农村信用社联合社科技外包管理办法.docx

1、农村信用社联合社科技外包管理办法第一章总则第一条为加强农村信用社联合社（以下简称省联社）科技外包管理，规范外包行为，积极、稳妥地实施外包服务，根据商业银行信息科技风险管理指引、银行业金融机构外包风险管理指引等有关制度，制定本办法。第二条本办法所称科技外包是指省联社将原本由自身负责处理的部分信息科技业务活动委托给具有相应资质、技术水平和从业经验的服务提供商进行持续处理的行为。第三条省联社科技外包服务以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。第四条本办法适用于省联社自身的科技外包管理，各法人行社科技外包管理可参照本办法执行。第二章部门与职责第五条省联社科技信息中心是科技外包的日

2、常管理部门，基本职能如下：（一） 根据省联社信息科技发展规划和外包服务需求，确定外包项目的范围和内容、制定外包年度计划；（二） 负责协调和组织外包资源，管理外包资源台账信息和外包统计表；（三） 主持或协助相关部门签定外包服务合同、制定外包服务水准协议；（四） 检查和监督外包实施过程，建立考核评价机制和持续改进机制；（五） 负责定期编制外包项目情况报告，提交省联社信息化建设领导小组和相关部门；（六）根据省联社审计部门或风险管理部门对外包项目评估、审计以及提出的风险管理意见对科技外包项目实施优化和改进。第六条享有科技外包服务或外包服务的直接应用部门为外包使用部门，基本职能如下：（一） 负责编写提交

3、科技外包服务需求；（二） 参与外包服务合同以及外包服务水准的制定；（三） 参与对外包公司和外包人员的考核和评审；（四） 协助外包管理部门共同管理外包过程。第七条省联社合规与风险管理部为科技外包风险管理部门，负责识别、计量、监测和控制外包项目实施过程中的风险。第八条省联社审计稽核部为科技外包审计部门，负责对科技外包项目进行事前、事中和事后审计，评价科技外包管理机制的有效性。第三章外包类型与范围第九条省联社科技外包类型包括：（一） 基础设施类外包：指外包服务商向省联社提供计算机机房及配套基础设施服务；（二） 系统服务类外包：指外包服务商向省联社提供计算机信息系统的开发、日常运行和维护等服务；（三）

4、 人员服务类外包：指外包服务商只向省联社提供专业技术人员完成相关工作；（四） 自助设备服务类外包：指外包服务商向省联社提供ATM等自助设备的购置、布放和运维等服务；（五） 其它类外包：不属于以上类型的科技外包。第十条属于下列情形之一的，省联社可实施科技外包：（一） 因项目实施时间紧，省联社自身科技力量不足；（二） 项目实施必须使用到指定公司的特定产品或服务；（三） 省联社自行实施成本高于公司外包服务成本；（四） 为保证计算机信息系统安全稳定运行，外包公司提供人月方式的基础设施或应用系统的维保服务；（五） 其他经认定外包服务比省联社自行实施更加有利。第十一条涉及到省联社信息科技管理职能的活动禁止

5、外包；涉及到省联社计算机信息系统核心应用安全、关键外围应用安全的软件开发及维护工作禁止外包。第四章外包服务商管理第十二条省联社对外包服务商实行准入管理，只有通过省联社资质审查的外包服务商才有资格参与省联社科技外包服务。第十三条外包服务商资质审查由省联社科技信息中心统一组织实施，对于已参加过省联社外包服务的并且在年度服务商评价中取得合格以上资格的服务商可免于资质审查。第十四条参与省联社科技外包服务的供应商必须满足以下资质要求：（一） 中华人民共和国境内外注册的独立法人；（二） 境内企业注册资金在200万元以上，境外企业注册资金在50万美元以上；（三） 符合国家和行业对有关外包服务项目资质认证的要

6、求；（四） 具有银行业同类项目或产品的实施经验；（五） 能够提供满足省联社要求的合格、稳定的技术人员及服务。（六） 招标文件另有要求的必须满足招标文件要求。第十五条外包服务商参与资质审查应提供的基本材料包括：（一） 公司营业执照、税务登记证、组织机构代码证、人员相关资质证书等证明材料；（二） 公司实力和技术能力说明材料；（三） 公司服务能力和售后服务水平说明材料；（四） 公司以前提供的外包服务清单（包括客户和服务内容等）。（五） 公司具有良好履约信誉的证明；（六） 公司持续履约及保障所提供技术人员稳定性的承诺；（七） 公司一般性服务水准承诺；第十六条省联社按年对外包服务商实行考核评价，由省联社

7、科技信息中心组织有关外包使用部门具体实施，评价结果包括首选的、可接受的、受限制的和剔除的四个等级。第十七条外包服务商年度评价结果为剔除的，未来两年内不得参与省联社科技外包服务；外包服务商年度评价结果为受限制的，须在外包合同条款中增加相应的约束条款。第十八条省联社可根据外包项目服务方案的要求，通过招标的方式选定外包服务商也可以指定省联社已使用过相关产品或服务的公司为外包服务商。第十九条原则上不允许外包服务商将省联社科技外包服务进行转包或变相转包，也不得将外包活动的主要业务进行分包。第五章外包人员管理第二十条在实施外包服务前，省联社外包管理部门应认真审查外包人员的简历和有关背景材料,并进行登记和备

8、案。第二十一条外包人员在服务期间，应严格遵守省联社员工管理制度以及其他工作规范，并按要求签署保密协议书，对其使用的机器安装防病毒软件、系统补丁。第二十二条省联社科技信息中心负责对外包人员使用环境和权限配置进行管理，对使用环境中的系统权限、文件读写权限必须严格控制，以满足工作需要为前提，遵循权限最小化原则，不得授予与工作无关的权限。第二十三条外包使用部门对其使用的外包人员的工作饱满度负责，应及时制订和适时调整外包人员工作计划，经常检查、督促外包人员工作。第二十四条对由于工作调整无须再使用的外包人员，外包管理部门应及时进行外部资源台账更新，并确认占用的资源和访问权限已全部收回。第六章外包实施管理第

9、二十五条外包项目的立项、审批和实施按照农村信用社联合社信息科技项目管理办法中的相关规定进行处理。第二十六条外包项目实施过程中，外包公司应明确一名项目经理负责协调项目相关事宜，并定期向外包管理部门汇报外包项目实施进度和重要事项。第二十七条对于软件开发外包人员提交的源代码，须经科技信息中心人员审核编译，所产生的执行程序，须经省联社相关人员测试通过后，按规定流程投入生产。第二十八条对于软件开发外包人员提交的关键代码（涉及核心记账、业务系统核心处理流程或有关安全加密、认证的代码），科技信息中心技术人员必须对源代码进行重点抽查，并记录抽查结果，存档保留。第二十九条对于测试外包人员提交的测试方案和测试案例

10、，省联社项目组人员必须进行复核确认；测试外包人员编写的测试脚本和测试用程序必须满足省联社项目测试性能要求。第三十条严格监控外包实施过程中的数据安全，外包管理部门或使用部门应通过客户资料隔离、访问权限控制、数据脱敏处理等措施，防止客户资料等敏感信息的泄漏。第三十一条加强对外包实施过程的人员流动管理，严格控制人员流动比率，外包方项目经理和主要技术骨干变更须经外包使用部门审批同意，并报外包管理部门备案。第七章外包合同管理第三十二条省联社在开展外包活动时应与外包服务商签订书面合同或协议，明确双方的权利义务。合同或协议应当包括但不限于以下内容：（一） 外包项目的范围和服务标准；（二） 外包服务保密性和安

11、全性的安排；（三） 外包服务的业务连续性的安排；（四） 外包服务的审计和检查；（五） 外包争端的解决机制；（六） 合同或协议变更或终止的过渡安排；（七） 违约责任。第三十三条省联社在外包合同中应当要求外包服务商承诺以下事项：（一） 定期通报外包活动的有关事项；（二） 及时通报外包活动的突发性事件；（三） 配合省联社接受相关部门与机构的检查；（四） 保障客户信息的安全性，当客户信息不安全或客户权利受到影响时，省联社有权随时终止外包合同；（五） 不得以省联社的名义开展活动；第三十四条省联社科技信息中心应明确外包合同管理的职能部门，并指定专职人员负责外包合同管理，定期审查合同履约和到期情况。第三十五

12、条对软件开发类外包，在外包合同中应明确知识产权归属，原则上在外包过程中所形成的科技成果，知识产权归属省联社所有。第三十六条省联社所有科技外包合同应报送合规与风险管理部进行审核，经审核通过后履行签约手续。第八章外包应急管理第三十七条外包管理部门应督促外包服务商制定应急流程和应急保障机制，应急流程和应急保障机制必须符合省联社业务连续性整体要求。第三十八条外包使用部门应针对不同的外包服务活动制定应急方案。发生紧急情况后，及时补充外包技术服务资源或替代方案，降低因紧急事件出现后对我省农村金融机构的不利影响。第三十九条外包管理部门应要求省联社重要外包服务商购买商业保险以保证其有足够的赔偿能力，并告知保险覆盖范围。第九章附则第四十条本办法由农村信用社联合社负责制定、修改和解释。第四十一条本办法自印发之日起执行。