XX银行IT外包服务安全管理办法XX银行IT外包管理办法（试行）第一章总则第一条为规范XX银行股份有限公司（以下简称“我行”）1T 外包服务管理，控制第三方服务和外包屮的相关风险，依据《商业银行信息科技风险管理指引》.《商业银行外包风险管理指引》对IT外包的有关要求，特制定本管理办法。

第二条IT外包是指企业战略性选择外部专业技术和服务资源，以协助内部部门和人员来承担企业IT系统或系统Z上的业务流程的运营.维护和支持的IT服务。

第三条本管理办法在XX银行总行及各分支机构范围内具有强制效力，任何例外或违背的情况都需上报XX银行信息化委员会，以供复查与风险审批。

第二章IT外包服务的目标与原则第四条IT外包活动的目标是通过借助外包服务商的核心竞争力.创新能力和专业技能等优势资源，有效开展信息系统开发或技术服务等活动，实现紧跟技术前沿，创新服务手段，提升服务质量。

第五条通过外包服务合理配置资源，节省我行人.财.物力支出，节约时间，提高效率，达到规模效益。

第六条通过外包服务规避我行IT运营风险，降低损失。

第七条通过外包服务实现我行科技管理和服务过程中的持续改进。

第八条信息科技项目外包应遵循以下原则：（一）不得将信息科技管理责任外包，应合理谨慎监督外包职能的履行；（二）应根据业务发展的实际需要，在合理控制外包成本.收益.风险的基础上，开展信息科技项目外包活动。

第九条重要或敏感信息科技项目外包时，必须提交信息化委员会批准。

第条重大信息科技项目外包时，应根据监管部门要求，及时报告和报备。

第三章IT外包服务的管理组织第一条我行IT外包管理组织架构应当包括决策机构.管理机构.执行机构.监督检查机构和风险管理机构。

第二条IT外包管理的决策机构是信息化委员会，其管理职责主要包括：（一）制定/维护信息科技外包计划;（二）制定/维护信息科技外包管理策略/制度；批准所有重要IT业务的外包安排；（四）定期审阅IT外包安排的有关报告；第三条IT外包的管理机构是集屮采购委员会，其管理职责主要包括：（一）对制度执行情况进行监督检查；（二）配合完成内部审计/行业监管；（三）组织外包项目的招标工作；（四）对外包服务商能力进行综合评定，选定合适的外包服务商；（五）参与执行外包项目突发事件应急处置。

第四条信息科技外包的执行角色是信息科技部各外包项目相关责任人，其承担项目经理角色，参与IT外包项目调研.立项.规划.实施.收尾等各阶段的管理工作，同时协助风险管理部对各阶段工作进行风险评估，具体职责包括：（一）对外包服务商进行评估；签订外包协议/保密协议；（三）对外包项目技术文档进行归档管理。

（四）编写/报告信息科技外包管理工作报告；㈤对外包开发人员进行控制和管理；（六）针对突发事件制定/执行应急处置预案；第五条合规部负责信息IT外包相关制度合规性和外包合同的审核.参与重要外包合同的起草.审查和变更。

第六条信息科技外包的监督机构是审计部，审计部应指定岗位人员履行监督职责，包括：（一）对信息科技外包管理进行内部审计检查；（二）配合外部审计机构对信息科技外包管理进行外部审计检查；（三）向董事会/信息化委员会报告内审检查情况。

第七条信息科技外包的风险管理机构是风险管理部，风险管理部应指定岗位人员履行风险管理职责，包括：（一）制定/维护信息科技风险管理制度；（二）对外包开发项目进行风险评估；（三）配合内/外部审计机构对信息科技外包管理进行内/外部审计检查；（四）定期收集/汇总/报告信息科技外包风险指标数据。

第八条IT外包管理过程应包括：IT外包决策论证.IT外包商选择.IT外包商协议签订.IT外包服务实施管理与控制.IT外包实施风险控制与质量监督.IT外包服务应急管理.变更与终止.评价与退出。

第四章IT外包服务的分类和决策论证第九条我行IT外包业务分软件研发外包.人力资源外包以及服务外包。

（一）应用研发外包：指涉及信息系统开发的所有外包活动。

具体包括信息系统项目开发•系统变更开发等领域。

具体描述如下：L信息系统项目开发：指我行为了实现业务创新和内部管理等要求而开展的各类新增信息系统项目。

主要包括应用软件开发和与Z相配套的信息系统基础建设等项目。

2.系统变更开发：指在系统运行维护过程中，为使信息系统能够满足业务发展及相关管理和控制要求，通过软件开发.版本升级等途径，对系统功能进行增加.升级.删除等完善工作，以及对系统运行过程中发现的缺陷进行修复的相关工作。

（二）人力资源外包：指为购买外部人力资源参与我行信息科技规划.建设.运营服务的专业技术人才。

（三）服务外包：指为支撑XX银行信息系统的安全平稳运行而开展的外包活动。

具体包括应用服务外包和维护保障外包。

1.网络安全外包：指为确保XX银行信息安全合规体系运营建设相关的风险评估.应急响应.安全运维值守等网络安全服务工作。

2.IT系统运行维护服务外包：指对网络.主机.服务器.存储. 安全.机房设施等IT系统基础设施的硬件保障与维护.运行监控与维护.系统管理等服务。

第二条我行应根据审慎经营原则制定其IT外包战略发展规划，审慎决定与其风险管理水平相适应的外包管理活动范围，在最终确定某项外包业务时，应从业务类型.影响范围.项目相关性. 资金预算等多个方面进行评估以选择相应级别的IT外包商。

第二一条我行应关注IT外包活动的战略风险.声誉风险.合规风险.操作风险.国家风险等风险。

第五章IT外包商选择第二二条我行信息科技部根据外包项目要求.技术特点.合作历史•公司方资质状况等，应公正.公平.公开.择优.信用的形式，选取合适的IT外包商。

第二三条根据IT外包项目的重要性，我行IT外包业务分一般普通类.管理渠道类.核心业务类三种以及人力资源外包。

信息科技部根据IT外包业务类型，组织制订IT外包商选择标准，并报集屮采购管理委员会审批确认。

第二四条一般普通类业务IT外包商选择标准包括但不限于如下内容：（一）产品或服务价格1.IT外包商提供的产品或服务满足我行外包要求，性价比咼O（二）客户服务体系1.已在本地建立了完备的客户服务体系，配置专门的机构和人员，能及时•有效地为我行提供优质服务。

第二五条管理渠道类业务IT外包商选择标准在遵循普通类业务IT外包商选择标准同时，还需包括如下内容：（一）管理能力1.已建立完备的企业质量管理体系，通过国家认可的第三方认证机构认证并有效运行一年以上；2.企业的主要负责人应具有5年以上从事电子信息技术领域企业管理经历，主要技术负责人应获得电子信息类高级职称且从事外包项目技术工作不少于5年，财务负责人应具有财务系列中级以上职称。

（二）财务稳健性1.企业产权关系明确，注册资金分别为系统集成原则要求400 万元以上.开发200万元以上.服务100万元以上；2.企业经济状况良好，财务数据真实可信，并须经国家认可的会计师事务所审计。

（三）经营声誉和企业文化1.企业有良好的资信和公众形彖，拥有知识产权.符合国家有关法律法规的行为。

（四）技术服务实力1.有明确的业务领域，在主要业务领域内技术实力.市场占有率等居国内前列；2.对主要业务领域的业务流程有深入研究，有自主知识产权的基础业务软件平台或其他先进的开发平台，有自主开发的软件产品和工具且在已完成的项冃屮加以应用；3.主要技术人员应具有相关专业资格证书,从事外包项目相关人员至少需要有两年以上从业经验。

第二六条核心业务类IT外包商选择标准在遵循以上两类业务的要求同时，还需考虑以下内容：（一）专业经验和成功案例，对银行业务的的熟悉程度1.近三年内承担的同行业同等规模或以上的外包项目按合同要求质量合格，已通过验收并投入实际应用；2.近三年内承担的同行业同等规模或以上外包项目有较高的技术含量且至少应部分使用了有企业自主知识产权的软件；3.近三年内承担的同行业同等规模或以上外包项目未出现过验收未获通过的外包项目或者应由企业承担责任的用户重大投诉；4.主要业务领域的典型项目在技术水平.经济效益和社会效益等方面居国内同行业的领先水平。

（二）自身应对突发事件的风险处理能力1.IT外包商自身在组织架构.管理规范.技术体系三个层次是否有健全的风险处置体系和应急保障方案，以应对不可预知的市场风险。

第二七条人力资源外包主要依据我行项目需求，对外包商提供的人员专业素质能力，如学历背景.工作经验.专业证书以及其他相关综合素质作为考量选择标准。

第二八条人力资源外包分资深顾问.项目经理.高级工程师•工程师.实习生等五个级别。

每个级别由外包商提供建议，并经我行信息科技部相关领导面试确认后按市场行情.外包公司工资水平. 人力资源能力情况提供待遇。

人力资源费用参考历年及当年一般市场行情，可根据社会平均工资增长情况•市场行情.外包公司水平.外包人员能力情况进行浮动。

第二九条我行信息科技部应依据IT外包项目特点和选择方式，建立编写项目标书公开招标或以邀标的方式分发至投标IT外包商，参与投标的IT外包商原则上不少于三家。

除采用公开招标或邀标方式外，还可以根据实际情况采用比价方式，参与比价的 IT 外包商原则上不少于两家，或采用单一来源谈判方式。

第三条投标IT外包商在指定期限内按照项目标书及相关材料，提交投标书，投标书应覆盖而不仅限于公司资质.财务状况. 人员资质•解决方案.实施计划.商务报价等。

所有资质在投标屮均需提供相应的复印件以供查证，关键资质需提供原件。

第三一条我行集屮采购委员会根据IT外包商评估标准，组织相关人员，重大IT外包项目可选择性邀请其它职能部门完成评标工作：（一）评标工作将参照《屮华人民共和国招标投标法》，遵循“公平.公正.择优.信用”的原则进行，根据招标项目的特点依法组建项目评标委员会，全面充分地审阅.研究投标文件，并根据投标公司的概述.答辩，对其投标文件进行审查.质疑.评估和比较；（二）我行将按对各投标IT外包商综合评估的优劣顺序，优先选择综合评估最优的投标公司进行商务谈判。

如双方能达成一致，将确定其为中标人；如未达成一致，则选择综合评估次优的投标IT 外包商进行商务谈判，依此类推，我行再进行第二轮商务谈判；（三）按照招投标规定，信息科技部配合集屮采购委员会.项目评标成员完成选定最终合作公司。

（四）IT外包商项目组使用的技术规范.文档标准.管理过程应符合合同规定的要求，或符合双方达成一致的要求。

第三二条具体IT外包项目招投标工作事宜依据我行招投标管理办法。

第三三条IT服务外包商的选择和合同执行应定期审核，保证我行能够获得最具成本效益的外包服务。

第六章IT外包服务协议签订第三四条信息科技部根据外包需求以及我行相关管理规范起草IT外包协议初稿，经合规部门审查后由分管科技工作的行领导签署IT外包协议。

第三五条IT外包协议必须符合以下要求：（一）必须符合国家有关法律和金融法规；（二）为保证项目的正常完成，IT外包协议中应规定结算方式，一般根据银行的信誉和公司的实力，银行方根据项目的规模确定预付款比例，并留5%-10%的质量保证金，质保期根据项目的规模一般为一年至三年；人力外包按照实际核算工作量支付费用。