银行信息科技外包风险管理办法

XX银行信息科技外包风险管理办法第一章总则第一条为了规范XX银行（以下简称“本行”）信息科技外包管理,控制外包服务风险，根据中国银监会《商业银行信息科技风险管理指引》和《银行业金融机构信息科技外包风险监管指引》，结合本行实际，制定本办法。

第二条信息科技外包系指因本行技术人员技术力量不足或特殊情况，将原本由自身负责处理的信息科技活动委托给服务供应商进行处理的行为。

第三条本行外包管理原则包括：（一）自主可控原则。

信息科技外包活动以不妨碍核心能力建设、关键技术自主可控为导向。

（二）协调统一原则。

符合科技风险管理策略，保持外包风险、成本和效益的平衡。

（三）预防优先原则。

审慎管理信息科技外包活动，秉承事前预防重于事后控制、日常防控重于应急处理的原则。

（四）动态优化原则。

根据外部监管要求、信息科技发展趋势和本行业务发展需求，持续优化本行信息科技风险外包管理策略和工作机制。

第四条本办法适用于本行与信息科技相关外包活动的管理。

第五条本行的信息科技外包活动应遵守国家相关法律法规及监管部门的相关规定。

第二章组织架构与职责分工第六条本行外包管理的组织架构包括董事会、信息科技管理委员会、外包风险主管部门、外包管理执行团队、外包管理审计部门。

第七条董事会承担信息科技外包管理的最终责任。

主要职责包括：（一）审议批准信息科技外包战略；（二）审议批准外包管理基本制度；（三）审议批准本机构的外包范围及相关安排；（四）定期审阅本机构外包活动相关报告；（五）银监会信息科技外包风险监管指引要求的其它工作。

第八条高级管理层设信息科技管理委员会，负责全行科技外包工作的日常决策工作。

主要职责包括：（一）制定外包战略发展规划；（二）确定外包业务的范围及相关安排；（三）确定科技外包管理团队职责，并对其行为进行有效监督；（四）定期审阅本行外包活动相关报告；（五）指导内部审计部门独立开展外包审计工作；（六）董事会确定的其它职责。

第九条风险管理部门负责制定外包风险管理的制度，组织识别和评估信息科技外包风险，监督、评价外包管理工作，对外包执行情况进行监督检查，定期向高级管理层汇报信息科技外包活动相关风险情况。

附件外包风险管理办法第一章总则第一条为有效防范本行外包风险，进一步完善全面风险管理体系，保证本行各项业务的可持续发展，依据《银行业金融机构外包风险管理指引》并结合本行实际，制订本办法。

第二条本办法所指的外包风险是指本行将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理所产生的风险。

服务提供商包括独立第三方、本行股东或所属集团设立在中国境内、外的子公司、关联公司或附属机构。

第三条外包风险管理是指识别、评估、监测和控制外包风险的全过程管理。

第四条外包风险管理的原则是：适宜适度、审慎管理、动态预防。

第五条外包风险管理的取向是：主动防范。

即在满足监管要求的基础上，积极采取有效的管理措施并严格执行，将外包风险降低到最低程度。

第六条外包风险管理的目标是通过建立适时、合理、有效的外包风险管理机制，实现对外包风险的识别、评估、监测和控制，将外包风险控制在本行可以承受的范围之内，以推动本行外包活动持续、健康运行。

第七条本行将外包风险管理纳入全面风险管理体系，通过建立科学的风险管理组织架构，划分明确的风险管理职责、制定有效的风险管理策略、程序和制度，强化考核监督，持续推动外包风险管理工作的开展。

第二章业务外包管理范围、组织架构和职责第八条外包活动范围应与风险管理水平相适宜，应根据审慎经营原则制定外包战略发展规划。

第九条本行的战略管理、核心管理以及内部审计等职能不宜外包。

第十条本行的外包范围包括但不限于存款营销、贷款合作、科技开发、劳务外包、催收管理等方面。

第十一条本行外包风险管理的组织架构由董事会、高管层、外包活动实施部门、风险管理部、法律合规部、监察审计部等机构组成。

外包风险归口管理部门为风险管理部；外包活动实施部门通常指提出业务外包需求的部门。

第十二条董事会对外包风险管理的及时性和有效性承担最终职责。

具体包括：（一）审议批准外包的战略发展规划；（二）审议批准外包的风险管理制度；（三）审议批准外包范围及相关安排；（四）每年审阅本行外包活动评估报告；（五）安排内部审计，确保审计范围涵盖所有的外包安排。

银行信息科技外包管理办法模版银行信息科技外包管理办法模板第一章：总则一、为规范银行信息科技外包管理工作，促进银行信息科技安全稳定运营，根据《中华人民共和国银行业监督管理法》、《关于规范银行业信息科技外包管理的指导意见》等有关法规和规范性文件，制定本办法。

二、本办法适用于各银行信息科技外包服务活动，包括但不限于信息技术开发、技术支持、数据处理、网络维护等。

三、银行应当制定内部信息科技外包管理制度，建立信息科技外包工作档案，确保信息科技外包服务的整个合作过程合法、安全、稳定。

第二章：银行与外包服务提供方合作一、银行应当依据业务需要通过公开招标或者采购等方式选择外包服务提供方，定期考核外包服务提供方工作绩效，确保其服务质量和口碑服务客户。

二、银行应当与外包服务提供方签订合同或者协议，明确外包服务项目、服务内容、服务质量标准、服务期限、服务报酬等具体事宜，明确双方权利和义务，确保交易合法、合规。

三、银行应当对外包服务提供方进行严格的管理，及时指导引导外包服务提供方完成银行交代的任务，保证外包服务提供方能够按时按质地完成任务。

第三章：银行信息科技外包服务审核一、银行应当建立信息科技服务审核体系，对外包服务提供方的服务情况进行审核，检验其安全性、稳定性、合规性等问题，对问题进行反馈，确保业务的正常推进。

二、银行应当对外包服务提供方信息科技服务情况进行监控和跟踪，及时发现和处理问题，并制定风险防范措施，确保银行信息科技系统的安全和稳定。

三、银行应当定期收集外包服务提供方的服务质量数据，并进行综合分析，为下一步提高外包服务质量提供依据。

第四章：银行信息科技服务风险防范一、银行应当建立信息科技服务风险防范机制，针对信息科技服务出现风险进行应急措施制定，确保业务的正常推进。

1 / 2。

中国银保监会发布《银行保险机构信息科技外包风险监管办法》文章属性•【公布机关】中国银行保险监督管理委员会,中国银行保险监督管理委员会,中国银行保险监督管理委员会•【公布日期】2022.01.21•【分类】法规、规章解读正文中国银保监会发布《银行保险机构信息科技外包风险监管办法》为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作，中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。

《办法》起草工作坚决贯彻落实中央精神，注重把握以下原则：一是坚持风险为本，在深入分析银行保险机构信息科技外包风险发展态势的基础上，提出针对性的监管要求；二是强化监管力度，在总结银行保险业信息科技监管实践经验的基础上，制定体系化的监管措施；三是对接国际标准，《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。

《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。

一是在总则中明确信息科技外包风险管理的总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。

三是对信息科技外包准入提出监管要求，包括准入前评估、尽职调查、合同等进行了规定，并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。

四是明确信息科技外包监控评价要求，对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。

五是规范信息科技外包风险管理，对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。

银行信息科技外包服务管理办法模版银行信息科技外包服务管理办法模板第一章总则第一条为规范银行信息科技外包服务的管理，提高管理水平，保障客户合法权益，依据《中华人民共和国合同法》、《中华人民共和国电子签名法》、《中华人民共和国电信条例》等有关法律、法规规定，特制定本管理办法。

第二条本办法适用于行业内银行与外部单位、个人之间进行信息科技外包服务活动的管理。

第三条银行应根据实际业务情况制定外包服务计划和外包服务实施方案，遵循科学、合理、可行的原则。

第四条银行对外包服务所采用的技术和服务、服务供应商资质和管理、服务内容、人员配备和考核、服务风险控制等全部有权进行审核、评估和监督管理，确保外包服务质量和安全。

第五条外包服务合作应签订书面合同或协议，银行应明确外包服务合同或协议的双方、服务内容、服务标准、服务时间、服务费用、服务质量、违约责任等条款。

第六条银行应设置信息科技外包服务管理机构，对外包服务进行专业化、标准化的管理。

第二章外包服务报备和审核第七条银行实施信息科技外包服务时，应向国家银行业监督管理机构报备，提交有关外包服务的申请材料，包括外包服务计划、外包服务实施方案、合同或协议等。

第八条国家银行业监督管理机构应对提交的申请材料进行审核，审核合格后向银行颁发信息科技外包服务经营许可证。

第九条银行外包服务合作方应按照有关要求向银行审请合法经营业务的相关许可证，如互联网信息服务许可证、电信服务经营许可证、电子商务实体经营许可证等。

第三章外包服务合同第十条银行与外包服务合作方应在合同中明确一下基本内容：（一）服务内容：根据银行与合作方共同确定的具体业务需求，明确外包服务的范围、类型、服务内容和要求。

（二）服务标准：明确外包服务标准和要求，如服务质量、响应时间、服务效率和服务水平等。

（三）服务时间：明确服务时间和工作量要求，如工作时间、工作日历、工作计划和工作标准等。

（四）服务报酬：明确服务报酬的支付方式、金额、收款账号等。

xxxx银行信息科技关联外包管理办法第一章总则第一条为规范xxxx银行（以下简称“我行”）信息科技关联外包活动，保障xxxx银行信息系统安全持续稳定运行，降低信息科技关联外包风险，依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》，结合我行实际，特制定本管理办法。

第二条本办法所称关联外包是指外包服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构所提供的信息科技外包服务。

第二章部门及职责第三条xxxx银行信息科技部为我行信息科技关联外包的职能管理部门。

第四条我行信息科技关联外包管理其他涉及的部门包括：关联外包服务使用部门（外包服务直接应用部门）、关联外包审批部门、风险管理部和审计部等。

第五条我行信息科技部作为信息科技关联外包管理部门，其基本职能如下：（一）负责协调和组织关联外包资源，管理关联外包资源台账信息；（二）规范和制定关联外包合同和外包服务水准的基本要求；（三）协助相关部门签定关联外包服务合同、制定关联外包服务水准协议，信息科技部主要负责制定技术指标要求；（四）规范和制定关联外包监控制度、考核评价机制和持续改进办法、组织验收考核；（五）负责定期形成关联外包项目情况报告，提交相关部门及高级管理层；（六）根据xxxx银行审计部门或风险管理部门对关联外包工作的评估、审计以及提出的风险管理意见对信息科技关联外包工作实施优化和改进。

第六条我行关联外包管理其他涉及的部门，其基本职能如下：（一）配合信息科技关联外包管理部门做好关联外包服务商的日常风险信息收集；（二）协助相关部门签定关联外包服务合同、制定关联外包服务水准协议；（三）配合信息科技关联外包管理部门做好对关联外包工作的评估、审计工作。

第三章关联外包管理原则第七条我行在开展关联外包活动采购前，应当在外包合同签订前10个工作日向银保监会或其派出机构报告。

第八条我行在开展关联外包活动时，应遵循独立交易原则，对所有参与外包商需采用统一标准和原则，遵循正常市场交易原则和营业常规，不得违背公平交易原则。

xxxx银行信息科技非驻场外包管理办法第一章总则第一条为规范xxxx银行（以下简称“我行”）信息科技非驻场外包活动，保障我行信息系统安全持续稳定运行，降低信息科技非驻场外包风险，依据中国银监会《银行业金融机构信息科技外包风险监管指引》和《银行业金融机构外包风险管理指引》，结合我行实际，特制定本管理办法。

第二条本办法所称非驻场式外包是指外包服务商不在我行提供现场服务，或外包的关键基础设施和信息系统不在我行产权场所，由我行以租用设施或购买服务资源的方式获得，主要由外包服务商运维的外包方式。

第二章非驻场外包职责管理第三条我行信息科技部是信息科技非驻场外包的职能管理部门。

第四条我行信息科技非驻场外包管理中其他涉及的部门包括：非驻场外包服务使用部门（外包服务直接应用部门）、非驻场外包审批部门、风险管理部和审计部等。

第五条我行信息科技部作为信息科技非驻场外包管理部门，其基本职能如下：（一）负责非驻场外包管理办法的制定、修订和完善。

（二）负责协调和组织非驻场外包资源，管理非驻场外包资源台账信息；（三）负责制定技术指标要求，协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议。

（四）规范和制定非驻场外包监控制度、考核评价机制和持续改进办法、组织验收考核；（五）负责定期形成非驻场外包项目情况报告，提交相关部门及高级管理层审核；（六）根据xxxx银行审计部门或风险管理部门对非驻场外包工作的评估、审计以及提出的风险管理意见对信息科技非驻场外包工作实施优化和改进。

第六条我行非驻场外包管理其他涉及的部门，其基本职能如下：（一）配合信息科技非驻场外包管理部门做好非驻场外包服务商的日常风险信息收集；（二）协助相关部门签定非驻场外包服务合同、制定非驻场外包服务水准协议；（三）配合信息科技非驻场外包管理部门做好对非外包工作的评估、审计工作。

第七条信息科技部外包管理岗是非驻场外包执行的主管岗位，其基本职能如下：（一）负责非驻场外包管理办法的执行，并对办法提出改进建议；（二）负责非驻场外包供应商的尽职调查，提交尽职调查报告；（三）负责非驻场外包供应商信息的定期收集和更新，建立供应商管理台账；（四）负责定期形成非驻场外包项目情况报告；（五）协助审计、风险管理部门对外包供应商进行审计和风险评估。

农商银行信息科技外包管理办法农商银行信息科技外包管理办法第一章总则第一条为规范农商银行信息科技外包工作，提高信息技术服务质量，保障信息安全和业务连续性，制定本办法。

第二条农商银行信息科技外包，是指依托第三方机构提供的专业技术和服务，对信息科技系统的建设、运维、服务和安全进行外包。

第三条农商银行信息科技外包工作应遵循统一规划、分类管理、风险可控、服务可持续、监管有序、安全保障的原则。

第二章外包范围和内容第四条农商银行信息科技外包的范围包括但不限于以下内容：（一）信息系统及设备建设和维护；（二）网络和服务器管理；（三）软件开发和维护；（四）数据中心运维；（五）安全防护和风险管理；（六）业务流程外包等。

第五条农商银行信息科技外包应符合相关法规和监管要求，并按照农商银行的信息技术发展规划进行合理选择。

第六条农商银行信息科技外包应与农商银行总行外包管理部门建立合作关系，按照监管部门的要求，进行合规运营。

第三章外包机构的选择和管理第七条农商银行信息科技外包应选择具有相应资质和经验的专业机构进行合作，并签订详细的合同和协议。

第八条农商银行应建立信息科技外包管理团队，负责对外包机构的选择和绩效评估。

第九条农商银行应对外包机构进行定期的考核和监管，对外包机构的服务质量和合规运营进行评估。

第四章风险控制和安全保障第十条农商银行信息科技外包涉及的风险应进行全面的评估，并制定相应的风险防控措施。

第十一条农商银行应与外包机构共同建立信息安全保障体系，加强对信息安全的监控和防范。

第十二条农商银行应定期对信息科技外包进行风险评估和演练，保障业务连续性和应急响应能力。

第五章监督和绩效评估第十三条农商银行信息科技外包应接受农商银行总行外包管理部门和监管部门的监督和检查。

第十四条农商银行应定期对信息科技外包工作进行绩效评估，对外包合作机构进行考核和奖惩。

第六章附则第十五条农商银行信息科技外包管理办法的解释权归农商银行总行所有。

第十六条本办法自颁布之日起执行，原有农商银行信息科技外包管理办法同时废止。