銀行業(yè)農(nóng)信社計(jì)算機(jī)信息科技外包管理辦法

1、附件農(nóng)村信用社聯(lián)合社信息科技外包管理辦法（ 試行 ）第一章總則第一條為了規(guī)范省農(nóng)村信用社聯(lián)合社（以下簡(jiǎn)稱“省聯(lián)社”）的外包活動(dòng)，保障省聯(lián)社信息系統(tǒng)安全持續(xù)穩(wěn)定運(yùn)行，依據(jù)銀監(jiān)會(huì)頒布的商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引和銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引，以及國(guó)家有關(guān)法律法規(guī)，制定本辦法。第二條本辦法中的信息科技外包（以下簡(jiǎn)稱“外包”） 是指省聯(lián)社將某些信息系統(tǒng)項(xiàng)目委托給服務(wù)提供商進(jìn)行處理的行為。第三條外包應(yīng)以滿足需求、保證質(zhì)量、提高效率、風(fēng)險(xiǎn)可控、成本可控為基本原則。第四條省聯(lián)社信息科技的戰(zhàn)略管理、核心管理以及內(nèi)部審計(jì)等職能不宜外包。第二章組織架構(gòu)及職責(zé)第五條省聯(lián)社外包管理的組織架構(gòu)包括理事會(huì)、高級(jí)管理

2、層及外包管理部門，其中外包管理部門主要包括省聯(lián)社銀信金融 服務(wù)中心信息技術(shù)部（以下簡(jiǎn)稱“信息技術(shù)部”）、稽核審計(jì)中心、 合規(guī)部等部門。第六條省聯(lián)社理事會(huì)的職責(zé)主要包括以下方面：（一）審議批準(zhǔn)信息科技外包的戰(zhàn)略發(fā)展規(guī)劃；（二）審議批準(zhǔn)外包的風(fēng)險(xiǎn)管理制度；（三）審議批準(zhǔn)外包范圍及相關(guān)安排；（四）審閱本機(jī)構(gòu)外包活動(dòng)相關(guān)報(bào)告；（五）安排內(nèi)部審計(jì)，確保審計(jì)范圍涵蓋所有的外包活動(dòng)。第七條 省聯(lián)社高級(jí)管理層的職責(zé)主要包括以下方面：（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；（二）制定外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；（三）確定外包業(yè)務(wù)的范圍及相關(guān)安排；（四）確定外包管理部門職責(zé)，并對(duì)其行為進(jìn)行有效監(jiān)督。第八條 信息技

3、術(shù)部的職責(zé)主要包括以下方面：（一）執(zhí)行外包風(fēng)險(xiǎn)管理的政策、操作流程和內(nèi)控制度；（二）根據(jù)省聯(lián)社信息科技建設(shè)規(guī)劃或外包服務(wù)需求，結(jié)合省聯(lián)社信息科技的建設(shè)情況，確立外包項(xiàng)目的范圍和內(nèi)容、制定 外包年度計(jì)劃及外包階段性計(jì)劃；（三）負(fù)責(zé)外包活動(dòng)的日常管理，包括盡職調(diào)查、合同簽署 以及外包服務(wù)技術(shù)指標(biāo)的制定等；（四）負(fù)責(zé)形成外包項(xiàng)目情況匯總報(bào)告，提交省聯(lián)社合規(guī)部和稽核審計(jì)中心；（五）根據(jù)省聯(lián)社稽核審計(jì)中心或合規(guī)部對(duì)外包項(xiàng)目評(píng)估、 審計(jì)以及提由的風(fēng)險(xiǎn)管理意見對(duì)信息科技外包項(xiàng)目實(shí)施優(yōu)化和 改進(jìn)；（六）在發(fā)現(xiàn)外包服務(wù)提供商的業(yè)務(wù)活動(dòng)存在缺陷時(shí)，采取 及時(shí)有效的措施；（七）高級(jí)管理層確定的其他職責(zé)。第九條 稽核

4、審計(jì)中心的職責(zé)主要包括以下方面：（一）負(fù)責(zé)內(nèi)部審計(jì)，確保審計(jì)范圍涵蓋所有的信息科技外 包活動(dòng)。（二）高級(jí)管理層確定的其他職責(zé)。第十條 合規(guī)部的職責(zé)主要包括以下方面：（一）負(fù)責(zé)外包合同的審查與修改；（二）負(fù)責(zé)外包風(fēng)險(xiǎn)狀況的監(jiān)督及風(fēng)險(xiǎn)管理；（三）向高級(jí)管理層提由有關(guān)外包活動(dòng)發(fā)展和風(fēng)險(xiǎn)管控的意 見和建議；（四）根據(jù)信息技術(shù)部提交的外包項(xiàng)目情況報(bào)告，及時(shí)發(fā)現(xiàn) 信息科技外包風(fēng)險(xiǎn)，并進(jìn)行風(fēng)險(xiǎn)提示。（五）定期向高級(jí)管理層和監(jiān)管部門提交外包風(fēng)險(xiǎn)評(píng)估報(bào)告;（六）高級(jí)管理層確定的其他職責(zé)。第三章外包服務(wù)商資質(zhì)評(píng)審第十一條 外包服務(wù)提供商的資質(zhì)評(píng)審由信息技術(shù)部負(fù)責(zé) 統(tǒng)一組織，原則上每年評(píng)審一次，特殊情況可根據(jù)實(shí)際需

5、要安排 評(píng)審。第十二條參加資質(zhì)評(píng)審的外包服務(wù)商必須滿足省聯(lián)社招 標(biāo)文件中要求的資質(zhì)，不符合資質(zhì)要求的外包服務(wù)商不準(zhǔn)參與外 包服務(wù)，并嚴(yán)格按照省農(nóng)村信用社聯(lián)合社電子設(shè)備項(xiàng)目采購(gòu)管理辦法規(guī)定的流程確定外包服務(wù)商。第十三條開展外包服務(wù)商資質(zhì)評(píng)審前必須對(duì)服務(wù)提供商進(jìn) 行盡職調(diào)查，并形成盡職調(diào)查報(bào)告。對(duì)外包服務(wù)商的盡職調(diào)查主 要包括以下內(nèi)容：（一）管理能力和行業(yè)地位；（二）財(cái)務(wù)穩(wěn)健性；（三）經(jīng)營(yíng)聲譽(yù)和企業(yè)文化；（四）技術(shù)實(shí)力和服務(wù)質(zhì)量；（五）突發(fā)事件應(yīng)對(duì)能力；（六）對(duì)銀行業(yè)的熟悉程度；（七）對(duì)其他銀行業(yè)金融機(jī)構(gòu)提供服務(wù)的情況；（八）省聯(lián)社認(rèn)為重要的其他事項(xiàng)。如果外包活動(dòng)涉及多個(gè)服務(wù)提供商時(shí)，應(yīng)當(dāng)對(duì)這些服

6、務(wù)提供商進(jìn)行關(guān)聯(lián)關(guān)系的調(diào)查第四章外包合同第十四條 省聯(lián)社開展信息科技外包活動(dòng)時(shí)與外包服務(wù)商簽訂書面合同或協(xié)議，明確雙方的權(quán)利義務(wù)。合同或協(xié)議應(yīng)當(dāng)包括但不限于以下內(nèi)容：（一）外包服務(wù)的范圍和標(biāo)準(zhǔn)；（二）外包服務(wù)的保密性和安全性的安排；（三）外包服務(wù)的業(yè)務(wù)連續(xù)性的安排以及外包服務(wù)商提供專屬資源的承諾；（四）外包服務(wù)的審計(jì)和檢查；（五）外包爭(zhēng)端的解決機(jī)制；（六）合同或協(xié)議變更或終止的過渡安排；（七）擔(dān)保和損失賠償以及違約責(zé)任。第十五條簽訂外包合同時(shí)外包服務(wù)提供商須承諾以下事項(xiàng):（一）定期通報(bào)外包活動(dòng)的有關(guān)事項(xiàng)；（二）及時(shí)通報(bào)外包活動(dòng)的突發(fā)性事件；（三）配合省聯(lián)社接受銀行業(yè)監(jiān)督管理機(jī)構(gòu)的檢查；（四）保

7、障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時(shí)，省聯(lián)社有權(quán)隨時(shí)終止外包合同；（五）遵守省聯(lián)社有關(guān)信息科技風(fēng)險(xiǎn)管理制度和流程；（六）第三方供應(yīng)商由現(xiàn)問題時(shí)，保證軟硬件持續(xù)可用的相關(guān)措施；（七）不得以省聯(lián)社的名義開展活動(dòng)；（八）省聯(lián)社認(rèn)為應(yīng)當(dāng)承諾的其他事項(xiàng)。第十六條 對(duì)于數(shù)據(jù)中心的重要基礎(chǔ)設(shè)施、重要信息系統(tǒng)的 維護(hù)服務(wù)外包，簽訂外包合同時(shí)，外包服務(wù)商須保證購(gòu)買商業(yè)保 險(xiǎn)以保證具有足夠的賠償能力，并告知保險(xiǎn)覆蓋范圍。第十七條省聯(lián)社所有信息科技外包合同須由合規(guī)部審核 通過、省聯(lián)社高級(jí)管理層批準(zhǔn)后方可實(shí)施。第五章風(fēng)險(xiǎn)管理第十八條外包管理部門要切實(shí)加強(qiáng)信息科技相關(guān)外包管理工作，確保 省農(nóng)村合作金

8、融機(jī)構(gòu)的客戶資料等敏感信息的安 全，應(yīng)采取包括但不限于以下風(fēng)險(xiǎn)管控措施：（一）實(shí)現(xiàn)我省農(nóng)村合作金融機(jī)構(gòu)客戶資料與外包服務(wù)商其他客戶資料的有效隔離；（二）按照“必需知道”和“最小授權(quán)”原則對(duì)外包服務(wù)商相關(guān)人 員授權(quán)，對(duì)使用環(huán)境中的系統(tǒng)權(quán)限、文件讀寫權(quán)限等必須嚴(yán)格控 制，不得授予與工作無關(guān)的其他權(quán)限；（三）要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定及省聯(lián) 社信息科技風(fēng)險(xiǎn)的相關(guān)管理制度；（四）將涉及我省農(nóng)村合作金融機(jī)構(gòu)客戶資料的外包作為重要外包；（五）嚴(yán)格禁止外包服務(wù)商對(duì)外轉(zhuǎn)包，采取足夠措施確保相 關(guān)信息的安全；（六）確保在中止外包協(xié)議時(shí)收回或銷毀外包服務(wù)商保存的所有客戶資料。第十九條關(guān)注外包服務(wù)商分

9、包風(fēng)險(xiǎn)，若外包活動(dòng)存在分包情況的，須在合同中明確以下事項(xiàng)：（一）服務(wù)提供商分包的規(guī)則；（二）分包服務(wù)提供商應(yīng)當(dāng)嚴(yán)格遵守主服務(wù)提供商與省聯(lián)社確定的外包合同或協(xié)議中的相關(guān)條款；（三）主服務(wù)商應(yīng)當(dāng)確認(rèn)在業(yè)務(wù)分包后繼續(xù)保證對(duì)服務(wù)水平和系統(tǒng)控制負(fù)總責(zé)；（四）不得將外包活動(dòng)的主要業(yè)務(wù)分包；（五）不得將外包活動(dòng)轉(zhuǎn)包或變相轉(zhuǎn)包。第二十條信息技術(shù)部負(fù)責(zé)制定和建立外包突發(fā)事件應(yīng)急預(yù)案和機(jī)制，以應(yīng)對(duì)外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其是需要考慮外包服務(wù)商的重大資源損失，重大財(cái)物損失和重要人員的變動(dòng)，以及外包合同或協(xié)議的意外終止等情況。通過采取替代方案、尋求合同項(xiàng)下的保險(xiǎn)安排等措施，確保業(yè)務(wù)活動(dòng)的正常經(jīng)營(yíng)。第二

10、十一條合規(guī)部負(fù)責(zé)對(duì)外包活動(dòng)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，稽核審計(jì)中心負(fù)責(zé)對(duì)外包活動(dòng)進(jìn)行審計(jì)。第二十二條省聯(lián)社在開展外包活動(dòng)時(shí)如遇到對(duì)省農(nóng)村合作金融機(jī)構(gòu)業(yè)務(wù)經(jīng)營(yíng)、客戶信息安全、聲譽(yù)等產(chǎn)生重大影響事件，應(yīng)及時(shí)向監(jiān)管部門報(bào)告。省聯(lián)社在實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等）應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書 面材料正式報(bào)告監(jiān)管部門。第六章外包人員管理第二十三條 外包服務(wù)商需要明確一名項(xiàng)目經(jīng)理（或項(xiàng)目負(fù) 責(zé)人）負(fù)責(zé)協(xié)調(diào)項(xiàng)目相關(guān)重要事項(xiàng)。第二十四條 省聯(lián)社對(duì)于外包人員的管理方式以管理外包 服務(wù)商項(xiàng)目經(jīng)理為主，也可以根據(jù)實(shí)際需要直接管理和調(diào)配外包 人員。第二十五條外包人員在省聯(lián)社服務(wù)期間，應(yīng)嚴(yán)格遵守省聯(lián) 社

11、作息考勤制度以及其他工作規(guī)范。第二十六條信息技術(shù)部負(fù)責(zé)對(duì)外包人員使用環(huán)境和權(quán)限 配置管理，對(duì)使用環(huán)境中的系統(tǒng)權(quán)限、文件讀寫權(quán)限必須嚴(yán)格控 制，以滿足工作需要為前提，遵循權(quán)限最小化原則，不得授予與 工作無關(guān)的權(quán)限。第二十七條 對(duì)于向外包人員提供省聯(lián)社內(nèi)部資料必須嚴(yán) 格審核，嚴(yán)禁未經(jīng)授權(quán)提供。第二十八條信息技術(shù)部如發(fā)現(xiàn)外包人員違反有關(guān)規(guī)定和 規(guī)章制度，須立即制止并糾正，多次違反情節(jié)嚴(yán)重的，有權(quán)停止 其省聯(lián)社的一切活動(dòng)，并通知其所在的外包服務(wù)商。 造成損失的, 由外包服務(wù)商負(fù)責(zé)賠償。第二十九條 信息技術(shù)部對(duì)其使用的外包人員的工作飽滿 度負(fù)責(zé)，應(yīng)及時(shí)制訂和適時(shí)調(diào)整外包人員工作計(jì)劃，經(jīng)常檢查、 督促外包

12、人員工作。第三十條 對(duì)由于工作調(diào)整無須再使用的外包人員，信息技 術(shù)部應(yīng)及時(shí)確認(rèn)其使用省聯(lián)社的資源已全部退還。第七章外包交付物驗(yàn)收第三十一條 外包人員應(yīng)按時(shí)交付服務(wù)工作成果，信息技術(shù) 部應(yīng)及時(shí)組織人員進(jìn)行驗(yàn)收。第三十二條 開發(fā)類外包人員的交付物必須經(jīng)過在測(cè)試環(huán) 境下的嚴(yán)格測(cè)試，驗(yàn)收合格后才可以投產(chǎn)試用。第三十三條 對(duì)于外包交付物驗(yàn)收不合格的，應(yīng)要求外包服 務(wù)商重新提供產(chǎn)品，并重新組織驗(yàn)收，直到驗(yàn)收通過，并納入外 包服務(wù)商考核評(píng)價(jià)過程。第三十四條 由于外包服務(wù)商原因?qū)е挛窗从?jì)劃完成或完 成項(xiàng)目質(zhì)量不高，并造成一定影響的，作為不良合作記錄登記， 對(duì)未完成服務(wù)由外包服務(wù)商繼續(xù)完成，并不再追加任何費(fèi)用。

13、第八章外包交付物管理第三十五條對(duì)于外包人員提交的源代碼，須經(jīng)信息技術(shù)部人員審核編譯。所產(chǎn)生的執(zhí)行程序，須經(jīng)省聯(lián)社相關(guān)人員測(cè)試通過后，按規(guī)定流程投入生產(chǎn)系統(tǒng)。第三十六條對(duì)于外包開發(fā)人員提交的關(guān)鍵代碼（涉及業(yè)務(wù)系統(tǒng)核心處理流程、記賬或有關(guān)安全加密、認(rèn)證的代碼等），信息技術(shù)部須對(duì)源代碼進(jìn)行重點(diǎn)抽查，并記錄抽查結(jié)果，存檔保留。第三十七條對(duì)于外包測(cè)試人員提交的測(cè)試方案和測(cè)試案例，信息技術(shù)部須組織人員進(jìn)行復(fù)核確認(rèn)；外包測(cè)試人員編寫的測(cè)試腳本和測(cè)試用程序必須滿足項(xiàng)目測(cè)試性能要求。第三十八條外包咨詢?nèi)藛T應(yīng)及時(shí)對(duì)省聯(lián)社的咨詢要求做出響應(yīng)， 按時(shí)協(xié)助解決問題，或提供符合要求的咨詢建議或報(bào)告。第三十九條外包維護(hù)人員必須及時(shí)響應(yīng)業(yè)務(wù)需求，并按省聯(lián)社統(tǒng)一形象和服務(wù)方式的要求提供服務(wù)。第九章外包評(píng)價(jià)與審計(jì)第四十條信息技術(shù)部負(fù)責(zé)制定對(duì)外包服務(wù)商考核