当前位置:文档之家› xxxx银行信息科技外包战略及管理办法

xxxx银行信息科技外包战略及管理办法

xxxx银行信息科技外包战略及管理办法第一章总则第一条为了规范xxxx银行(以下简称“我行”)的信息科技外包活动,保障我行信息系统安全持续稳定运行,降低信息科技外包风险,依据中国银监会颁布的《银行业金融机构信息科技外包风险监管指引》、《银行业金融机构外包风险管理指引》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。

第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。

原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包;(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第三条信息科技外包可能产生如下风险,并导致我行的战略、声誉、合规风险:(一)科技能力丧失:我行过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;(二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;(三)信息泄露:包含客户信息在内的我行非公开数据被服务提供商非法获得或泄露;(四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得我行信息科技服务水平下降。

第四条本办法所称机构集中度风险是指我行将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。

第五条本办法所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第六条实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向;(二)保持外包风险、成本和效益的平衡;(三)强调外包风险的事前控制,保持管控力度;(四)根据外包管理及技术发展趋势,持续改进外包策略和措施。

第七条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。

第八条本办法管理内容涉及科技信息外包的各个流程,包括外包项目的建立、执行、监控、考核评价、持续改进等过程。

第九条本办法参照中国银监会《银行业金融机构信息科技外包风险监管指引》中信息科技外包风险控制要求制订,目标是明确信息科技外包管理要求,防范和控制我行信息科技外包风险,保证外包流程规范化并能达到预期成效。

第二章组织架构及职责第十条我行外包管理的组织架构包括高级管理层和信息科技外包专职主管部门,其中信息科技外包专职主管部门为我行科技开发部。

第十一条我行高级管理层的职责主要包括以下方面:(一)确定外包管理部门职责,并对其行为进行有效监督。

(二)审议批准信息科技外包的战略发展规划;(三)审议批准信息科技外包的风险管理制度;(四)审议批准信息科技外包业务的范围及相关安排;(五)审阅本机构外包活动相关报告;(六)安排内部审计,确保审计范围涵盖所有的外包活动。

第十二条信息科技外包专职主管部门的职责主要包括以下方面:(一)制定信息科技外包的战略发展规划;(二)制定并执行信息科技外包风险管理的政策、操作流程和内控制度;(三)根据我行信息科技建设规划或外包服务需求,结合我行信息科技的建设情况,确立外包项目的范围、内容和相关安排、制定外包年度计划及外包阶段性计划;(四)负责信息科技外包活动的日常管理,包括尽职调查、合同签署以及外包服务技术指标的制定等;(五)负责形成信息科技外包项目情况汇总报告,提交我行高级管理层及风险管理部、审计部和法律合规部等相关部门;(六)根据我行风险管理部、审计部和法律合规部对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进;(七)在发现外包服务提供商的业务活动存在缺陷时,采取及时有效的措施;(八)高级管理层确定的其他职责。

第十三条信息科技外包管理涉及的部门包括:外包管理部门、外包使用部门(外包直接应用部门)、外包审批部门以及外包审计部门、外包风险管理部门等。

第十四条我行科技开发部作为信息科技服务外包管理部门,其基本职能如下:(一)根据我行信息科技建设规划或外包服务需求,结合全行信息科技资源的整体分布和建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划;(二)负责协调和组织外包资源,管理外包资源台账信息;(三)规范和制定外包合同和外包服务水准的基本要求;(四)主持或协助相关部门签定外包服务合同、制定外包服务水准协议,科技开发部主要负责制定技术指标要求;(五)规范和制定外包监控制度、考核评价机制和持续改进办法、组织验收考核;(六)负责定期形成外包项目情况汇总报告,提交相关业务管理部门、风险管理部门及高级管理层;(七)根据我行审计部门或风险管理部门对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进。

第十五条享有信息科技外包服务或外包服务的直接应用部门为外包使用部门,基本职能如下:(一)负责编写提交信息科技外包服务业务需求;(二)参与制定外包服务合同以及外包服务水准,外包使用部门主要负责业务指标和相关罚则的制定;(三)参与对外包公司和外包人员的考核和评审;(四)协助外包管理部门共同管理外包过程。

第十六条我行审计部为信息科技外包的审计部门,负责对信息科技外包项目进行事前、事中和事后审计。

第十七条我行风险管理部门为信息科技外包的风险管理部门,负责根据科技开发部提交的外包项目风险评估报告,发现和控制项目过程中的风险。

第三章外包战略及管理第十八条我行应当以提升信息科技队伍能力,提高科技管理及创新水平,掌握信息科技核心技能为目标,基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括:不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十九条我行根据自身信息科技战略,明确涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包,且不得将信息科技管理责任外包。

第二十条我行在进行信息科技外包活动前必须进行外包风险评估。

在外包风险评估阶段应考虑以下因素: (一)我行的战略目标和业务需要。

(二)我行评估和监视外包关系的能力。

(三)我行的关键服务和重要服务。

(四)外包活动的需求说明。

(五)必要的控制和报告过程。

(六)服务提供商在合同中的权利和义务。

(七)偶发事件的处理,包括改变服务提供商的可能性以及改变服务提供商时所需要的成本和资源。

第二十一条必须选择合适的服务提供商。

在完成自身的风险评估后,我行必须对服务提供商进行评估以决定其财务和运作方面的能力是否能满足需要。

在选择IT 外包服务提供商时,必须对提供商支持外包业务的技术能力、关键人员的业务能力、业务处理的操作和控制能力以及提供商的财务状况等进行全面评估,以选择业务能力强、信誉好的服务提供商。

(一)外包服务提供商技术水平与专业人员的业务能力评估。

主要包括对外包服务提供商提供给金融机构所需服务和技术支持的经验和能力、服务失败或业务系统遭黑客入侵等偶发事件的应对能力、在预期的操作环境下提供服务的经验、提供外包业务关键人员的业务能力和敬业精神与职业道德等进行评估。

(二)安全、保密措施与保险覆盖范围的审查。

主要是审查服务提供商处理设备管理、系统安全性、个人隐私保护、数据记录维护、系统灾难恢复、系统开发和维护以及职员背景等工作的标准、策略和过程是否充分;考查服务提供商是否提供了充分而谨慎的安全措施,包括防火墙、加密、客户身份认证、对金融机构资源的保护和对入侵的检测与应对措施等;考查服务提供商是否对诸如欺诈、火灾、数据丢失、文档失窃等进行保险。

(三)评估外包服务提供商对相关法律法规和专业知识的了解程度。

应该评估外包服务提供商需要向金融机构学习的金融专业知识、外包服务提供商对与我行IT 外包业务相关的法律法规的了解程度等。

(四)财务状况与信誉考察。

应通过其它用户和咨询机构了解外包服务提供商的信誉和表现。

分析服务提供商提供的已经审计过的报告、年终报告和其它指标等。

考查服务提供商在金融行业中服务的时间、占据的市场份额及其波动情况。

评估服务提供商的技术费用支付能力,如服务提供商在财务上是否有能力投资和支持金融机构IT 外包业务所需的技术等。

考查金融机构是否可以完全、及时地取得由提供商保有的资料。

第二十二条制定适当的外包合同。

外包合同是实现外包策略最关键的一个环节, 我行在制定外包合同时,应该注意以下几个方面的问题:(一)明确的服务边界和灵活的外包协议。

在外包合同中,我行必须清晰、明确地指出服务范围,以便服务提供商明确自己的职责。

同时,外包合同(特别是长期外包合同) 应具有充分的弹性以允许在技术和操作方面进行改革或应对技术、业务、甚至策略目标方面可能出现的变化。

(二)合理的服务级别说明和度量。

服务级别说明与度量用来衡量服务提供商的质量表现(perfor2mance) 。

因此,应重点衡量我行通过IT 外包所期望达到的结果和服务水平,而不是把重点放在技术细节上或只关注项目的进展速度。

(三)明确赔偿责任与争端解决程序。

外包服务合同中应包含惩罚服务提供商未能提供约定服务级别的条款。

同时,为了在争端出现时迅速解决争端以及在争端出现时可继续提供服务,合同中还应包括解决双方争端的程序。

(四)安全性与机密性要求。

合同应声明我行各种资源(如信息、硬件、软件等) 的安全性和机密性要求。

除了与外包服务密切相关的信息外,还应禁止外包服务提供商使用和揭露我行的其它信息,防止未经授权的使用。

我行应提醒服务提供商注意个人隐私保护方面的法律条款,防止服务提供商泄露客户的有关信息。

(五)稽核权利。

我行在外包合同中应指明获取外包服务提供商各种审计报告的权利(如财务报告、性能报告、内部控制报告、安全检查报告等)。

合同中也可指明稽核的频率以及相关费用等。

对于重大的外包服务活动,还应考虑在合同中明确由具有专业知识的独立的第三方来执行阶段性的稽核工作,我行应该要求获得详细的存取安全性持续审计结果的权利。

(六)偶发事件的应对计划。

合同应包括外包服务提供商在备份和记录保护方面的责任(包括设备、软件和数据文件的维护等),以及执行测试计划和将其结果提交给我行的责任。

(七)限制成本增加和终止合同的权利。

合同应充分指明基础服务的费用及其计算,包括任何开发、转化、重复的服务以及特殊需求的费用。

还应明确购买和维护软、硬件的责任与成本,并明确在成本结构改变的条件下任何可能发生的情况,以限制成本的增加。

另外我行必须在外包服务合同中提出终止合同的权利,包括控制和设备的变更、成本的显著增加、服务水平多次未达到、不能对关键服务提供支持、公司破产和倒闭以及资金周转不灵等。

相关主题