《银行信息科技外包战略及管理办法.docx》由会员分享,可在线阅读,更多相关《银行信息科技外包战略及管理办法.docx(11页珍藏版)》请在优知文库上搜索。
1、XXXX银行信息科技外包战略及管理办法第一章总则第一条为了规范XXXX银行(以下简称“我行”)的信息科技外包活动,保障我行信息系统安全持续稳定运行,降低信息科技外包风险,依据中国银监会颁布的银行业金融机构信息科技外包风险监管指引、银行业金融机构外包风险管理指引、中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,制定本办法。第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以卜类型:()研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维
2、护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包:(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。第三条信息科技外包可能产生如下风险,并导致我行的战略、声誉、合规风险:(一)科技能力丧失:我行过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断:(三)信息泄露:包含客户信息在内的我行非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得
3、我行信息科技服务水平下降。第四条本办法所称机构集中度风险是指我行将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。第五条本办法所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。第六条实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡:(三)强调外包风险的事前控制,保持管控力度:(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。第七条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。第八条本办法
4、管理内容涉及科技信息外包的各个流程,包括外包项目的建立、执行、监控、考核评价、持续改进等过程。第九条本办法参照中国银监会银行业金融机构信息科技外包风险监管指引中信息科技外包风险控制要求制订,目标是明确信息科技外包管理要求,防范和控制我行信息科技外包风险,保证外包流程规范化并能达到预期成效。第二章组织架构及职责第十条我行外包管理的组织架构包括高级管理层和信息科技外包专职主管部门,其中信息科技外包专职主管部门为我行科技开发部。第十一条我行高级管理层的职责主要包括以下方面:(一)确定外包管理部门职责,并对其行为进行有效监督。(二)审议批准信息科技外包的战略发展规划;(三)审议批准信息科技外包的风险管
5、理制度;(四)审议批准信息科技外包业务的范围及相关安排;(五)审阅本机构外包活动相关报告;(六)安排内部审计,确保审计范围涵盖所有的外包活动。第十二条信息科技外包专职主管部门的职责主要包括以下方面:(一)制定信息科技外包的战略发展规划:(一)制定并执行信息科技外包风险管理的政策、操作流程和内控制度;(三)根据我行信息科技建设规划或外包服务需求,结合我行信息科技的建设情况,确立外包项目的范围、内容和相关安排、制定外包年度计划及外包阶段性计划;(四)负责信息科技外包活动的日常管理,包括尽职调查、合同签署以及外包服务技术指标的制定等:(五)负责形成信息科技外包项目情况汇总报告,提交我行高级管理层及风
6、险管理部、审计部和法律合规部等相关部门;(六)根据我行风险管理部、审计部和法律合规部对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进;(七)在发现外包服务提供商的业务活动存在缺陷时,采取及时有效的措施:(八)高级管理层确定的其他职责。第十三条信息科技外包管理涉及的部门包括:外包管理部门、外包使用部门(外包直接应用部门)、外包审批部门以及外包审计部门、外包风险管理部门等。第十四条我行科技开发部作为信息科技服务外包管理部门,其基本职能如下:(一)根据我行信息科技建设规划或外包服务需求,结合全行信息科技资源的整体分布和建设情况,确立外包项目的范围和内容、制定外包年度计划及外
7、包阶段性计划;(二)负责协调和组织外包资源,管理外包资源台账信息;(三)规范和制定外包合同和外包服务水准的基本要求;根据预计解决问题的时间和实际完成时间比例确定得分。3、工作质量:(35分)由应用部门根据服务情况及解决问题是否彻底,定性评分。4、工作态度:(15分)由应用部门根据总体服务情况,定性评分。(四)维护服务类外包人员1、服务响应时间:(20分)服务响应时间均符合合同要求的,得20分,否则按次扣5分,扣完为止。2、服务完成时间:(20分)根据预计解决问题的时间和实际完成时间比例确定得分。3、工作质量:(30分)由使用部门根据服务情况及解决问题是否彻底,定性评分o4、客户满意度(20分)
8、根据服务对象表扬或投及其他反馈情况定性评分。工作业绩得分=各类服务外包人员(1)至(4)项得分之和第五十九条对外包服务提供商的考核包括以下内容:第一类部分外包服务提供商外包人员类技术公司考核得分=(E同一外包技术公司人员考核得分/在用该公司外包技术人员数量)X70%+外包公司提供人员变动率得分(满分10分)+公司整体水平(满分20分)人员变动率=考核期内人员变动次数合同约定人数X100%第六十三条我行科技开发部负责统一向各外包服务提供商反馈考核结果。第十章外包合同及外包服务水准制定要求第六十四条外包合同必须按照法律事务所提供的法律依据和要求进行修订。第六十五条为保证外包人员持续在我行工作,降低
9、人员流动增加的管理及培训成本,应在外包合同中明确许可的人员流动或变更比例。第六十六条系统整体外包合同需制定系统灾备和应急流程。第六十七条外包合同需包含服务水准要求,明确开发、维护、使用的计费方法,明确知识产权、数据安全、保密等相关内容。第六十八条外包服务水准制定的基本原则:量化指标,每项指标对应明确的罚则和处理办法。第六十九条为量化服务水准指标,须对外包过程中的问题进行分类描述。外包问题分类标准如下:(一)一级问题:指的是关键性问题,一级问题的出现,将严重影响我行整体业务运作,可能或已经造成业务重大损失。(二)二级问题:表明所报告的是重大但非关键性的问题。此类问题意味着系统能够运行但是某些功能
10、不能正常工作。此类问题仅影响少数几个用户或者降低系统性能。(三)三级问题:表明所报告的是次要问题。此类问题发生时外包系统能够正常运行,问题产生的影响是有限的且不对整体运行产生关键性的影响。(四)四级问题:表明所报告的是一般性问题。此类问题发生时外包系统正常运行,对我行业务几乎无影响或根本不影响,主要是咨询和服务类的问题。第七十条对于系统整体外包周期超过1年的,需要每半年(或根据合同要求)召开一次会议,调整服务标准,以保证各项指标的合理性。第七十一条外包服务水准需要包含以下基本要素:服务内容、服务质量要求、服务问题等级分类、问题响应时间规定、问题解决时间规定、罚则以及服务水准调整规定。第七十二条
11、外包公司应协助我行与第三方之间进行相关测试、审计或类似工作,对于由此可能造成的知识产权问题通过签订三方协议方式协商解决。第十一章外包风险管理第七十三条不得将我行信息科技管理责任外包,应合理谨慎监督外包职能的履行。第七十四条实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书而材料正式报告银监会或其派出机构。第七十五条在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:(一)分析外包是否适合我行的组织结构和报告路线、业务战略、总体风险控制,是否满足我行履行对外包服务商的监督义务。(二)考虑外包协议是否允许我行监测和控制与外包相关的操作风险。(三)充
12、分审查、评估外包服务提供商的财务稳定性和专业经验,对外包服务提供商进行风险评估,考查其设施和能力是否足以承担相应的贡任。(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。(五)关注可能存在的集中风险,如多家银行共用同一外包服务商带来的潜在业务连续性风险。第七十六条在与外包服务提供商合同谈判过程中,应考虑的因素包括但不限于:(一)对外包服务商的报告要求和谈判必要条件。(二)银行业监管机构和内部审计、外部审计能执行足够的监督。(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。(四)担保和损失赔偿是否充足。(五)外包服务提供商遵守我行有关信息科技风
13、险制度和流程的意愿及相关措施。(六)外包服务提供商提供的业务连续性保障水平,以及提供相关专属资源的承诺。(七)第三方供应商出现问题时,保证软件持续可用的相关措施。(八)变更外包协议的流程,以及我行或外包服务商选择变更或终止外包协议的条件,例如:1、我行或外包服务商的所有权或控制权发生变化。2、我行或外包服务商的业务经营发生重大变化。3、外包服务提供商提供的服务不充分,造成我行不能履行监督义务。第七十七条在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:(一)提出定性和定量的绩效指标,评估外包服务提供商为我行及其相关客户提供服务的充分性。(二)通过服务水平报告、定期自我评估、
14、内部或外部独立审计进行绩效考核。(三)针对绩效不达标的情况调整流程,采取整改措施。第七十八条加强信息科技外包相关管理工作,确保我行的客户资料等敏感信息的安全,包括但不限于采取以卜措施:()实现本银行客户资料与外包服务提供商其他客户资料的有效隔离。(二)按照“必需知道”和“最小授权”原则对外包服务提供商相关人员授权。(三)要求外包服务提供商保证其相关人员遵守保密规定。(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。(五)严格控制外包服务提供商再次对外转包,采取足够措施确保我行相关信息的安全。(六)确保在中止外包协议时收回或销毁外包服务提供商保存的所有客户资料。第七十九条我行应建立
15、恰当的信息科技外包应急预案及应急措施,应对外包服务提供商在服务中可能出现的重大缺失。尤其需要考虑外包服务提供商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。在发生紧急情况时,应及时补充外包技术服务资源或替代方案,降低因紧急事件出现后对我行系统运行、开发、测试及咨询、维护服务等工作的不利影响。第八十条我行所有信息科技外包服务合同应由风险管理部、法律合规部、外包服务应用部门和科技开发部审核通过。我行应设立流程定期审阅和修订服务水平协议。第八十一条我行外包服务应用部门应定期评估成本风险,防止由于成本原因造成对外包过程的不利影响。第八十二条我行外包管理部门应严格控制信息科技外包过程中的数据安全、保密、知识产权、人员变更、转包等因素相关的风险。第十二章持续改进第八十三条信息科技外包主管部门要对考核指标和服务水准体系进行全面评估,定期提出修订意见,对相应的考核指标和服务水准进行调整。第八十四条信息科技外包主管部门应根据外包目标的达成率和发展趋势以及评估报告制定信息科技外包管埋改进计划。第八十五条信息科技外包主管部门应根据信息科技外包管理改进计划,对信息科技外包实施过程进行持续改进和调整优化。第十三章附则第八十六条本办法由我行科技部负责制订修改和解释执
免费区 