xxxx银行信息科技外包战略及管理办法

信息科技外包战略及管理办法

第一章  总  则

第一条  为了规范xxxx银行（以下简称“我行”）的信息科技外包活动，保障我行信息系统安全持续稳定运行，降低信息科技外包风险，依据中国银监会颁布的《银行业金融机构信息科技外包风险监管指引》、《银行业金融机构外包风险管理指引》、《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本办法。

第二条  本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。原则上包括以下类型：

（一） 研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；

（二） 系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；

（三） 业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。

第三条  信息科技外包可能产生如下风险，并导致我行的战略、声誉、合规风险：

（一） 科技能力丧失：我行过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；

（二） 业务中断：支持业务运营的外包服务无法持续提供导致业务中断；

（三） 信息泄露：包含客户信息在内的我行非公开数据被服务提供商非法获得或泄露；

（四） 服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得我行信息科技服务水平下降。

第四条  本办法所称机构集中度风险是指我行将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第五条  本办法所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。

第六条  实施信息科技外包时应当坚持以下原则：

（一） 以不妨碍核心能力建设、积极掌握关键技术为导向；

（二） 保持外包风险、成本和效益的平衡；

（三） 强调外包风险的事前控制，保持管控力度；

（四） 根据外包管理及技术发展趋势，持续改进外包策略和措施。

第七条  银行业金融机构在实施信息科技外包时，不得将信息科技管理责任外包。

第  本办法管理内容涉及科技信息外包的各个流程，包括外包项目的建立、执行、监控、考核评价、持续改进等过程。

第九条  本办法参照中国银监会《银行业金融机构信息科技外包风险监管指引》中信息科技外包风险控制要求制订，目标是明确信息科技外包管理要求，防范和控制我行信息科技外包风险，保证外包流程规范化并能达到预期成效。

第二章  组织架构及职责

第十条  我行外包管理的组织架构包括高级管理层和信息科技外包专职主管部门，其中信息科技外包专职主管部门为我行科技开发部。

第十一条  我行高级管理层的职责主要包括以下方面：

（一） 确定外包管理部门职责，并对其行为进行有效监督。

（二） 审议批准信息科技外包的战略发展规划；

（三） 审议批准信息科技外包的风险管理制度；

（四） 审议批准信息科技外包业务的范围及相关安排；

（五） 审阅本机构外包活动相关报告；

（六） 安排内部审计，确保审计范围涵盖所有的外包活动。

第十二条  信息科技外包专职主管部门的职责主要包括以下方面：

（一） 制定信息科技外包的战略发展规划；

（二） 制定并执行信息科技外包风险管理的、操作流程和内控制度；

（三） 根据我行信息科技建设规划或外包服务需求，结合我行信息科技的建设情况，确立外包项目的范围、内容和相关安排、制定外包年度计划及外包阶段性计划；

（四） 负责信息科技外包活动的日常管理，包括尽职调查、合同签署以及外包服务技术指标的制定等；

（五） 负责形成信息科技外包项目情况汇总报告，提交我行高级管理层及风险管理部、审计部和法律合规部等相关部门；

（六） 根据我行风险管理部、审计部和法律合规部对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进；

（七） 在发现外包服务提供商的业务活动存在缺陷时，采取及时有效的措施；

（八） 高级管理层确定的其他职责。

第十三条  信息科技外包管理涉及的部门包括：外包管理部门、外包使用部门（外包直接应用部门）、外包审批部门以及外包审计部门、外包风险管理部门等。

第十四条  我行科技开发部作为信息科技服务外包管理部门，其基本职能如下：

（一） 根据我行信息科技建设规划或外包服务需求，结合全行信息科技资源的整体分布和建设情况，确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划；

（二） 负责协调和组织外包资源，管理外包资源台账信息；

（三） 规范和制定外包合同和外包服务水准的基本要求；

（四） 主持或协助相关部门签定外包服务合同、制定外包服务水准协议，科技开发部主要负责制定技术指标要求；

（五） 规范和制定外包监控制度、考核评价机制和持续改进办法、组织验收考核；

（六） 负责定期形成外包项目情况汇总报告，提交相关业务管理部门、风险管理部门及高级管理层；

（七） 根据我行审计部门或风险管理部门对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进。

第十五条  享有信息科技外包服务或外包服务的直接应用部门为外包使用部门，基本职能如下：

（一） 负责编写提交信息科技外包服务业务需求；

（二） 参与制定外包服务合同以及外包服务水准，外包使用部门主要负责业务指标和相关罚则的制定；

（三） 参与对外包公司和外包人员的考核和评审；

（四） 协助外包管理部门共同管理外包过程。

第十六条  我行审计部为信息科技外包的审计部门，负责对信息科技外包项目进行事前、事中和事后审计。

第十七条  我行风险管理部门为信息科技外包的风险管理部门，负责根据科技开发部提交的外包项目风险评估报告，发现和控制项目过程中的风险。

第三章  外包战略及管理

第十  我行应当以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技核心技能为目标，基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十九条   我行根据自身信息科技战略，明确涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包，且不得将信息科技管理责任外包。

第二十条  我行在进行信息科技外包活动前必须进行外包风险评估。在外包风险评估阶段应考虑以下因素:

（一）我行的战略目标和业务需要。

（二）我行评估和监视外包关系的能力。

（三）我行的关键服务和重要服务。

（四）外包活动的需求说明。

（五）必要的控制和报告过程。

    （六）服务提供商在合同中的权利和义务。

（七）偶发事件的处理,包括改变服务提供商的可能性以及改变服务提供商时所需要的成本和资源。

第二十一条  必须选择合适的服务提供商。在完成自身的风险评估后，我行必须对服务提供商进行评估以决定其财务和运作方面的能力是否能满足需要。在选择IT 外包服务提供商时,必须对提供商支持外包业务的技术能力、关键人员的业务能力、业务处理的操作和控制能力以及提供商的财务状况等进行全面评估,以选择业务能力强、信誉好的服务提供商。

（一） 外包服务提供商技术水平与专业人员的业务能力评估。主要包括对外包服务提供商提供给金融机构所需服务和技术支持的经验和能力、服务失败或业务系统遭黑客入侵等偶发事件的应对能力、在预期的操作环境下提供服务的经验、提供外包业务关键人员的业务能力和敬业精神与职业道德等进行评估。

（二） 安全、保密措施与保险覆盖范围的审查。主要是审查服务提供商处理设备管理、系统安全性、个人隐私保护、数据记录维护、系统灾难恢复、系统开发和维护以及职员背景等工作的标准、策略和过程是否充分；考查服务提供商是否提供了充分而谨慎的安全措施,包括防火墙、加密、客户身份认证、对金融机构资源的保护和对入侵的检测与应对措施等；考查服务提供商是否对诸如欺诈、火灾、数据丢失、文档失窃等进行保险。

（三） 评估外包服务提供商对相关法律法规和专业知识的了解程度。应该评估外包服务提供商需要向金融机构学习的金融专业知识、外包服务提供商对与我行IT 外包业务相关的法律法规的了解程度等。

（四） 财务状况与信誉考察。应通过其它用户和咨询机构了解外包服务提供商的信誉和表现。分析服务提供商提供的已经审计过的报告、年终报告和其它指标等。考查服务提供商在金融行业中服务的时间、占据的市场份额及其波动情况。评估服务提供商的技术费用支付能力,如服务提供商在财务上是否有能力投资和支持金融机构IT 外包业务所需的技术等。考查金融机构是否可以完全、及时地取得由提供商保有的资料。

第二十二条  制定适当的外包合同。外包合同是实现外包策略最关键的一个环节, 我行在制定外包合同时,应该注意以下几个方面的问题：

（一） 明确的服务边界和灵活的外包协议。在外包合同中,我行必须清晰、明确地指出服务范围，以便服务提供商明确自己的职责。同时，外包合同(特别是长期外包合同) 应具有充分的弹性以允许在技术和操作方面进行改革或应对技术、业务、甚至策略目标方面可能出现的变化。

（二） 合理的服务级别说明和度量。服务级别说明与度量用来衡量服务提供商的质量表现(perfor2mance) 。因此,应重点衡量我行通过IT 外包所期望达到的结果和服务水平，而不是把重点放在技术细节上或只关注项目的进展速度。

（三） 明确赔偿责任与争端解决程序。外包服务合同中应包含惩罚服务提供商未能提供约定服务级别的条款。同时，为了在争端出现时迅速解决争端以及在争端出现时可继续提供服务，合同中还应包括解决双方争端的程序。

（四） 安全性与机密性要求。合同应声明我行各种资源(如信息、硬件、软件等) 的安全性和机密性要求。除了与外包服务密切相关的信息外，还应禁止外包服务提供商使用和揭露我行的其它信息，防止未经授权的使用。我行应提醒服务提供商注意个人隐私保护方面的法律条款，防止服务提供商泄露客户的有关信息。

（五） 稽核权利。我行在外包合同中应指明获取外包服务提供商各种审计报告的权利(如财务报告、性能报告、内部控制报告、安全检查报告等)。合同中也可指明稽核的频率以及相关费用等。对于重大的外包服务活动,还应考虑在合同中明确由具有专业知识的的第三方来执行阶段性的稽核工作，我行应该要求获得详细的存取安全性持续审计结果的权利。

（六） 偶发事件的应对计划。合同应包括外包服务提供商在备份和记录保护方面的责任(包括设备、软件和数据文件的维护等)，以及执行测试计划和将其结果提交给我行的责任。

（七） 成本增加和终止合同的权利。合同应充分指明基础服务的费用及其计算，包括任何开发、转化、重复的服务以及特殊需求的费用。还应明确购买和维护软、硬件的责任与成本，并明确在成本结构改变的条件下任何可能发生的情况，以成本的增加。

另外我行必须在外包服务合同中提出终止合同的权利，包括控制和设备的变更、成本的显著增加、服务水平多次未达到、不能对关键服务提供支持、公司破产和倒闭以及资金周转不灵等。同时，外包服务合同必须要求外包服务提供商在终止合同时，及时以机器可读的格式向金融机构提供其数据资源和其它资源，并补偿转换外包服务提供商时产生的相关费用。

（八） 多层外包服务提供商关系。一些外包服务提供商在向金融机构提供服务时也许与第三方签订有合同。对此，我行应该只与一级外包服务提供商签约，由一级外包服务提供商对其提供的服务负责而不管服务事实上是由哪一级外包服务提供商提供的。

第二十三条  监督服务提供商。在合同执行期间，我行应重视对服务提供商的持续监督。应成立包括IT专家、金融专家、审计专家，以及金融机构战略目标专家等各方面专家组成的监管组，定期和不定期地对外包服务提供商的业务能力、提供的服务级别、财务状况以及支持我行外包业务的关键人员的变动情况进行监督，以及时发现问题，采取措施减少风险。监管组应将监管中发现的问题记录存档，以便更好地管理外包关系。

如果本行的专家无力承担起监管的职责，可雇佣外部有经验的专家加入到监管组。监管的主要内容应包括财务状况与业务的监管、服务质量和技术支持的评估、合同履行情况监视、灾难恢复计划的审查等。

第二十四条  探索IT 外包的新形式。为了减少和控制风险，除了考虑以上因素外，还应探索IT 外包的新形式。如我行可以考虑同信息技术公司一起组建新的机构，不仅外包内部的处理业务，而且处理其它金融机构的相关业务；与IT 服务提供商建立战略伙伴关系，采用股份制等方式，共同投资新的机构业务必须的技术领域，共担风险,共获收益。外包的下一趋势是能增加联盟有效性的独特法人结构在业务过程再造和增加股东价值方面的使用，这些法人结构包括偶发事件定价(Contingency Pricing) 、资源合作(Co - sourc2ing) 、交叉拥有关系(Cross Ownership) 和联合投资(Joint Ventures) 等。

     第四章 外包服务提供商资质评审

第二十五条  外包服务提供商（外包公司）资质评审由我行科技开发部负责统一组织，每年定期评审一次，特殊情况可根据实际需要安排评审频度和时间。

第二十六条  参加资质评审的外包服务提供商必须满足我行招标文件中所要求的资质水准，不符合资质要求的外包服务提供商不准参与我行的外包服务。外包服务提供商必须通过资质评审方能进入后续工作。

第二十七条  满足下列条件之一的外包服务提供可免于参加年度外包服务提供商资质评审和免于执行人员试用：

（一） 上一年度考核结果为良好（含）以上的外包服务提供商；

（二） 外包服务提供商应我行要求继续为该系统提供技术支持服务的。

第二十  外包服务提供商的资质要求包括以下内容： 

第一类  部分外包模式服务提供商

（一） 中华人民共和国境内外注册的法人；

（二） 招标文件没有做要求的境内企业注册资金在200万元以上，境外企业注册资金在50万美元以上；招标文件有要求的必须满足招标文件要求；

（三） 有ISO9000、CMM2等具有国家、行业同等资质认证资格要求的必须满足；

（四） 能够提供满足我行要求、合格稳定的技术人员及服务。

第二类  整体外包模式服务提供商

（一） 中华人民共和国境内外注册的法人；

（二） 招标文件没有做要求的境内企业注册资金在500万元以上，境外企业注册资金在100万美元以上；招标文件有要求的必须满足招标文件要求；

（三） 有ISO9000、CMM2等具有国家、行业同等资质认证资格要求的必须满足；

（四） 能够提供满足我行要求、合格稳定的技术人员及服务；

（五） 直接或间接具备标准机房、稳定的系统运行环境；

（六） 具备成熟的系统运维和管理队伍。

第二十九条  外包服务提供商参与资质评审应提供的基本材料包括：

（一） 公司营业执照、税务登记证、组织机构代码证、人员相关资质证书等资质证明文件；

（二） 公司技术能力及技术实力说明文件；

（三） 公司服务能力、售后服务能力说明文件；

（四） 公司以前提供的外包服务清单（包括客户和服务内容等）；

（五） 公司具有良好履约信誉的证明；

（六） 公司持续履约及保障所提供技术人员稳定性承诺；

（七） 公司一般性服务水准承诺；

（八） 系统整体外包服务提供商应具备信息产业部颁发的计算机系统集成资质或同等资格说明。

第三十条  外包服务提供商如存在年度考核不合格的情况，未来两年内不得参与我行信息科技外包服务活动或者须在外包合同条款加以约束条款；对年度考核不合格的外包服务提供商，我行有权扣除不超过外包合同总价15%的违约金。

第三十一条 外包服务提供商需要严格保证外包过程中涉及我行的数据安全、保密、知识产权等，控制人员变更、转包等风险，如果因外包公司或其相关人员原因造成的损失将由外包公司承担赔偿责任。

第五章 外包服务人员管理

第三十二条  外包服务提供商需要明确一名项目经理（或项目负责人）负责协调项目相关重要事项。

第三十三条  我行对于外包人员的管理方式以管理外包公司项目经理为主，也可以根据实际需要直接管理和调配项目其他外包服务人员。

第三十四条  外包服务人员在我行服务期间，应严格遵守我行作息考勤制度以及其他工作规范，并按要求签署保密协议书，对其使用的机器安装防病毒软件、系统补丁，对于非全时在我行工作的外包服务人员，应严格遵照外包合同有关履约时间的约定。

第三十五条  我行科技开发部系统管理员对外包服务人员使用环境和权限配置管理，对使用环境中的系统权限、文件读写权限必须严格控制，以满足工作需要为前提，遵循权限最小化原则，不得授予与工作无关的权限。

第三十六条  对于向外包服务人员提供我行内部资料必须严格审核，严禁未经授权提供，对于提供的项目资料需要严格登记《我行科技开发部文档借阅管理登记簿》进行备案。

第三十七条  我行科技开发部或项目组可根据实际工作需要为外包方项目经理（或项目负责人）提供登陆互联网账号，仅供其工作使用。

第三十  我行科技开发部或项目组如发现外包服务人员违反有关规定和规章制度，须立即制止并予以纠正，如出现多次违反情节严重的情况，有权停止其在我行的一切活动，并将其行为纳入对外包服务提供商的考核过程。

第三十九条  我行科技开发部或银行方项目经理对其使用的外包服务人员的工作饱满度负责，应及时制订和适时调整外包服务人员工作计划，经常检查、督促外包服务人员工作。

第四十条  对由于工作调整无须再使用的外包服务人员，我行科技开发部或项目组应及时进行外部资源台账更新，并确认占用我行的资源已全部退还。

第六章 外包交付物验收

第四十一条  外包服务人员应按时交付服务工作成果，我行科技开发部或银行方项目经理应及时组织人员对阶段行产出物进行验收，具体验收办法依据项目合同或外包初期制定的项目验收方案。

第四十二条  开发类外包服务人员的交付物必须在的测试环境下经过测试，验收合格后才可以投产试用。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试原则上不得直接使用生产数据，如必须使用生产数据的也需经过脱敏处理。

第四十三条  对于外包交付物验收不合格的，应要求外包服务提供商重新提供产品，并重新组织验收，直到验收通过，并将此类情况纳入外包服务提供商的考核评价过程。

第四十四条  由于外包服务提供商原因导致项目未按计划完成或完成项目质量不高，并造成一定影响的，作为不良合作记录登记《外包服务商违反服务水平协议统计表》，对未完成服务由外包服务提供商继续完成，并不再追加任何费用。

第七章 外包交付物管理

第四十五条  对于外包开发人员提交的源代码，须经我行科技开发部开发主管进行审核。所产生的执行程序，须经我行相关人员测试通过后，按规定流程投入生产系统。

第四十六条  对于外包开发人员提交的关键代码（涉及核心记账、业务系统核心处理流程或有关安全加密、认证的代码），项目组我方人员必须对源代码进行重点抽查，并记录抽查结果，存档保留。

第四十七条  对于外包测试人员提交的测试方案和测试案例，项目组必须组织人员进行复核确认；外包测试人员编写的测试脚本和测试用程序必须满足我行项目测试性能要求。

第四十  外包咨询人员应及时对我行的咨询要求做出响应，按时帮助解决问题，或提供符合要求的咨询建议或报告。

第四十九条  外包维护人员必须及时响应业务需求，并按我行统一形象要求和服务方式要求对外提供服务。

第八章 系统整体外包管理

第五十条  对于关键信息系统的整体外包，需要以书面形式报告当地监管机构。

第五十一条  外包服务提供商应制定应急流程和运行保障机制，应急流程和应急保障机制必须符合我行信息科技整体要求。

第五十二条  我行项目组成员需要详细记录外包系统变更、测试、投产、事故情况，开发效率、需求响应情况、交易情况，定期提交我行科技开发部存档备案。

第五十三条  我行项目组成员应保持强烈的安全意识，对于外包过程中出现的事故、人员变更或其他不稳定因素需要及时通知我行外包管理部门。

第五十四条  针对不同的系统外包项目必须根据实际情况制定服务水准。

第五十五条  系统整体外包需要更具实际项目情况制定具体的考核办法，包括考核周期。

第五十六条  系统整体外包需要根据问题级别、频度以及其他惩罚条件制定具体的罚责。

第九章 外包人员及外包服务提供商考核

第五十七条  我行科技开发部或银行方项目经理应每月或根据实际需要确定周期，对在用的外包人员和外包公司的研发或其他专业能力、项目计划与进度的偏差、产品缺陷率和服务水平等进行整体考核，形成《我行软件项目风险评估报告》，并及时将考核结果反馈至管理层。

第五十  外包服务人员的考核应着重于服务响应时间、服务质量、服务内容等，外包技术人员考核实行百分制，基本参考考核指标及标准得分如下：

一、出勤率（标准值100％，标准得分10分）

出勤率＝考核期内实际出勤次数÷考核期内应出勤次数×100％

出勤率为100％得满分10分；90%≤出勤率<100％，得5分，出勤率<90％，得0分。

二、工作业绩（标准得分90分）

（一）技术开发类外包人员

1、服务文档完整及规范性（2０分）

反映服务文档的完整性和代码编写符合我行技术规范的程度。

2、分配任务完成及时性（２０分）

反映是否能及时完成分配的工作任务。

3、交付成果集成测试缺陷率（3０分）

对每千行低于2个的，得满分；超过2个的，每2个扣5分，最低为0分。

4、工作任务饱满度（2０分）

反映完成的工作量和工作效率情况。

（二）系统测试类外包人员

1、测试管理平台及测试环境使用规范程度（10分）

反映测试人员熟悉测试工具使用的程度，测试经验和分析测试目标软件的功能特点、测试要求的能力。

2、测试文档适应性（20分）

反映测试人员提交的测试计划、测试结果、及各种分析报告符合要求的程度。

3、测试任务完成及时性（25分）

反映是否能及时完成分配的测试工作任务。

4、测试质量（35分）

反映是否制订切实可行的测试计划，是否有效协助应用部门制订或改进测试工作流程，是否对测试用例执行结果和缺陷生命周期进行分析和管理，缺陷发现是否及时等。

（三）咨询服务类外包人员

1、服务响应时间：（15分）

服务响应时间均符合合同要求的，得15分，否则按次扣5分，扣完为止。

2、服务完成时间：（25分）

根据预计解决问题的时间和实际完成时间比例确定得分。

3、工作质量：（35分）

由应用部门根据服务情况及解决问题是否彻底，定性评分。

4、工作态度：（15分）

由应用部门根据总体服务情况，定性评分。

（四）维护服务类外包人员

1、服务响应时间：（20分）

服务响应时间均符合合同要求的，得20分，否则按次扣5分，扣完为止。

2、服务完成时间：（20分）

根据预计解决问题的时间和实际完成时间比例确定得分。

3、工作质量：（30分）

由使用部门根据服务情况及解决问题是否彻底，定性评分。

4、客户满意度(20分)

根据服务对象表扬或投及其他反馈情况定性评分。

工作业绩得分=各类服务外包人员（1）至（4）项得分之和

第五十九条 对外包服务提供商的考核包括以下内容：

第一类  部分外包服务提供商

外包人员类技术公司考核得分=(∑同一外包技术公司人员考核得分/在用该公司外包技术人员数量)×70％＋外包公司提供人员变动率得分（满分10分）+公司整体水平（满分20分）

人员变动率＝考核期内人员变动次数÷合同约定人数×100％

人员变动率考核方法：如考核季（年）人员变动率≤约定许可变动率，得满分10分；人员变动率＞约定许可变动率得0分。

公司整体水平：衡量标准1、公司交付物的质量（5分）、2、公司整体管理水平（5分），3、公司服务水平（5分）

第二类  整体外包服务提供商

根据外包服务水准的达成率考核整体外包服务提供商的服务情况。

第六十条  外包服务人员及外包服务提供商考核结果分为优（90－100分）、良（80－90分）、中（60－80分）和差（0－60分）四档。

第六十一条  外包服务人员考核结果应用

（一） 年度考核结果为良（含）以上的外包服务人员，来年我行将优先考虑继续使用；

（二） 季度考核结果为差的外包服务人员，我行将要求外包公司更换人员。

第六十二条  外包技术公司考核结果应用

（一） 年度考核结果为良（含）以上的公司，可免于来年公司的资质评审和人员试用；

（二） 年度考核结果为中的公司，可以继续参加我行来年公司资质评审并适用人员试用规定；

（三） 年度考核结果为差的公司，未来2年时间内无资格参与我行组织的公司资质评审，我行有权收取一定比例的违约金。

第六十三条  我行科技开发部负责统一向各外包服务提供商反馈考核结果。

第十章 外包合同及外包服务水准制定要求

第六十四条  外包合同必须按照法律事务所提供的法律依据和要求进行修订。

第六十五条  为保证外包人员持续在我行工作，降低人员流动增加的管理及培训成本，应在外包合同中明确许可的人员流动或变更比例。

第六十六条  系统整体外包合同需制定系统灾备和应急流程。

第六十七条  外包合同需包含服务水准要求，明确开发、维护、使用的计费方法，明确知识产权、数据安全、保密等相关内容。

第六十  外包服务水准制定的基本原则：量化指标，每项指标对应明确的罚则和处理办法。

第六十九条  为量化服务水准指标，须对外包过程中的问题进行分类描述。

外包问题分类标准如下：

（一） 一级问题：指的是关键性问题，一级问题的出现，将严重影响我行整体业务运作，可能或已经造成业务重大损失。

（二） 二级问题：表明所报告的是重大但非关键性的问题。此类问题意味着系统能够运行但是某些功能不能正常工作。此类问题仅影响少数几个用户或者降低系统性能。

（三） 三级问题：表明所报告的是次要问题。此类问题发生时外包系统能够正常运行，问题产生的影响是有限的且不对整体运行产生关键性的影响。

（四） 四级问题：表明所报告的是一般性问题。此类问题发生时外包系统正常运行，对我行业务几乎无影响或根本不影响，主要是咨询和服务类的问题。

第七十条  对于系统整体外包周期超过1年的，需要每半年（或根据合同要求）召开一次会议，调整服务标准，以保证各项指标的合理性。

第七十一条  外包服务水准需要包含以下基本要素：服务内容、服务质量要求、服务问题等级分类、问题响应时间规定、问题解决时间规定、罚则以及服务水准调整规定。

第七十二条  外包公司应协助我行与第三方之间进行相关测试、审计或类似工作，对于由此可能造成的知识产权问题通过签订三方协议方式协商解决。

第十一章 外包风险管理

第七十三条  不得将我行信息科技管理责任外包，应合理谨慎监督外包职能的履行。

第七十四条  实施重要外包（如数据中心和信息科技基础设施等)应格外谨慎，在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。

第七十五条  在签署外包协议或对外包协议进行重大变更前，应做好相关准备，其中包括：

（一） 分析外包是否适合我行的组织结构和报告路线、业务战略、总体风险控制，是否满足我行履行对外包服务商的监督义务。

（二） 考虑外包协议是否允许我行监测和控制与外包相关的操作风险。

（三） 充分审查、评估外包服务提供商的财务稳定性和专业经验，对外包服务提供商进行风险评估，考查其设施和能力是否足以承担相应的责任。

（四） 考虑外包协议变更前后实施的平稳过渡（包括终止合同可能发生的情况）。

（五） 关注可能存在的集中风险，如多家银行共用同一外包服务商带来的潜在业务连续性风险。

第七十六条  在与外包服务提供商合同谈判过程中，应考虑的因素包括但不限于：

（一）对外包服务商的报告要求和谈判必要条件。

（二） 银行业监管机构和内部审计、外部审计能执行足够的监督。

（三） 通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。

（四）担保和损失赔偿是否充足。

（五）  外包服务提供商遵守我行有关信息科技风险制度和流程的意愿及相关措施。

（六） 外包服务提供商提供的业务连续性保障水平，以及提供相关专属资源的承诺。

（七） 第三方供应商出现问题时，保证软件持续可用的相关措施。

（八） 变更外包协议的流程，以及我行或外包服务商选择变更或终止外包协议的条件，例如：

1、我行或外包服务商的所有权或控制权发生变化。

2、我行或外包服务商的业务经营发生重大变化。

3、外包服务提供商提供的服务不充分，造成我行不能履行监督义务。

第七十七条  在实施双方关系管理，以及起草服务水平协议时，应考虑的因素包括但不限于：

（一） 提出定性和定量的绩效指标，评估外包服务提供商为我行及其相关客户提供服务的充分性。

（二） 通过服务水平报告、定期自我评估、内部或外部审计进行绩效考核。

（三） 针对绩效不达标的情况调整流程，采取整改措施。

第七十  加强信息科技外包相关管理工作，确保我行的客户资料等敏感信息的安全，包括但不限于采取以下措施：

（一） 实现本银行客户资料与外包服务提供商其他客户资料的有效隔离。

（二） 按照“必需知道”和“最小授权”原则对外包服务提供商相关人员授权。

（三） 要求外包服务提供商保证其相关人员遵守保密规定。

（四） 应将涉及本银行客户资料的外包作为重要外包，并告知相关客户。

（五） 严格控制外包服务提供商再次对外转包，采取足够措施确保我行相关信息的安全。

（六） 确保在中止外包协议时收回或销毁外包服务提供商保存的所有客户资料。

第七十九条  我行应建立恰当的信息科技外包应急预案及应急措施，应对外包服务提供商在服务中可能出现的重大缺失。尤其需要考虑外包服务提供商的重大资源损失，重大财务损失和重要人员的变动，以及外包协议的意外终止。在发生紧急情况时，应及时补充外包技术服务资源或替代方案，降低因紧急事件出现后对我行系统运行、开发、测试及咨询、维护服务等工作的不利影响。

第八十条  我行所有信息科技外包服务合同应由风险管理部、法律合规部、外包服务应用部门和科技开发部审核通过。我行应设立流程定期审阅和修订服务水平协议。

第八十一条  我行外包服务应用部门应定期评估成本风险，防止由于成本原因造成对外包过程的不利影响。

第八十二条  我行外包管理部门应严格控制信息科技外包过程中的数据安全、保密、知识产权、人员变更、转包等因素相关的风险。

   第十二章 持续改进

第八十三条  信息科技外包主管部门要对考核指标和服务水准体系进行全面评估，定期提出修订意见，对相应的考核指标和服务水准进行调整。

第八十四条  信息科技外包主管部门应根据外包目标的达成率和发展趋势以及评估报告制定信息科技外包管理改进计划。

第八十五条  信息科技外包主管部门应根据信息科技外包管理改进计划，对信息科技外包实施过程进行持续改进和调整优化。

第十三章 附 则

第八十六条  本办法由我行科技部负责制订修改和解释执行。

第八十七条  本办法自颁布之日起执行。