《银行信息科技外包战略及管理办法.docx》由会员分享,可在线阅读,更多相关《银行信息科技外包战略及管理办法.docx(16页珍藏版)》请在优知文库上搜索。
1、XXXX银行信息科技外包战略及管理办法第一章总则第一条为了规范XXXX银行(以下简称“我行”)的信息科技外包活动,保障我行信息系统安全持续稳定运行,降低信息科技外包风险,依据中国银监会颁布的银行业金融机构信息科技外包风险监管指引、银行业金融机构外包风险管理指引、中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,制定本办法。第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以卜类型:()研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维
2、护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包:(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。第三条信息科技外包可能产生如下风险,并导致我行的战略、声誉、合规风险:第八条本办法管理内容涉及科技信息外包的各个流程,包括外包项目的建立、执行、监控、考核评价、持续改进等过程。第九条本办法参照中国银监会银行业金融机构信息科技外包风险监管指引中信息科技外包风险控制要求制订,目标是明确信息科技外包管理要求,防范和控制我行信息科技外包风险,保证外包流程规范化并能达到预
3、期成效。第二章组织架构及职责第十条我行外包管理的组织架构包括高级管理层和信息科技外包专职主管部门,其中信息科技外包专职主管部门为我行科技开发部。第十一条我行高级管理层的职责主要包括以下方面:(一)确定外包管理部门职责,并对其行为进行有效监督。(二)审议批准信息科技外包的战略发展规划;(三)审议批准信息科技外包的风险管理制度;(四)审议批准信息科技外包业务的范围及相关安排;(五)审阅本机构外包活动相关报告;(六)安排内部审计,确保审计范围涵盖所有的外包活动。第十二条信息科技外包专职主管部门的职责主要包括以下方面:(一)制定信息科技外包的战略发展规划:(一)制定并执行信息科技外包风险管理的政策、操
4、作流程和内控制度;(四)主持或协助相关部门签定外包服务合同、制定外包服务水准协议,科技开发部主要负责制定技术指标要求;(五)规范和制定外包监控制度、考核评价机制和持续改进办法、组织验收考核;(六)负责定期形成外包项目情况汇总报告,提交相关业务管理部门、风险管理部门及高级管理层;(七)根据我行审计部门或风险管理部门对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进。第十五条享有信息科技外包服务或外包服务的直接应用部门为外包使用部门,基本职能如下:(一)负责编写提交信息科技外包服务业务需求;(二)参与制定外包服务合同以及外包服务水准,外包使用部门主要负责业务指标和相关罚则的
5、制定;(三)参与对外包公司和外包人员的考核和评审;(四)协助外包管理部门共同管理外包过程。第十六条我行审计部为信息科技外包的审计部门,负责对信息科技外包项目进行事前、事中和事后审计。第十七条我行风险管理部门为信息科技外包的风险管理部门,负责根据科技开发部提交的外包项目风险评估报告,发现和控制项目过程中的风险。第三章外包战略及管理评估,以选择业务能力强、信誉好的服务提供商。(一)外包服务提供商技术水平与专业人员的业务能力评估。主要包括对外包服务提供商提供给金融机构所需服务和技术支持的经验和能力、服务失败或业务系统遭黑客入侵等偶发事件的应对能力、在预期的操作环境卜提供服务的经验、提供外包业务关键人
6、员的业务能力和敬业精神与职业道德等进行评估。(二)安全、保密措施与保险覆盖范围的审查。主要是审查服务提供商处理设备管理、系统安全性、个人隐私保护、数据记录维护、系统灾难恢复、系统开发和维护以及职员背景等工作的标准、策略和过程是否充分;考查服务提供商是否提供了充分而谨慎的安全措施,包括防火墙、加密、客户身份认证、对金融机构资源的保护和对入侵的检测与应对措施等:考查服务提供商是否对诸如欺诈、火灾、数据丢失、文档失窃等进行保险。()评估外包服务提供商对相关法律法规和专业知识的了解程度。应该评估外包服务提供商需要向金融机构学习的金融专业知识、外包服务提供商对与我行IT外包业务相关的法律法规的了解程度等
7、。(四)财务状况与信誉考察。应通过其它用户和咨询机构了解外包服务提供商的信誉和表现。分析服务提供商提供的己经审计过的报告、年终报告和其它指标等。考查服务提供商在金融行业中服务的时间、占据的市场份额及其波动情况。评估服务提供商的技术费用支付能力,如服务提供商在财务上是否有能力投资和支持金融机构IT外包业务所需的技术等。考杳金融机构是第四章外包服务提供商资质评审第二十五条外包服务提供商(外包公司)资质评审由我行科技开发部负责统一组织,每年定期评审一次,特殊情况可根据实际需要安排评审频度和时间。第二十六条参加资质评审的外包服务提供商必须满足我行招标文件中所要求的资质水准,不符合资质要求的外包服务提供
8、商不准参与我行的外包服务。外包服务提供商必须通过资质评审方能进入后续工作。第二十七条满足下列条件之一的外包服务提供可免于参加年度外包服务提供商资质评审和免于执行人员试用:(一)上一年度考核结果为良好(含)以上的外包服务提供商;(二)外包服务提供商应我行要求继续为该系统提供技术支持服务的。第二十八条外包服务提供商的资质要求包括以下内容:第一类部分外包模式服务提供商()中华人民共和国境内外注册的独立法人;(二)招标文件没有做要求的境内企业注册资金在200万元以上,境外企业注册资金在50万美元以上;招标文件有要求的必须满足招标文件要求:(三)有IS09000、CMM2等具有国家、行业同等资质认证资格
9、要求的必须满足;(七)公司一般性服务水准承诺;(八)系统整体外包服务提供商应具备信息产业部颁发的计算机系统集成资质或同等资格说明。第三十条外包服务提供商如存在年度考核不合格的情况,未来两年内不得参与我行信息科技外包服务活动或者须在外包合同条款加以约束条款;对年度考核不合格的外包服务提供商,我行有权扣除不超过外包合同总价15%的违约金。第三十一条外包服务提供商需要严格保证外包过程中涉及我行的数据安全、保密、知识产权等,控制人员变更、转包等风险,如果因外包公司或其相关人员原因造成的损失符由外包公司承担赔偿责任。第五章外包服务人员管理第三十二条外包服务提供商需要明确一名项目经理(或项目负责人)负责协
10、调项目相关重要事项。第三十三条我行对于外包人员的管理方式以管理外包公司项目经理为主,也可以根据实际需要直接管理和调配项目其他外包服务人员。第三十四条外包服务人员在我行服务期间,应严格遵守我行作息考勤制度以及其他工作规范,并按要求签署保密协议书,对其使用的机器安装防病毒软件、系统补丁,对于非全时在我行工作的外包服务人员,应严格遵照外包合同有关履约时间的约定。出物进行验收,具体验收办法依据项目合同或外包初期制定的项目验收方案。第四十二条开发类外包服务人员的交付物必须在独立的测试环境下经过测试,验收合格后才可以投产试用。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试原则上不
11、得直接使用生产数据,如必须使用生产数据的也需经过脱敏处理。第四十三条对于外包交付物验收不合格的,应要求外包服务提供商重新提供产品,并重新组织验收,直到验收通过,并将此类情况纳入外包服务提供商的考核评价过程。第四十四条由于外包服务提供商原因导致项目未按计划完成或完成项目质量不高,并造成一定影响的,作为不良合作记录登记外包服务商违反服务水平协议统计表,对未完成服务由外包服务提供商继续完成,并不再追加任何费用。第七章外包交付物管理第四十五条对于外包开发人员提交的源代码,须经我行科技开发部开发主管进行审核。所产生的执行程序,须经我行相关人员测试通过后,按规定流程投入生产系统。第四十六条对于外包开发人员
12、提交的关键代码(涉及核心记账、业务系统核心处理流程或有关安全加密、认证的代码),项目组我方人员必须对源代码进行重点抽查,并记录抽查结果,存档保留。第五十六条系统整体外包需要根据问题级别、频度以及其他惩罚条件制定具体的罚责O第九章外包人员及外包服务提供商考核第五十七条我行科技开发部或银行方项目经理应每月或根据实际需要确定周期,对在用的外包人员和外包公司的研发或其他专业能力、项目计划与进度的偏差、产品缺陷率和服务水平等进行整体考核,形成我行软件项目风险评估报告,并及时将考核结果反馈至管理层。第五十八条外包服务人员的考核应着重于服务响应时间、服务质量、服务内容等,外包技术人员考核实行百分制,基本参考
13、考核指标及标准得分如下:一、出勤率(标准值100%,标准得分10分)出勤率=考核期内实际出勤次数考核期内应出勤次数X100%出勤率为100%得满分】0分;90%W出勤率H)0%,得5分,出勤率90%,得0分。二、工作业绩(标准得分90分)(一)技术开发类外包人员1、服务文档完整及规范性(20分)反映服务文档的完整性和代码编写符合我行技术规范的程度。2、分配任务完成及时性(20分)反映是否能及时完成分配的工作任务。根据预计解决问题的时间和实际完成时间比例确定得分。3、工作质量:(35分)由应用部门根据服务情况及解决问题是否彻底,定性评分。4、工作态度:(15分)由应用部门根据总体服务情况,定性评
14、分。(四)维护服务类外包人员1、服务响应时间:(20分)服务响应时间均符合合同要求的,得20分,否则按次扣5分,扣完为止。2、服务完成时间:(20分)根据预计解决问题的时间和实际完成时间比例确定得分。3、工作质量:(30分)由使用部门根据服务情况及解决问题是否彻底,定性评分o4、客户满意度(20分)根据服务对象表扬或投及其他反馈情况定性评分。工作业绩得分=各类服务外包人员(1)至(4)项得分之和第五十九条对外包服务提供商的考核包括以下内容:第一类部分外包服务提供商外包人员类技术公司考核得分=(E同一外包技术公司人员考核得分/在用该公司外包技术人员数量)X70%+外包公司提供人员变动率得分(满分
15、10分)+公司整体水平(满分20分)人员变动率=考核期内人员变动次数合同约定人数X100%人员变动率考核方法:如考核季(年)人员变动率W约定许可变动率,得满分10分;人员变动率约定许可变动率得O分。公司整体水平:衡量标准】、公司交付物的质量(5分)、2、公司整体管理水平(5分),3、公司服务水平(5分)第二类整体外包服务提供商根据外包服务水准的达成率考核整体外包服务提供商的服务情况。第六十条外包服务人员及外包服务提供商考核结果分为优(90100分)、良(80-90分)、中(6080分)和差(060分)四档。第六十一条外包服务人员考核结果应用(一)年度考核结果为良(含)以上的外包服务人员,来年我行将优先考虑继续使用;(二)季度考核结果为差的外包服务人员,我行将要求外包公司更换人员。第六十二条外包技术公司考核结果应用(一)年度考核结果为良(含)以上的公司,可免于来年公司的资质评审和人员试用;(二)年度考核结果为中的公司,可以继续参加我行来年公司资质评审并适用人员试用规定:(三)年度考核结果为差的公司,未来2年时间内无资格参与我行组织的公司资质评审,我行有权收取定比例的违约金。第六十三条我行科技开发部负责统一向各外包服务提供商反馈考核结果。第十章外包合同及外包服务水准制定要求第六十四条外包合同
免费区 