信息科技外包战略.pdf

附件

信息科技外包战略

为有效开展本行信息科技外包风险管理工作，切实加强对信

息科技外包项目及外包服务提供商的管控、监督和评价，特制定

本战略。

一、战略背景

依据中国银保监会《银行保险机构信息科技外包风险监管办

法》（银保监办发[2021]141号）等规定，结合外部市场环境和

本行信息科技发展战略、风险偏好、风控能力等制定本战略，并

经本行信息科技管理委员会审议通过。

二、信息科技外包建设原则

本行信息科技外包建设坚持“自主建设与外包并重”的原则，

具体包括：

（一）不得将信息科技管理责任、网络安全主体责任外包；

（二）以“不妨碍核心能力建设、积极掌握关键技术”为导

向；

（三）保持外包风险、成本和效益的平衡；

（四）保障网络和信息安全，加强重要数据和个人信息保护；

（五）强调事前控制和事中监督；

（六）持续改进外包策略和风险管理措施，逐步减轻对外包

第1页共5页

的依赖。

三、信息科技外包风险管控原则

本行对信息科技外包风险的管控原则包括：

（一）坚持“风险与收益平衡”原则：本行在稳健经营的基

础上，坚持信息科技为业务创新和发展提供安全、可靠的支撑，

在本行的风险偏好和风险承受能力范围内，利用外包节约人力和

资金成本，集中资源投入核心业务活动拓展，充分关注新业务、

新技术带来的收益和机会；

（二）侧重外包风险的事前控制：在项目的规划和立项审批、

供应商的准入和尽职调查、合同和协议条款等环节对重要的外包

服务供应商采取预防性重点管控措施；

（三）对信息科技外包风险采取“集中管控、分布落实、层

层防御”的管控机制：基于信息科技风险的三道防线对外包活动

引入的风险进行层层防御，由风险管理部负责信息科技外包风险

的集中管控和监督，由开展信息科技外包活动的各部门负责对外

包项目、外包供应商具体管控要求和措施的执行和落实。

四、资源能力建设策略

为加强本行信息技术核心能力建设，由信息科技管理委员会

根据本行信息科技外包战略制定本行的资源能力建设策略。

本行的资源能力建设策略应充分考虑业务创新和发展需求，

与本行的发展规划紧密结合；充分考虑通过人员补充、技能提升、

知识转移等手段，有针对性地获取或提升自身管理及技术能力，

第2页共5页

提高本行自主研发运行能力和创新能力，逐步降低对外包服务提

供商的依赖，减少在意外情况下业务中断、信息科技服务水平下

降等风险。

五、供应商关系管理策略

本行通过建立外包供应商准入、监控、评价、考核、退出机

制，对外包供应商实施有效管理，使各类外包资源能够得到充分、

高效、低风险的使用。本行的供应商关系管理策略具体包括：

（一）由开展信息科技外包活动的各部门负责根据业务和信

息系统建设发展的实际需要，遵循本行外包管理战略和采购管理

相关制度，对符合要求的供应商进行筛选，在采购环节引入适当

的竞争以降低采购成本；

（二）通过对信息科技外包服务供应商在服务过程中的监控、

评价与考核，确保供应商的服务能够持续达到所需的服务质量；

（三）通过供应商淘汰、退出机制合理控制各类高风险服务

供应商的数量，降低管理成本，并有效防范行业垄断和机构集中

度风险。

六、外包供应商分级管理策略

本行信息科技外包供应商的分级管理策略包括：

（一）根据外包服务供应商所引入的风险，对外包供应商进

行分级管理和差异化控制；

（二）外包服务供应商的定级将综合考虑企业规模和实力、

企业承担的信息科技活动具体内容和规模，以及企业内部的风险

第3页共5页

治理、内控体系、信息安全、服务质量、服务持续性等管理体系

建设的成熟度等因素；

（三）对涉及重要信息系统或重要业务的外包供应商、具有

机构集中度特点的外包供应商、银行业重点外包服务机构、非驻

场外包服务提供商等，可认定为重要供应商；

（四）本行对高级别的重要供应商在准入、合同、监控、评

价、退出等各环节予以重点管