xxxx银行
信息科技关联外包管理办法
第一章总则
第一条为规范xxxx银行（以下简称“我行”）信息科技关联外包活动，保障xxxx银行信息系统安全持续稳定运行，降低信息科技关联外包风险，依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》，结合我行实际，特制定本管理办法。

第二条本办法所称关联外包是指外包服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构所提供的信息科技外包服务。

第二章部门及职责
第三条xxxx银行信息科技部为我行信息科技关联外包的职能管理部门。

第四条我行信息科技关联外包管理其他涉及的部门包括：关联外包服务使用部门（外包服务直接应用部门）、关联外包审批部门、风险管理部和审计部等。

第五条我行信息科技部作为信息科技关联外包管理部门，其基本职能如下：
（一）负责协调和组织关联外包资源，管理关联外包资源台账信息；
（二）规范和制定关联外包合同和外包服务水准的基本要求；
（三）协助相关部门签定关联外包服务合同、制定关联外包服务水准协议，信息科技部主要负责制定技术指标要求；
（四）规范和制定关联外包监控制度、考核评价机制和持续改进办法、组织验收考核；
（五）负责定期形成关联外包项目情况报告，提交相关部门及高级管理层；
（六）根据xxxx银行审计部门或风险管理部门对关联外包工作的评估、审计以及提出的风险管理意见对信息科技关联外包工作实施优化和改进。

第六条我行关联外包管理其他涉及的部门，其基本职能如下：
（一）配合信息科技关联外包管理部门做好关联外包服务商的日常风险信息收集；
（二）协助相关部门签定关联外包服务合同、制定关联外包服务水准协议；
（三）配合信息科技关联外包管理部门做好对关联外包工作的评估、审计工作。

第三章关联外包管理原则
第七条我行在开展关联外包活动采购前，应当在外包合同签订前10个工作日向银保监会或其派出机构报告。

第八条我行在开展关联外包活动时，应遵循独立交易原则，对所有参与外包商需采用统一标准和原则，遵循正常市场交易原则和营业常规，不得违背公平交易原则。

第九条我行在开展关联外包活动采购前，应当对关联外包服务商开展全面、深入的尽职调查，全面采集关联外包服务商的相关资料。

尽职调查可由我行自主开展或委托第三方机构开展。

第十条我行在开展关联外包活动时，应当严格按照《银行业金融机构信息科技外包风险监管指引》有关关联外包的风险管理要求，应当经过充分的风险评估，审慎决策并选择关联外包服务商，形成书面风险评估报告，并报送高管层，关联外包决策应当经过高管层书面批准。

第十一条我行应当在与关联外包服务商签订的外包合同中书面应明确以下内容：
（一）外包服务商应当遵从银行业相关监管法规；
（二）外包服务商应当承诺接受我行和银行业监督管理机构的监督检查；
（三）外包服务商应当承诺接受我行安排的风险评估或审计；
（四）外包服务商对我行提供的服务资源应当至少与其他机构相互逻辑隔离，仅我行具有对业务系统和数据的最高访问权限；
（五）未经同意，外包服务商不得将我行数据以任何形式转移、挪用或为外包服务商自身谋取利益。

第四章关联外包日常管理
第十二条对于已采购的信息科技关联外包活动，我行应当加强日常风险监测，建立书面风险清单台账并动态维护，并由外包管理部门制定专门的风险应对措施。

第十三条我行应对参考对关联外包服务商的日常风险监测情况和现场检查情况进行全面评估，定期对关联外包服务商提出整改意见，并要求关联外包服务商落实整改并出具整改反馈。

第十四条我行应根据关联外包服务的水平、发展趋势及评估报告制定关联外包服务管理改进计划。

第十五条我行应根据信息科技外包管理改进计划，对信息科技关联外包服务管理过程进行持续改进和调整优化。

第五章附则
第十六条本办法由xxxx银行信息科技部负责制订、修订和解释。

第十七条本办法自印发之日起施行。