下,中低端或风险可控的信息科技工作可考虑人力资源外包。（四） 规划低风险的外包布局，采用低风险的外包模式，选择低风险的供应商。 优先采用驻场人力外包，尽量避免非驻场人力外包的使用； 建立与自身规模、场地位相适应的供应商关系管理策略，通过准入和退出机制监控各类高风险供应商的数量，防范行业垄断和机构集中度风险,通过引入适当的竞争降低采购成本、提升服务质量，同时形成备份，合理控制供应商的数量； 原则上不使用跨境外包； 在使用关联外包时不应因关联关系降低外包管理要

10、求; 对于外包供应商为同业托管机构的情形，T外包执行部门可参照本指引办法要求对其进行管理。第十六条 I外包管理执行部门应依据有关信息科技外包策略进行IT职能外包适宜度分析,确定不适宜外包的IT职能。第十七条 在信息科技建设过程中如出现对不适宜外包I职能进行外包，T外包管理部门应基于如下原则组织建立能力回收方案： 目标:从长远看,须由我行自身掌握职能活动的核心能力; 考虑自身能力建设:在现阶段,我行应考虑自身科技人员的技术能力，结合不同项目的详细要求,采用循序渐进的方法,在一定时期内引入外部资源，加强风险监控，建立核心能力回收计划,学习并且积累执行该项职能活动的能力，最终达到完全自行建设。 考虑

11、行员数量补充:对于我行已掌握职能活动的核心能力，但因当前内部人员数量不足而无法完全自行建设的情形,需拟定人员补充计划，逐渐补充相应行员的数量。第四章 信息科技外包风险管理 第十八条 信息科技外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理。应贯穿于信息科技日常管理工作中，长期管控外包风险。第十九条 总行操作风险管理部每年应当至少组织开展一次全面的信息科技外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。第二十条 IT外包管理执行部门应依照总行操作风险管理部要求开展信息科技外包风险管理自评估，评估内容包括：信息科技外包战略执行情形、外包信息安全

12、、机构集中度、服务连续性、服务质量、政策及*场变化对外包服务的影响分析等。第二十一条 总行审计部应当定时开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应及时开展专项审计。第二十二条 IT外包管理执行部门应对不同级别的供应商采取差异化的管理措施，在有效管控重要风险的前提下降低管理成本。重要供应商管控措施包括（但不限于）：（一）对重要供应商,在与其签订协议前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。（二)对重要供应商进行定时的风险评估，保持评估的独立性。至少在三年内覆盖所有重要供应商。评估内容包括：供应商合规情形、服务的执行效果等,

13、评估结果应当作为供应商准入及退出的重要依据。第二十三条 延续风险管控：（一） 项目过程中IT外包管理执行部门应对信息科技外包进行风险评估,通过项目跟踪和适当的技术手段进行风险监控。（二） 项目过程中外包管理执行部门应对供应商的财务、内控及安全管理进行延续监控。第五章 IT外包供应商管理第一节 供应商关系管理第二十四条 IT外包管理执行部门应建立与自身规模、*场地位相适应的供应商关系管理策略。通过准入和退出机制合理管控各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提升服务质量,合理管控服务提供商的数量从而降低风险及管理成本等。第二十

14、五条 IT外包管理执行部门应依照外包服务性质和重要性程度对服务提供商进行分级管理，对不同级别的服务提供商采取差异化的管控措施,在有效管理重要风险的前提下降低管理成本。第二节 供应商准入管理 第二十六条 I外包管理执行部门在选择合作商前,应对供应商开展准入信息收集。收集的信息包括（但不限于）内部监控与管理能力信息、延续经营能力信息和技术与服务能力信息,识别供应商的服务连续性风险。第三节 尽职调查第二十七条 IT外包管理执行部门对重要供应商,签订协议前应开展尽职调查并形成重要供应商尽职调查报告，必要时可聘请第三方机构协助。尽职调查时:（一） 应当关注供应商的技术和行业经验,包括（但不限于):服务能

15、力和支持技术、服务经验、服务人员技能、*场评估、监管评估等；（二） 内部监控机制和管理流程的完善程度、突发事件应对能力、内部监控技术和工具等;（三） 供应商的延续经营状况，包括从业时间、场地位及发展趋势、资金的安全性、近期盈利情形等;（四） 技术实力和服务质量;（五） 对其他银行银行等金融机构提供服务的情形;（六） 经营声誉和企业文化；（七） 选择跨境服务供应商时,还应调查确认其所在国家或地区监管当局是否已与我国银行业监管机构签订谅解备忘录或各方认可的其他商定；（八） 服务供应商之间的关联关系(涉及多个供应商时)；（九） I外包管理执行部门认定为重要的其他事项。第四节 供应商选择第二十八条 T

16、外包管理执行部门对于非公开招标的项目应提供选择其招标方式的原因及风险监控，并取得相应管理层的审批；针对单一来源采购形式，应将优质的供应商关系类型(如战略合作关系等）作为评估单一来源的考虑因素,而对评估结果较差或存在高集中度风险的供应商应审慎考虑其单一来源采购资格/资质。第二十九条 IT外包管理执行部门应采用如邀标或对公开招标对象进行初选,具备投标资格/资质的潜在供应商应至少满足准入要求,确定项目备选供应商时应考虑供应商关系类型,如应将战略合作关系供应商纳入备选范围，以及对于单一来源项目，在同等条件下应优先考虑将应急备选供应商纳入备选范围等。第五节 供应商评估第三十条 IT外包管理执行部门应拟定

17、对供应商评估管理体系，定时对供应商的专业资质、工作质量、管理能力和服务水平进行总体评估并保留评估记录。第三十一条 评估结果应当作为供应商再次准入的资质评估、调整供应布局以及供应商关系划分的重要参考依据。第六节供应商退出管理 第三十二条 I外包管理执行部门应建立供应商退出机制，主动终止与不适用的供应商的T外包合作关系,将其列入黑名单，不再与其开展新的IT外包合作。对于现有IT外包项目,应启动项目应急预案，并寻求尽速替代。第三十三条 存在以下情形之一的供应商，应主动退出与其I外包合作:（一） 严重违反国家法律、法规的;（二） 严重违约、擅自变更或者终止已生效协议的;（三） 泄露我行商业秘密、技术秘

18、密等非公开信息的;（四） 侵犯我行知识所有权的;（五） 故意提供虚假资质材料、隐瞒真实情形的;（六） 信誉和财务发生严重危机的;（七） 提供的产品质量和服务出现重大问题,并造成不良后果的; （八） 中标后无正当理由拒绝签订协议的；（九） 供应商经营条件发生变化，无法继续提供符合标准的服务;（十） 对服务质量进行检查,连续3次未能达到服务标准；（十一） 其他可能严重影响我行声誉以及给我行带来风险或损失的情形;（十二） 供应商评估评估连续两年为“差”;（十三） IT外包管理执行部门认定的其他情形。第七节 供应商行为管理第三十四条 IT外包管理执行部门应针对IT外包服务全流程拟定供应商行为管理规范:

19、（一） 在I外包管理框架下建立体系化的实际操作机制，明确我行对供应商的管理原则及详细实施办法；（二） 督促IT供应商在提供IT外包服务的过程中更迅速地提升自身的管理合规意识及能力，以满足我行对其的管理要求。第三十五条 外包执行部门应依据有关供应商行为对我行造成影响范围以及影响程度，建立惩罚机制。第八节 特殊供应商管理第三十六条 IT外包管理执行部门应针对高集中度供应商、行业重点供应商、跨境供应商和非驻场供应商等重点供应商建立有针对性的管理要求。第三十七条 IT外包管理执行部门应建立高集中度供应商的识别标准,通过采取分散信息科技外包活动、获取高集中度供应商内部监控和配备独立服务资源的证明、建立高

20、集中度供应商服务中断应急预案、加强对高集中度供应商的监控与监督等方法，降低供应商的高集中度风险。第三十八条 IT 外包管理执行部门应依据有关合规要求收集行业重点供应商的信息，获取行业重点供应商的外包风险监控报告和由独立审计机构出具的该供应商外包服务的风险评估报告。应要求行业重点供应商对其外包人员进行背景调查，确保其过往无不良记录。第三十九条 IT外包管理执行部门应建立针对非驻场供应商的内部监控及风险管理要求的最低标准，应对重要的非驻场供应商进行定时实地考察(实地检查原则上一年不少于一次，检查结果作为供应商项目考核及准入的重要指标）,建立有针对性的管理要求,并加强对其内部监控、质量管理、信息安全

21、等方面的有效性评估。第四十条 I外包管理执行部门应对跨境供应商所在国家或地区的经济、政治、社会情形进行延续监控,关注跨境供应商所在国家或地区的法律法规、监管要求，同时加强对跨境外包服务的客户信息保护（跨境供应商客户信息保护能力为选择的重要指标）。第六章 IT外包项目管理第一节 项目决策 第四十一条 信息科技外包项目决策前,I外包管理执行部门应查阅总行外包业务目录,审慎确定拟外包项目是否属于我行允许的外包业务范围。如未纳入外包业务目录,应依照*银行股份有限公司外包管理办法的要求申请新增外包业务品种;属于我行允许的外包业务范围的，应依照*银行股份有限公司外包管理办法中关于我行外包决策的审批权限进行

22、审批。第四十二条 外包管理执行部门应进行项目决策时应充份考虑该I外包项目的*场成熟度、法律风险、战略风险、操作风险、声誉风险、国别风险以及其他特殊风险进行项目决策,并拟定相应的风险处置措施，不因外包活动的引入而增加整体剩余风险。第四十三条 IT外包管理执行部门应进行项目决策时需依照操作风险管理部要求，重大信息科技外包项目应报予审核。第四十四条 分行信息技术部应将项目金额为50万元以上的外包项目有关实施方案（含技术可行性分析、外包风险评估与处置分析）,提交总行信息技术部审批。第二节采购以及协议管理第四十五条 完设立项审批的信息科技外包项目，已达到我行集中采购规定条件的，信息科技采购管理部门应及时

23、将采购需求报总行采购管理部，由其组织实施集中采购并确定合格供应商。未达到我行集中采购规定条件的，由信息科技采购管理部门依照我行采购管理办法自行组织采购并确定合格供应商。第四十六条 实施信息科技外包服务前，I外包管理执行部门应当与供应商签订协议,协议应依据有关外包服务需求、风险评估及资质评估结果确定其详尽程度和重点,并由法律与合规部、外包管理执行部门审核。对我行已拟定外包协议标准文本或范本的,原则上应使用我行标准协议文本或范本。对我行协议标准文本或范本条款的修改应报法律与合规部审查。第四十七条 协议中应当明确以下内容,包括(但不限于)：（一） 服务范围、服务内容、工作时限、责任分配、交付物要求;

24、（二） 合规与内控要求，对法律法规及T外包管理执行内部管理制度的遵从要求、监管政策的通报贯彻机制、供应商的内控措施;（三） 服务连续性要求，供应商的服务连续性管理目标应当满足我行连续性目标要求；（四） 我行监控和检查的权力、频率，以及供应商协助配合我行内、外部审计机构和监管机构检查的责任;（五） 政策或环境变化因素等在内的协议变更或终止的触发条件,供应商在过渡期间应该履行的主要职责及协议变更或终止的过渡安排,包括信息、资料文件资料和设备的交接处置等过渡期间有关服务的安排;（六） 外包服务过程中造成或产生、加工、交互的信息和知识所有权的归属权以及允许供应商使用的内容及范围、对供应商使用合法软、硬

25、件产品的要求;（七） 服务要求或服务水平条款，应至少包含如下内容:外包服务的关键要素、服务时效和可用性、数据的秘密性和完整性要求、变更的监控、安全标准及业务连续性要求的遵守情形、技术支持水平等;（八） 外包争端的解决机制、违约及赔偿条款，括如下内容:服务质量违约、安全违约、知识所有权违约等,及在各种违约情形下的赔偿以及外包争端的解决机制。（九） 报告条款，至少包含如下内容:常规报告内容和报告频度、突发事件时报告路线、报告方式及时限要求；第四十八条 协议中应当明确供应商在安全和保密方面的责任，以及针对信息安全及保密性要求需采取的详细措施，包括(但不限于):（一） 禁止供应商在协议允许范围外使用或

26、者披露我行的信息,以防止信息被非授权使用;（二） 在协议或协议中商定供应商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款；（三） 在协议或协议中商定供应商不得以所服务的我行名义开展活动;（四） 供应商接触IT外包执行部门信息时,需满足安全和保密有关条款的要求；（五） 在发生银监会规定的信息科技突发事件，或发生可能引发系统性、区域性银行业信息科技风险类突发事件时，供应商应及时向I外包管理执行部门报告，包括事件的影响以及处置和更正纠正措施。第四十九条 IT外包管理执行部门应安排供应商签订保密承诺或在协议中签订保密条款，供应商需在承诺书承诺: 依据有关我行要求以书面认可的方式

27、及时整改检查中发现的问题； 保障银行客户信息的安全性,当客户信息不安全或客户权利受到影响时，我行有权随时终止外包协议。第五十条 协议中应当明确要求供应商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求:（一） 不得将外包服务的主要业务分包；（二） 主供应商对服务水平负总责,确保分包供应商能够严格遵守外包协议或协议；（三） 主供应商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。第三节 项目实施管理 第五十一条 我行信息科技外包以项目为单位实施管理，详细管理工作由外包项目经理(或项目负责人)承担项目质量管理、进度管理、及有关沟通协调沟通责任。第五十二条 项目经理应拟定外包项目

28、的开展计划,对项目进行基本分工，明确各生命周期阶段的里程碑与交付品，拟定项目进度计划,确定各阶段供应商及项目实施部门的责任人，建立供应商与项目实施部门负责人及关键人员的沟通机制。第五十三条 发生项目(范围、人员、资源等）变更时,项目经理应对变更影响进行评估并对计划进行调整，并保留变更备忘录,确保不因变更致使供应商无法履约而引发法律风险。第五十四条 T外包管理执行部门应该建立明确的服务目录、服务水平协议以及服务水平监控评估机制， 并依据有关信息科技的外包需求、协议、服务水平协议等建立明确的服务质量监控指标，对重要I外包服务还应进行相应的监控并确保外包服务监控基础数据和评估结果的真实性和完整性，数

29、据至少需保存到服务终止后一年。第五十五条 对于重要的外包领域，项目实施过程中项目经理应安排专人加强知识转移管理，有针对性地提升我方人员的管理及技术能力，降低对供应商的依赖。第四节 交付物验收管理第五十六条 外包项目应设立验收小组,验收小组应依照协议中项目接收和转移的有关商定，贯彻好交付物验收以及知识转移等工作,依据有关服务水平协议中定义的阶段性和最终验收时点开展项目验收，确保供应商交付的产品或提供的服务达到验收标准。第五十七条 对于项目交付成果与服务水平协议出现差异的情形，应对供应商交付物进行管理、矫正与再验收,确保差异均被处理；由验收差异对我行造成的损失，依照协议要求其进行赔偿。第七章I外包

30、人员管理第五十八条 IT外包管理执行部门应建立信息科技外包人员管理规范(包括资质考核、背景调查、进场、离场、考勤、加班、评估、离职、释放以及安全合规检查管理等),由项目实施部门依据管理规范对外包人员进行管理。第八章 IT外包安全管理第五十九条 IT外包管理执行部门应拟定和贯彻信息安全管控措施,防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设备遭受破坏等风险。详细措施包括:（一） 外包人员在进场前应签署保密承诺，并定时组织信息安全培训，提升风险管理意识,确保信息安全管控措施在外包服务过程中有效贯彻;（二） 明确外包活动需要访问或使用的信息资产,包括场地、办公设备、计算机

31、、服务器、软件、数据、信息、物理访问监控设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；（三） 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描,对于无源码或技术上难以实现检查的，应确保协议中有信息安全承诺条款和对应罚则，或签署信息安全承诺函;（四） 定时对外包服务进行安全检查,获取供应商自评估或第三方评估报告。第六十条 IT外包管理执行部门应对关联外包服务提供商定时进行的安全检查，不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。第六十一条 IT外包管理执行部门应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的

32、冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。第九章 I外包服务应急管理第六十二条 为降低外包突发事件的可能性及影响,I外包管理执行部门应事先对业务连续性管理造成重大影响的外包服务建立风险监控、缓释或转移措施,包括(但不限于)以下内容:（一） 在外包服务实施过程中延续收集供应商有关信息，尽早发现可能致使服务中断的情形;（二） 与供应商事先商定在其服务质量未能满足协议要求的情形下获取其外包服务资源的优先权;（三） 要求供应商拟定服务中断有关的应急处理预案,如提供备份人员；（四） 对于涉及重要业务的外包服务，T外包执行部门需考虑预先在其内部配置相应的人力资源，掌

33、握必要的技能，以在外包服务中断期间自行保持最低限度的服务能力。第六十三条 外包管理执行部门应当针对重要外包服务中断的场景,拟定相应的应急计划,并定时进行演练，考虑因素包括(但不限于)以下内容：（一） 事件场景,如重要人员流失致使服务无法延续，供应商主动退出，因资质变更、被收购、兼并或破产等原因致使的供应商被动退出等；（二） 事件延续时间和恢复可能性；（三） 事件影响范围和可能的应急措施；（四） 供应商自行恢复服务的可能性和时间；（五） 备选的供应商以及外包服务迁移方案;（六） 外包服务过渡给IT外包管理执行部门自行运作的可能性、时效及资源需求。第六十四条 对于无法满足外包服务要求或发生重大事件

34、的情形，IT外包管理执行部门应当在充份评估其影响及拟定退出计划的前提下,考虑主动要求供应商终止服务,情节特别严重的,可考虑取消准入资质,并报监管机构申请对其备案。第十章 合规与审计第六十五条 操作风险管理部应对信息科技外包活动进行指导，保证其符合全行外包管理要求。第六十六条 法律与合规部应对信息科技外包活动提供法律合规咨询。对于信息科技外包过程中出现的不合规事项,应及时进行提醒及建议。第六十七条 审计部应依照监管及我行要求，定时对信息科技外包活动进行审计，并负责提供监管机构所需的审计报告。第十一章 监督报告第六十八条 IT外包管理执行部门实施以下重要信息科技外包时,应当在外包协议签订前二十个工

35、作日书面报告中国银监会或属地银监局:（一） 信息科技工作整体外包；（二） 数据中心或灾备中心整体外包;（三） 涉及将我行客户资料文件资料、交易数据等敏感信息交由服务提供商进行分析或处理的信息科技外包；（四） 以非驻场形式实施的、集中存贮客户数据的业务交易系统外包;（五） 关联外包；（六） 涉及跨境的信息科技外包;（七） 其他监管机构认为重要的信息科技外包。第六十九条 信息科技外包活动中如发生如下重大事件时,T外包管理执行部门应在两个工作日内报告中国银监会或属地银监局。（一） 我行客户信息等敏感数据泄露；（二） 数据损毁或者重要业务运营中断;（三） 由于不可抗力或供应商重大经营、财务问题，致使或

36、可能致使我行外包服务中断;（四） 其他重大的供应商违法违规事件;（五） 中国银监会规定需要报告的其他重大事件。第七十条 总行操作风险管理部在开展年度信息科技外包风险管理评估工作后，应将年度风险评估报告报送中国银监会或属地银监局。第十二章附则第七十一条 本指引办法由总行信息技术部负责说明。第七十二条 本指引办法自年 月 日起施行。有关附件:附件一 IT外包服务领域分类一级领域子领域定义说明研发类研发外包指将信息系统建设中的所有或部分规划、需求、开发、测试等工作委托给外部服务提供商或外包人员进行处理的行为。【包括】： 将信息系统的所有或部分研发工作（规划、需求、开发、测试等)交给服务商处理的。将信

37、息系统的所有或部分研发工作（规划、需求、开发、测试等)交给外包人员处理的。将引进成熟产品后的定制开发工作交给服务商处理,涉及银行客户或内部信息转移的。 【不包括】:将引进成熟产品前的定制开发工作交给服务商处理，不涉及银行客户及内部信息转移的。引进不涉及银行客户及内部信息转移的成熟产品的。比如仅购买软件产品的cee，购买OFICE等通用工具、软件平台和组件等。系统运行维护类基础设备运维外包指:外部服务提供商参加的对数据中心、灾备中心、机房各类配套基础设备的维护活动；以及对底层业务信息系统的服务器硬件设备、网络、主机、存储、操作系统涉及银行客户或内部信息转移的维护以及维保活动(包括托管)。:由外部

38、服务提供商提供的涉及银行客户或内部信息转移的通讯线路、设备租用以及支付或清算系统接入等服务（包括托管）。【包括】：所有涉及银行客户或内部信息转移的基础设备维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管）。【不包括】:纯硬件采购中包含对硬件自身的不涉及信息转移的修理修缮维护。例:EMC存储设备采购中对设备的三年免费维保服务不算入基础设备运维外包范畴。应用运维外包指外部服务提供商参加的为保障各类业务或办公系统、数据库、中间件正常、安全、有效运行而进行的检查、监控和故障处理等维护以及涉及银行客户或内部信息转移的维保活动(包括托管）。【包括】:所有非长期驻场、非驻场、非固定周期、

39、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动（包括托管)。桌面运维外包指外部服务提供商参加的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动（包括托管）。N/A服务台外包指由外部服务提供商负责受理用户服务请求及事件,并提供技术支持与咨询。包括对桌面系统、A系统、网络、电子采购平台、企业门户网站、外网邮件系统及其他系统的技术支持与咨询服务（包括托管)。【不包括】：由内部人员受理用户服务请求及事件,并将请求二次分配给外部服务提供商进行技术支持与咨询。咨询类咨询外包指外部服务提供商提供或参加信息科技领域的技术支持、解决方案、评测、认证、研究等活动的行为。/A其他业务有

40、关的信息科技外包指在业务外包中的信息科技活动，包括场开拓(如信用卡发卡营销推广外包、收单商户开拓外包和培训外包)、日常业务(呼叫中心外包、业务凭证及其他信息录入外包及扫描外包、制卡外包、账单及函件制作和寄送外包等）、风险资产处置（逾期账款催收外包等)等业务外包中的系统开发、运行维护和数据处理活动（包括托管）。N/A一级领域子领域定义说明研发类研发外包指将信息系统建设中的所有或部分规划、需求、开发、测试等工作委托给外部服务提供商或外包人员进行处理的行为。【包括】: 将信息系统的所有或部分研发工作(规划、需求、开发、测试等)交给服务商处理的。将信息系统的所有或部分研发工作(规划、需求、开发、测试等

41、）交给外包人员处理的。将引进成熟产品后的定制开发工作交给服务商处理，涉及银行客户或内部信息转移的。 【不包括】:将引进成熟产品前的定制开发工作交给服务商处理,不涉及银行客户及内部信息转移的。引进不涉及银行客户及内部信息转移的成熟产品的。比如仅购买软件产品的Licence,购买OFIE等通用工具、软件平台和组件等。系统运行维护类基础设备运维外包指:1:外部服务提供商参加的对数据中心、灾备中心、机房各类配套基础设备的维护活动;以及对底层业务信息系统的服务器硬件设备、网络、主机、存储、操作系统涉及银行客户或内部信息转移的维护以及维保活动(包括托管）。2：由外部服务提供商提供的涉及银行客户或内部信息转

42、移的通讯线路、设备租用以及支付或清算系统接入等服务(包括托管）。【包括】:所有涉及银行客户或内部信息转移的基础设备维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管)。【不包括】：纯硬件采购中包含对硬件自身的不涉及信息转移的修理修缮维护。例：EC存储设备采购中对设备的三年免费维保服务不算入基础设备运维外包范畴。应用运维外包指外部服务提供商参加的为保障各类业务或办公系统、数据库、中间件正常、安全、有效运行而进行的检查、监控和故障处理等维护以及涉及银行客户或内部信息转移的维保活动(包括托管)。【包括】:所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信

43、息转移的维保活动（包括托管）。桌面运维外包指外部服务提供商参加的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动(包括托管）。/A服务台外包指由外部服务提供商负责受理用户服务请求及事件,并提供技术支持与咨询。包括对桌面系统、A系统、网络、电子采购平台、企业门户网站、外网邮件系统及其他系统的技术支持与咨询服务(包括托管)。【不包括】：由内部人员受理用户服务请求及事件,并将请求二次分配给外部服务提供商进行技术支持与咨询。咨询类咨询外包指外部服务提供商提供或参加信息科技领域的技术支持、解决方案、评测、认证、研究等活动的行为。/A其他业务有关的信息科技外包指在业务外包中的信息科技活动,包括*场开拓(如信用卡发卡营销推广外包、收单商户开拓外包和培训外包)、日常业务(呼叫中心外包、业务凭证及其他信息录入外包及扫描外包、制卡外包、账单及函件制作和寄送外包等）、风险资产处置（逾期账款催收外包等）等业务外包中的系统开发、运行维护和数据处理活动（包括托管)。/A