1817-平保產(chǎn)辦〔2023〕128號關于下發(fā)《信息科技外包管理辦法（2023版）》的通知總公司各部門、各二級機構(gòu)：根據(jù)《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》（銀保監(jiān)辦發(fā)〔2021〕141號）要求，為規(guī)范信息科技外包活動，加強信息科技外包風險管控，確保信息科技外包管理工作規(guī)范、高效開展，根據(jù)相關法律法規(guī)，公司結(jié)合實際情況，公司對原《信息科技外包管理辦法》（平保產(chǎn)辦〔2022〕219號）進行了修訂，制定了《信息科技外包管理辦法（2023版）》。現(xiàn)予下發(fā)，請遵照執(zhí)行。特此通知中國平安財產(chǎn)保險股份有限公司2023年12月8日承辦人：屈永直電話：4008866338-621417中國平安財產(chǎn)保險股份有限公司2023年12月8日印發(fā)信息科技外包管理辦法（2023版）第一章總則第一條目的為規(guī)范信息科技外包活動，加強信息科技外包風險管控，確保信息科技外包管理工作規(guī)范、高效開展，根據(jù)《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》（銀保監(jiān)辦發(fā)〔2021〕141號）、公司《外包業(yè)務管理辦法》（平保產(chǎn)辦〔2022〕26號）等有關規(guī)定，制定本辦法。第二條信息科技外包定義及管理策略信息科技外包，指公司將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為。公司建立信息科技外包活動分類管理機制，針對不同類型的外包活動建立相應的管理和風控策略。信息科技外包原則上劃分為：（一）咨詢規(guī)劃類。包括但不限于：信息科技戰(zhàn)略規(guī)劃（含中長期規(guī)劃）咨詢，數(shù)據(jù)中心（機房）整體建設咨詢和規(guī)劃，信息科技治理（含數(shù)據(jù)治理）、信息科技風險管理體系、信息安全管理體系、業(yè)務連續(xù)性管理體系等管理類咨詢和規(guī)劃，重要信息系統(tǒng)架構(gòu)和建設相關的咨詢和規(guī)劃，新興技術(shù)應用咨詢和規(guī)劃。（二）開發(fā)測試類。包括但不限于：軟硬件開發(fā)和測試外包（含人力外包），軟件即服務形式的外包。（三）運行維護類。包括但不限于：數(shù)據(jù)中心（機房）物理環(huán)境的托管或運行維護，軟硬件基礎設施托管或運行維護，應用系統(tǒng)運行維護，電子機具運行維護，終端等辦公設備的運行維護，以及涉及以上運行維護的人力外包。（四）安全服務類。包括但不限于：安全運營服務，安全加固服務，安全設備運行維護，安全日志處理與分析，安全測試服務，密鑰管理及運行維護，數(shù)據(jù)安全服務，以及涉及以上服務的人力外包。（五）業(yè)務支持類。包括但不限于：市場拓展、業(yè)務運營（集中作業(yè)、呼叫中心等）、企業(yè)管理、資產(chǎn)處置、數(shù)據(jù)處理、數(shù)據(jù)利用等業(yè)務外包或第三方合作當中涉及重要數(shù)據(jù)或客戶個人信息處理的信息科技活動，法律法規(guī)另有要求的除外。公司將信息科技外包活動及相關服務提供商分為重要外包和一般外包兩個級別，并采取差異化的管控措施。下列信息科技外包活動原則上屬于重要外包：信息科技類重要外包，涉及整體數(shù)據(jù)中心（機房）、整體核心業(yè)務系統(tǒng)開發(fā)測試和運行維護、信息科技戰(zhàn)略規(guī)劃（含中長期規(guī)劃）咨詢、直接影響實時服務、影響財務準確性的重要信息系統(tǒng)、集中存儲或處理公司重要數(shù)據(jù)和客戶個人敏感信息等。公司與第三方（含關聯(lián)外包）合作當中，涉及以上類型的信息科技外包服務，應按照本辦法相關要求執(zhí)行。第三條禁止信息科技外包的范圍公司不得將信息科技管理責任、網(wǎng)絡安全主體責任外包，不得將涉及信息科技戰(zhàn)略管理、信息科技風險管理、信息科技內(nèi)部審計及其他有關信息科技核心競爭力的職能外包。第二章管理架構(gòu)和職責第四條公司設立由數(shù)據(jù)科技管理委員會統(tǒng)籌管理，總部科技中心IT規(guī)劃管理團隊、總部科技中心安全基礎運維團隊、總部科技中心架構(gòu)團隊、總部科技中心數(shù)據(jù)智能平臺團隊協(xié)同管理的信息科技外包管理架構(gòu)。第五條數(shù)據(jù)科技管理委員會作為信息科技外包的決策機構(gòu)。職責如下：（一）審批信息科技外包戰(zhàn)略；（二）審議信息科技重要外包決策；（三）建立健全信息科技外包及其風險管理體系；（四）審批信息科技外包風險管理年度報告。第六條總部科技中心安全基礎運維團隊、總部科技中心IT規(guī)劃管理團隊為信息科技外包風險管理部門。職責如下：（一）負責制定信息科技外包風險管理策略、制度和流程；（二）負責信息科技外包風險識別、評估、監(jiān)測、預警、報告及處置工作；（三）負責監(jiān)督、評價信息科技外包執(zhí)行團隊的管理工作，并督促外包風險管理持續(xù)改善；（四）負責向數(shù)據(jù)科技管理委員會匯報信息科技外包相關風險及管理情況；（五）負責審核信息科技外包風險管理相關評估報告。第七條總部科技中心IT規(guī)劃管理團隊為信息科技外包執(zhí)行管理部門。職責如下：（一）落實信息科技外包戰(zhàn)略；（二）制定、執(zhí)行信息科技外包管理制度與流程；（三）負責信息科技服務提供商準入、盡職調(diào)查、服務評價、退出管理工作；（四）持續(xù)檢測外包服務的水平和質(zhì)量，及時處理服務提供商發(fā)生的相關違規(guī)、違約和內(nèi)部對供應商投訴；（五）對外包過程中的關鍵管理活動進行監(jiān)控及分析，每年至少一次與信息科技外包風險管理部門溝通外包活動及有關風險情況。第八條總部科技中心架構(gòu)團隊、總部科技中心數(shù)據(jù)智能平臺團隊為信息科技外包重要參與團隊，具體職責如下：（一）負責對信息科技外包事項進行審議，從安全、技術(shù)等層面對外包的可行性進行評估；（二）負責對信息科技外包活動開展過程中的安全、數(shù)據(jù)等進行過程監(jiān)控，防范信息科技系統(tǒng)性風險；（三）負責對信息科技外包服務提供商的交付成果進行審查，從安全、技術(shù)、數(shù)據(jù)等層面評估信息科技外包的交付驗收。第九條信息科技外包業(yè)務需求部門是開展外包業(yè)務的發(fā)起部門，負責開展信息科技外包業(yè)務，對信息科技外包交易的識別、開展范圍、合作風險、合作質(zhì)量、報備及存檔等承擔首要和直接責任，職責包括：（一）負責向信息科技外包執(zhí)行管理部門提出外包業(yè)務需求，并對業(yè)務或職能外包開展風險評估；（二）負責根據(jù)公司采購等管理要求，選定信息科技外包業(yè)務服務商；（三）負責根據(jù)監(jiān)管要求，在簽訂合同前完成監(jiān)管報告，并就涉及關聯(lián)交易的合作事項完成關聯(lián)交易相關報告工作；（四）負責簽署外包書面合同，明確外包內(nèi)容、形式、服務價格、客戶信息保密要求、各方權(quán)利義務以及違約責任等內(nèi)容；（五）負責監(jiān)測外包合作過程中的服務水平和質(zhì)量，并對外包履行情況、合作質(zhì)量進行年度審查；（六）負責按照合作進度和交付質(zhì)量根據(jù)合同約定向服務提供商支付合作費用；（七）合作結(jié)束后，關注外包服務的后續(xù)品質(zhì)影響，評估原外包職能是否持續(xù)具有外包需求。第十條信息科技外包其他相關管理部門職責參照公司《外包業(yè)務管理辦法》（平保產(chǎn)辦〔2022〕26號）有關規(guī)定執(zhí)行。第三章信息科技外包準入管理第一節(jié)信息科技外包評估第十一條信息科技外包執(zhí)行管理部門和信息科技外包業(yè)務需求部門對于需要以信息科技外包方式實施的項目，充分評估擬開展的信息科技外包活動相關風險，對實施外包作出審慎決策，應至少從以下方面進行外包分析與評估：（一）信息科技外包工作目標和計劃；（二）信息科技外包服務提供商選擇建議和原因說明；（三）信息科技外包工作量估算和外包費用估算；（四）采購設備時，需確認設備詳細清單（包括型號、配置、數(shù)量及費用等）。第十二條信息科技外包分析與評估過程中，信息科技外包執(zhí)行管理部門可按如下指引進行外包調(diào)研及相關分析評估活動：（一）分析和識別項目的業(yè)務目標、業(yè)務需求范圍、關鍵的交付日期，以及其他相關限制與約束；（二）對服務提供商實施的資源、技術(shù)能力進行分析；（三）給出項目實施方式和外包范圍建議。第十三條信息科技外包分析與評估后，需求部門發(fā)起“外包工作量評審”申請。提交的評審材料文件包括：（一）外包需求及工作量評估表；（二）業(yè)務需求說明書、方案評審材料；（三）設備采購清單（需要采購設備時提供）。（一）需求部門提交的評審材料是否完整；（二）項目是否已完成立項；（三）協(xié)助組織發(fā)起安全、架構(gòu)、數(shù)據(jù)等部門聯(lián)合評審。第十五條需求部門應對重要外包服務提供商開展盡職調(diào)查，盡職調(diào)查應包括但不限于：（一）服務提供商的技術(shù)和行業(yè)經(jīng)驗，人員及能力；（二）服務提供商的內(nèi)部控制和管理能力；（三）服務提供商的網(wǎng)絡和信息安全保障能力；（四）服務提供商的持續(xù)經(jīng)營狀況；（五）服務提供商及其母公司或?qū)嶋H控制人遵守國家和國家金融監(jiān)督管理總局相關法律法規(guī)要求的情況；（六）服務提供商過往配合銀行保險機構(gòu)審計、評估、檢查及監(jiān)管機構(gòu)監(jiān)督檢查情況。第十六條對于符合重要外包條件的非駐場外包，需求部門應當進一步重點調(diào)查如下內(nèi)容：（一）服務提供商對公司的設施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界；（二）服務提供商是否有管理制度和技術(shù)措施保障公司數(shù)據(jù)的完整性和保密性；（三）服務提供商對涉及公司的服務器、存儲、網(wǎng)絡設備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎設施是否具有最高訪問權(quán)限；（四）服務提供商是否擁有或可能擁有業(yè)務系統(tǒng)的最高管理權(quán)限或訪問權(quán)限，是否能夠瀏覽、獲取重要數(shù)據(jù)或客戶個人敏感信息；（五）服務提供商是否有完善的災難恢復設施和應急管理體系，是否有業(yè)務連續(xù)性安排；（六）服務提供商是否存在不正當竟爭或規(guī)避監(jiān)管的情形。第十七條信息科技外包合作審議，由需求部門在允許開展外包業(yè)務的職能范圍內(nèi)提出合作申請，經(jīng)總部分管領導審批。信息科技外包合作需提交方案至數(shù)據(jù)科技外包管理委員會審議，審議結(jié)果報送外包管理委員會決策。第二節(jié)信息科技外包合作第十八條需求部門應根據(jù)監(jiān)管規(guī)定，于外包合作申請審議通過后，在外包合同簽署前20個工作日向國家金融監(jiān)督管理總局報告。信息科技外包執(zhí)行管理部門應審核外包事項合作報告，從完整性、合規(guī)性、風險監(jiān)控、業(yè)務支持等角度出具專業(yè)意見。第十九條信息科技外包合作報告應包含：信息科技外包的業(yè)務或職能及其風險評估、信息科技外包事項受托方基本情況、服務提供商盡職調(diào)查報告、風險評估結(jié)果等。第二十條信息科技外包合作事項涉及關聯(lián)交易的，需求部門應遵照關聯(lián)交易相關規(guī)定履行報告工作。第二十一條若各部門發(fā)現(xiàn)存在外包交易漏審查、漏報告的情況，應及時知會信息科技外包風險管理部門，參照信息科技外包管理審批和報告流程及時進行補審批、補報告。第二十二條信息科技外包業(yè)務需求部門應負責與外包服務提供商簽訂書面合同。合同內(nèi)容應明確服務內(nèi)容、服務價格、交付要求、交付時間、知識產(chǎn)權(quán)、客戶信息保護要求、各方權(quán)利義務、違約責任以及監(jiān)管規(guī)定要求的其他內(nèi)容等。第二十三條信息科技外包合作過程中，需求部門應持續(xù)監(jiān)測外包過程服務水平、交付質(zhì)量、驗收結(jié)算情況以及風險事件等，及時發(fā)現(xiàn)和糾正外包開展過程中的各類異常情況，評價外包合作結(jié)果，作為后續(xù)外包合作的重要依據(jù)。第二十四條需求部門應根據(jù)合作進度，按照合同約定對交付成果完成驗收后，進行費用結(jié)算，禁止未達履約進度或交付不達標時按照達標情況進行費用結(jié)算。第三節(jié)信息科技外包監(jiān)控評價第二十五條外包項目實施過程中，信息科技外包執(zhí)行團隊根據(jù)管理需要召開與服務提供商的工作溝通例會，確認工作進展情況、產(chǎn)出質(zhì)量情況、團隊及人員管理情況等，及時發(fā)現(xiàn)并應對和解決存在的風險和問題。（一）業(yè)務管控：在合作過程中至少每年一次對信息科技外包的服務情況進行監(jiān)督及評價，以及時發(fā)現(xiàn)潛在風險，并據(jù)此制定通過自有科技能力和人力資源進行臨時承接的過渡方案；（二）平臺管控：在業(yè)務系統(tǒng)有對應的日志、鏈路監(jiān)控，以確保委托的數(shù)據(jù)：1．按照約定的目的、范圍、方式等進行處理；2．采用去標識化（不應僅使用加密技術(shù)）或者匿名化等方式進行脫敏處理；（三）數(shù)據(jù)管控：對信息科技外包進行專項安全檢查，以確保服務器、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)等賬號權(quán)限最小化。第二十六條信息安全管理（一）信息科技外包人員入場后，需求部門對外包人員進行必要的信息安全規(guī)章制度培訓。（二）應要求信息科技外包人員在工作期間及離開后，必須嚴格遵守國家有關法律和行政法規(guī)，嚴格遵守與公司簽署的《信息安全保密承諾函》和其他信息安全管理規(guī)定，不從事?lián)p害公司利益的活動。（三）應要求服務提供商對其派出人員遵守公司信息安全要求的情況進行管控，措施包括但不限于服務提供商與其派出人員簽署保密協(xié)議、對派出人員遵守信息安全規(guī)定情況進行日常監(jiān)督檢查和必要的獎懲處理。同時，信息科技外包風險管理部門有責任對外包人員進行信息安全教育，并在外包人員工作全程持續(xù)進行信息安全的監(jiān)督管理。（四）對涉及處理業(yè)務數(shù)據(jù)或其他保密信息的工作，原則上，承擔或參與該工作的信息科技外包人員須使用公司配備的標裝辦公電腦。（五）信息科技外包人員在公司工作應遵守“最小授權(quán)”原則，任何特殊權(quán)限要求，由經(jīng)辦部門審核后提交申請，并按信息安全管理既定的審批流程處理。（六）不得允許信息科技外包人員訪問公司生產(chǎn)系統(tǒng)。第二十七條信息科技外包項目涉及非駐場工作時，信息科技外包風險管理部門應：（一）嚴格控制非駐場工作范圍，對非駐場外包服務進行實地檢查，防止范圍蔓延引致項目實施失控的問題或風險；（二）對非駐場部分的工作，要求服務提供商有嚴格的內(nèi)部管控措施和機制；（三）非駐場部分的工作進展情況，對任何問題和風險均應進行及時管理。第二十八條信息科技外包項目具體實施過程中，需求部門應關注：（一）針對服務提供商特點和公司工作需要，為服務提供商工作提供有效的支持和保障；（二）監(jiān)督服務提供商按照公司相關技術(shù)、管理、安全等規(guī)范和制度要求來開展工作；（三）對服務提供商產(chǎn)出物進行嚴格和及時的最終質(zhì)量控制，包括但不限于組織相關人員對服務提供商交付的文檔進行評審、對代碼進行檢視和安全掃描、對軟件系統(tǒng)進行技術(shù)驗收測試；（四）關注服務提供商關鍵工作人員的穩(wěn)定性，對存在風險的人員，應及時安排人員調(diào)整；（五）對服務提供商的財務、內(nèi)控及安全管理進行持續(xù)監(jiān)控，關注其因破產(chǎn)、兼并、關鍵人員流失、投入不足和管理不善等因素引發(fā)的財務狀況惡化及內(nèi)部管理混亂等情況，防范外包服務意外終止或服務質(zhì)量的急劇下降。第三十條信息科技外包執(zhí)行管理部門應至少每年一次或事件驅(qū)動地向業(yè)務和開發(fā)領導匯報外包項目進展，對重大問題和風險及時升級，以保障外包目標的順利達成。第三十一條信息科技外包日常管理中，信息科技外包執(zhí)行管理部門應及時從以下方面對服務提供商和人員發(fā)起評價：（一）服務商履約情況；（二）服務商人員滿意度評價；（三）服務商違約或服務商人員違紀情況；（四）服務商其他突發(fā)應急事件處理情況。第四章信息科技外包風險管理第三十二條需求部門應對外包服務提供商進行入圍評估。準予入圍的外包服務提供商應具有穩(wěn)定的經(jīng)營和財務狀況、提供服務的人員和能力、技術(shù)實力和服務質(zhì)量、管理能力、風險應對能力、突發(fā)事件處置能力等。第三十三條根據(jù)管理需要，公司可聘請第三方機構(gòu)對服務提供商開展專業(yè)風險評估，出具評估報告，并作為外包業(yè)務合作審議的決策支持。在外包服務提供商經(jīng)營狀況未發(fā)生重大變化的前提下，盡職調(diào)查結(jié)果原則上一年內(nèi)有效。第三十四條信息科技外包合作過程中，公司應加強對信息科技外包活動風險的監(jiān)測，在年度風險評估中審查信息科技外包業(yè)務、職能的履行情況，進行風險敞口分析和其他風險評估。每年至少開展一次風險評估，評估報告包括：信息科技外包戰(zhàn)略執(zhí)行情況、外包信息安全、集中度、服務連續(xù)性、服務質(zhì)量、政策市場變化對外包服務的影響分析等。第三十五條對可能給業(yè)務連續(xù)性管理造成重大影響的信息科技外包業(yè)務，需求部門應當建立風險控制、緩釋或轉(zhuǎn)移措施，以應對信息科技外包合作突發(fā)變化對公司業(yè)務帶來的不利影響。第三十六條落實網(wǎng)絡和信息安全管理措施，包括但不限于：（一）對服務提供商和信息科技外包人員進行網(wǎng)絡和信息安全教育或培訓，增強網(wǎng)絡和信息安全意識，服務提供商