03、信息科技外包管理制度

xx银行信息科技外包管理制度

第一章总则

第一条为规范xx银行信息系统外包管理行为，确保外包服务质量，防范外包项目风险，结合本行工作实际，制定本制度。

第二条通过本制度的执行，明确允许外包的内容和范围，约束外包商资质和服务协议的履行能力，提高外包服务质量，降低因外包商发生意外事件而产生的风险。

第三条本制度适用于xx银行信息系统外包服务，对外包商及其提供的产品和服务进行规范和管理。

第二章定义及分类

第四条外包的定义

本制度中的外包是指在信息系统建设和维护过程中，信息科技部受资源配置、服务能力等因素影响而无法完成全部或部分计划任务而利用外部资源为企业提供信息科技服务的行为。

第五条外包的分类

按外包商为企业提供的服务内容可分为项目外包、维护外包和管理外包三类。

1、项目外包是指外包商为企业提供信息科技建设项目的服务；

2、维护外包是指外包商为企业提供软件、硬件及网络等维护，确保信息系统可持续运行的服务；

3、管理外包是指外包商为企业提供信息科技治理结构、信息科技战略发展规划、信息科技风险评估和信息科技管理等咨询服务。

按外包商为企业提供的服务范围可分为全部外包和部分外包。

第三章外包的范围

第六条项目外包可采用全部或部分外包的方式，也可按实际需要采取多个外包商联合外包的方式。项目实施过程中，信息科技部须全程参与和监督，掌握关键技术并保证项目质量；

第七条软件、硬件、网络及环境的维护均可进行全部或部分外包，但必须采用外包商维护和自行维护相结合的方式，以防止因外包商维护服务不及时或外包商发生意外事件而影响业务连续性；

第八条管理外包原则上只允许采用咨询方式的外包服务，具体实施内容须由董事会、信息科技管理委员会、高级管理层和信息科技部最终确定并独立执行。

第四章外包商的资质及确定

第九条对外包商资质的要求

外包商必须是具有合法经营许可的企业，并具有较强的经济实力和服务能力。项目外包商须对实施的项目具有自主知识产权且在近期内具有相同或相似的成功实施案例。维护外包商须具有合法的维护资质和生产厂商的授权许可。信息科技部须对外包商的成功实施案例进行调查，掌握实施案例中外包商的尽职情况和服务执行情况。按外包服务的实际需要，外包商还须具备其他相关的资质和能力。

第十条外包商的确定

重大项目的外包服务须在董事会的授权下由信息科技管理委员

会组织采用公开招标或比价采购的方式确定外包商。招标过程中须详

细了解竞标企业的信息，综合考虑竞标企业的资质、服务能力、成功案例和价格等因素，最终由招标委员会成员投票确定外包商。

第十一条纪检监察、内审部须对已确定的外包商进行审计和监督。

第五章外包合同或协议

第十二条所有外包服务均须签定外包合同或协议，除法律规定的基本条款外，外包合同或协议还须明确与信息系统相关的特殊内容。

第十三条项目外包合同或协议须明确项目的费用明细、进度计划、免费服务期限及相应的违约责任等，其中免费服务期限原则上至少为1年。

第十四条维护外包合同或协议须明确提供维护服务的范围、服务渠道、响应速度及相应的违约责任等，其中服务渠道须至少包含电话、远程、现场等，并明确每种服务渠道的响应时间。

第十五条签定外包合同或协议的同时，须同外包商签定服务水平协议，服务水平协议中外包商须对外包服务质量和所涉及的业务连续性提出承诺，外包商须承担由外包服务质量和业务连续性等因素所造成的损失。

第十六条所有外包合同或协议中必须具有保密条款和相应的违

约责任，防止因涉密信息泄露而产生经营风险。

第十七条信息科技部指定专门管理员对所有外包合同或协议文

本进行归档管理，建立外包合同目录和调阅记录。

第六章外包服务的执行

第十八条实施环境外包商须在指定的环境中实施外包服务，并遵守xx银行一切规章制度，接受xx银行监督。

第十九条外包服务实施过程中须指定专人对外包项目进行全程跟踪，记录外包商对测试环境和生产环境的访问权限、访问路径及操作过程等。信息安全管理员定期对所有记录进行检查并做出风险提示和整改措施。风险部、内审部定期对外包商访问控制策略有效性和外包执行情况进行监督检查。

第二十条人员培训外包服务实施过程中，外包商须对xx银行相关业务和技术人员进行全面培训，使其掌握基本的开发、测试和日常维护能力。

第二十一条文档资料管理外包商须提供实施过程中形成的全部文档资料，包括但不限于以下内容：实施计划、需求说明书、设计说明书、源码及程序、测试报告、验收报告、用户操作手册、维护手册等。

第七章外包服务的风险管理

第二十二条外包风险的监控和管理由风险管理部牵头组织实施。

第二十三条外包立项阶段，风险管理部须协同信息科技部和其他相关业务部门对外包项目进行风险评估。风险评估内容包括但不限于合规风险、法律风险、操作风险和道德风险等。

第二十四条风险管理部须对外包项目进行全程监控，并及做出风险提示和整改意见。

第八章外包商意外事件的解决

第二十五条为防止因外包商意外事件而造成的风险，原则上应与外包商采取长期战略合作的方式，并采用相应手段防范风险。

第二十六条招标过程中须确定第一中标候选人和第二中标候选人，并由第一中标候选人实施外包服务。当第一中标候选人在实施过程中发生意外事件甚至退出时，可考虑由第二中标候选人接替，继续实施外包服务。

第二十七条信息科技管理委员会须组织信息科技部和相关业务部门制定外包商意外事件应急预案。预案中须明确外包服务备用资源。信息科技管理委员会须提前组织信息科技部和相关业务部门进行外包商意外事件应急演练，当外包商意外事件发生时严格按照应急预案执行。

第二十八条外包服务实施过程中，信息科技部须指定技术人员参与和监督，要求其掌握基本的实施或维护能力。当外包商发生意外事件甚至退出时，信息科技部技术人员应有能力继续实施或维护，保证业务的连续性。

第九章外包的管理

第二十九条外包服务由信息科技部负责管理，信息科技管理委员会负责监督。

第三十条信息科技部须对外包项目进行具体分析，提供外包商的评价标准、服务能力等级和准入条件，最终由信息科技管理委员会确定外包商选择的方式和流程。

第三十一条信息科技管理委员会组织相关业务部门对外包项目

进行业务分析，确定外包项目是否涉及关键业务。

第三十二条所有外包项目必须经信息科技管理委员会审批通过后方可进行实施。

第三十三条外包项目完成后，信息科技部须对外包服务质量和外包服务满意度进行评价，信息科技管理委员会负责监督。

第十章附则

第三十四条本制度由xx银行负责解释和修订。

第三十五条本制度自发布之日起执行。