银行信息科技外包管理制度模版

  • 格式:docx
  • 大小:19.04 KB
  • 文档页数:5

银行信息科技外包管理制度
第一章总则
第一条目的
为了防范和控制我行信息科技外包项目的风险,提高我行信息系统安全运行的效率,根据中国银行业监督管理委员会《银行业金融机构信息科技外包风险监管指引》和我行相关管理制度,特制定本办法。

第二条定义
信息科技外包项目:指将信息系统的规划、开发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商的项目。

第三条信息科技外包项目分类
信息科技外包项目分为软件定制开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询及技术服务外包等。

软件开发外包项目:指我行与软件开发供应商合作开发我行信息系统的外包项目,或者采购软件开发供应商软件产品并以合作方式进行
客户化开发我行信息系统的外包项目;
生产系统维保外包项目:指我行采购生产系统各类设备、系统软件、应用系统的运行维护服务的外包项目,或租赁通讯线路、采购生产系统的安全服务的外包项目;
办公桌面设备维保外包项目:指采购办公桌面设备的维修保养服务的外包项目;
灾难备份服务外包项目:指采购总行数据中心的灾难备份服务的外包项目;
咨询服务外包项目:指采购的IT战略规划、IT流程梳理、IT体系架构、IT技术方案、IT安全管理等与IT相关的各类咨询外包项目。

非驻场集中外包项目:非驻场集中式外包主要包括机房运营类外包
服务、应用系统托管类外包服务。

第四条适用范围
本办法适用于我行信息科技外包项目管理、服务全过程。

第二章外包原则第五条总行数据中心生产运营管理不可外包,信息科技风险责任不可外包。

第六条总行可以对全行软件项目开发、生产系统维保、总行办公桌面设备维
保、灾难备份服务、咨询服务实行外包;分行科技运营部门可以对本行软件项目开发、本行生产系统维保(总行统一外包的除外)、办公桌面设备维保、咨询服务实行外包。

第七条对于本办法所述的信息科技外包项目类型和范围以外的外包需求,由信息科技管理委员会确定是否可以外包,并以会议纪要形式作为本办法的修订或补充。

第三章组织与职责
第八条信息科技管理委员会负责外包的管理,信息科技部门负责外包工作的具体实施。

第四章外包项目采购
第九条信息科技外包项目由项目主办单位明确外包服务需求,包括但不限于服务方式和服务种类:
一、服务方式:包括现场服务方式、非现场服务方式;
二、服务种类:包括软件项目开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询服务外包。

第十条依照相关采购管理办法实行采购,并签订合同。

第十一条根据信息科技外包项目的特殊性,外包合同除一般合同内容外,还应包括但不限于以下内容:
一、服务方式:包括现场服务方式、非现场服务方式;
二、服务种类:包括软件项目开发外包、生产系统维保外包、办公桌面设备维保外包、灾难备份服务外包、咨询服务外包。

三、根据服务方式、服务种类,确定信息安全管理手段:
(一)工作环境访问权限的设置和说明;
(二)服务商使用设备的管理;
(三)在服务过程中,明确对设备的授权方式、监视和撤销用户活动的权限;
(四)签署保密协议。

四、对外包服务商实施服务人员的管理。

(一)人员资格要求:项目主要实施人员应具有相关资质认证(毕业证书、专业技能资质认证),有5年以上工作经验,有类似项目背
景(项目名称、客户证明人员及联系方式);
(二)人员外包:原则上项目禁止外包,若项目实施需要引入外部专家,应在项目中提前明确说明;
(三)明确服务人员要求:人员资格要求、撤换人员的规定、安全规范的遵守。

五、明确服务水平要求:明确服务商报告的格式与服务报告被确认的标准;服务商服务过程中提供产品的要求;明确服务商服务的响应时间的要求与衡量方式;列明期望的服务水平。

六、明确服务过程中,异常事件的通报与处理机制:确定正常工作程序;明确服务商工作过程中的变更授权流程;异常情况报告机制,包括报告事件程序;安全事故处理机制,包括如何调查、通知处理、应急方案和实施计划。

七、对于软件开发外包或咨询服务外包项目,应明确项目接收和转移的相关要求。

包括明确外包商的系统核心技术,以便项目验收人员接收除系统核心技术外的全部源代码,也方便第三方评估在本项目中有多少关键技术被外包商垄断。

八、明确软件开发外包项目在项目验收前必须进行源代码检查。

九、明确规定我行软件项目开发外包、咨询服务外包项目的知识产
权归属。

十、制订服务商所提供服务不能满足服务水平要求的惩罚条款,明确发生问题时的赔偿责任与解决争端的程序。

十一、咨询项目应加强培训工作,做到知识的转移,使客户最终了解和全面掌握项目成果。

十二、制订服务商所提供服务不能满足服务水平要求的惩罚条款,明确发生问题时的赔偿责任与解决争端的程序。

十三、明确以信息科技外包项目进度和质量监督为主要内容的‚项目监控计划‛。

十四、明确有权监视、审核、评估服务商所提供服务的状况,并根据合同予以相应奖惩。

十五、明确风险责任的承担。