银行信息科技管理基本制度模版.doc

《银行信息科技管理基本制度模版.doc》由会员分享，可在线阅读，更多相关《银行信息科技管理基本制度模版.doc（19页珍藏版）》请在咨信网上搜索。

1、信息科技管理基本制度编制部门： 版 次 号： 生效日期： 目 录修改与审批记录2第一章总则3第二章组织体系4第三章科技规划7第四章软件开发和测试10第五章运行维护管理11第六章信息安全管理13第一节信息安全管理机构13第二节信息安全管理职能13第三节信息安全策略14第七章业务连续性信息科技管理18第八章外包管理19第九章附则21第一章 总则第一条 为规范xx银行（以下简称“本行”）信息科技管理，根据商业银行信息科技风险管理指引、商业银行内部控制指引、银行计算机安全事件管理报告制度、金融机构计算机信息系统安全保护工作暂行规定及其他有关法律、法规，制定本制度。第二条 本制度所称信息科技管理，是指计

2、算机、通信、微电子和软件工程等现代信息技术，在本行业务交易处理、经营管理和内部控制等方面的应用，包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。第三条 本行信息科技管理工作坚持以下原则：（一） 统一性：即全行科技工作应坚持“统一管理、统一规划、统一需求、统一系统”的基本原则，由科技开发部统一管理。实行统一制定规章制度；统一规划全行各项业务系统的开发；统一全行业务的需求格式；统一全行软硬件电脑系统版本和型号；（二） 安全性：即电脑程序、数据、技术文档、用户口令等信息的安全保密，须严格按照本制度信息安全管理等要求执行，保证银行数据与电脑软硬件系统的安全；可靠性：即电脑软硬件

3、系统运行平稳、无差错，保证银行各项业务系统的正常运转；（三） 连续性：即保持科技规划的连续性，保持全行各项业务系统的设计、开发、测试、验收、操作、维护等工作的计划性和连贯性，相应的管理和制度在不同时期、不同地域的一致性和连续性，保证银行业务系统的正常运行；（四） 整体性：即全行业务系统的整体性，主要指电脑系统开发过程中各种数据接口的标准化及开发文档的规范化，保证系统的扩展、互联和更新，实现有规划的发展。第二章 组织体系第四条 本行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本制度的贯彻落实。第五条 本行设信息科技管理委员会，至少每季度召开一次会议，职责如下：（一） 遵守并贯彻执行国

4、家有关信息科技管理的法律、法规和技术标准，落实各监管机构相关监管要求；（二） 审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技管理及其风险管理工作的总体效果和效率；（三） 掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制；（四） 审核年度IT项目确定和预算的审批；（五） 听取上年度项目执行情况及实际支出情况汇报；（六） 审核重大信息科技项目的进度报告、系统上线后的评估及调整优化方案；（七） 审查由项目团队提交的战略协同和执行计划；（八） 关键指标、标准和绩效目标的审批；（九） 对于重大IT项目的调整及追加需求的讨论和决议；（十

5、） 准备将要提交给行长办公会议或董事会审批或裁定的内容；（十一） 监督各项职责的落实，向董事会及高级管理层汇报信息科技的整体状况；（十二） 批准应急演练计划并评估应急演练结果；（十三） 规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识；（十四） 确保内部审计部门进行独立有效的信息科技风险管理审计，对审计报告进行确认并落实整改；（十五） 每年审阅并向银监会及其派出机构审核报送信息科技管理相关的年度报告；（十六） 确保信息科技风险管理工作所需资金；（十七） 确保银行所有员工充分理解和遵守经其批准的信息科技管理制度和流程；（十八） 确保本法人机构涉及客户信息、

6、账务信息以及产品信息等的核心系统在中国境内独立运行，并保持最高的管理权限，符合银监会监管和实施现场检查的要求，防范跨境风险；（十九） 及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件，按相关预案快速响应；（二十） 配合银监会及其派出机构做好信息科技风险监督检查工作，并按照监管意见进行整改；（二十一） 履行信息科技管理其他相关工作。第六条 本行科技开发部负责信息科技管理的日常工作，职责如下：（一） 负责制定、落实和持续改进全行科技管理流程和规章制度；（二） 负责全行科技项目规划的编制和实施；（三） 负责全行科技设备和软件管理；（四） 负责全行信息安全管理；（五） 负责全行系统开

7、发和技术维护；（六） 负责全行系统运行管理；（七） 负责全行网络运营管理；（八） 负责本行网站运营管理；（九） 负责组织实施本部门质量管理和内控目标指标、制度和流程，推进持续改进，并及时提出改进措施和组织实施。第七条 本行风险管理部负责信息科技风险管理工作，职责如下：（一） 负责协调制定有关信息科技风险管理策略；（二） 实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁的发生；（三） 在涉及信息安全、业务连续性计划等方面，为业务部门和科技开发部门提供建议。第八条 本行董事会内审办公室设立专门的信息科技风险审计岗，负责信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科

8、技整个生命周期和重大事件等进行审计。第九条 本行合规部在涉及合规风险方面，为业务部门和科技开发部门提供建议及相关合规性信息。第三章 科技规划第十条 科技规划，是指本行根据国家相关政策，在分析外部环境和内部条件现状及其变化趋势的基础上，依照本行董事会战略与发展委员会所制定的战略规划及银监会商业银行信息科技风险管理指引等监管规章和信息技术安全管理规范制定，为本行电子化建设所做出的未来一定时期内的方向性、整体性、全局性的定位、发展目标和相应的实施方案，并对其实施情况进行监督与调整。科技规划是指导全行信息化建设工作的重要依据。第十一条 规划要求。（一） 科技规划的制定应参照董事会战略与发展委员会编制的

9、xx银行发展战略与规划管理办法及业务部室编制的业务发展计划，并可根据监管部门政策变化、银行同业业务发展情况、信息技术的进步等实际情况进行适当调整，但应当涵盖其提出的内容；（二） 规划制定工作由总行科技开发部负责组织，每三年或五年制定一次，每年组织修订，经信息科技管理委员会审议后，向董事会汇报，审核批准后方能实施；（三） 制定科技规划过程中应当同时制定年度工作计划及年度科技投入预算，并报经信息科技管理委员会批准实施，以便对实施情况与发展目标进行对比评价，及时调整；（四） 科技开发部每年要向信息科技管理委员会汇报科技预算情况和预算实施情况；（五） 科技部每年应依据当年信息科技建设情况，制订科技风险

10、年度报告，经信息科技管理委员会审议后，报董事会审阅。第十二条 规划流程（一） 调研起草阶段1 科技开发部组织人员对全行信息化建设现状和需求进行调研，具体调研方法可以采取座谈、问卷和访谈等形式，调研对象可以包括总行职能部门、支行以及行外的专业人士；调研内容为职能部室及支行的中长期发展计划及相应系统需求；2 调研结束后，根据调研结论，结合全行总体发展战略和目标，围绕业务拓展和信息技术发展等方面内容，由科技开发部组织起草，形成规划初稿。（二） 征求意见阶段1 规划初稿完成后，由科技开发部送达总行各相关职能部门和分行、支行征求意见；2 收到征求意见稿的部门及分行、支行应就规划的内容提出书面意见或建议，

11、并在规定时限内反馈给科技开发部。（三） 修改完善阶段1 科技开发部收到书面反馈后，可对规划内容进行再次讨论，经相关业务、管理部室会签、论证及风险评估，必要时可组织专家进行论证；2 根据反馈意见和专家论证的结论，对规划征求意见稿进行修改，形成规划送审稿，报送信息科技管理委员会审议。（四） 规划的审定1 信息科技管理委员会对上报的规划送审稿进行审定；2 信息科技管理委员会对认为需要修改或补充的规划送审稿，可以退回并要求修订；3 科技开发部应在规定时间内，根据信息科技管理委员会意见进行必要的修改或补充并再次上报审定。（五） 规划的解释、修订1 科技规划由科技开发部负责解释。2 科技开发部定期或不定期

12、检查本行科技工作的进展状况。年终应写出年度工作报告和下一年工作计划，并对规划执行情况提出意见和建议；3 科技开发部每年年底组织人员对当年规划的执行情况进行总结评估，如需修订或者废止，则需明确提出现行规划存在的主要问题，详细说明调整或重大变更的理由及调整方案。报送信息科技管理委员会审核批准；4 有下列情况之一的，应予以修订：(1) 因国家相关法律法规的修正或者废止，需要做相应修订的；(2) 技术上出现重大突破或发生重要变化，使得原技术方案不再适宜的；(3) 业务方面提出新需求或发生较大变化，使得原规划无需继续执行或者无法继续执行的；(4) 其他需要修订的情形。5 经信息科技管理委员会审核批准修订

13、后，科技开发部应组织人员根据现实情况对规划予以修订。第四章 软件开发和测试第十三条 本行建立和完善信息科技项目管理机制，成立信息科技管理委员会，负责全行信息科技项目的优先排序、立项、审批和控制，协调项目调研、需求分析及项目开发、测试、上线过程中的沟通、协调等工作。第十四条 总行科技开发部负责健全和完善信息科技项目管理办法，规范项目需求、规划、立项、采购、开发、测试、上线、维护及升级、退出流程，确保项目全过程有效管理和控制。第十五条 总行科技开发部负责向信息科技管理委员会提交重大信息科技项目进度报告，包括项目实施中的重大变更（需求、架构、范围、预算等）、存在风险、费用支出、人员及供应商变更等与项

14、目相关的重要情况。第十六条 总行科技开发部承担全行信息科技项目开发管理职能，应健全和规范项目开发、测试和维护管理工作，有效控制项目开发风险，并根据项目实施要求和计划，组织并配置IT人力资源，完成项目开发、测试和上线工作。第十七条 建立和完善项目风险控制机制，明确项目实施中可能存在的操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本，应通过适当的管控方法去有效控制信息科技项目风险。第十八条 信息科技项目开发管理应符合软件工程规范，实施信息系统生命周期管理，运用适当的系统开发方法去有效控制信息系统在系统分析、设计、开发或外购、测试、试运行、上线、维护和退出等各个阶段风险管理

15、。第十九条 建立和完善项目上线后评价机制，对已上线项目经过一段时间运行后在运行、效率、功能等情况进行评价，并根据评价结果对项目进行持续优化和改进。第二十条 制定和完善项目变更管理办法和流程，确保信息系统的可靠性、完整性和可维护性，包括但不限如下要求：（一） 明确生产、开发、测试系统环境的有效隔离；（二） 明确开发人员进入生产系统维护应用软件活动的记录和审核制度；（三） 明确项目变更审批流程，对于已完成开发和测试的程序或系统配置，若要变更应用到生产系统时，应取得科技开发部和业务部门的联合批准，并做好变更记录和检查。第二十一条 完善信息数据管理办法，落实相关标准和流程，确保信息系统开发、测试、维护

16、过程中数据的完整性、保密性和可用性。第二十二条 建立和完善有效的问题/事件管理流程，以确保全面跟踪、分析和解决信息系统存在问题，并对问题/事件进行记录和管理。第二十三条 建立和完善系统升级控制机制，当设备达到使用寿命或性能不能满足业务需求，基础软件（操作系统、数据库系统、中间件）或应用软件必须升级时（不含补丁和小版本升级），应及时进行系统升级，对该类升级属于重大变更应纳入信息科技项目，按项目要求进行管控，包括测试和验收等。第五章 运行维护管理第二十四条 建立和完善全行信息科技运行管理架构。总行科技开发部负责总行生产中心的日常运行、监控、维护管理职责。各支行兼职系统管理员负责支行的运行管理职责。

17、第二十五条 健全和完善信息科技运行管理制度，明确职责，规范流程，授权操作，监控有效。确保生产中心主机、网络、数据库和应用系统以及机房环境得到有效监控和管理，保障信息系统的生产安全。第二十六条 完善生产和灾备中心系统运维岗位，合理配置岗位人员，做到系统运行与开发和维护岗位的分离，确保岗位的制约，并明确各岗位的职责。第二十七条 按照有关法律法规要求保存交易数据，运用程序或技术手段确保存档数据的完整性、安全性和可恢复性。第二十八条 完善信息系统用户密码管理制度，按照分类要求明确密码设置规则、变更周期和操作权限等，建立检查和强制变更机制。第二十九条 制定和完善信息科技运行操作说明，编制详细的运行操作维

18、护手册和日常检查监控登记簿，明确操作人员的任务、工作流程、操作步骤等。第三十条 建立和完善事故报告及处理机制，及时报告和处理各类运行事故，并做好记录、分析和跟踪。第三十一条 建立和完善系统性能监控机制，充分运用技术手段连续监控信息系统性能，对例外情况做出预警，并及时予以识别和修正。第三十二条 建立和完善系统运行容量规划，定期进行容量分析，并根据业务发展和交易量增加，以及内、外部需求，及时对系统容量做出调整（扩容、增加和升级）。容量规划应包含生产系统、灾备系统和相关设备。第三十三条 健全系统维护和升级机制，及时进行维护和适当的系统升级，确保与技术相关服务的连续可用性。第三十四条 制定和完善生产中

19、心变更管理流程(含灾备中心)，确保生产环境的完整性和可靠性。涉及生产系统的所有变更（含紧急变更）都必须经过有权部门授权审批,制定详细的变更方案、操作步骤、变更清单和回退计划等。对变更操作必须进行记录，对涉及变更的数据、程序和配置参数等事先必须做好备份，以便必要时恢复原有系统版本和数据文件。第三十五条 建立和完善设备运维管理制度和流程，对重要设备应建立维护档案，及时购买维保服务，定期开展巡检检查。应建立维护服务流程，明确响应时间，快速处置各种故障设备，确保运行正常。第三十六条 按照总行集中采购和固定资产管理要求，建立和完善计算机设备管理制度和流程，规范IT预算管理，制定设备配置标准，完善设备采购

20、、登记、领用、使用、维护与报废流程。第三十七条 制定和完善知识产权管理制度，对于生产系统运行的各种基础软件（操作系统、数据库、中间件）或应用软件（程序、工具）等应取得合法使用权限，严禁使用非正版化软件或使用侵犯他人知识产权的软件，要定期开展检查，完善正版化软件使用、采购、登记管理。第六章 信息安全管理第一节 信息安全管理机构第三十八条 建立和完善全行信息安全风险管理机构，成立全行信息安全管理领导小组，全面负责全行信息安全指导和管理工作。信息安全管理领导小组隶属于总行信息科技管理委员会统一管理，其组成人员包括总行领导、分管信息科技副行长、总行科技开发部以及相关业务部门负责人。第三十九条 各分、支

21、行应根据监管要求，完善机构信息安全管理组织，由分、支行主要领导负责本分支机构信息安全管理工作。第二节 信息安全管理职能第四十条 总行风险管理部负责牵头组织全行信息科技安全工作的检查和指导，定期向信息科技管理委员会汇报工作开展情况。第四十一条 总行科技开发部负责全行计算机安全等级保护、技防实施、计划与项目预算、制定信息安全管理制度、安全检查及人员培训和管理等。第四十二条 信息安全管理主要职能应包括：（一） 制定和完善全行信息安全计划，推进信息安全体系整体建设，构建长效管理机制；（二） 组织并实施全行信息安全项目，负责分支机构和各业务条线信息安全的统一管理；（三） 定期向信息科技管理委员会报告信息

22、安全评估报告和其他重大安全事项；（四） 健全信息安全管理机制，完善全行信息安全策略、标准、制度、实施流程和持续维护要求；（五） 建立信息安全资产预算管理，确保安全技防落实；（六） 配合银行监管部门、公安和其他信息安全管理部门做好现场安全检查和整改落实工作；（七） 组织开展全行安全检查，指导并督促分支机构落实安全管理职责。第四十三条 各分、支行应依据本制度，并结合当地银行监管部门和国家信息安全管理部门的规定和要求，健全和完善信息安全管理职能。第三节 信息安全策略第四十四条 总行信息安全管理部门应依据全行信息科技风险管理总体要求，制定、完善和实施全行信息安全策略。信息安全策略应包括如下内容：（一）

23、 安全制度管理；（二） 信息安全组织管理；（三） 信息资产管理；（四） 人员安全管理；（五） 物理与环境安全管理；（六） 系统运营与网络通信管理；（七） 访问控制管理；（八） 系统、项目开发与维护管理；（九） 信息安全事件管理；（十） 业务连续性管理。第四十五条 建立和完善有效的用户认证和访问控制机制，确保用户对数据和系统访问是可控和有效的。当用户发生变更应及时在系统中做好检查、更新和注销用户身份。第四十六条 对于信息科技重要区域应设立安全保护区（如生产中心和灾备中心），须明确安全防护措施、控制手段和机房建设标准，确保信息系统重要场所的安全。第四十七条 信息系统网络安全管理应依据信息安全等级，

24、将网络划分为不同的逻辑安全域，并对相关安全因素做出评估，实施有效隔离（如生产、开发、测试和互联网隔离），并采取物理或逻辑分区、内容过滤、访问控制、传输加密、网络监控和日志审计等手段。第四十八条 对重要信息系统应建立和完善信息安全测评机制，定期开展自评或邀请第三方权威测评，并根据评估报告，持续开展整改工作，明确责任，落实计划，完善措施，确保信息系统整体防护能力。第四十九条 按照国家信息安全监管要求，规范和完善涉密信息管理，包括：互联网行为、涉密计算机和移动存储管理。建立涉密检查机制，防止非涉密计算机装载、储存或传播国家涉密信息；防止将本行重要商业机密信息存储在移动存储和非涉密计算机中，或通过互联

25、网传播。第五十条 健全防病毒机制，建立全行网络防病毒体系，定期下载和更新病毒库，开展防病毒检查。并依据总行信息安全规划要求，逐步强化安全控制机制，通过技术手段来规范使用行为（如桌面管理等），确保信息系统安全。第五十一条 建立和完善信息系统操作规程，确保操作系统和应用系统软件的安全：（一） 明确操作系统基本安全要求；（二） 明确不同用户对系统访问权限；（三） 明确最高权限系统账户的审批、验证和监控流程，以及最高权限用户的日志审计和监察；（四） 明确定期对可用的安全补丁检查，并报告补丁的管理状态；（五） 明确系统日志记录要素，包括：不成功登录、重要系统文件访问、对用户账户修改等重要事项，以及手动或

26、自动监控系统出现的任何异常事件，定期形成报告。第五十二条 完善信息安全保障机制，应采取包括但不限于下列措施，确保信息系统安全：（一） 明确定义终端用户和信息科技人员在安全管理中的角色和职责；（二） 明确按照信息系统重要性和敏感程度，确认身份验证方法；（三） 明确岗位职责和不相容岗位，对关键或敏感岗位进行双重控制；（四） 明确关键接合点输入验证和输出核对机制；（五） 明确保密信息的处理方式，采取安全手段进行输入/输出处理，防止信息泄露或被盗取、篡改；（六） 明确信息系统能按预先设定的方式处理例外情况，当系统被迫终止时能向用户提供必要信息；（七） 明确以书面或电子形式保存审计痕迹；（八） 明确用户

27、管理员必须监控和审查未成功登录和用户账户修改情况。第五十三条 完善信息系统日志管理，建立有效的日志管理平台和流程，确保从系统、数据库、应用、网络和安全等不同层面进行有效的活动日志管理，以支持有效审核、取证和预防欺诈。日志分为两大类：（一） 交易日志。由应用软件和数据库系统产生，包括：用户登录、数据修改和错误信息等；（二） 系统日志。由操作系统、数据库系统、防火墙、入侵检测、防病毒系统和路由器等产生，包括：管理登录、系统/网络事件、错误信息等；（三） 交易日志和系统日志应包含足够内容，以满足内部控制、解决系统故障和审计需要；应保持日志的同步和完整性，明确日志复查频率和保存期限。第五十四条 运用信

28、息加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改风险，并建立加密设备和密钥管理制度，以确保：（一） 使用符合国家要求的加密技术和设备；（二） 在启用、操作和管理加密设备中的合规性；（三） 落实专人管理，并经过培训和资格审查；（四） 加密强度能够满足信息机密性要求；（五） 建立有效管理流程，完善密钥和证书生命周期管理。第五十五条 制定和完善设备使用办法，建立信息安全检查机制，定期开展用户终端设备的安全检查。包括但不限于：服务器、台式机、便携机、柜员终端、移动存储、移动终端、ATM、POS、查询机、加密设备等，确保使用设备的安全、可靠和稳定运行。第五十六条 建立和完善数据存储管理办

29、法，实行生产中心数据的集中管理，明确数据备份操作流程，规范数据信息在采集、处理、存储、传输、备份、恢复、清理和销毁过程中的操作流程。第五十七条 建立和完善全行计算机安全和技能培训机制，定期组织全行科技人员开展信息安全培训，及时了解信息风险管理制度和流程，提高安全防范和风险管控意识，增强防护技能。第七章 业务连续性信息科技管理第五十八条 本行建立和完善业务连续性管理架构，成立总行应急管理领导小组，负责全行计算机应急处置和统一协调指挥；科技开发部负责全面实施应急管理领导小组部署的各项应急管理工作，包括：应急预案的制定、组织演练、开展培训、实施评估和完善措施等。第五十九条 支行应按照总行应急管理架构

30、，完善支行应急工作领导小组职能，全面负责本辖区范围内计算机应急处置和协调指挥工作，制定和完善支行应急预案和流程，开展应急演练、组织培训、落实预算和完善措施。第六十条 按照总行业务发展规划和风险控制策略，结合自身业务特点、规模和系统的复杂程度等，制定和完善与之相适应的全行业务连续性规划(包括灾备中心建设规划)，确保信息系统发生例外情况时，仍能提供持续的业务服务。对业务连续性规划应定期开展演练，建立评估和更新机制，确保有效性。第六十一条 建立和完善业务风险评估机制，对于因意外事件导致业务运行中断的可能性和所带来的影响程度，进行有效评估，明确业务连续性保障的优先策略。第六十二条 对于重要信息系统应完

31、善业务连续性保障措施，明确系统恢复和冗余策略，采取双机热备、共享机制等措施，有效降低业务中断可能性，并通过应急举措来降低系统中断影响。第六十三条 建立和完善业务连续性应急预案，并制定持续应急预案的检查和持续性更新机制，确保应急预案的充分性和有效性。同时对重要系统及重要设备制定专项应急预案，第六十四条 作为业务连续性计划的重要内容，应完善灾备中心的规划建设，健全灾备中心的运行管理机制，实施业务风险评级和应急响应，制定应急预案，开展应急演练和培训、持续跟踪和更新系统，确保全行业务的可持续发展。第六十五条 业务连续性计划、重大灾备项目实施和年度应急演练结果等，应纳入IT年度重要工作内容之一。第八章

32、外包管理第六十六条 完善外包管理机制，明确外包范围和管理流程。总行科技开发部为信息科技外包管理的主要职能部门，各分支机构未经总行允许不得擅自开展信息科技外包服务项目。第六十七条 外包服务应采取审慎原则，不得将信息科技管理责任外包，应合理谨慎监督外包职能的履行。外包服务项目的风险评估工作由信息科技管理委员会常设办公室负责管理。第六十八条 在签署外包协议或对外包协议进行重大变更时，应考虑周密，做好相关准备，其中包括：（一） 分析外包是否适合本行组织结构、业务战略、总体风险控制；是否满足本行履行对外包服务商的监督义务；（二） 考虑外包协议是否允许本行检测和控制与外包相关的操作风险；考虑外包协议变更前

33、后实施的平稳过渡（包括终止合同可能发生的情况）；（三） 充分审查、评估外包服务商的财务状况、专业经验，以及对外包服务商进行风险评估，综合考查其解决方案、行业成功案例和实施能力是否足以承担相应的责任；（四） 关注可能存在的集中风险，如多家银行共用同一外包服务商带来的潜在业务连续性风险。第六十九条 在与外包服务商合同谈判中，应充分考虑以下因素，包括但不限于：（一） 对外包服务商的资质要求和谈判必要条件；（二） 银行监管机构和内、外部审计能执行足够的监督；（三） 通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息；（四） 担保和损失赔偿是否充足；（五） 外包服务商遵守本行有关信

34、息科技风险制度和流程的意愿及相关措施；（六） 外包服务商提供的业务连续性保障水平，以及提供相关专属资源的承诺；（七） 第三方供应商出现问题时，保证软件持续可用的相关措施；（八） 变更外包协议的流程，以及本行或外包服务商选择变更或终止外包协议的条件，如：1 本行或外包服务商的所有权或控制权发生变化；2 本行或外包服务商的业务经营发生重大变化；3 外包服务商提供的服务不充分，造成本行无法履行监督义务。第七十条 在实施外包服务管理中，应明确服务水平指标，旨在充分评估外包服务商的服务效能、质量和水平，并通过服务水平报告、定期评估、内/外部审计等方式进行外包服务考核，并针对存在问题，及时调整流程和改进措

35、施。第七十一条 在实施外包服务中，应确保本行客户资料等敏感信息的安全，包括但不限于：（一） 实现本行客户资料和外包服务商其他客户资料的有效隔离；（二） 按照“必需知道”和“最小授权”原则对外包服务商相关人员进行授权；（三） 明确要求外包服务商保证其参与服务人员（无论是雇员或第三方聘用人员）遵守保密规定；（四） 对涉及本行客户资料的外包服务（如信用卡外包等）应作为重要外包服务，并尽可能向客户告之；（五） 严格控制外包服务商的转包行为，采取必要措施确保本行信息的安全；（六） 当终止外包服务协议时，须及时收回和销毁由外包服务商保存的所有客户资料。第七十二条 对外包服务项目，应建立和完善应急措施，以应对外包服务商出现重大服务缺失。应充分考虑外包服务商在重大资源、财务损失和重要人员变动，以及外包协议意外终止的情况。第七十三条 对于重大外包服务项目，应严格审批流程，其合同管理应通过风险管理部门、法规部门和信息科技开发部门审核；对于外包服务协议应建立定期审阅和修订流程，有效降低外包服务风险。第九章 附则第七十四条 本制度由xx银行负责制订、解释和修改。第七十五条 本制度自发布之日起施行。