1、银行业 农信社 计算机 信息科技外包管理办法附件农村信用社联合社信息科技外包管理办法(试行)第一章 总则 第一条 为了规范 省农村信用社联合社(以下简称“省联社”)的外包活动,保障省联社信息系统安全持续稳定运行,依据银监会颁布的商业银行信息科技风险管理指引和银行业金融机构外包风险管理指引,以及国家有关法律法规,制定本办法。第二条 本办法中的信息科技外包(以下简称“外包”)是指省联社将某些信息系统项目委托给服务提供商进行处理的行为。第三条 外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。第四条 省联社信息科技的战略管理、核心管理以及内部审计等职能不宜外包。第二章组织架构及职责
2、第三章第五条 省联社外包管理的组织架构包括理事会、高级管理层及外包管理部门,其中外包管理部门主要包括省联社银信金融服务中心信息技术部(以下简称“信息技术部”)、稽核审计中心、合规部等部门。第六条 省联社理事会的职责主要包括以下方面:(一)审议批准信息科技外包的战略发展规划;(二)审议批准外包的风险管理制度; (三)审议批准外包范围及相关安排; (四)审阅本机构外包活动相关报告; (五)安排内部审计,确保审计范围涵盖所有的外包活动。第七条 省联社高级管理层的职责主要包括以下方面:(一)制定外包战略发展规划;(二)制定外包风险管理的政策、操作流程和内控制度;(三)确定外包业务的范围及相关安排;(四
3、)确定外包管理部门职责,并对其行为进行有效监督。第八条 信息技术部的职责主要包括以下方面:(一)执行外包风险管理的政策、操作流程和内控制度;(二)根据省联社信息科技建设规划或外包服务需求,结合省联社信息科技的建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划;(三)负责外包活动的日常管理,包括尽职调查、合同签署以及外包服务技术指标的制定等;(四)负责形成外包项目情况汇总报告,提交省联社合规部和稽核审计中心;(五)根据省联社稽核审计中心或合规部对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进;(六)在发现外包服务提供商的业务活动存在缺陷时,采取及时有效
4、的措施;(七)高级管理层确定的其他职责。第九条 稽核审计中心的职责主要包括以下方面:(一)负责内部审计,确保审计范围涵盖所有的信息科技外包活动。(二)高级管理层确定的其他职责。第十条 合规部的职责主要包括以下方面:(一)负责外包合同的审查与修改;(二)负责外包风险状况的监督及风险管理;(三)向高级管理层提出有关外包活动发展和风险管控的意见和建议;(四)根据信息技术部提交的外包项目情况报告,及时发现信息科技外包风险,并进行风险提示。(五)定期向高级管理层和监管部门提交外包风险评估报告;(六)高级管理层确定的其他职责。第三章 外包服务商资质评审第十一条 外包服务提供商的资质评审由信息技术部负责统一
5、组织,原则上每年评审一次,特殊情况可根据实际需要安排评审。第十二条 参加资质评审的外包服务商必须满足省联社招标文件中要求的资质,不符合资质要求的外包服务商不准参与外包服务,并严格按照 省农村信用社联合社电子设备项目采购管理办法规定的流程确定外包服务商。第十三条 开展外包服务商资质评审前必须对服务提供商进行尽职调查,并形成尽职调查报告。对外包服务商的尽职调查主要包括以下内容:(一)管理能力和行业地位;(二)财务稳健性;(三)经营声誉和企业文化;(四)技术实力和服务质量;(五)突发事件应对能力;(六)对银行业的熟悉程度;(七)对其他银行业金融机构提供服务的情况;(八)省联社认为重要的其他事项。如果
6、外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。第四章 外包合同第十四条 省联社开展信息科技外包活动时与外包服务商签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:(一)外包服务的范围和标准;(二)外包服务的保密性和安全性的安排;(三)外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺;(四)外包服务的审计和检查;(五)外包争端的解决机制;(六)合同或协议变更或终止的过渡安排;(七)担保和损失赔偿以及违约责任。第十五条 签订外包合同时外包服务提供商须承诺以下事项:(一)定期通报外包活动的有关事项; (二)及时通报外包活动的突发性事件; (
7、三)配合省联社接受银行业监督管理机构的检查;(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,省联社有权随时终止外包合同;(五)遵守省联社有关信息科技风险管理制度和流程;(六)第三方供应商出现问题时,保证软硬件持续可用的相关措施; (七)不得以省联社的名义开展活动;(八)省联社认为应当承诺的其他事项。第十六条 对于数据中心的重要基础设施、重要信息系统的维护服务外包,签订外包合同时,外包服务商须保证购买商业保险以保证其有足够的赔偿能力,并告知保险覆盖范围。第十七条 省联社所有信息科技外包合同须由合规部审核通过、省联社高级管理层批准后方可实施。第五章 风险管理第十八条 外包管理部门
8、要切实加强信息科技相关外包管理工作,确保 省农村合作金融机构的客户资料等敏感信息的安全,应采取包括但不限于以下风险管控措施:(一)实现我省农村合作金融机构客户资料与外包服务商其他客户资料的有效隔离;(二)按照“必需知道”和“最小授权”原则对外包服务商相关人员授权,对使用环境中的系统权限、文件读写权限等必须严格控制,不得授予与工作无关的其他权限;(三)要求外包服务商保证其相关人员遵守保密规定及省联社信息科技风险的相关管理制度;(四)将涉及我省农村合作金融机构客户资料的外包作为重要外包;(五)严格禁止外包服务商对外转包,采取足够措施确保相关信息的安全;(六)确保在中止外包协议时收回或销毁外包服务商
9、保存的所有客户资料。第十九条 关注外包服务商分包风险,若外包活动存在分包情况的,须在合同中明确以下事项:(一)服务提供商分包的规则; (二)分包服务提供商应当严格遵守主服务提供商与省联社确定的外包合同或协议中的相关条款;(三)主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;(四)不得将外包活动的主要业务分包;(五)不得将外包活动转包或变相转包。第二十条 信息技术部负责制定和建立外包突发事件应急预案和机制,以应对外包服务商在服务中可能出现的重大缺失。尤其是需要考虑外包服务商的重大资源损失,重大财物损失和重要人员的变动,以及外包合同或协议的意外终止等情况。通过采取替代方案、寻求合同
10、项下的保险安排等措施,确保业务活动的正常经营。第二十一条 合规部负责对外包活动进行全面风险评估,稽核审计中心负责对外包活动进行审计。第二十二条 省联社在开展外包活动时如遇到对 省农村合作金融机构业务经营、客户信息安全、声誉等产生重大影响事件,应及时向监管部门报告。省联社在实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告监管部门。第六章 外包人员管理第二十三条 外包服务商需要明确一名项目经理(或项目负责人)负责协调项目相关重要事项。第二十四条 省联社对于外包人员的管理方式以管理外包服务商项目经理为主,也可以根据实际需要直接管理和调配外包人员。第二
11、十五条 外包人员在省联社服务期间,应严格遵守省联社作息考勤制度以及其他工作规范。第二十六条 信息技术部负责对外包人员使用环境和权限配置管理,对使用环境中的系统权限、文件读写权限必须严格控制,以满足工作需要为前提,遵循权限最小化原则,不得授予与工作无关的权限。第二十七条 对于向外包人员提供省联社内部资料必须严格审核,严禁XX提供。第二十八条 信息技术部如发现外包人员违反有关规定和规章制度,须立即制止并纠正,多次违反情节严重的,有权停止其省联社的一切活动,并通知其所在的外包服务商。造成损失的,由外包服务商负责赔偿。第二十九条 信息技术部对其使用的外包人员的工作饱满度负责,应及时制订和适时调整外包人
12、员工作计划,经常检查、督促外包人员工作。第三十条 对由于工作调整无须再使用的外包人员,信息技术部应及时确认其使用省联社的资源已全部退还。第七章 外包交付物验收第三十一条 外包人员应按时交付服务工作成果,信息技术部应及时组织人员进行验收。第三十二条 开发类外包人员的交付物必须经过在测试环境下的严格测试,验收合格后才可以投产试用。第三十三条 对于外包交付物验收不合格的,应要求外包服务商重新提供产品,并重新组织验收,直到验收通过,并纳入外包服务商考核评价过程。第三十四条 由于外包服务商原因导致未按计划完成或完成项目质量不高,并造成一定影响的,作为不良合作记录登记,对未完成服务由外包服务商继续完成,并
13、不再追加任何费用。第八章 外包交付物管理第三十五条 对于外包人员提交的源代码,须经信息技术部人员审核编译。所产生的执行程序,须经省联社相关人员测试通过后,按规定流程投入生产系统。第三十六条 对于外包开发人员提交的关键代码(涉及业务系统核心处理流程、记账或有关安全加密、认证的代码等),信息技术部须对源代码进行重点抽查,并记录抽查结果,存档保留。第三十七条 对于外包测试人员提交的测试方案和测试案例,信息技术部须组织人员进行复核确认;外包测试人员编写的测试脚本和测试用程序必须满足项目测试性能要求。第三十八条 外包咨询人员应及时对省联社的咨询要求做出响应,按时协助解决问题,或提供符合要求的咨询建议或报告。第三十九条 外包维护人员必须及时响应业务需求,并按省联社统一形象和服务方式的要求提供服务。第九章 外包评价与审计第四十条 信息技术部负责制定对外包服务商考核评价的量化指标,根据量化的考核指标,原则上每年进行一次对外包服务商的服务水平和服务质量的总体评价,并将评价结果提交高级管理层。第四十一条 考核评价结果将做为外包服务商资质评审的重要依据。外包服务商如存在考核不合格的情况,未来两年内不得参与省联社信息科技外包服务。第四十二条 稽核审计中心负责定期对信息科技外包活动进行审计。第十三章 附 则第四十三条 本办法由省联社负责制定、修改和解释。第四十四条 本办法自发布之日起执行。
