C302-WP-招商银行总行信息技术部信息科技外包管理实施细则-20140306-V2.4
招商银行总行信息技术部IT外包管理实施细则
第一章总则
第一条为加强招商银行(以下简称“我行”)IT外包管理,规范总行信息技术部各类IT外包活动以及明确各外包活动职责与分工,降低IT外包引发的风险,根据银监会《银行业金融机构IT外包风险监管指引》(银监发[2013]5号)等监管要求,以及《招商银行IT外包管理指引》,制定本细则。
第二条IT外包是指我行将原本由自身负责处理的信息科技活动委托给IT 外包供应商(以下简称“供应商”)进行处理的行为,包含项目外包、人力外包等形式,包括开发(子领域包括:软件开发、硬件开发、测试)、运维(子领域包括:基础设施运维、桌面运维、应用运维、服务台)、咨询、人力外包等类型(相关类型定义请见《招商银行IT外包管理指引》)。
第三条外包管理室为研发领域IT外包主管部门,主要负责总行信息技术部研发中心IT外包、信息技术部人力外包管理以及执行工作,分行研发类IT外包管理工作。
第四条运行调度室为运维领域IT外包主管部门,主要负责总行信息技术部运行中心IT外包、信息技术部自助设备外包管理以及执行工作,分行运维类IT 外包的管理工作。
第二章总行信息技术部外包管理室职责
第五条外包管理室为本行研发中心IT外包主管部门,承担研发中心外包管理系统的建设、维护和监督工作。主要职责包括:
(一)统筹管理本行研发中心的IT外包管理工作;
(二)建立研发中心IT外包管理体系,与运行调度室以及内控管理室共同
制定信息技术部IT外包管理相关策略;
(三)维护和持续改进研发中心IT外包管理体系;
(四)监督研发中心IT外包管理体系的落地;
(五)供应商日常管理,包括研发中心供应商技术准入、评价、关系、应
急以及退出管理等;
(六)总行信息技术部人力外包管理;
(七)分行研发类IT外包管理。
第六条总行信息技术部外包管理室为本行研发中心IT外包商准入管理牵头部门,主要职责包括:
(一)建立并定期完善外包商准入与退出管理机制;
(二)组织并实施外包商的技术准入资格审核;
(三)组织外包商的商务准入资格审核;
(四)组织并实施重要外包商的尽职调查;
银行业农信社计算机信息科技外包管理办法
附件 农村信用社联合社 信息科技外包管理办法(试行) 第一章总则 第一条为了规范省农村信用社联合社(以下简称“省联社”)的外包活动,保障省联社信息系统安全持续稳定运行,依据银监会颁布的《商业银行信息科技风险管理指引》和《银行业金融机构外包风险管理指引》,以及国家有关法律法规,制定本办法。 第二条本办法中的信息科技外包(以下简称“外包”)是指省联社将某些信息系统项目委托给服务提供商进行处理的行为。 第三条外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。 第四条省联社信息科技的战略管理、核心管理以及内部审计等职能不宜外包。 第二章组织架构及职责 第五条省联社外包管理的组织架构包括理事会、高级管理
层及外包管理部门,其中外包管理部门主要包括省联社银信金融服务中心信息技术部(以下简称“信息技术部”)、稽核审计中心、合规部等部门。 第六条省联社理事会的职责主要包括以下方面: (一)审议批准信息科技外包的战略发展规划; (二)审议批准外包的风险管理制度; (三)审议批准外包范围及相关安排; (四)审阅本机构外包活动相关报告; (五)安排内部审计,确保审计范围涵盖所有的外包活动。 第七条省联社高级管理层的职责主要包括以下方面: (一)制定外包战略发展规划; (二)制定外包风险管理的政策、操作流程和内控制度; (三)确定外包业务的范围及相关安排; (四)确定外包管理部门职责,并对其行为进行有效监督。 第八条信息技术部的职责主要包括以下方面: (一)执行外包风险管理的政策、操作流程和内控制度; (二)根据省联社信息科技建设规划或外包服务需求,结合省联社信息科技的建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划; (三)负责外包活动的日常管理,包括尽职调查、合同签署以及外包服务技术指标的制定等; (四)负责形成外包项目情况汇总报告,提交省联社合规部
xxxx银行信息科技外包战略及管理办法
xxxx银行 信息科技外包战略及管理办法 第一章总则 第一条为了规范xxxx银行(以下简称“我行”)的信息科技外包活动,保障我行信息系统安全持续稳定运行,降低信息科技外包风险,依据中国银监会颁布的《银行业金融机构信息科技外包风险监管指引》、《银行业金融机构外包风险管理指引》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条信息科技外包可能产生如下风险,并导致我行的战略、声誉、合规风险:
(一)科技能力丧失:我行过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断; (三)信息泄露:包含客户信息在内的我行非公开数据被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得我行信息科技服务水平下降。 第四条本办法所称机构集中度风险是指我行将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第五条本办法所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第六条实施信息科技外包时应当坚持以下原则: (一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡; (三)强调外包风险的事前控制,保持管控力度; (四)根据外包管理及技术发展趋势,持续改进外包策略和措施。 第七条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。
XX银行信息科技外包风险管理办法
XX银行信息科技外包风险管理办法 第一章总则 第一条为了规范XX银行(以下简称“本行”)信息科技外包管理,控制外包服务风险,根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》,结合本行实际,制定本办法。 第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况,将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。 第三条本行外包管理原则包括: (一)自主可控原则。信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。 (二)协调统一原则。符合科技风险管理策略,保持外包风险、成本和效益的平衡。 (三)预防优先原则。审慎管理信息科技外包活动,秉承事前预防重于事后控制、日常防控重于应急处理的原则。 (四)动态优化原则。根据外部监管要求、信息科技发展趋势和本行业务发展需求,持续优化本行信息科技风险外包管理策略和工作机制。 第四条本办法适用于本行与信息科技相关外包活动的管理。 第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。 第二章组织架构与职责分工 第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。 第七条董事会承担信息科技外包管理的最终责任。主要职责包括: (一)审议批准信息科技外包战略; (二)审议批准外包管理基本制度;
(三)审议批准本机构的外包范围及相关安排; (四)定期审阅本机构外包活动相关报告; (五)银监会信息科技外包风险监管指引要求的其它工作。 第八条高级管理层设信息科技管理委员会,负责全行科技外包工作的日常决策工作。主要职责包括: (一)制定外包战略发展规划; (二)确定外包业务的范围及相关安排; (三)确定科技外包管理团队职责,并对其行为进行有效监督; (四)定期审阅本行外包活动相关报告; (五)指导内部审计部门独立开展外包审计工作; (六)董事会确定的其它职责。 第九条风险管理部门负责制定外包风险管理的制度,组织识别和评估信息科技外包风险,监督、评价外包管理工作,对外包执行情况进行监督检查,定期向高级管理层汇报信息科技外包活动相关风险情况。 第十条外包管理执行团队由信息科技部、计划财务部、法律合规部等相关部门组成。外包管理执行团队具体负责科技外包项目的执行和管理工作,主要职责包括: (一)信息科技部门实施全行信息科技外包管理战略;执行供应商准入、评价和退出管理;制定保障外包服务连续性的应急管理措施;分析和评估外包存在的潜在风险,制定相应的风险防范措施,监督和管理外包实施过程,定期或不定期向风险管理部提交有关外包风险报告、进行风险事件报告。 (二)业务需求部门负责业务需求的整体规划与编写、外包业务可行性评估分析、业务功能及范围选型、业务验收测试、业务推广等工作,并参与项目的实施。 (三)计划财务部门是全行信息科技外包项目招投标工作的组织单位,负责科技外包项目的招投标活动的组织协调工作。
IT外包服务管理办法
I T外包服务管理办法-标准化文件发布号:(9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
IT外包服务管理办法(初稿) 1,目标: A,建立并健全IT外包服务保障体系,保证客户信息系统的运行稳定 和不断发展; B, IT固定资产和耗材的管理和分配。 2,范围: 软件类:各平台操作系统、各类应用软件、各类业务系统、各类网络终端的安装配置维护服务。 硬件类:各类办公设备(或IT相关设备)运维、设备维修(二级维修)、IMAC (办公设备安装/迁移/升级/变更)、耗材采购/更换等服务。 3,办法: 1)IT服务流程管理。主要参考ISO20000 ITSM服务体系管理标准。 A,建立“一站式”服务平台。“一站式”IT服务台是用户与IT服务部门的中心联络点,客户的IT问题通过IT服务台获取答案和帮助。所谓“一 站式”,就是业务部门可以一次性获取IT热线、IT现场等各种形式的IT 服务,解决所有日常办公IT问题。 B,IT服务台事件报告方式包括电话、电子邮件,或者网络即时通信方式,如QQ群,MSN 群,甚至自己开发WEB平台为统一入口或者结合现行的 OA软件等,所有事件应在服务台正式记录并可检索和分析。以多种报告 方式,提供现场用户,远程用户最便捷的服务
事件级别 级别定义 影响业务范围影响业务描述业务修复紧急程度 一级业务中断无法工作 1.PC硬件故障 2.PC系统崩溃 3.网络中断 4.。。。非常紧急,立刻处 理。 二级业务性能严重下降 1.OS系统病毒 2.邮件系统故障 3.业务系统故障 4.。。。 紧急,优先处理 三级业务性能下降 1.打印故障 2.电话故障 3.业务系统缓慢 4.。。。 普通,正常处理 四级问题请求,业务正常 1.PC硬件更换 2.耗材备料不足 3.软件应用指导 4.。。。不紧急,与客户协商 处理 D,事件状态。 编号状态描述 1待处理未安排技术人员处理 2处理中技术人员处理中 3完成事件处理完成 4归档记录问题到知识库,回访客户,调查服务质量 D,技术人员处理事件流程。服务台作为整体服务平台,按照技术人员的技术特点和水平,细分为一线支持,二线支持等。
企业信息技术资源外包的价值与风险
企业信息技术资源外包及其风险分析 摘要:企业竞争优势源于对顾客的深刻理解及对自身核心竞争力的把握。构建企业的核心竞争力,不但要确立企业发展的战略意图,还需创造独特的企业价值链及整合企业之间的价值链。在这种态势下,外包策略开始得到广泛应用。信息技术资源外包作为一种战略性商业创新方案开始为更多的企业所采用。外包的实质是企业和服务商之间的一种“委托—代理”关系,由于委托方和代理方之间存在着信息不对称、信息扭曲问题,加之市场及宏观环境的不确定性,导致企业在实施外包过程中存在种种风险,如果不加以重视和管理,则企业不但无法从中受益,反而会受损。鉴于此,对企业信息技术资源外包的风险问题应给予关注并进行研究,从而指导企业正确实施外包。 一、企业信息技术资源外包概述 1.基本概念人类社会已进入信息技术时代,信息技术正日益成为我们工作和生活中的一个重要部分。随着社会发展对信息技术的依赖性日益增长,该领域的外包愈发成为世界经理人关注的热点。从最初传统的信息技术资源外包(IT Outsourcing)到时下方兴未艾的应用服务外包(Application Service Provider,简称ASP),信息技术资源外包在企业构建核心竞争力、加速信息化建设的进程中发挥着不可忽视的作用。 信息技术资源外包,顾名思义,是指企业将信息系统(Information System,简称IS)或信息功能整体或部分地移交给外部的服务商来完成。严格意义上的外包,还意味着将企业信息技术部门(包括设备和人员)整体交由外部服务商来管理,直至成为后者的一个部门。其出发点相当简单,即:相对于企业部组织而言,如果外部服务商能以更富有效率和低成本的方式完成某项信息技术任务,则该任务应交由外部服务商来完成;反之,则应保留在企业部完成。企业可以在信息技术的功能及活动的许多领域选择利用外包。诸如数据中心的运作、通信、PC机的引进及维护、系统开发等,都可以是外包的容。
腾讯-外包员工信息安全管理规范
腾讯控股集团管理标准 GL/YY 001-2013V1.0-L1 外包员工信息安全管理规范 2013-1-4发布 2013-1-4实施——————————————————————————————————————— 腾讯控股集团发布
前言 本规范系公司第一次发布,为规范公司外包员工合理使用公司信息系统资源,制定外包员工信息安全管理措施提供依据,特制定本规范。 本标准由企业IT部和安全平台部负责起草、解释,自发布之日起实施。 本标准主要起草人:wilsonwang(王森);chanche(车世华);veeqihe(何林如); 本标准主要审核人:robynliu(刘若潇);coolcyang(杨勇) 本标准批准人:ponyma(马化腾);Charles(陈一丹);ls(卢山);leon(郭凯天) 本标准首次发布日期: 2013年1月4日 本标准适用范围:全公司 1.目的 本管理规范专为腾讯的外包员工设立,主要为了建立完善的外包员工信息安全管理制度,明确外包员工在场和离场需遵守的规范,包括但不限于:机器使用规范、帐号使用规范、场外接入规范、离场规范等。 2.适用范围 本管理规范适用全公司范围内所有外包员工。 3.相关定义 劳务派遣单位与劳动者建立劳动关系后,按照与用工单位订立的派遣协议将劳动者派到用工单位劳动,这类劳动者称之为外包员工:即企业将其非核心的业务外包出去,利用外部优秀专业团队承接业务,从而使其专注核心业务,达到降低成本、提高效率、增强企业核心竞争力和对环境应变能力的目的,这类服务外包及项目外包的员工统称为外包员工。 腾讯集团域:因投资并购等原因与腾讯构成合作关系的法人企业。 在场外包员工:外包员工在腾讯公司自有或租用办公环境内进行办公的称为在场外包员工。 场外外包员工:外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。 腾讯公司办公内网主要包括三类:办公网、开发网、体验网,使用原则是
信息技术外包服务安全管理制度通用版
管理制度编号:YTO-FS-PD272 信息技术外包服务安全管理制度通用 版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards
信息技术外包服务安全管理制度通 用版 使用提示:本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理,通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态,从而达到安全生产和减少隐患的效果。文件下载后可定制修改,请根据实际需要进行调整和使用。 第一节总则 1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运行环境的稳定,特制定本制度。 2、本制度所称信息技术外包服务,是指医院以签订合同的方式,委托承担信息技术服务且非本医院所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。 3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。 4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。 第二节外包服务范围 5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。
银行信息科技外包风险管理办法
. .. . .. .. 大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则 (4) 第二章外包管理组织架构 (5) 第三章信息科技外包战略及风险管理 (6) 第一节信息科技外包战略 (6) 第二节信息科技外包风险管理 (7) 第四章信息科技外包管理 (8) 第一节外包风险评估及准入 (8) 第二节服务提供商尽职调查 (10) 第三节外包服务合同及要求 (10) 第四节外包服务安全管理 (12) 第五节外包服务监控与评价 (13) 第六节外包服务中断与终止 (14) 第八章监督管理 (17) 第九章附则 (18)
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
IT外包服务管理办法
IT外包服务管理办法(初稿) 1,目标: A,建立并健全IT外包服务保障体系,保证客户信息系统的运行稳定和不断发展; B,IT固定资产和耗材的管理和分配。 2,范围: 软件类:各平台操作系统、各类应用软件、各类业务系统、各类网络终端的安装配置维护服务。 硬件类:各类办公设备(或IT相关设备)运维、设备维修(二级维修)、IMAC(办公设备安装/迁移/升级/变更)、耗材采购/更换等服务。 3,办法: 1)IT服务流程管理。主要参考ISO20000 ITSM服务体系管理标准。 A,建立“一站式”服务平台。“一站式”IT服务台是用户与IT服务部门的中心联络点,客户的IT问题通过IT服务台获取答案和帮助。所谓“一站式”, 就是业务部门可以一次性获取IT热线、IT现场等各种形式的IT服务,解 决所有日常办公IT问题。 B,IT服务台事件报告方式包括电话、电子邮件,或者网络即时通信方式,如QQ群,MSN 群,甚至自己开发WEB平台为统一入口或者结合现行的 OA软件等,所有事件应在服务台正式记录并可检索和分析。以多种报告 方式,提供现场用户,远程用户最便捷的服务
D,技术人员处理事件流程。服务台作为整体服务平台,按照技术人员的技术特点和水平,细分为一线支持,二线支持等。
1,定义首问负责制,哪位技术人员最先接到业务部门的请求,就成为该事件的责任人。2,事件责任人以一线支持开始,第一时间到现场或者远程支持用户,判断事件级别,独立解决或者转移事件给适合的服务人员。 3,责任人有权升级事情为二级支持,有权协调相应人员共同解决事件。 4,负责人在事件处理完后,必须填写事件处理单。 5,事件提交人员,必须签字确认服务完成,并对技术人员服务作出评价。 F,定期提交服务报告、用户满意度调查、服务投诉统计等,尽量多余用户多交流,用心了解用户的需求,以提升用户满意度为部门的唯一追求,不断的完善部门服务质量。 G,制定一些考核方面的关键绩效指标(KPI),使用KPI的管理工具,例如,Remedy,IBM 的Tivoli,BMC的Patrol等,从指标数据上来量化服务的质量。以便评估和改进IT服务。 4,IT服务团队管理。 A,要设置专门的岗位做监管工作,由服务经理每天进行监管。 B,监管要和考核挂钩。。各种监控数据,一定要和对人的考核挂钩,查看每个人的执行情况如何,制定长期、中期、短期考核等,以此保证执行的严肃性。 C,考核要和奖惩制度挂钩,申请一定的资金或者调休等措施,根据考核结果执行奖励或者惩罚。 D,定期集体讨论事件处理过程,在不断寻求事件的最佳处理方案的过程中,实现集体的技术进步。 E,严格执行事件记录制度,定期完善事件处理知识库,形成技术文档,以便新技术人员培训。 F,定期对团队成员做一对一,面对面的沟通,特别是加强跟总部外的人员交流,帮助员工进步,加强服务团队的凝聚力,以外包服务的质量。 G,引进管理工具的配合。例如ITIL等,通过系统管理工具的监控,得到实际运行情况,并发现哪些问题需要解决,它能使日常管理工作更加有效、更加规范地得以解决。解脱服务部门“消防员”的工作状态,避免事件升级,提升服务质量到更高层次。
信息系统外包管理办法-金融业
信息系统外包管理暂行办法 第一章总则 第一条为有效防范信息系统外包过程中产生的风险,促进信息系统安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《商业银行信息科技风险管理指引》、国家信息安全相关要求和有关信息系统外包管理的法律法规,制定本办法。 第二条本办法所称信息系统外包,是指将全部或部分IT工作外包给专业性公司完成的商业模式。目的是通过整合、利用适当的外部专业化IT资源,达到降低成本、提高效率、增强核心竞争力、提高应变能力。范围包括将信息系统的规划、研发、建设、运行、维护、监控、服务等委托给业务合作伙伴或第三方(以下统称为外包服务商)承担的活动。 第三条各部门应当按照本办法的规定开展信息系统外包活动。 第二章外包内容管理 第四条应根据业务发展的实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险。 第五条严禁外包涉及重要商业秘密、机密数据管理与传递和 IT信息战略相关的业务和服务。 第六条对于将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据管理与传递等内容进行外包时,应遵守国家有关 法律法规,符合银监会的有关规定,经过董事会办公会议批准,并在实施
外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。 第七条PC日常管理服务:与PC及PC周边产品有关的系统支持、数据恢复、系统重建等服务,包括电脑配件购买、硬件维修与安装、电脑软件(操作系统、办公软件、客户端程序、防病毒软件等)安装等相关工作。 第八条IT系统基础设施服务:网络、主机、服务器、存储、安全、机房设施等IT系统基础设施的硬件保障与维护、运行监控与维护、系统管理等服务。IT系统基础设施方案设计、项目实施、软硬件安装与配置等服务。 第九条应用系统开发和技术支持服务:根据业务要求,全部或 部分承担计算机应用系统开发、变更工作,向提交满足业务要求的应用系统的服务。为满足业务需求,保障系统运行稳定、促进计算机应用系统功能的正常发挥而向提供的应用系统技术支持服务。 第十条应用系统运行保障服务:为使计算机应用系统安全、可靠、持续运行、有效支持业务运作而提供的技术服务。 第十一条信息系统租用服务:根据业务需要,租用外部信息系统,由信息系统提供商提供信息处理能力和业务功能,支持业务运作的服务方式。 第十二条IT咨询服务:包括IT治理和信息安全咨询服务, IT发展规划咨询,以及其他专项IT咨询服务。 第三章职责和流程 第十三条信息科技管理委员会为公司IT外包服务的职能管理机构,信息中心为IT外包服务管理工作的执行机构,各分支机构和业务单位(部
某某公司信息系统外包人员管理办法
XX公司信息系统外包人员管理办法 一、总则 (一)为了加强对外包人员的统一管理,加强内部核算,降低风险和成本,特制定本管理办法。 (二)本办法适用于信息系统开发外包人员及其管理人员。 二、信息系统外包的定义 (一)信息系统外包是指公司聘用外部的专业服务供应商,利用它的专业技术和服务资源,为公司提供系统的开发、维护和支持服务,从而达到降低信息系统开发、维护、支持服务的成本的目的。 (二)外包形式分为定期人力外包和临时人力外包。 (三)定期人力外包指信息技术部根据上一年度的实际开发工作量,制定下一年度的开发工作计划,在人员不足的情况下,可进行的定期人力外包方式。 (四)临时人力外包指因紧急开发任务,且信息技术部评估人力不足时,可进行的临时人力外包方式。 三、外包人员的申请及入场管理 (一)信息技术部申请信息系统外包人员,依据年度项目计划,在项目立项后,通过OA系统上报信息系统外包项目用工需求,经各部门会签后经公司领导审批同意后,按照要求进行办理。 (二)外包人员进场前,由信息技术部协助,为外包人员办理入场手续,并填写《外包人员入场手续表》(详见附件一)。
(三)外包人员入场后,由信息技术部对外包人员使用的电脑进行标准化安装处理,禁止USB端口使用权限,并分配仅供外包人员使用的系统权限。 (四)因工作需要,外包人员需使用临时邮箱、域用户,由信息技术部为外包人员开通临时邮箱、域用户。 (五)原则上不允许外包人员携带移动存储设备(如移动硬盘、U盘、笔记本电脑等)进入工作现场,如因工作需要必须使用移动存储设备,需由信息技术部领导审批同意后,方可携带移动存储设备进入工作现场,并在信息技术部人员陪同下使用移动存储设备。 四、外包人员的权限管理 (一)外包人员系统桌面管理及网络管理采用标准化管理,具体如下: 1、系统桌面管理 (1)安装全新的操作系统,确保系统没有安全隐患。 (2)进行软件标准化安装,具体包括安装杀毒软件;对于工作所需的软件一次性安装;取消系统自带的小游戏;关闭外包人员域用户下对USB存储设备的访问权限。 (3)为外包人员申请临时的域用户。 (4)严格限制外包人员的域用户权限,限制该系列用户只拥有域中的user权限,且不允许外包人员使用公司员工的账号登录计算机。 2、网络管理
(整理)信息科技外包风险监管指引.
银行业金融机构信息科技外包风险监管指引 第一章总则 第一条为规范银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。 第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型: (一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。 第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险: (一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断; (三)信息泄露:包含客户信息在内的银行业金融机构非公开数据
被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。 第十条银行业金融机构在实施信息科技外包时应当坚持以下原则: (一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡; (三)强调外包风险的事前控制,保持管控力度; (四)根据外包管理及技术发展趋势,持续改进外包策略和措施。 第十一条银行业金融机构在实施信息科技外包时,不得将信息科技管理责任外包。 第十二条对于不涉及银行客户及内部信息转移的信息科技产品采购、维保,及通讯线路租用、支付或清算系统接入等信息科技公共基础设施服务,银行业金融机构应当充分评估其信息科技风险,按照本指引第五章要求进行管理。 第二章外包管理组织架构 第十三条银行业金融机构董事会及高级管理层应当严格落实信息科技外包风险管理的相关职责, 明确信息科技外包风险管理的主管
(完整版)项目外包管理办法
项目外包管理办法
目录 第1章总则 (3) 1.1编制目的 (3) 1.2外包定义 (3) 1.3适用范围 (3) 1.4外包方式 (3) 1.5外包管理人员 (3) 第2章外包项目要求 (3) 2.1外包战略 (3) 2.2承包商的选择 (4) 2.3外包项目计划书 (4) 2.4外包业务流程 (4) 2.5项目管理角色 (7) 2.6风险因素的识别 (7) 第3章项目外包过程管理 (8) 3.1考核和管控 (8) 3.2项目管理的要求 (8) 3.3人员管理要求 (10) 3.4项目验收要求 (11) 3.5违约行为的处理 (11) 第4章附则 (11)
第1章总则 1.1 编制目的 为使本公司外包项目管理更加规范合理,约束参与外包项目人员的行为,确保项目外包期间公司信誉的维护,并提升业务效率,实现项目外包的战略目标,特制定本制度。 1.2 外包定义 外包,为实现公司的战略经营目标,通过合同或协议等形式约定由外部服务提供商,提供部分或全部业务的合作方式。外包人员,承包单位负责具体实施业务的工作人员。 1.3 适用范围 公司将日常经营项目中的部分业务委托给公司以外的专业服务机构完成的经营行为,通常包括软件研发、系统集成、IT 服务、管理咨询、业务公关、委托加工等业务的外包管理。 1.4 外包方式 外包方式包括整体外包和部分外包。项目外包需要考虑项目运营具体特点、公司战略发展方向、外包市场成熟程度、管控水平等综合因素。 1.5 外包管理人员 公司外包项目的管理由公司项目经理和项目经理助理直接负责,包括参与项目外包过程和项目业务的调研、以及项目进度的监督和总体控制,并负责管理外包人员的日常工作安排。 第2章外包项目要求 2.1 外包战略 (1) 此项目外包是否可以降低公司的成本; (2) 此项目外包是否可以产生比自己运作更多的利益; (3) 此项目是否利用本公司没有的设备,专业人员或专业技术; (4) 准确把握公司核心竞争力与益利环节,避免将公司核心项目外包。
单位信息技术外包服务安全管理制度
单位信息技术外包服务安全管理制度 第一节总则 1、为加强单位信息技术外包服务的安全管理,保证单位信息系统运行环境的稳定,特制定本制度。 2、本制度所称信息技术外包服务,是指单位以签订合同的方式,委托承担信息技术服务且非本单位所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。 3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。 4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。 第二节外包服务范围 5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。 6、咨询服务:
根据单位的信息化建设总体部署,协助单位制定切实可行的技术实施方案。 对单位现有的信息技术基础架构、设备运行状态和应用情况进行诊断和评估,提出合理化的解决方案。 根据单位的实际情况提出备份方案和应急方案。 其它信息技术咨询服务。 7、运行维护服务: 软硬件设备安装、升级服务。 硬件设备的维修和保养。 根据单位业务变化,提供应用系统功能性的需求解决方案及执行服务。 系统定期巡检和整体性能评估。 日常业务数据问题的处理服务。 其它运行维护服务。 8、技术培训:根据单位的实际情况,提供相关的技术培训。 第三节外包服务安全管理 9、外包服务安全管理应按照“安全第一、预防为主”的原则,采取科学有效的安全管理措施,应用确保信息安全的技术手段,建立权责
明确、覆盖信息化全过程的岗位责任制,对信息化全过程实行严格监督和管理,确保信息安全。 10、成立由分管领导同志信息化外包管理组织,明确信息化管理的部门、人员及其职责。 11、建立信息建设安全保密,与外包服务方签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。 12、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。 13、外包服务方的人员素质、技术与管理水平能够满足拟承担项目的要求,进行相应的安全资质管理。 14、信息中心配备专人负责安全保密工作,负责日常信息安全监督、检查、指导工作。对服务方提供的服务进行安全性监督与评估,采取安全措施对访问实施控制,出现问题应遵照合同规定及时处理和报告,确保其提供的服务符合单位的内部控制要求。 15、对外包服务的业务应用系统运行的安全状况应定期进行评估,当出现重大安全问题或隐患时应进行重新评估,提出改进意见,直至停止外包服务。 16、使用外包服务方设备的,对其进行必要的安全检查。 17、在重要安全区域,对外部服务方的每次访问进行风险控制;必要
第十四期法律知识点(信息科技、业务连续性、外包风险管理系统)
法律法规知识点汇编 (第十四期) 目录 ※商业银行信息科技风险管理指引 (1) ※商业银行业务连续性监管指引 (3) ※银行业金融机构外包风险管理指引 (7) 2014年9月24日
商业银行信息科技风险管理指引 ※信息科技风险:是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。(第4条) 多选题:信息科技风险,是指信息科技在商业银行运用过程中,由于下列哪些情形产生的操作、法律和声誉等风险?(ABCD) A.自然因素 B.人为因素 C.技术漏洞 D.管理缺陷 ※信息科技风险管理的第一责任人:商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引贯彻落实。(第6条) 判断题:商业银行董事会是信息科技风险管理的第一责任人。(×) ※信息科技风险管理策略:商业银行应制定全面的信息科技风险管理策略,包括但不限于下述领域:(一)信息分级与保护。(二)信息系统开发、测试和维护。(三)信息科技运行和维护。(四)访问控制。(五)物理安全。(六)人员安全。(七)业务连续性计划与应急处置。(第15条) 多选题:商业银行应制定全面的信息科技风险管理策略,包括但不限于以下哪些领域?(ABCD) A.信息分级与保护 B.信息科技运行和维护 C.物理安全 D. 业务连续性计划与应急处置
※岗位制约:商业银行应将信息科技运行与系统开发和维护分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。(第41条) 单选题:商业银行应将( A )分离,确保信息科技部门部的岗位制约;对数据中心的岗位和职责做出明确规定。 A. 信息科技运行与系统开发和维护 B. 系统管理和网络 C. 数据库管理系统和网络 D. 硬件管理和软件管理 ※大规模系统开发的部门参与:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。(第66条) 单选题:商业银行在进行大规模系统开发时,应要求信息科技风险管理部门和( A )参与,保证系统开发符合本银行信息科技风险管理标准。 A.部审计部 B.财务部 C.业务部 D.监察部
公司信息系统外包人员管理办法
XX公司信息系统外包人员管理办法 一、总则 (一)为了加强对外包人员得统一管理,加强内部核算,降低风险与成本,特制定本管理办法。 (二)本办法适用于信息系统开发外包人员及其管理人员。 二、信息系统外包得定义 (一)信息系统外包就是指公司聘用外部得专业服务供应商,利用它得专业技术与服务资源,为公司提供系统得开发、维护与支持服务,从而达到降低信息系统开发、维护、支持服务得成本得目得。 (二)外包形式分为定期人力外包与临时人力外包. (三)定期人力外包指信息技术部根据上一年度得实际开发工作量,制定下一年度得开发工作计划,在人员不足得情况下,可进行得定期人力外包方式。 (四)临时人力外包指因紧急开发任务,且信息技术部评估人力不足时,可进行得临时人力外包方式. 三、外包人员得申请及入场管理 (一)信息技术部申请信息系统外包人员,依据年度项目计划,在项目立项后,通过OA系统上报信息系统外包项目用工需求,经各部门会签后经公司领导审批同意后,按照要求进行办理。 (二)外包人员进场前,由信息技术部协助,为外包人员办理入场手续,并填写《外包人员入场手续表》(详见附件一)。 (三)外包人员入场后,由信息技术部对外包人员使用得电脑进
行标准化安装处理,禁止USB端口使用权限,并分配仅供外包人员使用得系统权限. (四)因工作需要,外包人员需使用临时邮箱、域用户,由信息技术部为外包人员开通临时邮箱、域用户. (五)原则上不允许外包人员携带移动存储设备(如移动硬盘、U 盘、笔记本电脑等)进入工作现场,如因工作需要必须使用移动存储设备,需由信息技术部领导审批同意后,方可携带移动存储设备进入工作现场,并在信息技术部人员陪同下使用移动存储设备。 四、外包人员得权限管理 (一)外包人员系统桌面管理及网络管理采用标准化管理,具体如下: 1、系统桌面管理 (1)安装全新得操作系统,确保系统没有安全隐患。 (2)进行软件标准化安装,具体包括安装杀毒软件;对于工作所需得软件一次性安装;取消系统自带得小游戏;关闭外包人员域用户下对USB存储设备得访问权限。 (3)为外包人员申请临时得域用户。 (4)严格限制外包人员得域用户权限,限制该系列用户只拥有域中得user权限,且不允许外包人员使用公司员工得账号登录计算机。 2、网络管理 (1)外包人员IP地址使用由网络管理员统一分配,撤离后回收所
农商行联合社信息系统外包服务管理办法模版
农商行联合社信息系统外包服务管理办法 第一章总则 第一条为加强农商行联合社信息系统外包服务管理,规范外包服务行为,保证信息系统安全稳定运行,根据相关规定,结合实际,制定本办法。 第二条本办法适用于农商行联合社(以下简称省联社),本办法所称信息系统外包服务(以下简称外包服务)是指根据信息系统业务发展需要,以合同的形式委托具有相应资质的信息服务提供商,为省联社提供的部分或全部信息系统开发、建设、运行维护服务以及其他专业化程度较高的相关服务。 第三条本办法所称外包技术人员,是指省联社以买断一定期限使用权形式向专业性信息技术公司购买的,统筹用于省联社系统开发、系统测试、基础设施及系统运维、人力外包、管理咨询等工作的技术人员。 第四条外包技术人员管理应以满足需要、保证质量、提高效率、降低风险和成本可控为基本原则。 (一)满足需要原则。当期外包公司资质评审及入围数量,外包技术人员专业要求、买断期限及人数,应以能够满足当期项目开发、测试或咨询顾问等工作需求为目的。 (二)保证质量原则。外包技术人员提供的专业技术服务必须符合省联社现有技术规范或约定标准,服务结果应通过使用部门验收。
(三)提高效率原则。外包技术人员应严格遵守省联社相关管理制度,及时履行技术服务义务,按时交付服务成果;使用部门应合理安排外包技术人员工作计划,提高人员使用效率。 (四)降低风险原则。归口管理部门应与外包公司签订保密协议,明确违约责任,防止省联社商业信息和技术资料泄漏,并确保省联社接受的技术服务成果不被侵权使用;使用部门应加强风险控制,严格技术资料、源码、数据申领和验收等工作的管理,降低因使用外包技术人员带来的有关风险。 (五)成本可控原则。使用部门外包技术人员事先应取得预算额度;在预算执行过程中应严格管理,将成本投入控制在额度范围内。 第五条本办法的适用对象为提供人员外包服务的公司,省联社外包使用、管理及审批部门(人员)。 第二章组织机构及职责 第六条外包技术人员管理涉及单位包括:外包使用部门、外包归口管理部门和外包审批单位。 第七条凡有外包服务需求的各部门均为外包使用部门。其基本职责包括: (一)结合本部门年度开发、测试、技术咨询等工作需要,起草并向归口管理部门提交外包服务年度计划。
银行信息科技外包风险管理办法
大洼恒丰村镇银行信息科技外包 风险管理办法 大洼恒丰村镇银行信息科技部
变更履历 *变化状态:C——创建,A——增加,M——修改,D——删除
目录 第一章总则....................... 错误!未定义书签。第二章外包管理组织架构........... 错误!未定义书签。第三章信息科技外包战略及风险管理. 错误!未定义书签。 第一节信息科技外包战略 ........ 错误!未定义书签。 第二节信息科技外包风险管理... 错误!未定义书签。第四章信息科技外包管理........... 错误!未定义书签。 第一节外包风险评估及准入 ...... 错误!未定义书签。 第二节服务提供商尽职调查 ...... 错误!未定义书签。 第三节外包服务合同及要求 ...... 错误!未定义书签。 第四节外包服务安全管理 ........ 错误!未定义书签。 第五节外包服务监控与评价 ...... 错误!未定义书签。 第六节外包服务中断与终止 ...... 错误!未定义书签。第八章监督管理................... 错误!未定义书签。第九章附则....................... 错误!未定义书签。
第一章总则 第一条为规范我行的信息科技外包活动,降低信息科技外包风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《银行业金融机构信息科技外包风险监管指引》等法律法规,制定本办法。 第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第三条我行应将信息科技外包管理纳入全面风险管理体系,建立与本行信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第四条我行在实施信息科技外包时应当坚持以下原则:(一)以不妨碍核心能力建设、积极掌握关键技术为导向; (二)保持外包风险、成本和效益的平衡;
信息技术外包服务安全管理制度(试行)
信息技术外包服务安全管理制度(试行) 第一节总则 1、为加强医院信息技术外包服务的安全管理,保证医院信息系统运行环境的稳定,特制定本制度。 2、本制度所称信息技术外包服务,是指医院以签订合同的方式,委托承担信息技术服务且非本医院所属的专业机构提供的信息技术服务,主要包括信息技术咨询服务、运行维护服务、技术培训及其它相关信息化建设服务等。 3、安全管理是以安全为目的,进行有关安全工作的方针、决策、计划、组织、指挥、协调、控制等职能,合理有效地使用人力、财力、物力、时间和信息,为达到预定的安全防范而进行的各种活动的总和,称为安全管理。 4、外包服务安全管理遵循关于安全的所有商业准则及适当的外部法律、法规。 第二节外包服务范围 5、外包服务包括信息技术咨询服务、运行维护服务、技术培训等。 6、咨询服务: 6.1根据医院的信息化建设总体部署,协助医院制定切实可行的技术实施方案。 6.2 对医院现有的信息技术基础架构、设备运行状态和应用情况进行诊断和评估,提出合理化的解决方案。 6.3 根据医院的实际情况提出备份方案和应急方案。
6.4 其它信息技术咨询服务。 7、运行维护服务: 7.1 软硬件设备安装、升级服务。 7.2硬件设备的维修和保养。 7.3 根据医院业务变化,提供应用系统功能性的需求解决方案及执行服务。 7.4系统定期巡检和整体性能评估。 7.5 日常业务数据问题的处理服务。 7.6 其它运行维护服务。 8、技术培训:根据医院的实际情况,提供相关的技术培训。 第三节外包服务安全管理 9、外包服务安全管理应按照“安全第一、预防为主”的原则,采取科学有效的安全管理措施,应用确保信息安全的技术手段,建立权责明确、覆盖信息化全过程的岗位责任制,对信息化全过程实行严格监督和管理,确保信息安全。 10、成立由分管领导同志信息化外包管理组织,明确信息化管理的部门、人员及其职责。 11、建立信息建设安全保密制度,与外包服务方签订安全保密协议或合同,明确符合安全管理及其它相关制度的要求。并对服务人员进行安全保密教育。 12、制定信息化加工过程管理、信息化成果验收与交接、存储介质管理等操作规程或规章制度。