银行保险机构信息科技外包风险管理办法学习笔记_信息科技外包服务商现场检查办法

信息科技外包风险管理

1、外包治理

1.1治理体系

1.1.1治理组织架构及职责

（1）董事会及专业委员会：信息科技外包战略，重大外包决策审批；

（2）外包风险管理部门：信息科技外包风险策略，风险管理，应急管理，监督评价，董事会汇报；

（3）信息科技外包执行团队：按照公司信息科技外包策略，执行外包业务，准入准出，外包质量管理。

1.2分类分级

对信息科技外包进行分类分级。制定外包退出策略。

1.3重要外包

（1）整体外包；

（2）数据中心外包；

（3）信息技术架构变化外包；

（4）核心系统开发测试和运维外包；

（5）信息科技战略规划咨询外包；

（6）实时服务、账务准确性重要信息系统外包

（7）其他重要影响外包。

1.2外包原则

（1）责任不外包；

（2）掌握信息科技方向；

（3）网络和信息安全，保护重要数据和客户信息；

（4）收益平衡；

（5）事前控制事中监督；

（6）持续改进。

1.3不得外包

明确不能外包的业务。

2、外包准入

2.1制定外包战略

外包战略与信息科技战略一致性。

2.2外包准入标准

制定外包准入策略。

2.3外包准入尽调

（1）服务能力，人员能力，外包经验；

（2）外包机构合规、内控、风险管理；

（3）网络、信息系统安全保障能力；

（4）持续经营能力；

（5）尊法情况；

（6）配合机构对其进行审计、评估等监督情况；

（7）关联性。

2.4重要外包商尽调

（1）数据隔离情况；

（2）基础设施类、数据库、应用系统资产的最高权限；

（3）数据完整性、保密性；

（4）敏感数据权限；

（5）灾备、应急管理体系；

（6）不正当竞争等。

2.5跨境外包

政治、经济、法律、文化。

2.6关联外包同业外包

利益冲突和利益输送。

2.7外包合同

（1）服务范围、服务要求、交付物规定等；

（2）合规、风险管理要求；

（3）连续性服务要求；

（4）公司对外包商检查条款；

（5）合同终止、变更启动；

（6）资源保障；

（7）知识产权；

（8）保密条款；

（9）争议解决；

（10）异常报告。

2.8转包分包规定

不得转包，分包规定

3、监控评价

3.1持续监控

3.2规定SLA，评价

3.3质量评价指标

（1）设备等可用率；

（2）故障及处理情况，故障次数、RPO、RTO

（3）满意度；

（4）完成度；

（5）外包人员考核；

（6）网络安全、信息安全指标，连续性指标

3.4外包商运营监控

财务、合并、解散，人员流失。

3.5外包商异常整改

3.6关联外包重大事故问责机制

3.7外包商评价

外包服务到期前的评价，到期后的评估，终止外包的退出计划。

4、风险管理

4.1风险识别

（1）信息科技能力丧失；

（2）信息技术服务能力下降；

（3）信息科技服务中断

（4）数据泄露；

（5）资金损失；

（6）导致的其他风险，如声誉风险。

4.2风险控制、风险缓释

（1）风险控制方案；

（2）风险控制措施、方法；

（3）外包应急计划；

（4）外包应急演练，外包商参加银行演练；

（5）银行人员储备、技术能力；

4.3银行安全管理措施

（1）外包人员教培、保密协议；

（2）交付物的安全扫描；

（3）信息资产的权限管理“必需”“最小”；

（4）代码、敏感数据监测；

（4）模型、算法管理；

（3）定期对外包活动的网络和信息安全评估。

4.4重要外包商检查

3年现场检查全覆盖。

4.5信息科技外包风险评估

每年1评估，报告董事会。

4.6信息科技外包审计

每3年全覆盖审计，可内审、母公司集团审计、外审。

5、监督管理

5.·1外包前20天向监管报备

5.2外包出现异常、风险发生及时报备

（1）数据泄露；

（2）业务中断；

（3）外包商运营问题；

（4）服务中断、终止、非正常退出；

（5）网络安全导致银行损失；

（6）违法违规；

（7）重大事件；

信息安全，数据泄露是结果，根源上外包商内部管理、内控、风险管理出现了问题，持续经营出现了问题，导致财务状况出现问题。