xxxx銀行信息科技非駐場外包管理辦法第一章總則第一條為規范xxxx銀行（以下簡稱“我行”）信息科技非駐場外包活動，保障我行信息系統安全持續穩定運行，降低信息科技非駐場外包風險，依據中國銀監會《銀行業金融機構信息科技外包風險監管指引》和《銀行業金融機構外包風險管理指引》，結合我行實際，特制定本管理辦法。第二條本辦法所稱非駐場式外包是指外包服務商不在我行提供現場服務，或外包的關鍵基礎設施和信息系統不在我行產權場所，由我行以租用設施或購買服務資源的方式獲得，主要由外包服務商運維的外包方式。第二章非駐場外包職責管理第三條我行信息科技部是信息科技非駐場外包的職能管理部門。第四條我行信息科技非駐場外包管理中其他涉及的部門包括：非駐場外包服務使用部門（外包服務直接應用部門）、非駐場外包審批部門、風險管理部和審計部等。第五條我行信息科技部作為信息科技非駐場外包管理部門，其基本職能如下：（一）負責非駐場外包管理辦法的制定、修訂和完善。（二）負責協調和組織非駐場外包資源，管理非駐場外包資源臺賬信息；（三）負責制定技術指標要求，協助相關部門簽定非駐場外包服務合同、制定非駐場外包服務水準協議。（四）規范和制定非駐場外包監控制度、考核評價機制和持續改進辦法、組織驗收考核；（五）負責定期形成非駐場外包項目情況報告，提交相關部門及高級管理層審核；（六）根據xxxx銀行審計部門或風險管理部門對非駐場外包工作的評估、審計以及提出的風險管理意見對信息科技非駐場外包工作實施優化和改進。第六條我行非駐場外包管理其他涉及的部門，其基本職能如下：（一）配合信息科技非駐場外包管理部門做好非駐場外包服務商的日常風險信息收集；（二）協助相關部門簽定非駐場外包服務合同、制定非駐場外包服務水準協議；（三）配合信息科技非駐場外包管理部門做好對非外包工作的評估、審計工作。第七條信息科技部外包管理崗是非駐場外包執行的主管崗位，其基本職能如下：（一）負責非駐場外包管理辦法的執行，并對辦法提出改進建議；（二）負責非駐場外包供應商的盡職調查，提交盡職調查報告；（三）負責非駐場外包供應商信息的定期收集和更新，建立供應商管理臺賬；（四）負責定期形成非駐場外包項目情況報告；（五）協助審計、風險管理部門對外包供應商進行審計和風險評估。第三章非駐場外包管理原則第八條我行在開展非駐場外包活動采購前，應當對非駐場外包服務商開展全面、深入的盡職調查，采集外包服務商相關資料，并由外包服務商填寫《xxxx銀行信息科技非駐場外包服務盡職調查書》，主要資料內容如下：（一）外包服務商財務經營狀況：外包服務商近三年審計后的財務報表；（二）外包服務商組織架構及職責落實情況：外包服務商的組織架構及風險治理架構，包括風險管理、質量管理、運行管理、開發管理、安全管理、業務連續性管理等保障職能設置和部門主要職責以及制度建設和日常工作開展情況；（三）外包服務商研發投入情況（機房運營服務類不適用）：近三年總銷售收入、研究開發費用、研發費用占比等；（四）外包服務商人力資源配備情況，包含但不限于：各研發人員、運維人員、操作人員、質量管理人員、科技風險管理人員、高管層人員數量及占比，特別說明高管人員的科技從業和教育背景；（五）外包服務商科研成果情況，包含但不限于：核心技術能力及獲得自主知識產權情況，有證書的附加證書復印件；（六）專業資質，包含但不限于：各類ISO9001、ISO20000、ISO27001、CMMI、系統集成資質、災備資質等級、涉密資質等與開展非駐場式外包業務相關的資質與認證證明，有證書的需提供證書復印件或掃描件；（七）外包商風險評估和審計情況：近三年外包服務商內部審計報告、風險評估報告、第三方審計評估報告、其他金融機構開展的檢查報告等；（八）業務連續性管理情況：外包服務商災備系統建設情況、業務連續性測評認證情況等；（九）信息安全保障情況：外包服務商網絡安全、主機及系統安全、應用安全、物理安全、數據安全等領域信息安全保障情況。第九條我行也可以委托第三方機構開展盡職調查，或者采信其他銀行業金融機構對同一外包服務商6個月內的盡職調查結果。第十條我行在開展非駐場集中式外包活動，應當經過審慎、充分的風險評估，形成書面風險評估報告，并報送高管層。第十一條我行應當嚴格按照《銀行業金融機構信息科技外包風險監管指引》有關非駐場外包、重點外包服務機構風險管理要求，審慎決策并選擇外包服務商，非駐場外包決策應當經過高管層書面批準。第十二條我行應當在與外包服務商簽訂的非駐場式外包合同中書面明確以下內容：（一）外包服務商應當遵從銀行業相關監管法規；（二）外包服務商應當承諾接受我行和銀行業監督管理機構的監督檢查；（三）外包服務商應當承諾接受我行安排的風險評估或審計；（四）外包服務商對我行提供的服務資源應當至少與其他機構相互邏輯隔離，僅我行具有對業務系統和數據的最高訪問權限；（五）未經同意，外包服務商不得將我行數據以任何形式轉移、挪用或為外包服務商自身謀取利益。第四章非駐場外包日常管理第十三條對于已采購的信息科技非駐場式外包活動，我行應當加強日常風險監測，建立書面風險清單臺賬并動態維護，并由外包管理部門制定專門的風險應對措施。第十四條我行應組織信息科技部、風險管理部、審計部及其他相關部門人員，原則上每年至少開展一次對非駐場外包服務商的現場評估和審計工作，并出具評估報告，評估報告作為外包商準入的重要依據。第十五條我行可以采信監管機構對非駐場外包服務商在12個月內的現場評估或審計結果，不再重復安排現場評估或審計活動。第十六條我行應對非駐場外包服務商的日常風險監測情況和現場檢查情況進行全面評估，定期對非駐場外包服務商提出整改意見，并要求非駐場外包服務商落實整改并出具整改反饋。第十七條我行應根據非駐場外包服務的水平、發展趨勢及評估