附件
农村信用社联合社
信息科技外包管理办法(试行)
第一章 总则
第一条 为了规范 省农村信用社联合社(以下简称“省联社”)的外包活动,保障省联社信息系统安全持续稳定运行,依据银监会颁布的《商业银行信息科技风险管理指引》和《银行业金融机构外包风险管理指引》,以及国家有关法律法规,制定本办法。
第二条 本办法中的信息科技外包(以下简称“外包”)是指省联社将某些信息系统项目委托给服务提供商进行处理的行为。
第三条 外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。
第四条 省联社信息科技的战略管理、核心管理以及内部审计等职能不宜外包。
第二章 组织架构及职责
第五条 省联社外包管理的组织架构包括理事会、高级管理层及外包管理部门,其中外包管理部门主要包括省联社银信金融
- 12统一组织,原则上每年评审一次,特殊情况可根据实际需要安排评审。
第十二条 参加资质评审的外包服务商必须满足省联社招标文件中要求的资质,不符合资质要求的外包服务商不准参与外包服务,并严格按照《 省农村信用社联合社电子设备项目采购管理办法》规定的流程确定外包服务商。
第十三条 开展外包服务商资质评审前必须对服务提供商进行尽职调查,并形成尽职调查报告。对外包服务商的尽职调查主要包括以下内容:
(一)管理能力和行业地位;
(二)财务稳健性;
(三)经营声誉和企业文化;
(四)技术实力和服务质量;
(五)突发事件应对能力;
(六)对银行业的熟悉程度;
(七)对其他银行业金融机构提供服务的情况;
(八)省联社认为重要的其他事项。
如果外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
第四章 外包合同
第十四条 省联社开展信息科技外包活动时与外包服务商签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:
(一)外包服务的范围和标准;
(二)外包服务的保密性和安全性的安排;
(三)外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺;
(四)外包服务的审计和检查;
(五)外包争端的解决机制;
(六)合同或协议变更或终止的过渡安排;
(七)担保和损失赔偿以及违约责任。
第十五条 签订外包合同时外包服务提供商须承诺以下事项:
(一)定期通报外包活动的有关事项;
(二)及时通报外包活动的突发性事件;
(三)配合省联社接受银行业监督管理机构的检查;
(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,省联社有权随时终止外包合同;
(五)遵守省联社有关信息科技风险管理制度和流程;
(六)第三方供应商出现问题时,保证软硬件持续可用的相关措施;
(七)不得以省联社的名义开展活动;
(八)省联社认为应当承诺的其他事项。
第十六条 对于数据中心的重要基础设施、重要信息系统的
- 56书面材料正式报告监管部门。
第六章 外包人员管理
第二十三条 外包服务商需要明确一名项目经理(或项目负责人)负责协调项目相关重要事项。
第二十四条 省联社对于外包人员的管理方式以管理外包服务商项目经理为主,也可以根据实际需要直接管理和调配外包人员。
第二十五条 外包人员在省联社服务期间,应严格遵守省联社作息考勤制度以及其他工作规范。
第二十六条 信息技术部负责对外包人员使用环境和权限配置管理,对使用环境中的系统权限、文件读写权限必须严格控制,以满足工作需要为前提,遵循权限最小化原则,不得授予与工作无关的权限。
第二十七条 对于向外包人员提供省联社内部资料必须严格审核,严禁未经授权提供。
第二十八条 信息技术部如发现外包人员违反有关规定和规章制度,须立即制止并纠正,多次违反情节严重的,有权停止其省联社的一切活动,并通知其所在的外包服务商。造成损失的,由外包服务商负责赔偿。
第二十九条 信息技术部对其使用的外包人员的工作饱满度负责,应及时制订和适时调整外包人员工作计划,经常检查、督促外包人员工作。
第三十条 对由于工作调整无须再使用的外包人员,信息技术部应及时确认其使用省联社的资源已全部退还。
第七章 外包交付物验收
第三十一条 外包人员应按时交付服务工作成果,信息技术部应及时组织人员进行验收。
第三十二条 开发类外包人员的交付物必须经过在测试环境下的严格测试,验收合格后才可以投产试用。
第三十三条 对于外包交付物验收不合格的,应要求外包服务商重新提供产品,并重新组织验收,直到验收通过,并纳入外包服务商考核评价过程。
第三十四条 由于外包服务商原因导致未按计划完成或完成项目质量不高,并造成一定影响的,作为不良合作记录登记,对未完成服务由外包服务商继续完成,并不再追加任何费用。
第八章 外包交付物管理
第三十五条 对于外包人员提交的源代码,须经信息技术部人员审核编译。所产生的执行程序,须经省联社相关人员测试通
- 91011 -
