信息系統(tǒng)外包管理辦法-金融業(yè)

信息系統(tǒng)外包管理暫行辦法第一章 總則第一條 為有效防范信息系統(tǒng)外包過程中產(chǎn)生的風險，促進信息系統(tǒng)安全、持續(xù)、穩(wěn)健運行，根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法、商業(yè)銀行信息科技風險管理指引、國家信息安全相關(guān)要求和有關(guān)信息系統(tǒng)外包管理的法律法規(guī)，制定本辦法。第二條 本辦法所稱信息系統(tǒng)外包，是指將全部或部分IT工作外包給專業(yè)性公司完成的商業(yè)模式。目的是通過整合、利用適當?shù)耐獠繉I(yè)化IT資源，達到降低成本、提高效率、增強核心競爭力、提高應變能力。范圍包括將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控、服務等委托給業(yè)務合作伙伴或第三方（以下統(tǒng)稱為外包服務商）承擔的活動。第三條 各部門應當按照本辦法的規(guī)定開展信息系統(tǒng)外包活動。第二章 外包內(nèi)容管理第四條 應根據(jù)業(yè)務發(fā)展的實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險。第五條 嚴禁外包涉及重要商業(yè)秘密、機密數(shù)據(jù)管理與傳遞和IT信息戰(zhàn)略相關(guān)的業(yè)務和服務。第六條 對于將敏感的信息系統(tǒng)，以及其他涉及國家秘密、商業(yè)秘密和客戶隱私數(shù)據(jù)管理與傳遞等內(nèi)容進行外包時，應遵守國家有關(guān)法律法規(guī)，符合銀監(jiān)會的有關(guān)規(guī)定，經(jīng)過董事會辦公會議批準，并在實施外包前報銀監(jiān)會及其派出機構(gòu)和法律法規(guī)規(guī)定需要報告的機構(gòu)備案。第七條 PC日常管理服務：與PC及PC周邊產(chǎn)品有關(guān)的系統(tǒng)支持、數(shù)據(jù)恢復、系統(tǒng)重建等服務，包括電腦配件購買、硬件維修與安裝、電腦軟件（操作系統(tǒng)、辦公軟件、客戶端程序、防病毒軟件等）安裝等相關(guān)工作。第八條 IT系統(tǒng)基礎(chǔ)設(shè)施服務：網(wǎng)絡(luò)、主機、服務器、存儲、安全、機房設(shè)施等IT系統(tǒng)基礎(chǔ)設(shè)施的硬件保障與維護、運行監(jiān)控與維護、系統(tǒng)管理等服務。IT系統(tǒng)基礎(chǔ)設(shè)施方案設(shè)計、項目實施、軟硬件安裝與配置等服務。第九條 應用系統(tǒng)開發(fā)和技術(shù)支持服務：根據(jù)業(yè)務要求，全部或部分承擔計算機應用系統(tǒng)開發(fā)、變更工作，向提交滿足業(yè)務要求的應用系統(tǒng)的服務。為滿足業(yè)務需求，保障系統(tǒng)運行穩(wěn)定、促進計算機應用系統(tǒng)功能的正常發(fā)揮而向提供的應用系統(tǒng)技術(shù)支持服務。第十條 應用系統(tǒng)運行保障服務：為使計算機應用系統(tǒng)安全、可靠、持續(xù)運行、有效支持業(yè)務運作而提供的技術(shù)服務。第十一條 信息系統(tǒng)租用服務：根據(jù)業(yè)務需要，租用外部信息系統(tǒng)，由信息系統(tǒng)提供商提供信息處理能力和業(yè)務功能，支持業(yè)務運作的服務方式。第十二條 IT咨詢服務：包括IT治理和信息安全咨詢服務，IT發(fā)展規(guī)劃咨詢，以及其他專項IT咨詢服務。第三章 職責和流程第十三條 信息科技管理委員會為公司IT外包服務的職能管理機構(gòu)，信息中心為IT外包服務管理工作的執(zhí)行機構(gòu)，各分支機構(gòu)和業(yè)務單位（部門）參與配合實施。信息中心職責： l 制定IT外包服務管理規(guī)章制度和管理流程，規(guī)范IT外包服務執(zhí)行過程。l 按照公司有關(guān)規(guī)定參與IT外包服務商評選。l 制定IT外包服務商的考核指標。l 評估、管理與監(jiān)控IT外包服務水平，保證其對服務要求的符合性。l 協(xié)調(diào)最終用戶和IT外包服務商關(guān)系，促進業(yè)務工作開展。l 負責公司總部IT外包服務的監(jiān)控與管理。第三章 外包服務商管理第十四條 風險管理部應當建立健全外包服務方評估機制，充分審查、評估服務商的經(jīng)營狀況、財務實力、誠信歷史、安全資質(zhì)、技術(shù)服務能力和實際風險控制與責任承擔水平，并進行必要的盡職調(diào)查（見外包服務商管理細則）。第十五條 簽訂外包服務合同時，應當明確雙方的權(quán)利、義務，規(guī)定外包服務商應當承擔的安全、保密、知識產(chǎn)權(quán)方面的義務和責任。第十六條 外包合同中應當詳細地明確服務商必須提供的最低服務水平、詳細的服務范圍和標準、發(fā)生故障時的服務級別及相應時間等，以防范服務商綜合狀況及業(yè)務需求變化所可能產(chǎn)生的風險。第四章 外包風險管理 第十七條 風險管理部應建立完整的外包監(jiān)測程序，審慎監(jiān)測和管理外包實施過程中可能產(chǎn)生的風險。 第十八條 充分認識外包服務對信息系統(tǒng)風險控制的直接和間接影響，并將其納入總體安全策略和風險控制之中。第十九條 信息系統(tǒng)的設(shè)計開發(fā)外包應當進行缺陷風險管理，包括代碼檢查、文檔管理和技術(shù)轉(zhuǎn)移。第二十條 信息系統(tǒng)外包風險管理應當符合風險管理標準和策略，并建立針對外包風險的應急計劃。 第二十一條 應與外包服務商建立有效的聯(lián)絡(luò)、溝通和信息交流機制，并制定在意外情況下能夠?qū)崿F(xiàn)服務方的順利變更，保證外包服務不間斷的應急預案。 第五章 外包審計第二十二條 稽核部負責信息系統(tǒng)外包的審計。第二十三條 信息系統(tǒng)外包的審計應當遵照商業(yè)銀行信息科技風險管理指引的規(guī)定開展工作。第二十四條 外包軟件應當建立代碼檢查機制，確保代碼的安全性、準確性、完整性和一致性。代碼檢查中應當采用有效的技術(shù)手段，或通過工具、抽檢、腳本審核、逐條閱讀等方式，確保代碼的安全審計；應當落實代碼檢查的責任、驗收和登記制度。 第六章 附則第二十五條 本辦法由風險管理部、稽核部和信息中心負責解釋。第二十六條 本辦法自發(fā)文之日起施行。附：外包服務商管理細則外包服務商管理細則第一章 外包服務商準入與評定標準第一條 綜合條件（1） 企業(yè)變革發(fā)展歷程清晰，從事金融信息系統(tǒng)集成、開發(fā)和服務（以下簡稱“外包項目”）三年以上，原則上應取得相應二級資質(zhì)一年以上； （2） 企業(yè)主業(yè)是外包項目，其收入是企業(yè)收入的主要來源； （3） 企業(yè)產(chǎn)權(quán)關(guān)系明確，注冊資金分別為系統(tǒng)集成原則要求400萬元以上、開發(fā)200萬元以上、服務100萬元以上；（4） 企業(yè)經(jīng)濟狀況良好，財務數(shù)據(jù)真實可信，并須經(jīng)國家認可的會計師事務所審計； （5） 企業(yè)有良好的資信和公眾形象，近三年沒有觸犯知識產(chǎn)權(quán)保護等國家有關(guān)法律法規(guī)的行為。 第二條 業(yè)績 （1） 近三年內(nèi)完成的外包項目按合同要求質(zhì)量合格，已通過驗收并投入實際應用； （2） 近三年內(nèi)完成的外包項目有較高的技術(shù)含量且至少應部分使用了有企業(yè)自主知識產(chǎn)權(quán)的軟件； （3） 近三年內(nèi)未出現(xiàn)過驗收未獲通過的外包項目或者應由企業(yè)承擔責任的用戶重大投訴； （4） 主要業(yè)務領(lǐng)域的典型項目在技術(shù)水平、經(jīng)濟效益和社會效益等方面居國內(nèi)同行業(yè)的領(lǐng)先水平。 第三條 管理能力 （1） 已建立完備的企業(yè)質(zhì)量管理體系，通過國家認可的第三方認證機構(gòu)認證并有效運行一年以上； （2） 已建立完備的客戶服務體系，配置專門的機構(gòu)和人員，能及時、有效地為客戶提供優(yōu)質(zhì)服務； （3） 企業(yè)的主要負責人應具有5年以上從事電子信息技術(shù)領(lǐng)域企業(yè)管理經(jīng)歷，主要技術(shù)負責人應獲得電子信息類高級職稱且從事外包項目技術(shù)工作不少于5年，財務負責人應具有財務系列中級以上職稱。 第四條 技術(shù)實力 （1） 有明確的業(yè)務領(lǐng)域，在主要業(yè)務領(lǐng)域內(nèi)技術(shù)實力、市場占有率等居國內(nèi)前列； （2） 對主要業(yè)務領(lǐng)域的業(yè)務流程有深入研究，有自主知識產(chǎn)權(quán)的基礎(chǔ)業(yè)務軟件平臺或其他先進的開發(fā)平臺，有自主開發(fā)的軟件產(chǎn)品和工具，且在已完成的項目中加以應用； （3） 有專門從事集成、開發(fā)的高級研發(fā)人員及與之相適應的場地、設(shè)備等，并建立完善的軟件開發(fā)與測試體系。第五條 人才實力 （1） 從事外包項目相關(guān)人員原則上，集成不少于30人、開發(fā)不少于50人、服務不少于10人、且其中大學本科以上學歷人員所占比例不低于80%；（2） 主要技術(shù)人員應具有相關(guān)資格證書；（3） 培訓體系健全，具有系統(tǒng)地對員工進行新知識、 新技術(shù)以及職業(yè)道德培訓的計劃并能有效組織實施與考核； （4） 建立合理的人力資源管理與績效考核制度并能有效實施第二章 管理與監(jiān)督第六條 稽核部對外包服務商的履約和服務情況按年或不定期地進行評估和監(jiān)督檢查，并作為后續(xù)項目準入資格審核的重要依據(jù)。第七條 外包服務商的服務水平指標體系包含質(zhì)量水平、合同履約能力、價格水平 、技術(shù)能力、設(shè)計能力、服務響應、人力資源、合作融洽關(guān)系等內(nèi)容。第八條 屬于下列情形之一的外包服務商，給予取消項目準入資格的處罰；（1） 提供虛假材料，騙取項目準入資格的；（2） 提供虛假投標材料的；（3） 采用不正當手段詆毀、排擠其他外包服務商的； （4） 與其他外包服務商違規(guī)串通的；（5） 中標后無正當理由不與招標人簽訂合同的；（6） 向招標人方等行賄或者提供其他不正當利益的；（7） 其他違反有關(guān)規(guī)定的情形；（8） 其他觸犯國家法律的行為。第九條 IT外包服務前期的需求申報：總行科技和業(yè)務部門、分支行各業(yè)務部門根據(jù)業(yè)務需要向信息中心提交IT外包服務需求報告，經(jīng)信息中心審核通過后統(tǒng)一向公司申報。第十條 IT外包服務協(xié)議應包含IT外包服務工作任務書，它作為IT外包服務的執(zhí)行標準和內(nèi)容貫穿在整個IT外包服務過程中。內(nèi)容包含:（1） 確定IT外包服務的工作目標、實施范圍、工作性質(zhì)；（2） 公司業(yè)務需求定義及對相應技術(shù)實現(xiàn)的要求;（3） 工作計劃；（4） IT外包服務雙方聯(lián)系人和聯(lián)系方式的確定；（5） 服務級別定義;（6） 事件處理時間、響應時間、工作時間定義;（7） 交付文檔定義；（8） 驗收或檢查方式定義；（9） 外包服務作業(yè)流程定義。第十一條 對外包開發(fā)軟件項目，由稽核部和IT部門共同實施代碼檢查管理，制定審查流程，確定