財(cái)務(wù)公司信息科技外包管理辦法

財(cái)務(wù)公司信息科技外包管理方法第一章總那么第一條為規(guī)范財(cái)務(wù)公司（以下簡(jiǎn)稱財(cái)務(wù)）信息科技外包活動(dòng)，防范信息科技外包風(fēng)險(xiǎn)，保障業(yè)務(wù)持續(xù)經(jīng)營(yíng)，特制定本方法。第二條本方法的起草機(jī)構(gòu)、維護(hù)機(jī)構(gòu)、外包商評(píng)估檢查機(jī)構(gòu)為信息技術(shù)部。第三條術(shù)語(yǔ)定義信息科技外包：指將原來由公司人員負(fù)責(zé)處理的信息科技工作委托給外包服務(wù)商進(jìn)行持續(xù)處理的行為。外包人員：財(cái)務(wù)與外包服務(wù)商簽署人力資源購(gòu)買合同后按照信息技術(shù)部門安排，在信息技術(shù)部協(xié)助開展信息科技工作的外包服務(wù)商員工。第二章職責(zé)分工第四條信息技術(shù)部1、負(fù)責(zé)制定并執(zhí)行信息科技外包管理政策、內(nèi)控制度和操作流程。第四條信息技術(shù)部2、負(fù)責(zé)財(cái)務(wù)信息科技外包活動(dòng)的日常管理，包括外包需求審核、外包服務(wù)商準(zhǔn)入資格調(diào)查、外包合同擬定及執(zhí)行、外包人員管理、外包服務(wù)水平評(píng)估、外包風(fēng)險(xiǎn)監(jiān)控及處置等。3、負(fù)責(zé)組織評(píng)估財(cái)務(wù)信息科技外包風(fēng)險(xiǎn)及管控情況，向高級(jí)管理層、監(jiān)管機(jī)構(gòu)報(bào)告。第五條風(fēng)險(xiǎn)管理部負(fù)責(zé)信息科技外包合同的審核及科技外包工作的合規(guī)性審查，審計(jì)稽核部負(fù)責(zé)科技外包工作的評(píng)價(jià)稽核工作。第三章外包管理

一、外包分類第六條財(cái)務(wù)信息科技外包分為信息系統(tǒng)運(yùn)營(yíng)外包和信息系統(tǒng)服務(wù)外包。1、信息系統(tǒng)運(yùn)營(yíng)外包：委托外包服務(wù)商提供信息系統(tǒng)日常操作、運(yùn)行維護(hù)、監(jiān)控等運(yùn)營(yíng)工作的計(jì)劃、組織、實(shí)施等,但信息系統(tǒng)的管理責(zé)任仍屬于財(cái)務(wù)的經(jīng)營(yíng)行為。2、信息系統(tǒng)服務(wù)外包：通過共同合作、購(gòu)買人力等方式，委托外包服務(wù)商提供針對(duì)財(cái)務(wù)信息系統(tǒng)運(yùn)維、開發(fā)、測(cè)試及技術(shù)支持等專項(xiàng)服務(wù)的經(jīng)營(yíng)行為。二、外包采購(gòu)第七條信息科技外包的采購(gòu)應(yīng)按照財(cái)務(wù)商務(wù)采購(gòu)相關(guān)規(guī)章制度規(guī)定執(zhí)行。第八條信息技術(shù)部在信息科技外包采購(gòu)前，應(yīng)對(duì)外包服務(wù)商進(jìn)行準(zhǔn)入資格調(diào)查，充分審查、評(píng)估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)，考查外包服務(wù)商的基礎(chǔ)設(shè)施、技術(shù)能力和信息平安等能否滿足我行外包需求，調(diào)查內(nèi)容應(yīng)包括但不限于以下事項(xiàng)：1、管理能力和行業(yè)地位。2、財(cái)務(wù)穩(wěn)健性。3、經(jīng)營(yíng)聲譽(yù)和企業(yè)文化。4、業(yè)務(wù)規(guī)模、業(yè)務(wù)策略及風(fēng)險(xiǎn)控制能力。5、技術(shù)實(shí)力和服務(wù)質(zhì)量。6、突發(fā)事件應(yīng)對(duì)能力。7、保護(hù)金融信息的能力。8、對(duì)金融業(yè)的熟悉程度，對(duì)其他金融機(jī)構(gòu)提供服務(wù)的情況。9、信息科技外包活動(dòng)涉及多個(gè)外包服務(wù)商時(shí)，應(yīng)當(dāng)對(duì)這些外包服務(wù)商進(jìn)行關(guān)聯(lián)關(guān)系的調(diào)查。第九條信息技術(shù)部在信息科技外包采購(gòu)時(shí)，應(yīng)當(dāng)與外包服務(wù)商簽訂書面合同或協(xié)議，明確雙方的權(quán)利義務(wù)。合同或協(xié)議應(yīng)當(dāng)包括但不限于以下內(nèi)容：1、外包服務(wù)的范圍和標(biāo)準(zhǔn)。2、外包服務(wù)的保密條款或保密協(xié)議。3、外包服務(wù)的業(yè)務(wù)連續(xù)性保障措施。4、外包服務(wù)的審計(jì)和檢查。5、外包爭(zhēng)端的解決機(jī)制。6、合同、協(xié)議變更或終止的條件及過渡安排。7、違約責(zé)任。8、對(duì)于具有專業(yè)技術(shù)性的外包活動(dòng)，應(yīng)約定服務(wù)標(biāo)準(zhǔn)。第十條信息技術(shù)部在信息科技外包采購(gòu)時(shí)，應(yīng)在外包合同中要求外包服務(wù)商承諾以下事項(xiàng)：1、定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)。2、及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件。3、配合財(cái)務(wù)接受監(jiān)管機(jī)構(gòu)的檢查。4、保障客戶信息的平安性，當(dāng)客戶信息不平安或客戶權(quán)利受到影響時(shí)，財(cái)務(wù)有權(quán)隨時(shí)終止外包合同。5、涉及運(yùn)營(yíng)外包時(shí)，提供主要技術(shù)人員的無犯罪記錄。6、外包服務(wù)人員變動(dòng)須至少提前10個(gè)工作日通知財(cái)務(wù)，調(diào)出前須補(bǔ)充同等資歷的人員，并經(jīng)財(cái)務(wù)資歷審核及書面同意。7、未經(jīng)財(cái)務(wù)同意，不得以財(cái)務(wù)名義開展活動(dòng)。8、不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包。9、外包服務(wù)商對(duì)外包服務(wù)實(shí)施分包前，須獲得財(cái)務(wù)的書面同意，外包服務(wù)商須承諾在分包后繼續(xù)對(duì)外包合同履行和外包服務(wù)水平負(fù)總責(zé)，分包服務(wù)商須嚴(yán)格遵守外包服務(wù)商與財(cái)務(wù)簽訂的外包合同或協(xié)議中的相關(guān)條款。三、外包人員管理第十一條外包人員在進(jìn)場(chǎng)工作前，外包服務(wù)商及外包人員應(yīng)按照財(cái)務(wù)規(guī)定簽署保密協(xié)議。對(duì)于可能接觸公司敏感性技術(shù)（如加密機(jī)制、專利技術(shù)等）以及客戶資料等敏感信息的外包人員，外包服務(wù)商應(yīng)按照財(cái)務(wù)要求開展人員背景調(diào)查，并提交背景調(diào)查結(jié)果。第十二條外包服務(wù)商須提供外包人員身份證件、學(xué)歷證明、工作經(jīng)歷、專業(yè)資格證書等材料，并在信息技術(shù)部門備案。第十三條外包人員在進(jìn)場(chǎng)工作前，須通過信息技術(shù)部門考核，考核合格后由信息技術(shù)部門統(tǒng)一調(diào)度管理，統(tǒng)一安排工作任務(wù)，工作內(nèi)容、完成時(shí)間、提交件等工作要求通過《財(cái)務(wù)公司外包人員工作服務(wù)單》明確并下達(dá)外包人員，外包人員完成工作任務(wù)后由信息技術(shù)部門給予評(píng)價(jià)并反應(yīng)外包服務(wù)商。第十四條外包人員在財(cái)務(wù)工作期間，須遵守財(cái)務(wù)各項(xiàng)規(guī)章制度、技術(shù)標(biāo)準(zhǔn)及工作要求。第十五條外包人員在財(cái)務(wù)工作期間，嚴(yán)禁未經(jīng)批準(zhǔn)對(duì)外提供財(cái)務(wù)科技保密信息和內(nèi)部重要信息，嚴(yán)禁為了改變生產(chǎn)系統(tǒng)的記錄而刪除、修改系統(tǒng)日志或交易日志，嚴(yán)禁未經(jīng)批準(zhǔn)的數(shù)據(jù)提取，嚴(yán)禁私自保存生產(chǎn)數(shù)據(jù)。第十六條外包人員未經(jīng)批準(zhǔn)嚴(yán)禁進(jìn)入公司計(jì)算機(jī)機(jī)房。經(jīng)批準(zhǔn)進(jìn)入公司生產(chǎn)計(jì)算機(jī)機(jī)房的外包人員，須由信息技術(shù)部門員工全程陪同、監(jiān)督。第十七條外包人員使用的辦公電腦需要接入財(cái)務(wù)辦公網(wǎng)絡(luò)時(shí)，須納入公司桌面終端管理系統(tǒng)統(tǒng)一管理。第十八條外包人員使用生產(chǎn)系統(tǒng)必須通過運(yùn)維用戶集中管理系統(tǒng)登錄，用戶進(jìn)行的所有操作都記錄在系統(tǒng)日志中。第十九條外包人員嚴(yán)禁下載或私自保存生產(chǎn)數(shù)據(jù)。第二十條外包人員的用戶授權(quán)須遵循最小授權(quán)原那么。外包

人員禁止持有系統(tǒng)根用戶。外包人員使用生產(chǎn)系統(tǒng)的用戶僅限查詢權(quán)限，沒有新增、刪除、修改等維護(hù)權(quán)限。第二十一條外包人員對(duì)所配備的辦公設(shè)備、網(wǎng)絡(luò)接入、文檔資料保存等應(yīng)符合財(cái)務(wù)的管理要求，應(yīng)保管好財(cái)務(wù)提供的物品、設(shè)備及工程資料，如有損失須照價(jià)賠償。第二十二條外包人員變動(dòng)，外包服務(wù)商須至少提前10個(gè)工作日向信息技術(shù)部提出，并須補(bǔ)充同等資歷的人員，調(diào)出的外包人員須按財(cái)務(wù)要求辦理工作交接、用戶及門禁刪除、辦公電腦交還等離場(chǎng)手續(xù)。、外包風(fēng)險(xiǎn)管理第二十三條信息技術(shù)部不得將信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行。第二十四條信息技術(shù)部應(yīng)每年對(duì)信息系統(tǒng)運(yùn)營(yíng)外包的服務(wù)水平和信息平安等情況開展一次現(xiàn)場(chǎng)檢查，要求外包服務(wù)商對(duì)檢查發(fā)現(xiàn)的風(fēng)險(xiǎn)實(shí)施整改。第二十四條信息技術(shù)部應(yīng)每年對(duì)信息系統(tǒng)運(yùn)營(yíng)外包的服務(wù)第二十五條信息技術(shù)部應(yīng)每年對(duì)信息系統(tǒng)服務(wù)外包的質(zhì)量、進(jìn)度等情況進(jìn)行綜合評(píng)價(jià)，要求外包服務(wù)商針對(duì)發(fā)現(xiàn)問題采取有效的改進(jìn)措施。第二十六條信息技術(shù)部在開展信息科技外包活動(dòng)時(shí)，須保障公司用于外包活動(dòng)的數(shù)據(jù)、資料、軟件、產(chǎn)品、專有知識(shí)等信息資料平安，應(yīng)采取的措施包括但不限于：1、實(shí)施審慎的外包原那么，要求外包活動(dòng)在境內(nèi)開展，確保客戶信息和業(yè)務(wù)的平安。2、確保公司客戶資料與外包服務(wù)商其他客戶資料的有效隔離，只有財(cái)務(wù)批準(zhǔn)授權(quán)人員能夠訪問。3、按照“必需知道”和“最小授權(quán)”原那么對(duì)外包服務(wù)商人員授權(quán)，信息系統(tǒng)最高權(quán)限用戶須由財(cái)務(wù)人員掌握。4、要求有權(quán)接觸財(cái)務(wù)客戶資料等敏感信息的外包服務(wù)商及外包人員簽署保密承諾，外包服務(wù)商須對(duì)其內(nèi)部員工泄露財(cái)務(wù)商業(yè)秘密承當(dāng)責(zé)任并予以賠償。5、確保在中止外包協(xié)議時(shí)，收回或銷毀外包服務(wù)商保存的所有客戶資料。6、應(yīng)將涉及公司客戶資料的信息科技外包告知業(yè)務(wù)主管部門。第二十七條信息技術(shù)部應(yīng)建立服務(wù)商考評(píng)機(jī)制，制定定性和定量的評(píng)價(jià)指標(biāo)，每年對(duì)服務(wù)商進(jìn)行考評(píng)，審閱服務(wù)商提供的服務(wù)水平報(bào)告、內(nèi)部審計(jì)報(bào)告或外部審計(jì)報(bào)告等，綜合評(píng)估外包服務(wù)商的服務(wù)水平，對(duì)服務(wù)質(zhì)量下降或達(dá)不到要求的，減少合作機(jī)會(huì)或終止合作。第二十八條信息技術(shù)部應(yīng)建立恰當(dāng)?shù)膽?yīng)急預(yù)案，應(yīng)對(duì)外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失，包括外包服務(wù)商的重大資源損失、重大財(cái)務(wù)損失和重要人員的變動(dòng)，以及外包協(xié)議的意外終止等。五、對(duì)外報(bào)告第二十九條信息技術(shù)部在開展外包活動(dòng)時(shí)，如遇到對(duì)本機(jī)構(gòu)的業(yè)務(wù)經(jīng)營(yíng)、客戶信息平安、聲譽(yù)等產(chǎn)生重大影響的事件,應(yīng)及時(shí)向上級(jí)單位或所在地的監(jiān)管機(jī)構(gòu)報(bào)告。第四章附那么第三十條本方法由信息技術(shù)部負(fù)責(zé)解釋。第三H條本方法自發(fā)布之日起實(shí)施。財(cái)務(wù)公司信息科技外包人員工作任務(wù)單任務(wù)發(fā)布任務(wù)名稱所屬系統(tǒng)/工程任務(wù)提出方外包服務(wù)商提出方聯(lián)系人外包商聯(lián)系人任務(wù)類型完成時(shí)間要求任務(wù)優(yōu)先級(jí)工作量評(píng)估XXX人日包括但不限于：1、任務(wù)背景2、任務(wù)目標(biāo)及主要內(nèi)容3、任務(wù)階段性計(jì)劃安排4、提交件要求4、外包人員要求5、實(shí)施過程中需遵守的規(guī)章制度、技術(shù)標(biāo)準(zhǔn)及工作要求6、附件任務(wù)提出方負(fù)責(zé)人簽字：任務(wù)受理主辦外包人員是否受