1、ISMS信息科技外包管理规定V01* 主办部门:系统运维部 执 笔 人: 审 核 人:XXXXX信息科技外包管理规定V0.1XX-ISMS-SE-020022014年3月17日本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。文件版本信息版本日期拟稿和修改说明V0.12014.3.17拟稿文件版本信息说明记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文
2、件为草案,仅可作为参照资料之目的。阅送范围内部发送部门:综合部、系统运维部、技术开发部第一章 总则第二章 细则第三章 附则附件第一章 总则第一条 为进一步健全XXXXX的全面风险管理体系,加强信息外包风险管理,保障XXXXX业务的可持续发展,通过建立有效的机制,实现对XXXXX信息科技外包项目的风险控制,促进XXXXX安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。依据中国银行业监督管理委员会商业银行信息科技风险管理指引、商业银行外包管理指引等法规及等级保护相关规定并结合XXXXX实际,特制定本规定。第二条 信息科技外包服务是指企业战略性选择外部专业技
3、术和服务资源,以辅助内部部门和人员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。第三条 网络与信息安全工作领导小组办公室负责监督和检查本规定的贯彻和执行情况。第二章 信息科技外包范围第四条 信息科技外包按外包对象不同,分以下几类:(一)基础设施类外包:是指第三方机构(以下统称为外包商)向XXXXX提供机房及配套基础设施; (二)系统开发类外包,是指外包商向XXXXX提供信息系统的咨询、规划和开发工作;(三)人员服务类外包,是指外包商只向XXXXX提供专业技术人员完成相关工作;(四)系统运维类外包,是指外包商向XXXXX提供信息系统的日常运行和维护等工作,如数据中心运行、业
4、务系统、呼叫中心外包等;(五)自助设备服务类外包,是指外包商向XXXXX提供自助设备的购置、布放和运维工作。第五条 外包的目的是提高XXXXX信息科技支持能力和效率,降低信息科技成本。在确保风险可控的情况下,以下信息科技事项适宜外包:(一)非XXXXX关键业务的应用开发、运行和维护;(二)需求稳定且定义清晰的信息系统开发;(三)与XXXXX现存系统有清晰的技术边界的信息系统开发项目;(四)XXXXXIT人力资源或IT技术能力不足不能自行完成的信息科技工作;(五)从投入产出角度考虑不需要由XXXXX自行开发的信息系统和承担的运维工作;(六)与XXXXX业务无直接关系,不需要及时响应的基础设施维护
5、或建设。以下信息科技事项不适宜外包:(一)关键业务系统的开发与维护;(二)要求快速进行业务响应的事项;(三)需求模糊或不稳定、边界模糊的项目。第三章 信息科技外包项目立项第六条 信息科技外包决策论证需出具信息科技外包可行性报告,报告需从风险控制、合规要求、技术可行性、成本效益等方面,对外包或自行建设两种方案进行分析比较。可行性报告需重点考虑信息科技外包是否适合公司的组织结构和报告机制、业务战略、总体风险控制,是否有能力满足XXXXX对其履行监管义务的需要,是否允许清算所监督和控制与外包有关的操作风险等。第七条 信息科技外包的具体立项过程参照公司相关文件和项目管理相关规定执行。第四章 外包服务商
6、选择第八条 系统运行部制定本部门信息科技外包商选择标准。选择标准包括服务报价、风险控制、合规要求、供应商信誉、行业地位、管理能力、财务状况、诚信历史、专业资质、成功案例、技术服务能力、服务质量、责任承担水平、企业文化、对银行业的熟悉程度等方面结合考虑,并进行必要的尽职调查,重点考虑:(一)充分审查、评估IT服务供应商的财务稳定性、专业经验、业务存量和流量;对IT服务供应商进行风险评估,评估IT服务供应商的风险控制、业绩标准、业务策略、管理程序、监督过程、突发事件应对能力等方面;考察IT服务供应商的设施和能力是否可以补偿潜在的责任;判断IT服务供应商是否与公司竞争对手存在外包安排;(二)考虑如何
7、实现从现有安排向变更后的外包安排的顺利过渡,包括终止合同可能发生的情况;(三)考虑任何可能存在的集中风险,如几家公司共用一家服务供应商可能带来的潜在业务连续性风险;(四)评估IT服务供应商重要业务的业务连续性。第五章 外包协议管理第九条 为了明确双方的权利与义务,降低外包服务过程的风险。XXXXX需与信息科技外包商签订信息科技外包服务合同,包括:(一)外包服务协议;(二)工程任务书;(三)外包服务水平协议;(四)保密协议。第十条 外包合同管理过程包括制定、评审、签订、监控、回顾、验收、付款、终止/中止等管理活动,外包项目合同管理过程与通用合同管理过程兼容。第十一条 外包合同需经相关业务部门、风
8、险管理部门、法律合规部门的审核,并由系统运行部负责人审批后,正式签订。第十二条 与供应商签订的外包服务协议,包括但不限于:(一)服务范围和具体要求;(二)规定信息所有权和保密协议;(三)服务商有充足的担保和损失赔偿的能力;(四)服务供应商完全遵守XXXXX有关信息科技风险的策略和流程;(五)内部审计、外部审计和清算所监管部门能够执行足够的监督;(六)服务供应商就外包的业务提供的业务连续性保障,以及当服务供应商出现困难时的软件连续可用性;(七)外包安排的变更流程,规定银行间清算所或服务供应商选择变更或终止外包安排的条件,如在发生以下情况时变更外包安排:1.服务供应商或银行的所有权控制权发生变化;
9、2.服务供应商或银行的业务经营发生重大变化;3.服务供应商提供的服务不充分,造成XXXXX不能履行其监管义务。第十三条 在签订服务水平协议时,考虑为服务水平协议设定可衡量的目标,包括:(一)客户支持的及时性;(二)系统可用性:包含一段时间内的有效性保障;(三)业务连续性和灾难的恢复:这个保障一般包括在灾难发生条件下的恢复条款、设备冗余、分布式备份和存储计划;(四)系统响应时间:这个指标定义了系统响应一个用户操作请求所用的最大时间;(五)系统吞吐量:这个指标定义了系统传送给用户数据时的速率;(六)用户使用数目:这个指标定义了在保障系统响应时间和系统吞吐量前提下所允许的最大的用户使用服务数目。第十
10、四条 与外包供应商签署标准保密协议,应要求外包供应商采取措施,确保银行客户资料与外包供应商其他客户资料的有效隔离,如外包供应商需使用XXXXX信息,需对其提出相应的信息保护要求,保护要求应与信息在清算所内的保护要求相同,应严格控制外包供应商再次对外转包,采取足够措施确保清算所相关信息的安全,在中止外包合同/协议时,应收回或销毁外包供应商保存的清算所所有资料。第六章 外包实施风险控制和服务水平监督第十五条 信息科技外包服务商接口部门负责人负责日常对信息科技外包商的安全管理,确保客户资料等敏感信息的安全,包括但不限于以下措施:(一)实现客户资料与信息科技外包服务商其他客户资料的有效隔离;(二)按照
11、“必需知道”和“最小授权”原则对信息科技外包服务商相关人员进行授权;(三)要求信息科技外包服务商保证其相关人员遵守保密规定;(四)将涉及客户资料的信息科技外包作为重要信息科技外包,告知相关客户;(五)严格控制信息科技外包服务商再次对外转包,采取措施确保信息的安全;(六)在信息科技外包协议终止时收回或销毁信息科技外包服务商保存的所有客户资料。第十六条 信息科技外包服务商接口部门负责人与信息科技外包服务商建立日常管理机制,包括但不限于以下措施:(一)服务商依据服务水平标准,定期提供服务工作报告;(二)与服务商进行定期(如每月)的工作小结会议,对问题进行跟进;(三)与服务商管理层的定期(如每季)会议
12、,讨论重大问题;(四)对服务商进行年度表现的用户调查和评估;(五)对服务商的外包人员进行定期评估 ;(六)通过对服务商的不定期的现场访问、服务水平报告、内部审计或外部独立审计及用户反馈等进行绩效考核,针对绩效不达标的情况及时调整,采取整改措施。第十七条 信息科技外包服务商接口部门负责人需要持续对信息科技外包商服务进行质量监控,要求信息科技外包商定期根据合同提交服务报告,信息科技外包管理岗对服务报告进行评估。如果发生信息科技外包服务质量和服务协议发生偏离的情况,需要及时告知信息科技外包商进行整改和处理,并及时检查跟进。第十八条 信息科技外包服务商接口部门负责人需要注重对信息科技外包商交付品的验收
13、,需进行必要的验收、测试或评审等步骤,交付品由系统运行部负责人签字。第十九条 系统运行部需要定期对信息科技外包商进行培训,使信息科技外包商了解相关公司的规章制度。第二十条 系统运行部负责人负责本部门信息科技外包商的成本管理,定期审阅信息科技外包商成本和费用报告。第二十一条 信息科技外包服务商接口部门负责人定期(如每季度)需要对信息科技外包服务合同履行情况进行评估并出具信息科技外包服务评估报告,内容主要包括服务质量是否达到规定的服务标准等。评估报告由系统运行部负责人审阅。评估结果作为合同续签或终止的依据。第二十二条 系统运行部应定期(每年)对信息科技外包活动进行内部审计,并可以在符合法律、法规和
14、监管要求的情况下,委托外部审计机构对外包的活动进行全面的外部审计评价。所有审计报告需提交系统运行部负责人及分管领导审阅,审计发现问题由责任方及时改进。第七章 外包应急管理第二十二条 信息科技外包服务商接口部门负责人牵头,系统运行部负责人参与建立针对信息科技外包风险的应急计划,应对信息科技外包商在服务中可能出现的重大缺失。应急计划需要考虑:服务供应商资源的重大损失、服务供应商的财务失败、外包协议的突然终止、在外包服务中断的意外情况下能够实现外包服务商的顺利变更等。第八章 外包变更与终止第二十三条 外包服务商接口部门负责人在合同到期之前三个月对信息科技外包商进行评估,如果需要可以组织服务使用部门用
15、户对信息科技外包商服务进行评估,根据评估结果考虑续约或终止。第二十四条 在信息科技外包商终止前,外包商需要进行相应的知识交接,包括培训、文档交接(包括功能规则说明书,系统设计规则说明书,操作运行手册,服务记录)等。第二十五条 在信息科技外包商终止前,外包商需要进行相应的物品交接,包括XXXXX门禁卡、钥匙、设备等。第二十六条 在信息科技外包终止后,系统运行部需要立即进行信息科技外包人员的系统用户帐号权限回收,包括账号删除、账号禁用、账号口令修改等。第二十七条 当信息科技外包合同需提前终止时,信息科技外包服务商接口部门负责人提出书面申请,书面申请主要包括终止原因和建议等,书面申请由系统运行部负责
16、人、分管领导审批后,提交采购部门进行后续跟进流程。第九章 外包文档管理第二十八条 建立信息科技外包项目文档的归档管理机制,需归档处理的信息科技外包项目相关文档包括:服务商背景调查资料、项目招投标文档和记录、外包协议及相关记录、外包服务水平的监测记录、外包项目实施中的应急预案文档和处置记录等。第二十九条 信息科技外包服务商接口部门负责人整理外包相关的文档,并分外包协议签订前和外包协议签订后两个阶段,汇总提交至XXXXX相关部门归档。第三十条 经归档处理的信息科技外包项目文档应保存至专用的文件服务器,并且使用光盘刻录的方式建立备份,由专人保管,保管期限至少3年,以满足各种内外部审计的要求。第十章
17、行业监管与报告第三十一条 实施重要外包(如数据中心和信息科技基础设施等)时,应经分管领导批准,并在实施外包前以书面材料正式报告监管机构。第三十二条 信息科技外包服务商接口部门负责人每年对信息科技外包工作进行总结,提交至系统运行部负责人及分管领导审阅。第十一章 附则第三十三条 本规定由网络与信息安全工作领导小组办公室负责制定、解释和更新。第三十四条 本规定自颁布之日起实行。附件附件1:信息科技外包管理XX年度工作报告(模板)一、摘要【简单描述本年度信息科技外包管理工作的总体情况(包括评估外包风险、合同签订、服务交付与监督等)。】二、本年度外部监管要求的调整与变化(一)国家监管规范调整与变化【阐述
18、本年度国家对信息科技外包管理相关的标准和规范,是否发生了调整和变化,例如原有标准规范是否有版本更新、是否新颁布了标准规范等。】(二)行业监管规范调整与变化【阐述本年度行业监管机构对信息科技外包管理相关的标准和规范,是否发生了调整和变化,例如原有标准规范是否有版本更新、是否新颁布了标准规范等。】(三)人民银行标准规范变化情况(四)银监会指引变化情况三、本年度信息科技外包管理工作总结(一)信息科技外包管理人员团队【阐述机构自身与信息科技外包管理有关的部门/岗位设置,以及人员配备情况,其中对本年度人员团队变化需进行特别说明,如新增岗位、管理职责调整、或者岗位人员增减等。】(二)管理制度建设与维护【阐
19、述和总结本年度在信息科技外包管理制度体系的建设与维护方面所作工作,包括是否有相关管理咨询项目的立项与实施、是否对现有的管理制度进行过评审和修订、制度修订后修改或新增的制度列表等。】(三)评估外包风险1.建立信息科技外包风险评估机制【阐述和总结本年度对信息科技外包风险评估工作流程、策略以及机构整体风险管理框架的情况】2.建立应急机制以应对外包商失效、异常退出等情况【阐述和总结本年度对信息科技外包服务应急预案体系的建立情况和问题分析。】3.在选择外包商时对外包商进行资质调查【阐述和总结本年度对外包商进行资质调查等情况。】(四)合同签订1.制定完善的外包合同框架【以图表方式,说明合同审批流程】2.有效管理外包人员,防范外包人员风险【对外包人员和外包人员的风险管理。】(五)服务交付与监督【阐述和总结本年度所作的信息科技外包工作中对服务水平交付和监督工作。】1.对外包应急措施进行定期演练2.要求外包商对银行信息资产进行安全保护3.监督衡量外包服务交付质量4.降低对外包商的过度依赖四、下年度信息科技外包管理工作计划【阐述下一年度可安排的信息科技外包管理工作计划,计划的内容主要围绕制度建设和维护、外包风险、合同签订以及服务交付与监督等方面。】附件2:外包商服务综合评定表
