銀行信息科技外包管理制度

1、銀行信息科技外包管理制度第一章總則第一條目的為了防范和控制我行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)，提高我行信息系統(tǒng) 安全運(yùn)行的效率，根據(jù)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)銀行業(yè)金融機(jī)構(gòu) 信息科技外包風(fēng)險(xiǎn)監(jiān)管指引和我行相關(guān)管理制度，特制定本辦法。第二條定義信息科技外包項(xiàng)目：指將信息系統(tǒng)的規(guī)劃、開發(fā)、建設(shè)、運(yùn)行、維 護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商的項(xiàng)目。第三條信息科技外包項(xiàng)目分類信息科技外包項(xiàng)目分為軟件定制開發(fā)外包、生產(chǎn)系統(tǒng)維保外包、辦 公桌面設(shè)備維保外包、災(zāi)難備份服務(wù)外包、咨詢及技術(shù)服務(wù)外包等。軟件開發(fā)外包項(xiàng)目：指我行與軟件開發(fā)供應(yīng)商合作開發(fā)我行信息系 統(tǒng)的外包項(xiàng)目，或者采購(gòu)軟件開發(fā)供應(yīng)商軟件產(chǎn)品并以合

2、作方式進(jìn)行 客戶化開發(fā)我行信息系統(tǒng)的外包項(xiàng)目；生產(chǎn)系統(tǒng)維保外包項(xiàng)目：指我行采購(gòu)生產(chǎn)系統(tǒng)各類設(shè)備、系統(tǒng)軟件、 應(yīng)用系統(tǒng)的運(yùn)行維護(hù)服務(wù)的外包項(xiàng)目，或租賃通訊線路、采購(gòu)生產(chǎn)系 統(tǒng)的安全服務(wù)的外包項(xiàng)目；辦公桌面設(shè)備維保外包項(xiàng)目：指采購(gòu)辦公桌面設(shè)備的維修保養(yǎng)服務(wù) 的外包項(xiàng)目；災(zāi)難備份服務(wù)外包項(xiàng)目：指采購(gòu)總行數(shù)據(jù)中心的災(zāi)難備份服務(wù)的外 包項(xiàng)目；咨詢服務(wù)外包項(xiàng)目：指采購(gòu)的IT戰(zhàn)略規(guī)劃、IT流程梳理、IT體系 架構(gòu)、IT技術(shù)方案、IT安全管理等與IT相關(guān)的各類咨詢外包項(xiàng)目。非駐場(chǎng)集中外包項(xiàng)目：非駐場(chǎng)集中式外包主要包括機(jī)房運(yùn)營(yíng)類外包 服務(wù)、應(yīng)用系統(tǒng)托管類外包服務(wù)。第四條適用范圍本辦法適用于我行信息科技外包項(xiàng)目管

3、理、服務(wù)全過程。第二章外包原則第五條總行數(shù)據(jù)中心生產(chǎn)運(yùn)營(yíng)管理不可外包，信息科技風(fēng)險(xiǎn)責(zé)任不可外包。第六條總行可以對(duì)全行軟件項(xiàng)目開發(fā)、生產(chǎn)系統(tǒng)維保、總行辦公 桌面設(shè)備維保、災(zāi)難備份服務(wù)、咨詢服務(wù)實(shí)行外包；分行科技運(yùn)營(yíng)部 門可以對(duì)本行軟件項(xiàng)目開發(fā)、本行生產(chǎn)系統(tǒng)維保（總行統(tǒng)一外包的除 外）、辦公桌面設(shè)備維保、咨詢服務(wù)實(shí)行外包。第七條 對(duì)于本辦法所述的信息科技外包項(xiàng)目類型和范圍以外的外 包需求，由信息科技管理委員會(huì)確定是否可以外包，并以會(huì)議紀(jì)要形 式作為本辦法的修訂或補(bǔ)充。第三章組織與職責(zé)第八條信息科技管理委員會(huì)負(fù)責(zé)外包的管理，信息科技部門負(fù)責(zé) 外包工作的具體實(shí)施。第四章外包項(xiàng)目采購(gòu)第九條 信息科技外包

4、項(xiàng)目由項(xiàng)目主辦單位明確外包服務(wù)需求，包 括但不限于服務(wù)方式和服務(wù)種類：一、服務(wù)方式：包括現(xiàn)場(chǎng)服務(wù)方式、非現(xiàn)場(chǎng)服務(wù)方式；二、服務(wù)種類：包括軟件項(xiàng)目開發(fā)外包、生產(chǎn)系統(tǒng)維保外包、辦公 桌面設(shè)備維保外包、災(zāi)難備份服務(wù)外包、咨詢服務(wù)外包。第十條依照相關(guān)采購(gòu)管理辦法實(shí)行采購(gòu)，并簽訂合同。第十一條 根據(jù)信息科技外包項(xiàng)目的特殊性，外包合同除一般合同 內(nèi)容外，還應(yīng)包括但不限于以下內(nèi)容：一、服務(wù)方式：包括現(xiàn)場(chǎng)服務(wù)方式、非現(xiàn)場(chǎng)服務(wù)方式；二、服務(wù)種類：包括軟件項(xiàng)目開發(fā)外包、生產(chǎn)系統(tǒng)維保外包、辦公 桌面設(shè)備維保外包、災(zāi)難備份服務(wù)外包、咨詢服務(wù)外包。三、根據(jù)服務(wù)方式、服務(wù)種類，確定信息安全管理手段：（一）工作環(huán)境訪問權(quán)限

5、的設(shè)置和說明；（二）服務(wù)商使用設(shè)備的管理；（三）在服務(wù)過程中，明確對(duì)設(shè)備的授權(quán)方式、監(jiān)視和撤銷用戶活 動(dòng)的權(quán)限；（四）簽署保密協(xié)議。四、對(duì)外包服務(wù)商實(shí)施服務(wù)人員的管理。（一）人員資格要求：項(xiàng)目主要實(shí)施人員應(yīng)具有相關(guān)資質(zhì)認(rèn)證（畢 業(yè)證書、專業(yè)技能資質(zhì)認(rèn)證），有5年以上工作經(jīng)驗(yàn)，有類似項(xiàng)目背 景（項(xiàng)目名稱、客戶證明人員及聯(lián)系方式）；（二）人員外包：原則上項(xiàng)目禁止外包，若項(xiàng)目實(shí)施需要引入外部 專家，應(yīng)在項(xiàng)目中提前明確說明；（三）明確服務(wù)人員要求：人員資格要求、撤換人員的規(guī)定、安全 規(guī)范的遵守。五、明確服務(wù)水平要求：明確服務(wù)商報(bào)告的格式與服務(wù)報(bào)告被確認(rèn) 的標(biāo)準(zhǔn)；服務(wù)商服務(wù)過程中提供產(chǎn)品的要求；明確服務(wù)

6、商服務(wù)的響應(yīng) 時(shí)間的要求與衡量方式；列明期望的服務(wù)水平。六、明確服務(wù)過程中，異常事件的通報(bào)與處理機(jī)制：確定正常工作 程序；明確服務(wù)商工作過程中的變更授權(quán)流程；異常情況報(bào)告機(jī)制， 包括報(bào)告事件程序；安全事故處理機(jī)制，包括如何調(diào)查、通知處理、 應(yīng)急方案和實(shí)施計(jì)劃。七、對(duì)于軟件開發(fā)外包或咨詢服務(wù)外包項(xiàng)目，應(yīng)明確項(xiàng)目接收和轉(zhuǎn) 移的相關(guān)要求。包括明確外包商的系統(tǒng)核心技術(shù)，以便項(xiàng)目驗(yàn)收人員 接收除系統(tǒng)核心技術(shù)外的全部源代碼，也方便第三方評(píng)估在本項(xiàng)目中 有多少關(guān)鍵技術(shù)被外包商壟斷。八、明確軟件開發(fā)外包項(xiàng)目在項(xiàng)目驗(yàn)收前必須進(jìn)行源代碼檢查。九、明確規(guī)定我行軟件項(xiàng)目開發(fā)外包、咨詢服務(wù)外包項(xiàng)目的知識(shí)產(chǎn) 權(quán)歸屬。十、

7、制訂服務(wù)商所提供服務(wù)不能滿足服務(wù)水平要求的懲罰條款，明 確發(fā)生問題時(shí)的賠償責(zé)任與解決爭(zhēng)端的程序。十一、咨詢項(xiàng)目應(yīng)加強(qiáng)培訓(xùn)工作，做到知識(shí)的轉(zhuǎn)移，使客戶最終了 解和全面掌握項(xiàng)目成果。十二、制訂服務(wù)商所提供服務(wù)不能滿足服務(wù)水平要求的懲罰條款， 明確發(fā)生問題時(shí)的賠償責(zé)任與解決爭(zhēng)端的程序。十三、明確以信息科技外包項(xiàng)目進(jìn)度和質(zhì)量監(jiān)督為主要內(nèi)容的“項(xiàng) 目監(jiān)控計(jì)劃”。十四、明確有權(quán)監(jiān)視、審核、評(píng)估服務(wù)商所提供服務(wù)的狀況，并根 據(jù)合同予以相應(yīng)獎(jiǎng)懲。十五、明確風(fēng)險(xiǎn)責(zé)任的承擔(dān)。十六、明確雙方提前終止合同的條件、流程及其賠償辦法。第五章 信息科技外包項(xiàng)目監(jiān)控第十二條 信息科技外包項(xiàng)目合同執(zhí)行人應(yīng)與外包服務(wù)商建立有效

8、的聯(lián)絡(luò)、溝通和信息交流的機(jī)制。內(nèi)容可包括但不限于聯(lián)系人制度、 項(xiàng)目工作例會(huì)、項(xiàng)目報(bào)告的內(nèi)容及周期、異常情況的報(bào)告和處置計(jì)劃 等。第十三條 信息科技外包項(xiàng)目合同執(zhí)行人要按照合同中項(xiàng)目接收和 轉(zhuǎn)移的相關(guān)規(guī)定，組織相關(guān)人員落實(shí)好文檔移交、技術(shù)轉(zhuǎn)移以及知識(shí) 轉(zhuǎn)移等工作。第十四條 信息科技外包項(xiàng)目合同執(zhí)行人定期對(duì)外包商的服務(wù)進(jìn)行 評(píng)估，特別是在項(xiàng)目進(jìn)展的里程碑時(shí)段應(yīng)進(jìn)行評(píng)估，并將評(píng)估結(jié)果告 知外包商；里程碑時(shí)段應(yīng)在項(xiàng)目合同或項(xiàng)目計(jì)劃書中明確。第十五條評(píng)估報(bào)告內(nèi)容包括但不限于：項(xiàng)目實(shí)施計(jì)劃的制定情況、 項(xiàng)目計(jì)劃的完成率、項(xiàng)目文檔管理質(zhì)量、例行服務(wù)的完成情況、熱線 電話服務(wù)情況、故障響應(yīng)的及時(shí)率、備件/耗材

9、響應(yīng)及時(shí)率、維修診 斷的正確率、故障及時(shí)修復(fù)率、故障報(bào)告的完成情況、由于項(xiàng)目實(shí)施 導(dǎo)致的異常情況率、遵守集團(tuán)信息安全保密要求、遵守集團(tuán)規(guī)章制度 情況等。第十六條 評(píng)估報(bào)告內(nèi)容包括但不限于：項(xiàng)目實(shí)施計(jì)劃的制定情況、 項(xiàng)目計(jì)劃的完成率、項(xiàng)目文檔管理質(zhì)量、例行服務(wù)的完成情況、熱線 電話服務(wù)情況、故障響應(yīng)的及時(shí)率、備件/耗材響應(yīng)及時(shí)率、維修診 斷的正確率、故障及時(shí)修復(fù)率、故障報(bào)告的完成情況、由于項(xiàng)目實(shí)施 導(dǎo)致的異常情況率、遵守我行信息安全保密要求、遵守我行規(guī)章制度 情況等。第十七條 信息科技外包項(xiàng)目的合同執(zhí)行人負(fù)責(zé)外包風(fēng)險(xiǎn)評(píng)估與監(jiān) 測(cè)，通過項(xiàng)目跟蹤和適當(dāng)?shù)募夹g(shù)手段進(jìn)行風(fēng)險(xiǎn)控制。第十八條 對(duì)外包服務(wù)商的

10、監(jiān)督應(yīng)包括：一、監(jiān)控服務(wù)商的財(cái)務(wù)狀況和經(jīng)營(yíng)狀況；二、監(jiān)控服務(wù)商的服務(wù)質(zhì)量和技術(shù)支持水平；三、監(jiān)控服務(wù)商內(nèi)部關(guān)鍵人員的變動(dòng)情況，尤其是服務(wù)商高層的變 動(dòng)、為銀行提供IT服務(wù)的關(guān)鍵技術(shù)人員的變動(dòng)情況；四、監(jiān)控服務(wù)商全面履行合同的情況；五、監(jiān)控服務(wù)商把服務(wù)再次分包的情況，做到嚴(yán)格按約定履行合同 條款并保留相關(guān)書面記錄；六、項(xiàng)目進(jìn)度和質(zhì)量與計(jì)劃的要求是否相符等。第十九條 根據(jù)不同的外包分類應(yīng)關(guān)注以下可能產(chǎn)生的風(fēng)險(xiǎn)點(diǎn)：一、軟件項(xiàng)目開發(fā)外包可能產(chǎn)生的風(fēng)險(xiǎn)點(diǎn)包括但不限于：外包服務(wù) 商的服務(wù)質(zhì)量和技術(shù)支持水平、為我行提供服務(wù)的關(guān)鍵技術(shù)人員的變 動(dòng)情況、遵守信息安全保密要求、遵守我行的規(guī)章制度情況、及時(shí)合 理解

11、決我方意見等；二、生產(chǎn)系統(tǒng)維保外包可能產(chǎn)生的風(fēng)險(xiǎn)點(diǎn)包括但不限于：故障響應(yīng) 的及時(shí)率、備件響應(yīng)及時(shí)率、維修診斷的正確率、故障及時(shí)修復(fù)率、 外包服務(wù)商的服務(wù)質(zhì)量和技術(shù)支持水平、為我行提供服務(wù)的關(guān)鍵技術(shù) 人員的變動(dòng)情況、遵守信息安全保密要求、遵守我行的規(guī)章制度情況、 及時(shí)合理解決我方意見等；三、辦公桌面設(shè)備維保外包可能產(chǎn)生的風(fēng)險(xiǎn)包括但不限于：故障響 應(yīng)的及時(shí)率、備件響應(yīng)及時(shí)率、維修診斷的正確率、故障及時(shí)修復(fù)率、 遵守信息安全保密要求、遵守我行的規(guī)章制度情況、及時(shí)合理解決我 方意見等；四、災(zāi)難備份外包可能產(chǎn)生的風(fēng)險(xiǎn)點(diǎn)包括但不限于：外包服務(wù)商的 財(cái)務(wù)狀況和經(jīng)營(yíng)狀況、外包服務(wù)商的服務(wù)質(zhì)量和技術(shù)支持水平、外包 服務(wù)商內(nèi)部關(guān)鍵人員的變動(dòng)情況、為我行提供服務(wù)的關(guān)鍵技術(shù)人員的 變動(dòng)情況、外