銀行業(yè)農信社計算機信息科技外包管理辦法

1、附件農村信用社聯(lián)合社信息科技外包管理辦法（ 試行 ）第一章總則第一條為了規(guī)范省農村信用社聯(lián)合社（以下簡稱“省聯(lián)社”）的外包活動，保障省聯(lián)社信息系統(tǒng)安全持續(xù)穩(wěn)定運行，依據(jù)銀監(jiān)會頒布的商業(yè)銀行信息科技風險管理指引和銀行業(yè)金融機構外包風險管理指引，以及國家有關法律法規(guī)，制定本辦法。第二條本辦法中的信息科技外包（以下簡稱“外包”） 是指省聯(lián)社將某些信息系統(tǒng)項目委托給服務提供商進行處理的行為。第三條外包應以滿足需求、保證質量、提高效率、風險可控、成本可控為基本原則。第四條省聯(lián)社信息科技的戰(zhàn)略管理、核心管理以及內部審計等職能不宜外包。第二章組織架構及職責第五條省聯(lián)社外包管理的組織架構包括理事會、高級管理

2、層及外包管理部門，其中外包管理部門主要包括省聯(lián)社銀信金融 服務中心信息技術部（以下簡稱“信息技術部”）、稽核審計中心、 合規(guī)部等部門。第六條省聯(lián)社理事會的職責主要包括以下方面：（一）審議批準信息科技外包的戰(zhàn)略發(fā)展規(guī)劃；（二）審議批準外包的風險管理制度；（三）審議批準外包范圍及相關安排；（四）審閱本機構外包活動相關報告；（五）安排內部審計，確保審計范圍涵蓋所有的外包活動。第七條 省聯(lián)社高級管理層的職責主要包括以下方面：（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；（二）制定外包風險管理的政策、操作流程和內控制度；（三）確定外包業(yè)務的范圍及相關安排；（四）確定外包管理部門職責，并對其行為進行有效監(jiān)督。第八條 信息技

3、術部的職責主要包括以下方面：（一）執(zhí)行外包風險管理的政策、操作流程和內控制度；（二）根據(jù)省聯(lián)社信息科技建設規(guī)劃或外包服務需求，結合省聯(lián)社信息科技的建設情況，確立外包項目的范圍和內容、制定 外包年度計劃及外包階段性計劃；（三）負責外包活動的日常管理，包括盡職調查、合同簽署 以及外包服務技術指標的制定等；（四）負責形成外包項目情況匯總報告，提交省聯(lián)社合規(guī)部和稽核審計中心；（五）根據(jù)省聯(lián)社稽核審計中心或合規(guī)部對外包項目評估、 審計以及提由的風險管理意見對信息科技外包項目實施優(yōu)化和 改進；（六）在發(fā)現(xiàn)外包服務提供商的業(yè)務活動存在缺陷時，采取 及時有效的措施；（七）高級管理層確定的其他職責。第九條 稽核

4、審計中心的職責主要包括以下方面：（一）負責內部審計，確保審計范圍涵蓋所有的信息科技外 包活動。（二）高級管理層確定的其他職責。第十條 合規(guī)部的職責主要包括以下方面：（一）負責外包合同的審查與修改；（二）負責外包風險狀況的監(jiān)督及風險管理；（三）向高級管理層提由有關外包活動發(fā)展和風險管控的意 見和建議；（四）根據(jù)信息技術部提交的外包項目情況報告，及時發(fā)現(xiàn) 信息科技外包風險，并進行風險提示。（五）定期向高級管理層和監(jiān)管部門提交外包風險評估報告;（六）高級管理層確定的其他職責。第三章外包服務商資質評審第十一條 外包服務提供商的資質評審由信息技術部負責 統(tǒng)一組織，原則上每年評審一次，特殊情況可根據(jù)實際需

5、要安排 評審。第十二條參加資質評審的外包服務商必須滿足省聯(lián)社招 標文件中要求的資質，不符合資質要求的外包服務商不準參與外 包服務，并嚴格按照省農村信用社聯(lián)合社電子設備項目采購管理辦法規(guī)定的流程確定外包服務商。第十三條開展外包服務商資質評審前必須對服務提供商進 行盡職調查，并形成盡職調查報告。對外包服務商的盡職調查主 要包括以下內容：（一）管理能力和行業(yè)地位；（二）財務穩(wěn)健性；（三）經(jīng)營聲譽和企業(yè)文化；（四）技術實力和服務質量；（五）突發(fā)事件應對能力；（六）對銀行業(yè)的熟悉程度；（七）對其他銀行業(yè)金融機構提供服務的情況；（八）省聯(lián)社認為重要的其他事項。如果外包活動涉及多個服務提供商時，應當對這些服

6、務提供商進行關聯(lián)關系的調查第四章外包合同第十四條 省聯(lián)社開展信息科技外包活動時與外包服務商簽訂書面合同或協(xié)議，明確雙方的權利義務。合同或協(xié)議應當包括但不限于以下內容：（一）外包服務的范圍和標準；（二）外包服務的保密性和安全性的安排；（三）外包服務的業(yè)務連續(xù)性的安排以及外包服務商提供專屬資源的承諾；（四）外包服務的審計和檢查；（五）外包爭端的解決機制；（六）合同或協(xié)議變更或終止的過渡安排；（七）擔保和損失賠償以及違約責任。第十五條簽訂外包合同時外包服務提供商須承諾以下事項:（一）定期通報外包活動的有關事項；（二）及時通報外包活動的突發(fā)性事件；（三）配合省聯(lián)社接受銀行業(yè)監(jiān)督管理機構的檢查；（四）保

7、障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，省聯(lián)社有權隨時終止外包合同；（五）遵守省聯(lián)社有關信息科技風險管理制度和流程；（六）第三方供應商由現(xiàn)問題時，保證軟硬件持續(xù)可用的相關措施；（七）不得以省聯(lián)社的名義開展活動；（八）省聯(lián)社認為應當承諾的其他事項。第十六條 對于數(shù)據(jù)中心的重要基礎設施、重要信息系統(tǒng)的 維護服務外包，簽訂外包合同時，外包服務商須保證購買商業(yè)保 險以保證具有足夠的賠償能力，并告知保險覆蓋范圍。第十七條省聯(lián)社所有信息科技外包合同須由合規(guī)部審核 通過、省聯(lián)社高級管理層批準后方可實施。第五章風險管理第十八條外包管理部門要切實加強信息科技相關外包管理工作，確保 省農村合作金

8、融機構的客戶資料等敏感信息的安 全，應采取包括但不限于以下風險管控措施：（一）實現(xiàn)我省農村合作金融機構客戶資料與外包服務商其他客戶資料的有效隔離；（二）按照“必需知道”和“最小授權”原則對外包服務商相關人 員授權，對使用環(huán)境中的系統(tǒng)權限、文件讀寫權限等必須嚴格控 制，不得授予與工作無關的其他權限；（三）要求外包服務商保證其相關人員遵守保密規(guī)定及省聯(lián) 社信息科技風險的相關管理制度；（四）將涉及我省農村合作金融機構客戶資料的外包作為重要外包；（五）嚴格禁止外包服務商對外轉包，采取足夠措施確保相 關信息的安全；（六）確保在中止外包協(xié)議時收回或銷毀外包服務商保存的所有客戶資料。第十九條關注外包服務商分

9、包風險，若外包活動存在分包情況的，須在合同中明確以下事項：（一）服務提供商分包的規(guī)則；（二）分包服務提供商應當嚴格遵守主服務提供商與省聯(lián)社確定的外包合同或協(xié)議中的相關條款；（三）主服務商應當確認在業(yè)務分包后繼續(xù)保證對服務水平和系統(tǒng)控制負總責；（四）不得將外包活動的主要業(yè)務分包；（五）不得將外包活動轉包或變相轉包。第二十條信息技術部負責制定和建立外包突發(fā)事件應急預案和機制，以應對外包服務商在服務中可能出現(xiàn)的重大缺失。尤其是需要考慮外包服務商的重大資源損失，重大財物損失和重要人員的變動，以及外包合同或協(xié)議的意外終止等情況。通過采取替代方案、尋求合同項下的保險安排等措施，確保業(yè)務活動的正常經(jīng)營。第二

10、十一條合規(guī)部負責對外包活動進行全面風險評估，稽核審計中心負責對外包活動進行審計。第二十二條省聯(lián)社在開展外包活動時如遇到對省農村合作金融機構業(yè)務經(jīng)營、客戶信息安全、聲譽等產(chǎn)生重大影響事件，應及時向監(jiān)管部門報告。省聯(lián)社在實施重要外包（如數(shù)據(jù)中心和信息科技基礎設施等）應格外謹慎，在準備實施重要外包時應以書 面材料正式報告監(jiān)管部門。第六章外包人員管理第二十三條 外包服務商需要明確一名項目經(jīng)理（或項目負 責人）負責協(xié)調項目相關重要事項。第二十四條 省聯(lián)社對于外包人員的管理方式以管理外包 服務商項目經(jīng)理為主，也可以根據(jù)實際需要直接管理和調配外包 人員。第二十五條外包人員在省聯(lián)社服務期間，應嚴格遵守省聯(lián) 社

11、作息考勤制度以及其他工作規(guī)范。第二十六條信息技術部負責對外包人員使用環(huán)境和權限 配置管理，對使用環(huán)境中的系統(tǒng)權限、文件讀寫權限必須嚴格控 制，以滿足工作需要為前提，遵循權限最小化原則，不得授予與 工作無關的權限。第二十七條 對于向外包人員提供省聯(lián)社內部資料必須嚴 格審核，嚴禁未經(jīng)授權提供。第二十八條信息技術部如發(fā)現(xiàn)外包人員違反有關規(guī)定和 規(guī)章制度，須立即制止并糾正，多次違反情節(jié)嚴重的，有權停止 其省聯(lián)社的一切活動，并通知其所在的外包服務商。 造成損失的, 由外包服務商負責賠償。第二十九條 信息技術部對其使用的外包人員的工作飽滿 度負責，應及時制訂和適時調整外包人員工作計劃，經(jīng)常檢查、 督促外包

12、人員工作。第三十條 對由于工作調整無須再使用的外包人員，信息技 術部應及時確認其使用省聯(lián)社的資源已全部退還。第七章外包交付物驗收第三十一條 外包人員應按時交付服務工作成果，信息技術 部應及時組織人員進行驗收。第三十二條 開發(fā)類外包人員的交付物必須經(jīng)過在測試環(huán) 境下的嚴格測試，驗收合格后才可以投產(chǎn)試用。第三十三條 對于外包交付物驗收不合格的，應要求外包服 務商重新提供產(chǎn)品，并重新組織驗收，直到驗收通過，并納入外 包服務商考核評價過程。第三十四條 由于外包服務商原因導致未按計劃完成或完 成項目質量不高，并造成一定影響的，作為不良合作記錄登記， 對未完成服務由外包服務商繼續(xù)完成，并不再追加任何費用。

13、第八章外包交付物管理第三十五條對于外包人員提交的源代碼，須經(jīng)信息技術部人員審核編譯。所產(chǎn)生的執(zhí)行程序，須經(jīng)省聯(lián)社相關人員測試通過后，按規(guī)定流程投入生產(chǎn)系統(tǒng)。第三十六條對于外包開發(fā)人員提交的關鍵代碼（涉及業(yè)務系統(tǒng)核心處理流程、記賬或有關安全加密、認證的代碼等），信息技術部須對源代碼進行重點抽查，并記錄抽查結果，存檔保留。第三十七條對于外包測試人員提交的測試方案和測試案例，信息技術部須組織人員進行復核確認；外包測試人員編寫的測試腳本和測試用程序必須滿足項目測試性能要求。第三十八條外包咨詢人員應及時對省聯(lián)社的咨詢要求做出響應， 按時協(xié)助解決問題，或提供符合要求的咨詢建議或報告。第三十九條外包維護人員必須及時響應業(yè)務需求，并按省聯(lián)社統(tǒng)一形象和服務方式的要求提供服務。第九章外包評價與審計第四十條信息技術部負責制定對外包服務商考核