信息科技外包风险检查表

类别序号指标检查要求1、通过正式发布制度文件，明确董（理）事会对信息科技外包所承担的管理职责2、董（理）事会应履行的信息科技外包管理职责包括建立信息科技外包组织架构、指定主管部门、组织制订和审议批准信息科技外包战略、以及听取信息科技外包管理年度汇1、通过正式发布的制度文件，明确信息科技外包风险的主管部门，及其所应承担的管理职责2、应当由风险管理部门设置信息科技风险管理岗位，承担信息科技外包风险管理的主管职责3、信息科技风险管理岗位承担的信息科技外包风险管理职责包括指导和监督信息科技外包工作、监控信息科技外包风险、定期向信息科技管理委员会报告信息科技风险管理工1、通过正式发布的制度文件，明确信息科技部门及其它涉及信息科技外包活动部门的执行职责2、信息科技部门及其它涉及信息科技外包活动部门建立执行团队，执行团队包括内控管理岗位、信息科技外包项目经理、信息安全3、执行团队应承担职责包括：制订和维护信息科技外包管理制度（涉及供应商管理、外包项目管理等）；按照制度完成外包管理工作；配合主管部门完成信息科技外包风险持1、由信息科技外包风险主管部门牵头，以信息科技部门为主的各执行部门共同制订信息科技外包战略2、信息科技外包风险主管部门负责信息科技外包战略的修订3、信息科技外包战略得到信息科技管理委员会及董（理）事会的审议批准1、以信息科技部门为主的信息科技外包执行部门，由内控管理岗位人员牵头组织制订信息科技外包管理制度2、信息科技外包管理制度包括供应商管理、外包项目管理（合同协议管理、安全管理、服务水平监控、应急处置、以及知识移交）信息科技风险管理检查指标体系－－外包管理部分1、外包管理制度及原则2、外包服务的管理3、组织架构与职责落实4、信息科技外包战略与风险管理制定并维护信息科技外包执行管理制度外包管理制度及原则外包管理体系明确并落实董（理）事会管理职责明确信息科技外包风险管理主管部门明确并落实信息科技外包执行团队职责制定并维护信息科技外包战略OM.01OM.02OM.03OM.04OM.05OM.06OM.07银行应当按照银监会《指引》中关于信息科技外包的风险控制要求，制定相关的信息科技外包管理制度，防范外包产生的风险。银行应当将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，控制或降低由于外包而引发的风险。3、管理制度应全面覆盖具备集中度特征外包、重要外包、关联外包、非驻场外包等不同类别外包和不同级别外包商管理要求4、每年度对信息科技外包管理制度进行修订维护对非驻场集中式外包服务商（尤其对社会类机构和提供外包服务未满3年的银行类机构）开展全面、深入的尽职调查。（一）外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界；（二）外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性；（三）外包服务商对涉及本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权（四）外包服务商是否拥有或可能拥有业务系统的最高管理权限，外包服务商是否拥有或可能拥有业务系统的访问权限，是否能够浏览、获取客户敏感信息；（五）外包服务商是否有完善的灾难恢复设施和应急管理体系，对关键基础设施和信息系统运行是否有业务连续性安排；（六）外包服务商是否知晓并遵从了银行业相关监管法规要求。信息科技外包服务1、建立信息科技外包服务提供商准入标准提供商准入2、对备选服务提供商进行筛选3、每年度对服务提供商准入标准进行修订维护信息科技外包服务1、建立信息科技外包服务提供商评价标准，并每年度进行修订维护提供商评价2、每3年对已有信息科技外包服务提供商进行评价3、信息科技外包服务提供商评价结果作为提供商分级管理和提供商退出的依据信息科技外包服务项目立项管理外包服务提供商尽职调查信息科技外包服务合同或协议4、信息科技外包战略与风险管理5、信息科技外包服务提供商管理OM.09OM.10制定并维护信息科技外包执行管理制度信息科技外包风险管理6、信息科技外包项目管理OM.07OM.08OM.11OM.12OM.13信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评估，保持评估的独立性，并向高级管理层提交评估报告银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作，至少每三年对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。1、所有信息科技外包项目立项前，实施风险评估1、对于重大信息科技外包项目选定的外包服务提供商，在签订外包协议前，实施服务提供商尽职调查2、尽职调查关注范围包括技术1、与外包服务提供商签订外包协议，其中应当包括服务水平、及安全保密条款信息科技外包服务项目安全控制（安全管理）信息科技外包服务1、在外包实施过程中，依据服务水平设定的目标，对外包服务提供商的服务水平进行持续监控，监控数据至少保留1年水平监控与评价2、监控中发现问题，要求外包服务提供商及时进行纠正整改3、外包项目结束时，对服务提供商服务水平进行总结评价信息科技外包服务1、针对重要外包服务中断情况，要求提供商制订急处置预案，同时自身也制订应急处置预案，并进行演练连续性管理2、建立针对无法满足服务要求的服务终止和服务提供商退出管理机制3、对可能影响重要业务连续性的信息科技外包服务，建立风险控制机制信息科技外包服务1、在外包实施过程中，适当配置内部人员，掌握必要技能项目知识承接2、外包项目结束时，建立知识承接管理机制，不因外包服务终止导致信息科技风险上升信息科技外包服务1、信息科技外包项目实施过程中规范化产生和维护输出文档和过程记录项目文档归档2、信息科技外包项目终止后，执行团队将相关文档及记录整理报送执行部门综合管理岗位进行归档信息科技外包风险管理年度评估报告1、涉及特定类型的信息科技外包项目合同签订前，向银监会派出机构报告2、信息科技外包活动发生重大事件时，向银监会派出机构报告6、信息科技外包项目管理7、监管报告OM.14OM.15OM.16OM.17OM.18OM.19OM.20向监管机构报告1、建立并实施针对外包服务提供商的安全管控措施1、信息科技外包风险主管部门每年度编写管理评估报告，提交信息科技管理委员会、董（理）事会审阅，并报送银监会派出机构检查方法指标依据现状描述符合性分析风险分析风险级别1、调阅信息科技外包管理制度，查看可以外包的服务范围和外包商的资格要求；2、查看对于重要项目外包进行了风险评估；（重要项目外包风险评估）3、访谈分管人员对于重要外包，是否通知了银监会（通知银监会的记录）1、调阅信息科技外包管理制度，查看外包管理目标、相关部门职责分工、配套流程；2、调阅信息科技外包合同、协议清单（外包项目清单、管理记录等）1、调阅信息科技外包管理制度，查看对于董（理）事会管理职责的规定2、访谈董（理）事会成员，了解其对自身管理职责的理解和执行情况1、调阅信息科技外包管理制度，查看对于主管部门及其管理职责的规定2、访谈信息科技风险管理岗位人员，了解其对自身管理职责的理解和执行情况　/1、调阅信息科技外包管理制度，查看对于执行部门及其管理职责的规定2、访谈信息科技部门执行团队成员，了解其对自身管理职责的理解和执行情况　/1、访谈风险管理部信息科技风险管理岗位人员，了解信息科技外包战略的制订和维护情况1、银监会《银行业金融机构信息科技外包风险监管指引》第十六条至第二2、调阅信息科技外包战略文件3、调阅信息科技外包战略文件制订、修订、审议、批准的过1、访谈信息科技部门内控管理岗位人员，了解信息科技外包制度的建立和维护情况2、调阅信息科技外包管理制度文件，及修订维护的过程记录信息科技风险管理检查指标体系－－外包管理部分银监会《银行业金融机构信息科技外包风险监管指引》第十条、第十一条银监会《银行业金融机构信息科技外包风险监管指引》第八条银监会《银行业金融机构信息科技外包风险监管指引》第十三条银监会《银行业金融机构信息科技外包风险监管指引》第十四条1、银监会《银行业金融机构信息科技外包风险监管指引》第十五条2、银监会《商业银行信息科技风险管理指引》第五十五条银监会《银行业金融机构信息科技外包风险监管指引》第十五条、第五十二条至第五十九条、第六十七条至第七十一条、第七十二条至第七十五条、　/　/　1、调阅外包服务风险评估报告；2、调阅提交高管层记录；　1、调阅外包服务风险审计报告；2、调阅提交高管层记录；3、调研外包风险事件审计报告1、调阅外包服务风险评估报告；2、向监管机构上报的报告；1、调阅外包服务提供商准入标准及维护过程记录2、调阅依据准入标准对备选服务提供商进行筛选的过程记录　/1、调阅提供商评价标准及修订维护记录2、调阅提供商评价记录　/1、银监会《银行业金融机构信息科技外包风险监管指引》第三十四条至第2、银监会《商业银行信息科技风险管理指引》第五十八条、第五十九条、第六十二条1、调阅信息科技外包项目立项过程记录，查看项目立项风险评估的执行落实情况1、调阅外包服务提供商尽职调查过程记录1、调阅信息科技外包项目的合同或协议，查看其中内容的全面性银监会《银行业金融机构信息科技外包风险监管指引》第十五条、第五十二条至第五十九条、第六十七条至第七十一条、第七十二条至第七十五条、银监会《银行业金融机构信息科技外包风险监管指引》第二十二条银监会《银行业金融机构信息科技外包风险监管指引》第二十四条《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发[2014]187号）第二条1、银监会《银行业金融机构信息科技外包风险监管指引》第二十六条1、银监会《银行业金融机构信息科技外包风险监管指引》第二十三条1、银监会《银行业金融机构信息科技外包风险监管指引》第二十五条1、银监会《银行业金融机构信息科技外包风险监管指引1、调阅信息科技外包管理制度对于信息安全管控的规定1、银监会《银行业金融机构信息科技外包风险监管指引》第三十八条至第2、访谈信息科技外包执行团队人员，了解信息安全管控措施的执行情况2、银监会《商业银行信息科技风险管理指引》第六十条3、调阅外包项目信息安全管控的执行记录1、抽样调阅外包项目的服务水平监控指标和过程记录2、调阅服务水平监控发现问题的纠正和整改记录3、抽样调阅外包项目服务水平监控的总结评价结果1、调阅外包服务中断事件的应急预案文件2、查看信息科技外包管理制度文件关于服务终止和外包商退出的管理机制3、访谈信息科技外包执行团队成员，了解信息科技外包过程中的业务连续性保障控制措施1、银监会《商业银行信息科技风险管理指引》第五十七2、银监会《银行业金融机构信息科技外包风险监管指引》第五十九条1、调阅年度评估报告2、调阅年度评估报告审阅、报送过程记录　/1、查看外包项目文档归档记录1、调阅向银监会派出机构报告的过程记录1、银监会《银行业金融机构信息科技外包风险监管指引》第四十一条至第四十六条1、银监会《银行业金融机构信息科技外包风险监管指引》第四十八条至第五十一条1、银监会《银行业金融机构信息科技外包风险监管指引》第七十八条1、银监会《银行业金融机构信息科技外包风险监管指引》第七十六条、第