信息科技外包管理辦法

1、xx公司信息科技外包管理辦法第一章總則第一條為規(guī)范xx公司（以下簡稱本司）信息科技外包活動，降低信息科技外包風(fēng)險，根據(jù)xx公司信息科技外包管理辦法（2018年修訂），制定本辦法。第二條本辦法所稱信息科技外包，指本司將原本由自身負(fù)責(zé)處理的信息科技活動委托給服務(wù)提供商進(jìn)行處理的行為。信息科技外包分為以下幾類：（一）研發(fā)與咨詢類外包：指科技管理及科技治理等咨詢設(shè)計外包，應(yīng)用系統(tǒng)的規(guī)劃、需求、系統(tǒng)開發(fā)、測試外包。（二）系統(tǒng)運(yùn)行維護(hù)類外包：指數(shù)據(jù)中心（災(zāi)備中心）機(jī)房配套設(shè)施、服務(wù)器、網(wǎng)絡(luò)、系統(tǒng)的運(yùn)維外包，自助設(shè)備、POSM等遠(yuǎn)程終端及辦公設(shè)備的運(yùn)維外包。（三）業(yè)務(wù)外包中的信息科技活動：市場拓展、業(yè)務(wù)操作

2、、企業(yè)管理、資產(chǎn)處置等外包中的系統(tǒng)開發(fā)、運(yùn)行維護(hù)和數(shù)據(jù)處理活動。重大外包項(xiàng)目指外包合同金額占項(xiàng)目總投入一半以上的重大信息科技項(xiàng)目，或涉及將本司客戶資料提供給外包商分析使用的項(xiàng)目。第三條管理原則（一）信息科技外包風(fēng)險管理納入信息科技風(fēng)險管理和外包風(fēng)險管理，納入本司全面風(fēng)險管理體系。信息科技外包戰(zhàn)略納入本司信息科技戰(zhàn)略。（二）對本司信息科技外包工作，采取以下管理原則：1 .不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)；2 .保持外包風(fēng)險、成本和效益的平衡；3 .強(qiáng)調(diào)事前控制，保持管控力度；4 .根據(jù)外包管理及技術(shù)發(fā)展趨勢，持續(xù)改進(jìn)外包策略實(shí)施。（三）根據(jù)本司當(dāng)前發(fā)展階段和信息科技工作實(shí)際，以下職責(zé)或工作內(nèi)

3、容不得外包：1 .信息科技管理責(zé)任、信息科技整體工作；2 .信息科技戰(zhàn)略管理、風(fēng)險管理和內(nèi)部審計；3 .數(shù)據(jù)中心或?yàn)?zāi)備中心整體工作；4 .其他有關(guān)信息科技核心競爭力的職能。（四）根據(jù)本司當(dāng)前發(fā)展階段和信息科技工作實(shí)際，本司不允許使用以下信息科技外包服務(wù)（本司子公司使用母行提供的外包服務(wù)不受此限制）：1 .關(guān)聯(lián)外包，即與本司具有關(guān)聯(lián)關(guān)系的公司或機(jī)構(gòu)提供的信息科技外包。2 .跨境外包，即在境外其他國家或地區(qū)實(shí)施的信息科技外包。（五）本司可作為外包服務(wù)提供機(jī)構(gòu)向本司子公司、關(guān)聯(lián)機(jī)構(gòu)或其他同業(yè)提供外包服務(wù)。提供外包服務(wù)時應(yīng)遵從監(jiān)管對于同業(yè)托管機(jī)構(gòu)外包服務(wù)的要求。第四條適用范圍本辦法適用于信息科技外包工

4、作的管理。第二章職責(zé)權(quán)限第五條信息科技部是本司信息科技外包牽頭管理部門，承擔(dān)以下職責(zé)：（一）牽頭科技外包戰(zhàn)略的制定，牽頭科技外包風(fēng)險識別與評估。（二）制定并執(zhí)行信息科技外包管理制度與流程，促進(jìn)外包風(fēng)險管理不斷改善。（三）審核外包執(zhí)行單位報送的外包方案，從技術(shù)架構(gòu)、技術(shù)標(biāo)準(zhǔn)、信息科技風(fēng)險等方面進(jìn)行把關(guān)。（四）負(fù)責(zé)制定信息科技外包人員的場地分配、人員準(zhǔn)入、考勤、退場及違規(guī)處罰等的日常管理規(guī)范。同時，制定對外包供應(yīng)商人員調(diào)配、技術(shù)服務(wù)等方面的規(guī)范和要求。（五）指導(dǎo)監(jiān)督信息科技外包執(zhí)行單位的信息科技外包活動，定期匯總并匯報信息科技外包活動相關(guān)風(fēng)險管理情況。第六條信息科技部是研發(fā)咨詢類、系統(tǒng)運(yùn)行維護(hù)類外

5、包的執(zhí)行單位，其他部室是業(yè)務(wù)外包中的信息科技活動的執(zhí)行單位。外包執(zhí)行單位承擔(dān)以下職責(zé):（一）實(shí)施信息科技外包戰(zhàn)略。（二）指定各項(xiàng)外包工作的具體負(fù)責(zé)人。（三）制定外包方案，實(shí)施必要的崗位職責(zé)分離措施，以防范風(fēng)險。（四）執(zhí)行外包管理活動，包括編制方案、預(yù)算申請、采購、合同管理、實(shí)施管理、驗(yàn)收、付款等。（五）執(zhí)行信息科技供應(yīng)商準(zhǔn)入、評價、退由管理，供應(yīng)商人員的日常管理和供應(yīng)商后評價。（六）制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，并組織實(shí)施定期演練。（七）對外包過程中的各項(xiàng)管理活動進(jìn)行監(jiān)控及分析，定期報告外包活動情況及風(fēng)險管理狀況。（八）對重要信息科技外包服務(wù)提供商進(jìn)行定期的風(fēng)險評估，保持評估的獨(dú)立性。

6、至少在三年內(nèi)覆蓋所有重要的服務(wù)提供商。評估內(nèi)容包括：服務(wù)提供商合規(guī)情況、服務(wù)的執(zhí)行效果等，評估結(jié)果應(yīng)當(dāng)作為服務(wù)提供商準(zhǔn)入及退由的重要依據(jù)。第七條內(nèi)控合規(guī)部承擔(dān)以下職責(zé)：（一）對外包風(fēng)險進(jìn)行風(fēng)險提示。（二）負(fù)責(zé)對信息科技外包涉及的規(guī)章制度進(jìn)行審查并提供合規(guī)性和內(nèi)控措施有效性方面的意見和建議；指導(dǎo)監(jiān)督外包風(fēng)險管理政策的執(zhí)行和落實(shí)，并督促外包風(fēng)險管理的持續(xù)改善。（三）從本專業(yè)角度向信息科技部提由信息科技外包風(fēng)險管控的意見和建議。（四）高級管理層確定的其他信息科技外包風(fēng)險管理職責(zé)。（五）審核各類外包合同、協(xié)議，保證合同、協(xié)議的合法及本司權(quán)益不受侵犯。（六）對信息科技外包活動提供法律咨詢服務(wù)和指導(dǎo)監(jiān)督。

7、第八條綜合管理部承擔(dān)以下職責(zé)：（一）將信息科技外包采購活動納入本司采購管理流程。（二）將信息科技外包服務(wù)商納入本司供應(yīng)商管理范圍之內(nèi)。（三）對信息科技外包采購管理流程、供應(yīng)商管理流程的執(zhí)行情況進(jìn)行監(jiān)督。第九條信息科技部是轄內(nèi)信息科技外包牽頭管理部門，負(fù)責(zé)按總行信息科技外包戰(zhàn)略和制度管理轄內(nèi)信息科技外包活動；內(nèi)控合規(guī)部負(fù)責(zé)指導(dǎo)、監(jiān)督和檢查轄內(nèi)信息科技外包活動，審核轄內(nèi)信息科技外包合同或協(xié)議。第三章信息科技外包管理第一節(jié)立項(xiàng)與準(zhǔn)入第十條立項(xiàng)中外包執(zhí)行單位應(yīng)對備選外包商進(jìn)行初步篩查。備選外包商信息由供應(yīng)商庫中取得，信息不夠完善或不在本司供應(yīng)商庫內(nèi)的，由外包執(zhí)行單位協(xié)調(diào)相關(guān)資源開展盡職調(diào)查提供，或采信

8、其他銀行業(yè)金融機(jī)構(gòu)對同一外包商6個月內(nèi)的盡職調(diào)查結(jié)果。第十一條盡職調(diào)查獲取備選外包商信息主要包括以下內(nèi)容：（一）服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場和行業(yè)評價、監(jiān)管評價。（二）內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具。（三）從業(yè)時間、市場地位及發(fā)展趨勢、資金的安全性、近期盈利情況。（四）機(jī)構(gòu)集中度特點(diǎn)，即外包商所承接的外包服務(wù)的數(shù)量、金額在本司重大外包項(xiàng)目中的占比，外包商所承接外包服務(wù)在銀行業(yè)服務(wù)市場占比情況，包括外包商之間為集團(tuán)子公司、關(guān)聯(lián)公司或附屬機(jī)構(gòu)等情況。第十二條外包執(zhí)行單位在計劃簽署合同30個工作日前將盡職調(diào)查結(jié)果、立項(xiàng)材料提交外包牽頭管理部門進(jìn)行評審，盡職調(diào)

9、查結(jié)果中對外包風(fēng)險應(yīng)做由初步評估并提由處置建議。外包牽頭管理部門在立項(xiàng)評審階段組織檢查項(xiàng)目與信息科技外包管理要求的一致性，審查評估外包風(fēng)險管理狀況并最終確定風(fēng)險處置方案。立項(xiàng)評審階段的其他評審項(xiàng)按項(xiàng)目管理有關(guān)辦法執(zhí)行。重大外包項(xiàng)目在評審后應(yīng)及時向本司信息科技部報告。第二節(jié)外包服務(wù)采購、合同與付款管理第十三條執(zhí)行單位對于所負(fù)責(zé)的外包內(nèi)容，要作為采購發(fā)起方進(jìn)行采購立項(xiàng)，與采購主管部門完成采購工作，并負(fù)責(zé)合同審核、簽署及后續(xù)合同管理，執(zhí)行人力外包框架協(xié)議。信息科技部負(fù)責(zé)執(zhí)行的科技外包項(xiàng)目按照附件1XX公司軟件開發(fā)外包人力管理細(xì)則執(zhí)行，其他科技外包執(zhí)行部門應(yīng)參照附件1執(zhí)行。第十四條在外包任務(wù)通過驗(yàn)收后

10、，執(zhí)行單位可發(fā)起付款申請，依據(jù)合同付款條件提交申請。信息科技部作為科技類費(fèi)用主管部門，對付款申請?zhí)嵊蓪徍艘庖姡儆蓤?zhí)行單位提交財務(wù)部進(jìn)行付款。第十五條外包合同、協(xié)議及采購文件中應(yīng)當(dāng)明確以下內(nèi)容，包括但不限于：（一）服務(wù)范圍、服務(wù)內(nèi)容、工作時限及安排、駐場或非駐場的外包形式、責(zé)任分配、交付物要求以及后續(xù)合作中的相關(guān)限定條件。（二）合規(guī)與內(nèi)控要求，對法律法規(guī)及本司內(nèi)部管理制度的遵從要求、監(jiān)管政策的通報貫徹機(jī)制、服務(wù)提供商的內(nèi)控措施。（三）服務(wù)連續(xù)性要求，外包商的服務(wù)連續(xù)性管理目標(biāo)應(yīng)當(dāng)滿足本司業(yè)務(wù)連續(xù)性目標(biāo)要求。（四）本司對外包商監(jiān)控和檢查的權(quán)利、頻率，外包商配合本司內(nèi)、外部審計機(jī)構(gòu)檢查，及配合銀行

11、業(yè)監(jiān)管機(jī)構(gòu)檢查的責(zé)任。（五）政策或環(huán)境變化因素等在內(nèi)的合同變更或終止的觸發(fā)條件，外包商在過渡期間應(yīng)該履行的主要職責(zé)及合同變更或終止的過渡安排，包括信息、資料和設(shè)施的交接處置等過渡期間相關(guān)服務(wù)的安排。（六）外包服務(wù)過程中產(chǎn)生、加工、交互的信息和知識產(chǎn)權(quán)的歸屬權(quán)以及允許服務(wù)提供商使用的內(nèi)容及范圍，對服務(wù)提供商使用合法軟、硬件產(chǎn)品的要求。（七）服務(wù)要求或服務(wù)水平條款，至少應(yīng)當(dāng)包括如下內(nèi)容：外包服務(wù)的關(guān)鍵要素、服務(wù)時效和可用性、數(shù)據(jù)的機(jī)密性和完整性要求、變更的控制、安全標(biāo)準(zhǔn)的遵守情況、技術(shù)支持水平等。（八）爭端解決機(jī)制、違約及賠償條款，至少包括如下內(nèi)容：服務(wù)質(zhì)量違約、安全違約、知識產(chǎn)權(quán)違約等，及在各種

12、違約情況下的賠償以及外包爭端的解決機(jī)制。（九）報告條款，至少包括常規(guī)報告內(nèi)容和報告頻度、突發(fā)事件時的報告路線、報告方式及時限要求。第十六條應(yīng)當(dāng)在合同、協(xié)議以及采購文件中明確外包商在安全和保密方面的責(zé)任，以及針對安全及保密要求需采取的具體措施。包括但不限于：（一）禁止外包商在合同允許范圍外使用或者披露有關(guān)本司的信息，以防止信息被非授權(quán)使用。（二）在合同或協(xié)議中約定外包商對本司客戶信息安全和本司客戶權(quán)利的保護(hù)條款、事故處理方式及違約賠償條款；保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時，本司有權(quán)隨時終止外包合同。（三）在合同或協(xié)議中約定外包商不得以本司名義開展活動。（四）外包商接觸本

13、司信息時，需滿足安全和保密相關(guān)條款的要求。（五）在發(fā)生銀監(jiān)會規(guī)定的信息科技突發(fā)事件，或發(fā)生可能引發(fā)系統(tǒng)性、區(qū)域性銀行業(yè)信息科技風(fēng)險類突發(fā)事件時，外包商應(yīng)及時向本司報告，包括事件的影響以及處置和糾正措施。第十七條應(yīng)當(dāng)在合同、協(xié)議以及采購文件中明確要求服務(wù)提供商不得將外包服務(wù)轉(zhuǎn)包和變相轉(zhuǎn)包。在涉及外包服務(wù)分包時應(yīng)當(dāng)要求：（一）不得將外包服務(wù)的主要業(yè)務(wù)分包。（二）主服務(wù)提供商對服務(wù)水平負(fù)總責(zé)，確保分包服務(wù)提供商能夠嚴(yán)格遵守外包合同或協(xié)議。（三）主服務(wù)提供商對分包商進(jìn)行監(jiān)控，并對分包商的變更履行通知或報告審批義務(wù)。第三節(jié)外包實(shí)施過程管理第十八條執(zhí)行單位負(fù)責(zé)外包實(shí)施過程的管理對于研發(fā)咨詢類外包，執(zhí)行單位

14、負(fù)責(zé)管理相關(guān)系統(tǒng)的需求分析與評估、軟件開發(fā)、測試與投產(chǎn)等各項(xiàng)工作，并符合本司相關(guān)技術(shù)管理要求。所形成的軟件版本應(yīng)按照配置管理和軟件資產(chǎn)管理的要求提交信息科技部。對于運(yùn)行維護(hù)類外包，執(zhí)行單位負(fù)責(zé)督促供應(yīng)商，按照本司統(tǒng)一的生產(chǎn)運(yùn)行管理要求，進(jìn)行日常巡檢、故障處理和問題解決。對于業(yè)務(wù)類外包中涉及客戶信息交由外包商分析處理的，進(jìn)入實(shí)施階段時應(yīng)告知相關(guān)客戶。對于信息科技部負(fù)責(zé)執(zhí)行的科技外包項(xiàng)目駐場外包人員按照附件2«xx公司信息科技駐場外包人員日常管理細(xì)則執(zhí)行，其他科技外包執(zhí)行部門應(yīng)參照附件2執(zhí)行。第十九條執(zhí)行單位應(yīng)對供應(yīng)商的日常工作情況進(jìn)行管理，對外包實(shí)施過程持續(xù)監(jiān)測，監(jiān)測頻率不得低于每季度

15、一次。監(jiān)測信息匯總至信息科技部，作為外包商最終評價的依據(jù)。10第二十條外包實(shí)施監(jiān)測內(nèi)容包括：（一）研發(fā)咨詢類：里程碑及時完成率、程序缺陷數(shù)、需求理解能力、業(yè)務(wù)部門評價、外包人員工作飽和度、考核合格率、項(xiàng)目外包風(fēng)險情況總結(jié)。（二）其他類：設(shè)備可用率、故障次數(shù)、故障解決率、故障響應(yīng)時間、服務(wù)次數(shù)、服務(wù)滿意度、業(yè)務(wù)連續(xù)性管理能力、外包風(fēng)險情況總結(jié)。第二十一條科技外包執(zhí)行單位應(yīng)同步監(jiān)測外包商整體經(jīng)營和財務(wù)狀況，以防范外包服務(wù)意外終止或服務(wù)質(zhì)量下降。對此的監(jiān)測、信息更新至少每半年一次并形成記錄。對重要信息科技外包服務(wù)提供商，應(yīng)定期獲取外包商自評估或第三方評估報告。第二十二條對監(jiān)測或檢查過程中發(fā)現(xiàn)的問題，

16、應(yīng)責(zé)令外包商限期整改。如存在逾期未改且可能產(chǎn)生重大風(fēng)險的問題，依據(jù)合同或協(xié)議，暫停或取消相關(guān)外包商的服務(wù)資格。第四節(jié)外包中斷或終止第二十三條對可能影響本司業(yè)務(wù)連續(xù)性的外包活動，在重要時點(diǎn)值守、組織業(yè)務(wù)連續(xù)性計劃演練時將外包商納入本司統(tǒng)一組織的活動范圍。第二十四條外包活動監(jiān)測過程中發(fā)現(xiàn)風(fēng)險或外包活動發(fā)生風(fēng)險事件，除責(zé)令外包商整改外，科技外包執(zhí)行單位應(yīng)推薦具備替代能力的其他外包商，作為應(yīng)急替代選擇。11第二十五條重大外包項(xiàng)目在簽署合同或協(xié)議后、進(jìn)入實(shí)施階段前，應(yīng)制定外包應(yīng)急計劃，考慮供應(yīng)商主動或被動退生的情況下，本司的應(yīng)急處置措施。第二十六條科技外包執(zhí)行單位組織外包應(yīng)急計劃演練。演練應(yīng)每年至少組織

17、一次。第四章集中度特點(diǎn)與非駐場外包第二十七條在準(zhǔn)入階段，對具有顯著機(jī)構(gòu)集中度特點(diǎn)的外包商或非駐場服務(wù)外包商，必須要求其提供內(nèi)部控制、質(zhì)量管理、信息安全管理、持續(xù)運(yùn)營能力（僅對集中度特點(diǎn)的外包商）有效性的依據(jù)（資質(zhì)或報告），經(jīng)審查有效后準(zhǔn)入。外包商必須滿足以下要求方可準(zhǔn)入：（一）公司內(nèi)部具備獨(dú)立于技術(shù)服務(wù)人員的質(zhì)量管控角色，負(fù)責(zé)服務(wù)質(zhì)量的監(jiān)督和檢查，并對檢查結(jié)果、問題整改進(jìn)行記錄；（二）公司內(nèi)部具備獨(dú)立于技術(shù)服務(wù)人員的信息安全管理角色，負(fù)責(zé)公司內(nèi)部的信息安全管理及檢查，并對檢查結(jié)果、問題整改進(jìn)行記錄；（三）近一年內(nèi)有安全合規(guī)自評估或第三方評估報告；（四）提供同類服務(wù)期限滿一年且無事故；（五）對提

18、供非駐場服務(wù)的場地設(shè)施具備完全的控制權(quán)。第二十八條在合同中，對具有顯著機(jī)構(gòu)集中度特點(diǎn)的12外包商，應(yīng)要求外包商為本司提供相對獨(dú)立的資源，包括服務(wù)團(tuán)隊(duì)、場地、系統(tǒng)、設(shè)備等。第二十九條在實(shí)施階段，對具有顯著機(jī)構(gòu)集中度特點(diǎn)的外包商或非駐場服務(wù)外包商，應(yīng)加強(qiáng)對監(jiān)測指標(biāo)的確認(rèn)和監(jiān)督，以確保監(jiān)測內(nèi)容的預(yù)警效果。第三十條在實(shí)施階段，對具有顯著外包集中度特點(diǎn)的供應(yīng)商或影響全行實(shí)時服務(wù)（或客戶信息安全）的非駐場外包商，除監(jiān)測常規(guī)內(nèi)容外，還應(yīng)由科技外包執(zhí)行單位牽頭，定期開展實(shí)地安全檢查或委托第三方審計。原則上對非駐場外包的實(shí)地檢查（審計）不少于一年一次。第五章非駐場集中式外包第三H一條非駐場集中式外包是指外包商不

19、在本司提供現(xiàn)場服務(wù)，或外包的關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)不在本司產(chǎn)權(quán)場所，由本司以租用設(shè)施或購買服務(wù)資源的方式獲得，主要由外包商運(yùn)維，并且外包服務(wù)商同時為3家（含）以上銀行業(yè)金融機(jī)構(gòu)或其他機(jī)構(gòu)提供服務(wù)的外包方式。非駐場集中式外包通常包括應(yīng)用系統(tǒng)服務(wù)、金融自助設(shè)備整體運(yùn)維、數(shù)據(jù)分析與處理服務(wù)（含錄入、制卡）、軟件開發(fā)服務(wù)等。第三十二條本司應(yīng)要求非駐場集中式外包服務(wù)機(jī)構(gòu)滿足以下條件方可與本司合作:13（一）應(yīng)當(dāng)是中華人民共和國境內(nèi)注冊的獨(dú)立法人實(shí)體，注冊資本和實(shí)收資本不少于1000萬，注冊成立時間不少于3年。（二）應(yīng)當(dāng)擁有健全的組織架構(gòu)，并針對所提供的外包服務(wù)建立有效的風(fēng)險治理架構(gòu)，至少應(yīng)當(dāng)建立由公司高

20、級管理層直接領(lǐng)導(dǎo)、針對銀行業(yè)金融機(jī)構(gòu)外包服務(wù)的、專職信息科技風(fēng)險管理團(tuán)隊(duì)，為持續(xù)的外包服務(wù)提供保證。（三）應(yīng)當(dāng)建立與所承擔(dān)的服務(wù)范圍和規(guī)模相適應(yīng)的服務(wù)管理體系，建立完善的信息安全、服務(wù)質(zhì)量、服務(wù)持續(xù)性等管理制度體系，擁有有效的檢查、監(jiān)控和考核機(jī)制，確保管理規(guī)范有效執(zhí)行。（四）應(yīng)當(dāng)具有足夠的技術(shù)能力、人力資源和設(shè)施、環(huán)境，滿足外包服務(wù)的質(zhì)量和安全管理要求。其承擔(dān)的銀行業(yè)金融機(jī)構(gòu)外包服務(wù)場地應(yīng)當(dāng)設(shè)置在中國境內(nèi)。（五）具有完善的信息安全管理體系、業(yè)務(wù)連續(xù)性管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的信息安全管理和業(yè)務(wù)連續(xù)性管理資質(zhì)認(rèn)證。（六）具有完善的質(zhì)量管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的質(zhì)量管理資質(zhì)認(rèn)證。（

21、七）承擔(dān)集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)外包服務(wù)，或承擔(dān)銀行業(yè)金融機(jī)構(gòu)客戶資料、交易數(shù)據(jù)等敏感信息的批量分析或處理服務(wù)的重點(diǎn)外包服務(wù)機(jī)構(gòu)，應(yīng)當(dāng)具有完善14的運(yùn)行服務(wù)管理體系，并通過業(yè)界公認(rèn)較為權(quán)威的運(yùn)行服務(wù)管理資質(zhì)認(rèn)證。（八）應(yīng)當(dāng)具有信息科技風(fēng)險的管理體系，有效識別、監(jiān)測、評估和控制風(fēng)險。銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)應(yīng)當(dāng)至少每季度向本司報送外包風(fēng)險監(jiān)控報告，針對監(jiān)控發(fā)現(xiàn)的潛在風(fēng)險或風(fēng)險事件，及時采取控制或緩釋措施。（九）應(yīng)當(dāng)每年聘請獨(dú)立的審計機(jī)構(gòu)，對自身外包服務(wù)進(jìn)行風(fēng)險評估，年度風(fēng)險評估報告需報送本司，并抄送銀監(jiān)會或其派由機(jī)構(gòu)。（十）應(yīng)當(dāng)對其外包服務(wù)團(tuán)隊(duì)成員進(jìn)行背景調(diào)查，確保其過往無不良記錄，且應(yīng)當(dāng)與

22、項(xiàng)目成員簽訂保密協(xié)議，并保留至少10年的法律追訴期。與監(jiān)管定義的銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)合作，同時也應(yīng)要求其滿足上述條件。第三十三條對非駐場集中式外包供應(yīng)商的盡職調(diào)查,除滿足一般盡職調(diào)查的要求外，應(yīng)重點(diǎn)調(diào)查：（一）外包服務(wù)商對本司與其他機(jī)構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界。（二）外包服務(wù)商是否有管理制度和技術(shù)措施保障本機(jī)構(gòu)數(shù)據(jù)的完整性和保密性。（三）外包服務(wù)商對涉及本機(jī)構(gòu)的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、中間件等軟硬件基礎(chǔ)實(shí)施是否具有最高訪15問權(quán)限。（四）外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限，外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的訪問權(quán)限，是否能夠?yàn)g覽、獲取客戶敏感信息。（五）外包服務(wù)商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系，對關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)運(yùn)行是否有業(yè)務(wù)連續(xù)性安排。（六）外包服務(wù)商是否知曉并遵從了銀行業(yè)相關(guān)監(jiān)管法規(guī)要求。第三十四條對非駐場集中式外包商的盡職調(diào)查，如在監(jiān)管評估中予以覆蓋，亦可采信12個月內(nèi)的監(jiān)管評估結(jié)果原則上應(yīng)選擇納入監(jiān)管評估的外包商，對已合作但被取消監(jiān)管評估資格的外包商，應(yīng)逐步終止合作、妥善安排接收。第三十五條非駐場集中式外包開展前，應(yīng)由該外包執(zhí)行單位組織開展風(fēng)險評估，形成書面風(fēng)險評估報告并報送信息科技部。非駐場集中式外包決策應(yīng)由科技分管副行長書面批準(zhǔn)。第三