银行信息科技外包战略及管理办法.docx

上传人:李司机 文档编号:7211877 上传时间:2024-06-29 格式:DOCX 页数:16 大小:19.55KB
返回 下载 相关 举报
银行信息科技外包战略及管理办法.docx_第1页
第1页 / 共16页
银行信息科技外包战略及管理办法.docx_第2页
第2页 / 共16页
银行信息科技外包战略及管理办法.docx_第3页
第3页 / 共16页
银行信息科技外包战略及管理办法.docx_第4页
第4页 / 共16页
银行信息科技外包战略及管理办法.docx_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《银行信息科技外包战略及管理办法.docx》由会员分享,可在线阅读,更多相关《银行信息科技外包战略及管理办法.docx(16页珍藏版)》请在三一办公上搜索。

1、XXXX银行信息科技外包战略及管理办法第一章总则第一条为了规范XXXX银行(以下简称“我行”)的信息科技外包活动,保障我行信息系统安全持续稳定运行,降低信息科技外包风险,依据中国银监会颁布的银行业金融机构信息科技外包风险监管指引、银行业金融机构外包风险管理指引、中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,制定本办法。第二条本办法所称信息科技外包是指我行将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以卜类型:()研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包;(二)系统运行维

2、护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包:(三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。第三条信息科技外包可能产生如下风险,并导致我行的战略、声誉、合规风险:第八条本办法管理内容涉及科技信息外包的各个流程,包括外包项目的建立、执行、监控、考核评价、持续改进等过程。第九条本办法参照中国银监会银行业金融机构信息科技外包风险监管指引中信息科技外包风险控制要求制订,目标是明确信息科技外包管理要求,防范和控制我行信息科技外包风险,保证外包流程规范化并能达到预

3、期成效。第二章组织架构及职责第十条我行外包管理的组织架构包括高级管理层和信息科技外包专职主管部门,其中信息科技外包专职主管部门为我行科技开发部。第十一条我行高级管理层的职责主要包括以下方面:(一)确定外包管理部门职责,并对其行为进行有效监督。(二)审议批准信息科技外包的战略发展规划;(三)审议批准信息科技外包的风险管理制度;(四)审议批准信息科技外包业务的范围及相关安排;(五)审阅本机构外包活动相关报告;(六)安排内部审计,确保审计范围涵盖所有的外包活动。第十二条信息科技外包专职主管部门的职责主要包括以下方面:(一)制定信息科技外包的战略发展规划:(一)制定并执行信息科技外包风险管理的政策、操

4、作流程和内控制度;(四)主持或协助相关部门签定外包服务合同、制定外包服务水准协议,科技开发部主要负责制定技术指标要求;(五)规范和制定外包监控制度、考核评价机制和持续改进办法、组织验收考核;(六)负责定期形成外包项目情况汇总报告,提交相关业务管理部门、风险管理部门及高级管理层;(七)根据我行审计部门或风险管理部门对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进。第十五条享有信息科技外包服务或外包服务的直接应用部门为外包使用部门,基本职能如下:(一)负责编写提交信息科技外包服务业务需求;(二)参与制定外包服务合同以及外包服务水准,外包使用部门主要负责业务指标和相关罚则的

5、制定;(三)参与对外包公司和外包人员的考核和评审;(四)协助外包管理部门共同管理外包过程。第十六条我行审计部为信息科技外包的审计部门,负责对信息科技外包项目进行事前、事中和事后审计。第十七条我行风险管理部门为信息科技外包的风险管理部门,负责根据科技开发部提交的外包项目风险评估报告,发现和控制项目过程中的风险。第三章外包战略及管理评估,以选择业务能力强、信誉好的服务提供商。(一)外包服务提供商技术水平与专业人员的业务能力评估。主要包括对外包服务提供商提供给金融机构所需服务和技术支持的经验和能力、服务失败或业务系统遭黑客入侵等偶发事件的应对能力、在预期的操作环境卜提供服务的经验、提供外包业务关键人

6、员的业务能力和敬业精神与职业道德等进行评估。(二)安全、保密措施与保险覆盖范围的审查。主要是审查服务提供商处理设备管理、系统安全性、个人隐私保护、数据记录维护、系统灾难恢复、系统开发和维护以及职员背景等工作的标准、策略和过程是否充分;考查服务提供商是否提供了充分而谨慎的安全措施,包括防火墙、加密、客户身份认证、对金融机构资源的保护和对入侵的检测与应对措施等:考查服务提供商是否对诸如欺诈、火灾、数据丢失、文档失窃等进行保险。()评估外包服务提供商对相关法律法规和专业知识的了解程度。应该评估外包服务提供商需要向金融机构学习的金融专业知识、外包服务提供商对与我行IT外包业务相关的法律法规的了解程度等

7、。(四)财务状况与信誉考察。应通过其它用户和咨询机构了解外包服务提供商的信誉和表现。分析服务提供商提供的己经审计过的报告、年终报告和其它指标等。考查服务提供商在金融行业中服务的时间、占据的市场份额及其波动情况。评估服务提供商的技术费用支付能力,如服务提供商在财务上是否有能力投资和支持金融机构IT外包业务所需的技术等。考杳金融机构是第四章外包服务提供商资质评审第二十五条外包服务提供商(外包公司)资质评审由我行科技开发部负责统一组织,每年定期评审一次,特殊情况可根据实际需要安排评审频度和时间。第二十六条参加资质评审的外包服务提供商必须满足我行招标文件中所要求的资质水准,不符合资质要求的外包服务提供

8、商不准参与我行的外包服务。外包服务提供商必须通过资质评审方能进入后续工作。第二十七条满足下列条件之一的外包服务提供可免于参加年度外包服务提供商资质评审和免于执行人员试用:(一)上一年度考核结果为良好(含)以上的外包服务提供商;(二)外包服务提供商应我行要求继续为该系统提供技术支持服务的。第二十八条外包服务提供商的资质要求包括以下内容:第一类部分外包模式服务提供商()中华人民共和国境内外注册的独立法人;(二)招标文件没有做要求的境内企业注册资金在200万元以上,境外企业注册资金在50万美元以上;招标文件有要求的必须满足招标文件要求:(三)有IS09000、CMM2等具有国家、行业同等资质认证资格

9、要求的必须满足;(七)公司一般性服务水准承诺;(八)系统整体外包服务提供商应具备信息产业部颁发的计算机系统集成资质或同等资格说明。第三十条外包服务提供商如存在年度考核不合格的情况,未来两年内不得参与我行信息科技外包服务活动或者须在外包合同条款加以约束条款;对年度考核不合格的外包服务提供商,我行有权扣除不超过外包合同总价15%的违约金。第三十一条外包服务提供商需要严格保证外包过程中涉及我行的数据安全、保密、知识产权等,控制人员变更、转包等风险,如果因外包公司或其相关人员原因造成的损失符由外包公司承担赔偿责任。第五章外包服务人员管理第三十二条外包服务提供商需要明确一名项目经理(或项目负责人)负责协

10、调项目相关重要事项。第三十三条我行对于外包人员的管理方式以管理外包公司项目经理为主,也可以根据实际需要直接管理和调配项目其他外包服务人员。第三十四条外包服务人员在我行服务期间,应严格遵守我行作息考勤制度以及其他工作规范,并按要求签署保密协议书,对其使用的机器安装防病毒软件、系统补丁,对于非全时在我行工作的外包服务人员,应严格遵照外包合同有关履约时间的约定。出物进行验收,具体验收办法依据项目合同或外包初期制定的项目验收方案。第四十二条开发类外包服务人员的交付物必须在独立的测试环境下经过测试,验收合格后才可以投产试用。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试原则上不

11、得直接使用生产数据,如必须使用生产数据的也需经过脱敏处理。第四十三条对于外包交付物验收不合格的,应要求外包服务提供商重新提供产品,并重新组织验收,直到验收通过,并将此类情况纳入外包服务提供商的考核评价过程。第四十四条由于外包服务提供商原因导致项目未按计划完成或完成项目质量不高,并造成一定影响的,作为不良合作记录登记外包服务商违反服务水平协议统计表,对未完成服务由外包服务提供商继续完成,并不再追加任何费用。第七章外包交付物管理第四十五条对于外包开发人员提交的源代码,须经我行科技开发部开发主管进行审核。所产生的执行程序,须经我行相关人员测试通过后,按规定流程投入生产系统。第四十六条对于外包开发人员

12、提交的关键代码(涉及核心记账、业务系统核心处理流程或有关安全加密、认证的代码),项目组我方人员必须对源代码进行重点抽查,并记录抽查结果,存档保留。第五十六条系统整体外包需要根据问题级别、频度以及其他惩罚条件制定具体的罚责O第九章外包人员及外包服务提供商考核第五十七条我行科技开发部或银行方项目经理应每月或根据实际需要确定周期,对在用的外包人员和外包公司的研发或其他专业能力、项目计划与进度的偏差、产品缺陷率和服务水平等进行整体考核,形成我行软件项目风险评估报告,并及时将考核结果反馈至管理层。第五十八条外包服务人员的考核应着重于服务响应时间、服务质量、服务内容等,外包技术人员考核实行百分制,基本参考

13、考核指标及标准得分如下:一、出勤率(标准值100%,标准得分10分)出勤率=考核期内实际出勤次数考核期内应出勤次数X100%出勤率为100%得满分】0分;90%W出勤率H)0%,得5分,出勤率90%,得0分。二、工作业绩(标准得分90分)(一)技术开发类外包人员1、服务文档完整及规范性(20分)反映服务文档的完整性和代码编写符合我行技术规范的程度。2、分配任务完成及时性(20分)反映是否能及时完成分配的工作任务。根据预计解决问题的时间和实际完成时间比例确定得分。3、工作质量:(35分)由应用部门根据服务情况及解决问题是否彻底,定性评分。4、工作态度:(15分)由应用部门根据总体服务情况,定性评

14、分。(四)维护服务类外包人员1、服务响应时间:(20分)服务响应时间均符合合同要求的,得20分,否则按次扣5分,扣完为止。2、服务完成时间:(20分)根据预计解决问题的时间和实际完成时间比例确定得分。3、工作质量:(30分)由使用部门根据服务情况及解决问题是否彻底,定性评分o4、客户满意度(20分)根据服务对象表扬或投及其他反馈情况定性评分。工作业绩得分=各类服务外包人员(1)至(4)项得分之和第五十九条对外包服务提供商的考核包括以下内容:第一类部分外包服务提供商外包人员类技术公司考核得分=(E同一外包技术公司人员考核得分/在用该公司外包技术人员数量)X70%+外包公司提供人员变动率得分(满分

15、10分)+公司整体水平(满分20分)人员变动率=考核期内人员变动次数合同约定人数X100%人员变动率考核方法:如考核季(年)人员变动率W约定许可变动率,得满分10分;人员变动率约定许可变动率得O分。公司整体水平:衡量标准】、公司交付物的质量(5分)、2、公司整体管理水平(5分),3、公司服务水平(5分)第二类整体外包服务提供商根据外包服务水准的达成率考核整体外包服务提供商的服务情况。第六十条外包服务人员及外包服务提供商考核结果分为优(90100分)、良(80-90分)、中(6080分)和差(060分)四档。第六十一条外包服务人员考核结果应用(一)年度考核结果为良(含)以上的外包服务人员,来年我

16、行将优先考虑继续使用;(二)季度考核结果为差的外包服务人员,我行将要求外包公司更换人员。第六十二条外包技术公司考核结果应用(一)年度考核结果为良(含)以上的公司,可免于来年公司的资质评审和人员试用;(二)年度考核结果为中的公司,可以继续参加我行来年公司资质评审并适用人员试用规定:(三)年度考核结果为差的公司,未来2年时间内无资格参与我行组织的公司资质评审,我行有权收取定比例的违约金。第六十三条我行科技开发部负责统一向各外包服务提供商反馈考核结果。第十章外包合同及外包服务水准制定要求第六十四条外包合同必须按照法律事务所提供的法律依据和要求进行修订。第六十五条为保证外包人员持续在我行工作,降低人员

17、流动增加的管理及培训成本,应在外包合同中明确许可的人员流动或变更比例。第六十六条系统整体外包合同需制定系统灾备和应急流程。第六十七条外包合同需包含服务水准要求,明确开发、维护、使用的计费方法,明确知识产权、数据安全、保密等相关内容。第六十八条外包服务水准制定的基本原则:量化指标,每项指标对应明确的罚则和处理办法。第六十九条为量化服务水准指标,须对外包过程中的问题进行分类描述。外包问题分类标准如下:(一)一级问题:指的是关键性问题,一级问题的出现,将严重影响我行整体业务运作,可能或已经造成业务重大损失。(二)二级问题:表明所报告的是重大但非关键性的问题。此类问题意味着系统能够运行但是某些功能不能

18、正常工作。此类问题仅影响少数几个用户或者降低系统性能。(三)三级问题:表明所报告的是次要问题。此类问题发生时外包系统能够正常运行,问题产生的影响是有限的且不对整体运行产生关键性的影响。(四)四级问题:表明所报告的是一般性问题。此类问题发生时外包系统正常运行,对我行业务几乎无影响或根本不影响,主要是咨询和服务类的问题。第七十条对于系统整体外包周期超过1年的,需要每半年(或根据合同要求)召开一次会议,调整服务标准,以保证各项指标的合理性。第七十一条外包服务水准需要包含以下基本要素:服务内容、服务质量要求、服务问题等级分类、问题响应时间规定、问题解决时间规定、罚则以及服务水准调整规定。第七十二条外包

19、公司应协助我行与第三方之间进行相关测试、审计或类似工作,对于由此可能造成的知识产权问题通过签订三方协议方式协商解决。第十一章外包风险管理第七十三条不得将我行信息科技管理责任外包,应合理谨慎监督外包职能的履行。第七十四条实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书而材料正式报告银监会或其派出机构。第七十五条在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:(一)分析外包是否适合我行的组织结构和报告路线、业务战略、总体风险控制,是否满足我行履行对外包服务商的监督义务。(二)考虑外包协议是否允许我行监测和控制与外包相关的操作风险。(三)充分审

20、查、评估外包服务提供商的财务稳定性和专业经验,对外包服务提供商进行风险评估,考查其设施和能力是否足以承担相应的贡任。(四)考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。(五)关注可能存在的集中风险,如多家银行共用同一外包服务商带来的潜在业务连续性风险。第七十六条在与外包服务提供商合同谈判过程中,应考虑的因素包括但不限于:(一)对外包服务商的报告要求和谈判必要条件。(二)银行业监管机构和内部审计、外部审计能执行足够的监督。(三)通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。(四)担保和损失赔偿是否充足。(五)外包服务提供商遵守我行有关信息科技风险制

21、度和流程的意愿及相关措施。(六)外包服务提供商提供的业务连续性保障水平,以及提供相关专属资源的承诺。(七)第三方供应商出现问题时,保证软件持续可用的相关措施。(八)变更外包协议的流程,以及我行或外包服务商选择变更或终止外包协议的条件,例如:1、我行或外包服务商的所有权或控制权发生变化。2、我行或外包服务商的业务经营发生重大变化。3、外包服务提供商提供的服务不充分,造成我行不能履行监督义务。第七十七条在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:(一)提出定性和定量的绩效指标,评估外包服务提供商为我行及其相关客户提供服务的充分性。(二)通过服务水平报告、定期自我评估、内部

22、或外部独立审计进行绩效考核。(三)针对绩效不达标的情况调整流程,采取整改措施。第七十八条加强信息科技外包相关管理工作,确保我行的客户资料等敏感信息的安全,包括但不限于采取以卜措施:()实现本银行客户资料与外包服务提供商其他客户资料的有效隔离。(二)按照“必需知道”和“最小授权”原则对外包服务提供商相关人员授权。(三)要求外包服务提供商保证其相关人员遵守保密规定。(四)应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。(五)严格控制外包服务提供商再次对外转包,采取足够措施确保我行相关信息的安全。(六)确保在中止外包协议时收回或销毁外包服务提供商保存的所有客户资料。第七十九条我行应建立恰当

23、的信息科技外包应急预案及应急措施,应对外包服务提供商在服务中可能出现的重大缺失。尤其需要考虑外包服务提供商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。在发生紧急情况时,应及时补充外包技术服务资源或替代方案,降低因紧急事件出现后对我行系统运行、开发、测试及咨询、维护服务等工作的不利影响。第八十条我行所有信息科技外包服务合同应由风险管理部、法律合规部、外包服务应用部门和科技开发部审核通过。我行应设立流程定期审阅和修订服务水平协议。第八十一条我行外包服务应用部门应定期评估成本风险,防止由于成本原因造成对外包过程的不利影响。第八十二条我行外包管理部门应严格控制信息科技外包过程中的数据安全、保密、知识产权、人员变更、转包等因素相关的风险。第十二章持续改进第八十三条信息科技外包主管部门要对考核指标和服务水准体系进行全面评估,定期提出修订意见,对相应的考核指标和服务水准进行调整。第八十四条信息科技外包主管部门应根据外包目标的达成率和发展趋势以及评估报告制定信息科技外包管埋改进计划。第八十五条信息科技外包主管部门应根据信息科技外包管理改进计划,对信息科技外包实施过程进行持续改进和调整优化。第十三章附则第八十六条本办法由我行科技部负责制订修改和解释执行。第八十七条本办法自颁布之H起执行。

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号