XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行（以下简称“本行”）信息科技外包管理,控制外包服务风险，根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》，结合本行实际，制定本办法。

第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况，将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。

第三条本行外包管理原则包括：（一）自主可控原则。

信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。

（二）协调统一原则。

符合科技风险管理策略，保持外包风险、成本和效益的平衡。

（三）预防优先原则。

审慎管理信息科技外包活动，秉承事前预防重于事后控制、日常防控重于应急处理的原则。

（四）动态优化原则。

根据外部监管要求、信息科技发展趋势和本行业务发展需求，持续优化本行信息科技风险外包管理策略和工作机制。

第四条本办法适用于本行与信息科技相关外包活动的管理。

第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。

第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。

第七条董事会承担信息科技外包管理的最终责任。

主要职责包括：（一）审议批准信息科技外包战略；（二）审议批准外包管理基本制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）银监会信息科技外包风险监管指引要求的其它工作。

第八条高级管理层设信息科技管理委员会，负责全行科技外包工作的日常决策工作。

主要职责包括：（一）制定外包战略发展规划；（二）确定外包业务的范围及相关安排；（三）确定科技外包管理团队职责，并对其行为进行有效监督；（四）定期审阅本行外包活动相关报告；（五）指导内部审计部门独立开展外包审计工作；（六）董事会确定的其它职责。

第九条风险管理部门负责制定外包风险管理的制度，组织识别和评估信息科技外包风险，监督、评价外包管理工作，对外包执行情况进行监督检查，定期向高级管理层汇报信息科技外包活动相关风险情况。

第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。

外包管理执行团队具体负责科技外包项目的执行和管理工作，主要职责包括：（一）信息科技部门实施全行信息科技外包管理战略；执行供应商准入、评价和退出管理；制定保障外包服务连续性的应急管理措施；分析和评估外包存在的潜在风险，制定相应的风险防范措施，监督和管理外包实施过程，定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。

（二）业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作，并参与项目的实施。

（三）计划财务部门是全行信息科技外包项目招投标工作的组织单位，负责科技外包项目的招投标活动的组织协调工作。

（四）法律合规部门负责对信息科技外包项目的合同进行审核，并对信息科技外包项目提供法律方面的指导。

第十一条稽核部负责对信息科技外包服务项目以及外包服务商管理等进行审计。

第三章外包管理战略第十二条本行信息科技外包战略是为提升本行可持续发展能力和核心竞争力，大力推进本行信息化建设，打造先进高效、适应业务发展和市场变化的现代商业银行信息化产品和服务体系。

通过强化平台整合能力和风险控制能力，合理审慎开展信息科技外包活动，降低信息系统建设运营成本，提升本行掌控核心技术和自主开发、自主运维的能力。

第十三条本行信息科技外包服务策略系指外包服务制定的预期目标，以及评判外包服务绩效的标准。

本行外包服务的一般策略如下：（一）成本控制策略。

降低本行信息系统建设和运维的总体成本。

（二）高质高效策略。

提升本行信息科技服务水平、提高工作效率、缩短系统上线时间。

（三）创新变革策略。

促进本行创新、转型发展。

第十四条本行信息科技外包的主要内容包括：（一）科技管理及科技治理的咨询；（二）信息科技系统的规划、设计、需求、开发、测试外包；（三）数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（四）业务外包如市场拓展、业务操作、内部管理、资产处置等外包中涉及到系统开发、运行维护和数据处理等的信息科技活动。

第十五条本行在信息科技活动中不得将信息科技管理责任外包，涉及战略管理、风险管理、安全管理、内部审计职能的业务也不宜外包。

第五章外包风险管理第十六条本行信息科技外包风险评估应关注外包活动的战略风险、声誉风险、合规风险、操作风险、国别风险、机构集中度等风险，并制定应对措施。

第十七条本行信息科技外包风险评估过程应该充分考虑如下因素:（一）是否符合本行战略规划、战略目标和业务需求；（二）本行是否有管理外包关系的能力；（三）是否可能导致本行失去科技控制和创新能力；（四）可能导致业务中断的情况；（五）可能导致信息泄露的情况；（六）是否会导致本行服务水平的降低。

第十九条判断外包服务商具有机构集中度的标准包括：（一）外包服务商所承接外包服务的数量或者金额在本行重要信息科技服务中达到三分之一以上；（二）外包服务商承接外包服务在银行业服务市场占比达到三分之一以上；（三）外包服务商之间为集团子公司、关联公司或附属机构的情况，应将分支机构或关联公司作为统一的整体来计算机构集中度。

第二十条对于具有机构集中度特点的外包服务商，每年应及时向本行报送公司的财务报表、内控与安全管理情况，外包服务商因资质变动、被收购、兼并或破产、资源发生重大损失、出现财务失败等情况时，应及时函告本行。

本行应定期或不定期检查外包风险，必要时可指派专人现场监督。

在有条件的情况下，本行应采取分散信息科技外包活动、提高自主研发运营能力等形式，减少对外包服务商的依赖。

第二十一条涉及跨境外包的活动应遵守以下原则：（一）审慎评估境外国家或地区的经济与政治环境、技术风险以及境外权限的法律和管制风险。

（二）确保国家秘密、商业秘密和客户信息的安全。

（三）选择境外服务提供商时，应明确其所在国家或地区监管当局已与我国银行监管机构签订谅解备忘录。

第二十二条本行应提取必要的风险准备，以应对不可预料的IT外包服务的风险发生。

第二十三条本行应从风险控制、合规要求、可行性、成本效益等方面评估信息科技外包活动，对外包或自主建设两种方案进行分析比较，形成可行性报告。

第六章外包服务商分级管理第二十四条根据外包服务性质和重要程度将外包商划分为重点外包服务商和一般外包服务商。

对不同类型外包服务商的资质、监督、管理等实施不同的管理要求，当涉及敏感信息、商业秘密和客户隐私数据时，应符合国家有关法律法规和监管部门规定。

第二十五条重点外包服务商系指负责本行关键系统、基础设施建设和运维的外包服务商。

如其外包服务失败，可能导致本行大面积数据损毁、丢失、泄露或者信息系统服务中断，造成较大经济损失。

第二十六条一般外包服务商系指其提供的服务对本行影响较小，其外包服务失败影响范围可控，不会产生较大的经济损失。

第二十七条根据监管机构发布的重点外包服务机构风险提示，本行重点外包服务商原则上应符合以下资质要求：（一）在中国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间不少于3年；（二）具有完善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证；（三）具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证，拥有有效的检查、监控和考核机制，确保管理规范有效执行；（四）承担本行数据中心、灾备中心机房及基础设施外包服务的重点外包服务商，其机房及基础设施应当达到国家电子计算机机房最高标准；（五）拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应建立由公司高级管理层直接领导、针对本行外包服务的、专职信息科技风险管理团队，为持续的外包服务提供保证；（六）应具有足够的技术能力和人力资源；（七）承担本行外包服务的场地应设置在中国境内。

第二十八条外包服务商必须接受本行对外包服务活动的监督。

其中,重点外包服务商须遵循以下要求:（一）至少每季度向本行报送外包风险监控报告，并针对监控发现的潜在风险和风险事件，及时采取控制或缓释措施。

（二）每年聘请独立的审计机构，对自身外包服务进行风险评估，将年度风险报告报送本行。

（三）对其外包服务团队成员进行背景调查，确保其过往无不良记录，且应与项目成员签订保密协议，并保留至少10年的法律追诉期。

第七章外包服务商准入管理第二十九条外包服务商承接本行外包服务，应先成为本行认定的候选外包服务商。

本行建立并维护候选外包服务商清单，在需要引入新的外包服务商时，统一组织资质评审。

第三十条本行应对外包服务商进行充分调查、评估、审查，组织必要的尽职调查，内容包括但不限于：（一）资质证明、行业地位以及对其他银行业金融机构提供服务的情况；（二）技术实力和服务质量；（三）对银行业务的熟悉程度；（四）经营声誉和企业文化；（五）业务连续性及突发事件应对能力；（六）内部控制和管理能力；（七）财务稳健性；（八）是否满足履行监管义务的需要；（九）其设施和能力是否可以补偿潜在的责任；（十）是否接受本行监督其外包有关的操作风险；（十一）如何安排外包变更时的顺利过渡，包括终止合同可能发生的情况；（十二）本行认为重要的其它事项。

第三十一条如果本行认为无法对外包服务商进行以上尽职调查时，可以委托第三方独立机构进行尽职调查。

第三十二条外包活动涉及多个服务提供商时，应对服务提供商进行关联关系调查。

第三十三条外包服务的招标应严格按照本行集中采购管理办法等相关规定执行。

参加招标的外包服务商必须符合招标文件中的资质要求，本行外包活动将遵循公开、公平、公正的原则，从候选的多个外包服务商中进行选择。

第三十四条涉及本行关联机构的关联外包的活动，应保持外包决策的独立性，不能降低对外包服务的相关要求。

第三十五条对于同业托管机构，应关注机构集中度风险，参照本办法第十九条执行。

第八章外包服务合同管理第三十六条本行开展服务外包活动时应与外包服务商签订书面合同或协议，明确双方的权利义务。

合同或协议应包括但不限于以下内容：（一）外包服务范围、服务内容、工作时限与安排、责任分配、验收标准、交付物要求及后续合作中的相关限定条件；（二）合规与内控要求；（三）外包服务的保密性和安全性的安排；（四）外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺；（五）外包服务的审计和检查；（六）外包服务争端的解决机制；（七）合同或协议的变更或终止的过渡安排；（八）担保和损失赔偿以及违约责任；（九）明确知识产权的归属；（十）服务要求与服务水平条款；（十一）报告条款，包括常规报告内容和报告频率、突发事件时的报告路线、报告方式及时限要求。