农商银行信息科技外包管理办法

农商银行信息科技外包管理办法第一章总则第一条为了规范农商银行的外包活动，保障农商银行信息系统安全持续稳定运行，依据银监会颁布的《商业银行信息科技风险管理指引》、《银行业金融机构外包风险管理指引》、《山东省农村商业银行法人机构信息科技工作规范3.0》以及国家有关法律法规，制定本办法。第二条本办法中的信息科技外包（以下简称“外包”）是指将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为，包含研发咨询外包、系统运行维护外包、人力资源外包以及业务外包中的信息科技活动等，但外包时不得将信息科技管理责任外包。第三条信息科技外包管理主要是指对服务供应|商准入、人员、风险、应急、审计等内容的管理，通过服务供应商资质评价、人员管理、合同签订、交付物验收、风险评估、应急管理、外包评价与考核、外包审计等管理流程实现。第二章外包管理目标及职责第四条

1科技外包管理目标是通过统一外包规划、严格准入管理、明确外包标准、细化制度要求、落实管理责任、防范外包风险、筹划外包应急、实施风险评估、做好监控评价、完成持续改进等一系列步骤和措施，进一步规范信息科技外包管理，逐步构建服务持续、运营高效的外包管理体系，全面提升信息科技管理水平。第五条信息科技外包原则为：（一）以不妨碍核心能力建设、积极掌握关键技术为导向；（二）保|持外包风险、成本和效益的平衡；（三）强调外包风险的事前控制，保持管控力度；（四）根据外包管理及技术发展趋势，持续改进外包策略和措施；（五）信息科技外包活动应采取分级策略，对关键核心应用采取审慎的合作外包方式，对一般类业务应用采取合作外包方式，对非业务应用可采取完全外包的方式。第三章外包管理职责第六条科技部是信息科技外包的主要执行部门，主要职责包括：制定并执行外包管理相关管理制度及流程，实施信息科技外包发展规划；根据信息科技建设规划或信息科技外包服务需求，结合信息科技建设情况，确立信息科技外包项目的范围和内容，制定信息科技外包年度计划及信息科技外包阶段|性

2计划；（三）负责信息科技外包活动的日常管理、与其他部门就信息科技外包相关事项进行沟通协调，包括尽职调查、合同签署、信息科技外包服务技术指标制定、信息科技外包服务供应商准入或退出等；（四）在发现信息科技外包服务供应商的业务活动存在缺陷时，采取及时有效的措施防范外包风险，并制定保障信息科技外包服务持续性的应急管理方案，并组织实施和定期演练；（五）根据合规部、审计部门或合规部门对信息科技外包项目评估、审计以及提出的风险管理意见，对信息科技外包项目实施优化和改进；（六）负责形成信息科技外包项目情况汇总报告，提交信息科技管理委员会。

3第七条合规部是信息|科技外包风险的主管部门，主要职责包括：对信息科技外包风险进行识别、评估与风险提示，监督、评价信息科技外包管理工作，并督促信息科技外包风险管理的持续改善，向信息科技风险管理委员会提交外包风险评估报告，并提出有关外包活动发展和风险管控的意见和建议。第八条审计部门是对信息科技外包风险审计的主要部门，主要职责包括：负责定期或不定期的信息科技外包活动内部审计，确保审计范围涵盖所有信息科技外包活动，并将审计结果向领导汇报。第九条合规部门是信息科技外包活动的主要法律支持、咨询部门，主要职责包括：负责外包合同的审查与修改及负责外包活动中的法律纠纷及其他法律问题咨询。|第四章外包准入管理第十条外包项目立项前，要审慎检查需外包项目与信息科技外包规划的一致性、服务供应商服务能力与外包项目的符合性。应根据项目内容、范围、性质对其进行风险识别和评估，必要时根据外包管理原则评估外包风险，制定相应的风险处置措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向信息科技风险管理委员会报告。第十一条

4应根据供应商关系管理策略，结合风险评估结果及服务供应商的准入标准，对服务供应商进行初步筛选，防范引入高机构集中度风险特点的服务供应商，或引入增加整体风险的服务供应商。第十二条在选择外包服务供应商时，要全面了解服务供应商的基本情|况，对服务供应商进行尽职调查，必要时可聘请第三方机构协助调查，确保服务供应商符合准入标准。对于重大外包项目，完成尽职调查后出具《外包服务供应商调查报告》，尽职调查应包括但不限于以下方面：（一）技术和行业经验，包括服务质量和技术实力、服务经验、服务人员技能、应急处置能力、市场评价、行业地位、对银行业知悉程度、监管评价等；（二）内部控制和管理能力，包括内部控制机制和管理流程的完善程度、内部控制技术和工具、企业文化等；（三）持续经营状况，包括从业时间、经营声誉、发展趋势、财务稳健性、近期盈利情况等；（四）同业托管状况，包括服务供应商与多家金融单位有外包活动|时，服务供应商对其他银行业金融机构提供服务的情况；（五）涉及多个服务供应商时，应对这些服务供应商进行关联关系的调查；（六）根据外包管理实际需要，对服务供应商服务能力和人员技术水平进行阶段性总结分析，发现问题及时通报服务供应商，并限期整改。

5第十三条对于数据中心的重要基础设施、重要信息系统的维护服务外包，签订外包合同时，服务供应商须保证购买商业保险以保证其有足够的赔偿能力，并告知保险覆盖范围。第十四条开展信息科技外包活动时要与服务供应商签订书面合同或协议，明确双方的权利、义务。合同或协议应当包括但不限于以下内容：（一）外包服务的范围和标准；（二）外包|服务款项支付方式；（三）外包服务的保密性和安全性；（四）明确外包技术成果的所属权；（五）外包争议的解决；（六）外包合同或协议变更或终止的条件；（七）担保和损失赔偿以及违约责任；（八）不可抗力因素出现时双方对合同内容的约定；（九）外包服务的审计和检查；（十）外包服务的业务连续性的安排以及服务供应商提供专属资源的承诺。第十五条所有与信息科技外包活动相关的重要资料应归档管理。第五章外包过程管理

6第十六条应当根据信息科技外包需求、合同、服务水平对服务过程进行持续监控，跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。第十七条应对服务供应商