分行运维类信息科技外包管理办法V11.docx
《分行运维类信息科技外包管理办法V11.docx》由会员分享,可在线阅读,更多相关《分行运维类信息科技外包管理办法V11.docx(21页珍藏版)》请在冰点文库上搜索。
分行运维类信息科技外包管理办法V11
招商银行分行运维类信息科技外包办法
(征求意见稿)
第一章总则
第一条【制定目的】为加强招商银行(以下简称“我行”)分行运维类信息科技外包管理,确保分行运维类供应商提供持续、稳定、优质的服务,有效控制分行外部采购及服务过程中由供应商引发的风险,根据《银行业金融机构信息科技外包风险监管指引》(银监发[2013]5号)的监管要求,以及行内制定的《招商银行信息科技外包管理指引》、《招商银行分行信息科技外包管理指引》、《招商银行信息科技供应商管理办法》等制度要求,结合分行自身信息科技外包管理特点,制定本办法。
第二条【适用领域】本办法适用于招商银行在中华人民共和国境内依法设立的各级地方分行以及在境外设立的分支机构。
第三条【管理对象】运维类信息科技外包是指我行将原本由自身负责处理的运维类信息科技活动委托给信息科技外包供应商进行处理的行为,包含项目外包、人力外包等形式,分行运维类信息科技外包管理范围包括:
(一)分行基础设施运维类,即所有涉及客户或内部信息转移的基础设施维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管)。
(二)分行应用运维类,所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动(包括托管)。
(三)分行桌面运维类,所有外部服务提供商参与的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动(包括托管)。
(四)运维相关咨询服务类:
外部服务供应商提供或参与信息科技领域的技术支持、解决方案、评测、认证、研究等活动。
第二章组织分工与职责
第四条【总行操作风险部】总行操作风险管理部是运维类信息科技外包风险主管部门,其职责主要包括:
(一)对分行运维类信息科技外包风险进行识别、评估与风险提示;
(二)监督、评价分行运维类信息科技外包管理工作,并督促外包风险管理的持续改善;
(三)参与分行运维类信息科技外包项目实施情况的跟踪检查和后续评价;
第五条【总行信息技术部】总行信息技术部是分行信息科技运维类供应商管理工作的归口管理部门,负责管理总行信息系统运行维护类外包和运维相关的信息科技咨询外包,对分行自助设备维护外包、应用运维类外包、IT桌面运维外包和运维类咨询外包等领域的信息科技活动提供支持。
主要职责包括:
(一)起草并实施信息科技外包战略;
(二)制定并落实分行运维类信息科技外包项目的向上申报、审批制度和流程。
(三)负责分行运维类信息科技外包总体制度的制定与维护,覆盖分行运维类信息科技外包策略、分工职责和总体管理要求;
(四)按照监管部门和操作风险管理部要求组织分行运维类信息科技外包风险管理工作,组织配合监管部门和审计部门进行分行运维类信息科技外包检查和审计;
第六条【分行信息技术部】分行信息技术部负责统筹分行运维类信息科技外包管理工作,按照总行信息科技外包战略指引,结合分行工作实际,建立适合分行的运维类信息科技外包管理体系,制定分行运维类信息科技外包管理流程和操作细则。
其职责主要包括:
(一)负责建立分行运维类供应商关系、准入退出、评价、退出管理制度,建立并维护分行运维类供应商关系管理策略;
(二)根据总行在应急管理方面的总体要求,制定保障分行运维类信息科技外包服务持续性的应急管理方案。
(三)监控分行外包活动,定期向总行信息科技外包风险管理主管部门报告外包活动情况。
(四)建立分行运维类IT外包安全事件应急处理机制,包括管理组织、报告路线、处置方案等,提出预防措施;负责组织调查并处理IT外包重大安全事故,提出整改或补救措施,并监督执行
第七条【分行IT外包管理执行部门】分行IT外包管理执行部门是分行运维类信息科技外包管理的实施和监督部门,其主要职责是负责配合分行信息技术部(或相关职能部门)建立运维类信息科技外包管理体系,组织并实施分行运维类供应商准入退出、评价、安全、应急管理,并负责监督管理日常工作。
第八条【分行运维类IT外包使用部室】分行运维类IT外包使用部门负责监督、管理运维类外包商在本行工作或访问期间的一切行为,并对其所对口外包商的行为、影响和后果负有全部责任。
第九条【实施依据】各级分行应当依据本管理办法对任何参与我行分行信息科技建设或服务,以及拟参与我行分行信息科技建设或服务的运维类供应商进行管理。
第三章运维类IT外包策略
第十条为了指导分行运维类信息科技外包活动,分行具体的运维类信息科技外包策略与总行一致,即:
(一)运维类信息科技管理责任以及涉及我行战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不外包。
(二)运维类信息科技外包管理需与我行的信息科技战略相一致,平衡风险、成本、效益和质量,并考虑当前外包市场环境、自身风险控制能力和风险偏好,不因外包降低对我行客户的服务质量和效率。
(三)严格按照以下外包策略选择分行运维类信息科技外包区域,保障我行核心领域信息安全:
核心业务产品、影响我行核心竞争力的产品、需要快速响应业务的产品,原则上不外包,由分行主导运维;
外部监管规定、我行信息安全管理制度不允许外包的领域,由分行自主运维;
非核心业务、市场具备专业性和成熟解决方案的业务领域,我行没有技术储备或我行不具备专业性的领域,在风险、成本、质量可控的条件下可考虑外包;
在自主运维资源不足的情况下,中低端或风险可控的信息科技工作可考虑人力资源外包。
(四)规划低风险的外包布局,采用低风险的外包模式,选择低风险的运维类供应商。
建立与自身规模、市场地位相适应的运维类供应商关系管理策略,通过准入和退出机制控制各类高风险运维类供应商的数量,防范行业垄断和机构集中度风险,通过引入适当的竞争降低采购成本、提高服务质量,同时形成备份,合理控制运维类供应商的数量;
原则上不使用跨境外包;
在使用关联外包时不应因关联关系降低对运维类外包管理要求;
对于运维类供应商为同业托管机构的情况分行IT外包管理执行部门可参照本指引要求对其进行管理。
第十一条分行IT外包管理执行部门应根据运维类信息科技外包策略进行运维类IT职能外包适宜度分析,确定不适宜外包的运维类IT职能。
第十二条在运维类信息科技建设过程中如出现对不适宜外包的运维类IT职能进行外包,分行IT外包管理执行部门应基于如下原则组织建立能力回收方案:
目标:
从长远看,须由分行自身掌握职能活动的核心能力;
考虑自身能力建设:
在现阶段,我行应考虑自身科技人员的技术能力,结合不同项目的具体要求,采用循序渐进的方法,在一定时期内引入外部资源,加强风险控制,建立核心能力回收计划,学习并且积累执行该项职能活动的能力,最终达到完全自行建设。
考虑行员数量补充:
对于我行已掌握职能活动的核心能力,但因当前内部人员数量不足而无法完全自行建设的情况,需制定人员补充计划,逐渐补充相应行员的数量。
第四章运维类IT外包风险管理
第十三条分行运维类信息科技外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理。
应贯穿于分行运维类信息科技日常管理工作中,长期管控运维类信息科技外包风险。
第十四条总行操作风险管理部每年应当至少组织分行开展一次全面的运维类信息科技外包风险管理评估,保持评估的独立性,并向高级管理层提交评估报告。
第十五条分行IT外包管理执行部门应按照总行操作风险管理部要求开展分行运维类信息科技外包风险管理自评估,评估内容包括:
运维类信息科技外包战略执行情况、运维类外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对运维类外包服务的影响分析等。
第十六条总行审计部应当定期开展针对分行运维类信息科技外包风险管理审计工作,至少每三年对重要的运维类信息科技外包服务活动进行一次全面审计。
发生运维类外包风险事件后应及时开展专项审计。
第十七条分行IT外包管理执行部门应对不同级别的运维类供应商采取差异化的管理措施,在有效管控重要风险的前提下降低管理成本。
重要供应商管控措施包括但不限于:
(一)对重要供应商,在与其签订合同前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
(二)对重要供应商进行定期的风险评估,保持评估的独立性。
至少在三年内覆盖所有重要供应商。
评估内容包括:
供应商合规情况、服务的执行效果等,评估结果应当作为运维类供应商准入及退出的重要依据。
(三)分行IT外包管理执行部门应当对重要的非驻场运维类外包服务进行实地检查。
实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。
第十八条持续风险管控:
(一)项目过程中分行IT外包管理执行部门应对运维类信息科技外包进行风险评估,通过项目跟踪和适当的技术手段进行风险控制。
(二)项目过程中分行IT外包管理执行部门应对运维类供应商的财务、内控及安全管理进行持续监控。
第十九条【分行监管领域】由于分行信息技术部不能对非驻场的运维类供应商的内部控制及风险管理措施进行直接管控,分行应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对供应商的风险监管。
第五章运维类供应商管理
第一节关系管理
第二十条【关系管理】分行运维类供应商关系管理是指按照信息科技外包管理范围对运维类供应商在各个服务领域中进行分类,对每类运维类供应商采取不同方式的管控,并与其建立不同合作关系的管理方式。
分行信息技术部应对运维类供应商关系进行划分(如划分为战略型、合作型、淘汰型等供应商),针对不同关系的运维类供应商,区分风险管控力度和管控手段,建立相应的惩罚或激励措施,以提高管理效率,降低分行运维类信息科技外包管理风险。
第二十一条【管理依据】分行信息技术部应当确定运维类供应商关系分类以及维护机制(应包括判定标准、判断时间点、关系更新维护人员、关系应用场景),运维类供应商关系分类以及维护机制参照总行供应商关系管理文件执行。
第二十二条【关系划分】分行信息技术部应根据运维类供应商采购内容重要性(可考虑项目重要性、技术依赖性、垄断性、价值性)和采购金额占比,对运维类供应商的重要性进行评分,将运维类供应商重要性分为一般、重要,对不同重要性的供应商采取不同的管控方式,降低管理成本,加强风险管控。
第二节管控原则
第二十三条【执行原则】分行运维类信息科技外包管理的管控原则是根据分行运维类信息科技外包管理范围类别、提供服务重要性的不同,对其采取分类分级的办法进行管控。
第二十四条【分类管控】分类管控是分行信息技术部按照分行运维类信息科技外包管理范围类别(参见本办法第三条)进行管理。
第二十五条【分级管控】分级管控即分行信息技术部根据分行运维类信息科技外包服务的重要性(如按照项目规模将运维类供应商按照一般、重要进行分级),对不同级别的运维类供应商采取差异化的管控措施。
第三节运维类供应商准入
第二十六条【信息收集】分行信息技术部对自助设备运维供应商的准入评估由总行信息技术部完成,相关的准入要求参照《招商银行信息科技外包管理指引》。
对其他类型的正在合作或曾经合作的运维类供应商,分行信息技术部应该独立开展准入信息收集、实施供应商准入评估。
收集的信息包括但不限于内部控制与管理能力信息、持续经营能力信息和技术与服务能力信息,识别运维类供应商的服务连续性风险。
第二十七条【限制条件】以下关于运维类供应商准入的要求如非特殊说明都是指非自助设备类运维供应商。
第二十八条【准入机制】分行IT外包管理执行部门应根据分行运维类供应商关系分类、分级的管控原则,结合分行自身业务特点建立分行运维类供应商准入机制,包括分行运维类信息科技外包商准入退出管理实施细则、准入评估内容及标准等(参照总行信息技术部供应商准入管理文件执行),明确:
(一)运维类供应商准入条件应包括基础条件和专业能力;
(二)运维类供应商准入执行时点,如设置在年度绩效评估之后;
(三)运维类供应商准入执行频率,原则上一年一次;
(四)对于创新型、技术独有型、负责迭代开发项目等特殊运维类供应商,当其不能满足准入条件时,可召开讨论会,在确保其服务风险可控或可接受的前提下,依据具体情况将其视为有条件准入供应商,并记录其风险控制方式,包括但不限于:
合作领域限制、增强企业监控频率、付款模式限制、签订应急附加协议等。
第二十九条【准入流程】分行运维类IT外包使用部室应协调相关运维类供应商参与准入评估;
第三十条【准入流程】分行IT外包管理执行部门是分行运维类IT外包主管部门,分行运维类IT外包使用部室应配合分行IT外包管理执行部门开展运维类供应商准入评估,包括参与运维类供应商信息收集、准入评估执行、准入结果汇总、风险和违规事件报告和跟踪等;
第三十一条【准入流程】分行IT外包管理执行部门应定期组织并实施外包商的退出管理,并以年度为单位,将分行准入评估结果提交总行信息技术部(分行管理室)监督检查。
第四节运维类供应商选择
第三十二条【限制条件】分行信息技术部对自助设备运维外包供应商的选择由总行信息技术部完成,以下关于运维类供应商选择的要求如非特殊说明都是指非自助设备类运维供应商。
第三十三条【选择要求】如采用邀标或对公开招标对象进行初选,具有投标资格的潜在运维类供应商应至少满足准入要求,确定项目备选供应商时应考虑供应商关系类型,如应将战略合作关系供应商纳入备选范围,以及对于单一来源项目,在同等条件下应优先考虑将应急备选运维类供应商纳入备选范围等。
第三十四条【一般项目】分行实施自主运维类供应商选择模式,对于项目金额不超过xxx万元的运维类信息科技外包项目,分行信息技术部应编制项目实施方案,确定采购方式、备选运维类供应商名单和相关采购需求方案,按照分行采购管理有关流程,招标确定运维类供应商并与其签订服务合同,负责组织开展合同验收和运维类供应商考核工作。
第三十五条【重要项目】对于项目规模超过xxx万的重大项目,分行信息技术部应当根据供应商关系管理策略,结合风险识别、评估结果以及供应商准入标准对备选运维类供应商进行初步筛选后,提交总行信息技术部设备管理室审批,对于无法有效控制项目执行风险的运维类供应商,总行信息技术部有权要求分行重新采购。
防范引入高机构集中度风险特点的运维类供应商、或引入增加整体风险的运维类供应商。
【特殊项目】对于非公开招标的项目,分行信息技术部应提供选择其招标方式的原因及风险控制,并获得相应管理层的审批;针对单一来源采购形式,应将优质的供应商关系类型(如战略合作关系、重点合作型关系等)作为评审单一来源的考虑因素,而对绩效考核结果较差或存在高集中度风险的运维类供应商建议取消其单一来源采购资格。
第五节尽职调查
第三十六条【关注对象】对于重要运维类供应商(包括由总行信息技术部或采购管理部集中采购的运维类供应商),分行信息技术部在与其签订合同签前应当深入开展尽职调查,必要时可聘请第三方机构协助调查。
对运维类供应商的尽职调查应当关注:
(一)运维类供应商的技术和行业经验,包括但不限于:
服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。
(二)运维类供应商的内部控制和管理能力,包括但不限于:
内部控制机制和管理流程的完善程度、内部控制技术与工具等。
(三)运维类供应商的持续经营状况,包括但不限于:
从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。
第三十七条【特别要求】各级分行信息技术部不得因运维类供应商在我行的服务存在关联关系而降低对运维类供应商的要求,应当在尽职调查阶段详细分析供应商技术、内控和管理水平,确认其有足够能力实施相关服务、处理突发事件等。
第六节运维类供应商评价
第三十八条【建立评价体系】分行信息技术部负责建立分行运维类供应商评价管理体系(参照总行供应商评价管理相关文件执行),包括评价指标、评价标准、评价流程、评价结果应用措施等,对分行运维类供应商评价结果进行审核并汇总发布。
第三十九条【评价要求】分行IT外包管理执行部门依据分行运维类供应商绩效评价体系,针对所管理的运维类供应商,开展绩效评价工作,原则上每年一次对运维类供应商的专业资质、工作质量、管理能力和服务水平等进行总体评价,确保评价结果的真实性和完整性,且数据至少需保存到服务结束后一年,并将评价结果报送总行信息技术部,评价要求包括但不限于:
(一)项目实施计划的制定情况;
(二)项目计划的完成率;
(三)项目文档管理质量;
(四)例行服务的完成情况;
(五)热线支持电话服务情况;
(六)故障响应的及时率;
(七)备件/耗材响应及时率;
(八)维修诊断的正确率;
(九)故障及时修复率;
(十)故障报告的完成情况;
(十一)由于项目实施导致的异常情况率;
(十二)管理能力;
(十三)专业资质;
(十四)遵守我行信息安全保密要求、遵守我行规章制度情况等。
第四十条【分行项目实施部门】分行项目实施部门应积极参与分行运维类供应商绩效评价工作,对所使用的运维类供应商的服务质量进行评价并及时反馈评价结果。
第四十一条【准入依据】分行与运维类供应商的服务合同终止时,分行信息技术部应组织对运维类供应商进行评价,评价结果应当作为运维类供应商再次准入、资质评审以及分行运维类供应商关系划分的重要参考依据。
第四十二条【惩罚】分行IT外包管理执行部门应负责组织运维类供应商绩效评价结果应用措施的落实,包括对运维类供应商的奖励和惩罚措施等,运维类供应商如存在考核不合格的情况,原则上未来两年内不得作为分行被采购对象纳入备选范围。
第七节退出管理
第四十三条【退出流程】分行运维类供应商退出管理是指分行IT外包管理执行部门负责建立分行运维类供应商退出机制,根据退出条件,由分行运行调度部门主动终止与运维类供应商的IT外包合作关系,将其列入黑名单,不再与其开展新的运维类供应商服务合作,设备管理部门审核后报送总行信息技术部设备管理室存档。
对于现有项目,应启动项目应急预案,并寻求尽快替代。
第四十四条【退出条件】分行存在以下情况之一的运维类供应商,分行应主动要求运维类供应商终止服务,退出与其合作:
(一)严重违反国家法律、法规和监管要求的;
(二)严重违约、擅自变更或者终止已生效合同的;
(三)泄露我行商业秘密、技术秘密等非公开信息的;
(四)侵犯我行知识产权的;
(五)故意提供虚假资质材料、隐瞒真实情况的;
(六)信誉和财务发生严重危机的;
(七)提供的产品质量和服务出现重大问题,并造成不良后果的;
(八)中标后无正当理由拒绝签订合同的;
(九)其他可能严重影响我行声誉以及给我行带来风险或损失的情况;
第四十五条【惩罚】分行信息技术部应定期将运维类供应商黑名单及时报送总行信息技术部设备管理室备案,情节严重的应取消其准入资质,并报监管机构申请对其备案。
第八节行为管理
第四十六条【制度约束】总行信息技术部设备管理室制定的供应商行为管理规范,分行信息技术部应参照执行,明确分行对运维类供应商日常行为的管理原则及具体实施办法,督促运维类供应商在提供服务的过程中更迅速地提高自身的管理合规意识及能力,以满足分行对其日常行为的基本合规要求。
第四十七条【上报违规】各分行信息技术部应按照总行制定的供应商行为规范要求,监督运维类供应商日常行为,对运维类供应商违规行为进行记录并定期报送总行信息技术部。
第四十八条【整改计划】各分行运维类IT外包使用部室应监督运维类供应商对违规行为整改计划的实施情况,并将整改实施结果报告分行信息技术部(or分行IT外包管理执行部门?
?
?
)。
第四十九条【上报评价】总行信息技术部应以不定期抽查的方式对分行运维类供应商日常行为进行检查,将分行运维类供应商日常行为合规情况纳入整体绩效评价,并定期汇总报送总行信息技术部。
第九节特殊运维类供应商管理
第五十条分行IT外包管理执行部门应针对分行高集中度运维类供应商、行业重点运维类供应商、跨境运维类供应商和非驻场运维类供应商等重点供应商建立有针对性的管理要求。
第五十一条分行IT外包管理执行部门应建立高集中度运维类供应商的识别标准,通过采取分散分行运维类信息科技外包活动、获取高集中度运维类供应商内部控制和配备独立服务资源的证明、建立高集中度运维类供应商服务中断应急预案、加强对高集中度运维类供应商的监控与监督等方法,降低运维类供应商的高集中度风险。
第五十二条分行IT外包管理执行部门应根据分行合规要求收集行业重点运维类供应商的信息,获取行业重点运维类供应商的外包风险监控报告和由独立审计机构出具的该运维类供应商外包服务的风险评估报告。
应要求行业重点供应商对其外包人员进行背景调查,确保其过往无不良记录。
第五十三条分行IT外包管理执行部门应建立针对非驻场运维类供应商的内部控制及风险管理要求的最低标准,应对重要的非驻场供应商进行定期实地考察(实地检查原则上一年不少于一次,检查结果作为供应商项目考核及准入的重要指标),建立有针对性的管理要求,并加强对其内部控制、质量管理、信息安全等方面的有效性评估。
第五十四条境外分行IT外包管理执行部门应对跨境运维类供应商所在国家或地区的经济、政治、社会情况进行持续监控,关注跨境运维类供应商所在国家或地区的法律法规、监管要求,同时加强对跨境运维类外包服务的客户信息保护(跨境运维类供应商客户信息保护能力为供应商选择的重要指标)。
第六章运维类IT外包项目管理
第一节项目决策
第五十五条分行运维类信息科技项目决策前,分行IT外包管理执行部门应查阅分行外包业务目录,审慎确定拟外包项目是否属于我行允许的运维类外包业务范围。
如未纳入外包业务目录,应按照《招商银行股份有限公司外包管理办法》的要求申请新增外包业务品种;属于我行允许的外包业务范围的,应按照《招商银行股份有限公司外包管理办法》中关于我行外包决策的审批权限进行审批。
第五十六条分行IT外包管理执行部门进行运维类信息科技项目决策时应充分考虑该运维类IT项目的市场成熟度、法律风险、战略风险、操作风险、声誉风险、国别风险以及其他特殊风险进行项目决策,并制定相应的风险处置措施,不因运维类外包活动的引入而增加整体剩余风险。
第五十七条分行IT外包管理执行部门应进行运维类项目决策时需按照总行操作风险管理部要求,重大运维类信息科技外包项目应报予审核。
第五十八条分行信息技术部应将项目金额为50万元以上的外包项目相关实施方案(含技术可行性分析、外包风险评估与处置分析),提交总行信息技术部审批。
第二节采购与合同
第五十九条【采购条件】完成立项审批的运维类信息科技外包项目,已达到我行集中采购规定条件的,分行信息技术部采购管理部门应及时将采购需求报总行采购管理部,由其组织实施集中采购并确定合格运维类供应商。
未达到我行集中采购规定条件的,由分行信息技术部采购管理部门按照我行采购管理办法自行组织采购并根据运维类供应商的准入管理要求确定合格运维类供应商。
第六十条【签订条件】分行运维类供应商实施服务前,分行信息技术部应当与其签订合同,合同应根据服务需求、风险评估及资质评审结果确定其详细程度和重点,并由分行法律与合规主管部室(或职能岗位)、分行信息技术部运维类IT外包管理职能岗审核。
对我行已制定供应商合同标准文本或范本的,原则上应使用我行标准合同文本或范本。
对我行合同标准文本或范本条款的修改应报分行法律与合规主管部室审查。
第六十一条【合同范围】合同中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、工作时限、责任分配、交付物要求;
(二)合规与内控要求,对法律法规及分行信息技术部内部管理制度的遵从要求、监管政策的通报贯彻机制、运维类供应商的内控措施;
(三)服务连续性要求,运维类供应商的服务连续性管理目标应当满足分行信息技术部业务连续性目标要求;
(四)我行监控和检查的权力、频率,以及运维类供应商配合我行内、外部审计机构和监管机构检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,运维类供应商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包
升级会员 