分行运维类IT外包商准入与退出管理实施细则.docx

1、分行运维类IT外包商准入与退出管理实施细则分行运维类IT外包商准入与退出管理实施细则第一章总则第二章第一条为规范和加强招商银行分行运维类IT外包商管理，推动运维类外包商提供持续、稳定、优质的服务，有效控制分行IT外包风险，根据中国银监会银行业金融机构信息科技外包风险监管指引（银监发【2013】5号），招商银行招商银行信息科技外包风险管理指引（招银发【2014】204号），招商银行分行运维类信息科技外包管理办法等管理制度的要求，特制订本细则。第二条第三条本细则所称分行运维类IT外包商管理是指对分行运维类IT外包商（以下简称外包商）的准入、尽职调查、退出等方面的管理工作。第四条第五条任何参与分行运

2、维类信息科技建设或拟参与分行运维类信息科技建设的外包商，都应根据本细则内容进行管理。第六条第七条本细则所称分行运维类IT外包管理领域包括:第八条分行基础设施运维类，即所有涉及客户或内部信息转移的基础设施维护以及维保活动（包括非长期驻场、非驻场、非固定周期、固定周期、托管）。分行应用运维类，所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动（包括托管）。分行桌面运维类，所有外部服务提供商参与的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动（包括托管）。运维相关咨询服务类：外部服务供应商提供或参与信息科技领域的技术支持、解决方案、评测

3、、认证、研究等活动。第三章职责与分工第四章第九条分行IT外包管理执行部门为本行运维类外包商主管部门，主要负责以下运维类外包商管理工作：第十条(一)建立并定期完善分行运维类外包商准入与退出管理体系，包括管理制度、管理流程、标准等；(二)(三)组织并实施分行运维类外包商的准入资格审核；(四)(五)组织并实施分行运维类外包商的尽职调查；(六)(七)组织并实施分行运维类外包商的退出管理。(八)第十一条使用运维类IT外包资源进行分行科技项目建设并负责对项目进行管理的部门，包括分行信息科技部内处室及业务部门，为分行外包项目实施部门（以下简称项目实施部门），主要负责和参与以下分行运维类外包商管理工作：第十二

4、条(一)协调相关分行运维类外包商参加准入评估工作；(二)(三)对分行运维类外包商合同的执行情况进行监督；(四)(五)对分行运维类外包商实施退出管理；(六)(七)对分行运维类外包商的风险事件及违规事件进行报告及跟踪处理；(八)(九)负责监督分行运维类外包商执行整改计划。(十)项目实施部门通常在分行运维类外包商管理的具体工作由项目经理执行。第五章准入管理第六章第一节准入管理概述第二节第十三条分行运维类外包商在参与分行信息科技建设前必须经过分行的准入评估，集采类项目须要通过总行的准入评估，经审核满足相应外包服务领域的准入指标后才能获得该运维类外包服务领域的准入资格。第十四条第十五条外包商级准入评估是

5、指根据相关指标，确定运维类外包商在各个服务领域的准入资格。第十六条第十七条外包商级准入评估涉及的服务领域包括分行基础设施运维类、分行应用运维类、分行桌面运维类、运维相关咨询服务类。第十八条第十九条针对每个运维类外包服务领域，外包商级准入资格分为A级准入资格和B级准入资格两种，其中：第二十条（一）获得A级准入资格的运维类外包商，在相应运维类外包服务领域承接项目总金额无限制；（二）（三）获得B级准入资格的运维类外包商，在准入期内，在相应服务领域承接项目总金额不得超过该领域年度预算的10%。（四）第三节准入评估第四节第二十一条分行外包商级准入评估工作采取如下三种开展方式，准入期不超过一自然年：第二十

6、二条（一）年度准入：在每年年初，结合本年度系统建设情况以及上一年度的合作情况，对去年通过获得分行外包商级准入资格的外包商，进行集中重检；（二）（三）批量准入：在日常准入管理工作中，针对新增分行运维类外包商、提高准入级别、增加服务领域的准入申请，进行批量准入评估；（四）（五）单一准入：该方式为非常规流程，主要应对突发、紧急的分行运维类外包商准入需求。（六）第二十三条分行信息技术部负责制订并定期更新运维类外包商准入“白名单”，“白名单”成员可以直接获得所属服务领域的A级准入资格，入选“白名单”的企业主要为：涉及国家重要产业、规模较大的大型国有企业。第二十四条第二十五条分行外包商级准入评估工作包括标

7、准评估及补充评估两个环节。第二十六条第二十七条分行外包商级准入标准评估审核内容主要包括运维类外包商的基础信息、财务信息、内部控制与管理能力信息、技术能力信息、与本行的历史合作信息等，详细信息内容及准入指标请参见IT外包商准入标准评估内容及准入指标（附件一）。第二十八条第二十九条分行运维类外包商满足所有B级标准准入指标时可获得B级准入资格，满足所有A级标准准入指标时可获得A级准入资格。需重点管控的外包商（如重要、行业重点、应急备选、知识独有型等关系类型的外包商）原则上需获得A级准入资格。第三十条第三十一条针对未满足标准评估准入指标的分行运维类外包商，分行信息技术部可根据未满足指标情况和实际项目需

8、求情况（如外包商处于市场垄断地位、需从外包商处获取特殊价值等）决定是否对运维类外包商进行外包商级准入补充评估，具体判定标准请参见IT外包商准入标准评估内容及准入指标（附件一）第三十二条第三十三条在分行外包商级准入补充评估阶段，外包项目实施部门应协助分行信息技术部，针对运维类外包商不满足的标准准入指标，收集相关补充材料，共同讨论分析运维类外包商不满足指标所产生的风险是否能控制在可接受的范围内，并建立相应的补充控制措施，包括但不限于：合作领域限制、增强企业监控频率、付款模式限制、签订应急附加协议等。第三十四条第三十五条通过分行外包商级准入补充评估的运维类外包商可获得相应服务领域相应等级的有条件准入

9、资格，但运维类外包商需在后续承接项目过程中履行相应的补充控制措施。第三十六条第三十七条分行外包商级准入评估具体流程如下：第三十八条（一）分行IT外包管理执行部门发起外包商级准入评估工作，包括年度准入、批量准入及单一准入，将运维类外包商与“白名单”进行核对，属于“白名单”的运维类外包商直接准入通过并获得所属服务领域的A级准入资格；（二）（三）针对非“白名单”运维类外包商，分行IT外包管理执行部门从外包商信息库提取运维类外包商信息；或通知运维类外包商填写并及时提交IT外包商信息登记表（见附件二）、IT外包商基本情况汇总报告（见附件三）及其附件文档；（四）（五）分行IT外包管理执行部门检查标准评估所

10、需信息，根据外包商级标准准入指标审核该运维类外包商是否可获得相应服务领域相应等级的准入资格，并在IT外包商准入检查单（见附件四）中登记外包商级标准评估结果；（六）（七）针对需要进行外包商级补充评估的运维类外包商，分行IT外包管理执行部门从外包商信息库提取或通知运维类外包项目实施部门及运维类外包商提供补充材料；（八）（九）分行IT外包管理执行部门联同外包项目实施部门开展外包商级准入补充评估，共同审核补充材料，审核运维类外包商是否可以获得相应服务领域的准入资格，并在IT外包商准入检查单中记录补充评估结果；（十）（十一）分行IT外包管理执行部门将补充评估结果报送分行信息技术部管理层审批；（十二）（十

11、三）分行IT外包管理执行部门结合外包商级准入标准评估结果及外包商级补充评估结果发布外包商级准入名单。（十四）详细流程请参见IT外包商准入评估流程图（附件五）。第三十九条外包商级准入评估结果共分为如下五种情况：第四十条（一）A级准入通过：获得A级准入资格，可参与项目级准入评估；（二）（三）B级准入通过：获得B级准入资格，可参与项目级准入评估；（四）（五）A级有条件准入通过：获得A级准入资格，但因未满足A级标准准入指标，各项目组应在项目级准入及确定合作外包商时谨慎选择该类外包商，并在后续合作中按照外包商级补充评估中所制订的补充控制措施进行管理；（六）（七）B级有条件准入通过：获得B级准入资格，但因

12、未满足B级标准准入指标，各项目组应在项目级准入及确定合作外包商时谨慎选择该类外包商，并在后续合作中按照外包商级补充评估中所制订的补充控制措施进行管理；（八）（九）准入未通过：该类型外包商不得参与项目级准入评估。（十）第四十一条运维类供应商准入评选结果记入IT外包商清单（附件八）。第四十二条第七章尽职调查第八章第四十三条对重要的运维类外包商，在与其签订合同前应当深入开展尽职调查。第四十四条第四十五条在尽职调查时应当关注运维类外包商如下几方面的内容：第四十六条（一）技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。（二）（三）内部控制和管理能力，包括但

13、不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具等。（四）（五）持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。（六）第四十七条尽职调查完成后，应形成重要外包商尽职调查报告，报告模板请参见附件六.第四十八条第九章退出管理第十章第四十九条外包商退出是指分行根据退出条件，主动终止与运维类供应商的IT外包合作关系，将其列入黑名单，不再与其开展新的运维类IT外包合作。对于现有运维类IT外包项目，应启动项目应急预案，并寻求尽快替代。第五十条第五十一条存在以下情况之一的分行运维类IT外包商，应主动退出与其IT外包合作：第五十二条(一)严重违反国家法律、法

14、规的；(二)(三)严重违约、擅自变更或者终止已生效合同的；(四)(五)泄露本行商业秘密、技术秘密等非公开信息的；(六)(七)侵犯本行知识产权的；(八)(九)故意提供虚假资质材料、隐瞒真实情况的；(十)(十一)信誉和财务发生严重危机的；(十二)(十三)提供的产品质量和服务出现重大问题，并造成不良后果的； (十四)(十五)中标后无正当理由拒绝签订合同的；(十六)(十七)供应商经营条件发生变化，无法继续提供符合标准的服务；(十八)(十九)对服务质量进行检查，连续3次不能达到服务标准；(二十)(二十一)其他可能严重影响本行声誉以及给本行带来风险或损失的情况；(二十二)(二十三)外包商绩效考核评价连续两

15、年为“差”。(二十四)第五十三条分行运维类IT外包商退出的具体流程如下：第五十四条分行信息技术部向分行IT外包管理执行部门和项目组确认情况，并核实相关运维类外包商达到退出条件，向总行信息技术部提出该运维类外包商退出建议。(一)项目组自接到运维类外包商退出建议起，应积极寻求运维类外包商替代方案，并定期向分行信息技术部通报外包商替代进度。(二)(三)分行IT外包管理执行部门根据所发生情况的严重程度、影响程度以及补救措施的落实情况，经业务部门和分行信息技术部审批后，确定是否要求该运维类外包商退出，并反馈至分行信息技术部进行外包商信息更新，该外包商不再具有参与本行新建运维类IT外包项目的资格。(四)(

16、五)分行信息技术部将运维类外包商退出的信息通知分行信息科技部商务管理岗，停止向该运维类外包商的付款事项。(六)(七)项目组重新选择确定新运维类外包商或采取自建措施，并与现有运维类外包商完成知识转移和人员工作交接。(八)(九)在落实运维类外包商替代措施后，分行信息技术部向相关运维类外包商发出IT外包商退出通知书（请参见附件七），同时，分行信息技术部将运维类外包商退出结果告知相关处室和项目组，启动后续相关的商务流程。(十)(十一)根据供应商退出结果更新IT外包商清单（附件八）。(十二)由总行执行供应商准入和退出管理的项目，分行信息技术部应报告总行信息技术部，并重新按照相关准入要求选择运维类供应商。第十一章附则第十二章第五十五条本办法由招商银行信息技术部负责解释。第五十六条相关附件：附件一.IT外包商准入标准评估内容及准入指标附件二.IT外包商信息登记表附件三.IT外包商基本情况汇总报告附件四.IT外包商准入检查单附件五.IT外包商准入评估流程图附件六.IT外包商尽职调查报告附件七.IT外包商退出通知书附件八.IT外包商清单