某公司信息系统外包管理办法.docx

某公司信息系统外包管理办法第一章总则第一条为有效防范信息系统外包过程中产生的风险，促进信息系统安全、持续、稳健运行，根据中华人民共和国银行业监督管理法、商业银行信息科技风险管理指引、国家信息安全相关要求和有关信息系统外包管理的法律法规，制定本办法。第二条本办法所称信息系统外包，是指将全部或部分IT工作外包给专业性公司完成的商业模式。其目的是通过整合、利用适当的外部专业化IT资源，达到降低成本、提高效率、增强核心竞争力、提高应变能力。其范围包括将信息系统的规划、研发、建设、运行、维护、监控、服务等委托给业务合作伙伴或第三方（以下统称为IT外包服务商）承担的活动。第二章外包内容管理第三条根据业务发展的实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险。第四条严禁外包涉及重要商业秘密、机密数据管理与传递和IT信息战略相关的业务和服务。第五条对于将敏感的信息系统，以及其他涉及国家秘密、商业秘密和客户隐私数据管理与传递等内容进行外包时，应遵守国家有关法律法规,符合银保监会的有关规定，经过领导办公会议批准，并在实施外包前报银保监会及其它监管机构备案。第六条PC日常管理服务：与PC及PC周边产品有关的系统支持、数据恢复、系统重建等服务，包括电脑配件购买、硬件维修与安装、电脑软件（操作系统、办公软件、客户端程序、防病毒软件等）安装等相关工作。第七条IT系统基础设施服务：网络、主机、服务器、存储、安全、机房设施等IT系统基础设施的硬件保障与维护、运行监控与维护、系统管理等服务。IT系统基础设施方案设计、项目实施、软硬件安装与配置等服务。第八条应用系统开发和技术支持服务：根据业务要求，全部或部分承担计算机应用系统开发、变更工作，向提交满足业务要求的应用系统的服务。为满足业务需求，保障系统运行稳定、促进计算机应用系统功能的正常发挥而向提供的应用系统技术支持服务。第九条应用系统运行保障服务：为使计算机应用系统安全、可靠、持续运行、有效支持业务运作而提供的技术服务。第十条信息系统租用服务：根据业务需要，租用外部信息系统，由信息系统提供商提供信息处理能力和业务功能，支持业务运作的服务方式。第十一条IT咨询服务：包括IT治理和信息安全咨询服务，IT发展规划咨询，以及其他专项IT咨询服务。第三章职责第十二条综合管理部负责公司信息科技管理，职责如下：1.制定IT外包服务管理规章制度和管理流程，规范IT外包服务执行过程，负责公司IT外包服务的监控与管理，IT服务实施流程严格参照公司信息科技管理办法执行落实。2 .建立IT外包服务配置管理数据库，对公司外包的IT资产（软件、硬件、服务文件、合同等）及其配置进行管理，确保系统、服务和服务部件等配置项的完整性，保证配置项的变更是可追踪和可审核的。3 .评估、管理与监控IT外包服务水平，对参与外包服务人员的资质严格审核，保证其对服务要求的合规性。4 ,与外包服务商建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现服务方的顺利变更，保证外包服务不间断的应急预案。第四章外包服务商管理第十三条风险管理部应当建立健全外包服务方评估机制，充分审查、评估服务商的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。第十四条签订外包服务合同时，应当明确双方的权利、义务，规定外包服务商应当承担的安全、保密、知识产权方面的义务和责任。第十五条外包合同中应当详细地明确服务商必须提供的最低服务水平、详细的服务范围和标准、发生故障时的服务级别及相应时间等，以防范服务商综合状况及业务需求变化所可能产生的风险。第五章附则第十六条本管理办法由综合管理部修订、解释，自发布之日起执行。