信息科技外包战略.pdf

信息科技外包战略--第1页

附件

信息科技外包战略

为有效开展本行信息科技外包风险管理工作，切实加强对信

息科技外包项目及外包服务提供商的管控、监督和评价，特制定

本战略。

一、战略背景

依据中国银保监会《银行保险机构信息科技外包风险监管办

法》（银保监办发[2021]141号）等规定，结合外部市场环境和

本行信息科技发展战略、风险偏好、风控能力等制定本战略，并

经本行信息科技管理委员会审议通过。

二、信息科技外包建设原则

本行信息科技外包建设坚持“自主建设与外包并重”的原则，

具体包括：

（一）不得将信息科技管理责任、网络安全主体责任外包；

（二）以“不妨碍核心能力建设、积极掌握关键技术”为导

向；

（三）保持外包风险、成本和效益的平衡；

（四）保障网络和信息安全，加强重要数据和个人信息保护；

（五）强调事前控制和事中监督；

（六）持续改进外包策略和风险管理措施，逐步减轻对外包

第1页共5页

信息科技外包战略--第1页

信息科技外包战略--第2页

的依赖。

三、信息科技外包风险管控原则

本行对信息科技外包风险的管控原则包括：

（一）坚持“风险与收益平衡”原则：本行在稳健经营的基

础上，坚持信息科技为业务创新和发展提供安全、可靠的支撑，

在本行的风险偏好和风险承受能力范围内，利用外包节约人力和

资金成本，集中资源投入核心业务活动拓展，充分关注新业务、

新技术带来的收益和机会；

（二）侧重外包风险的事前控制：在项目的规划和立项审批、

供应商的准入和尽职调查、合同和协议条款等环节对重要的外包

服务供应商采取预防性重点管控措施；

（三）对信息科技外包风险采取“集中管控、分布落实、层

层防御”的管控机制：基于信息科技风险的三道防线对外包活动

引入的风险进行层层防御，由风险管理部负责信息科技外包风险

的集中管控和监督，由开展信息科技外包活动的各部门负责对外

包项目、外包供应商具体管控要求和措施的执行和落实。

四、资源能力建设策略

为加强本行信息技术核心能力建设，由信息科技管理委员会

根据本行信息科技外包战略制定本行的资源能力建设策略。

本行的资源能力建设策略应充分考虑业务创新和发展需求，

与本行的发展规划紧密结合；充分考虑通过人员补充、技能提升、

知识转移等手段，有针对性地获取或提升自身管理及技术能力，

第2页共5页

信息科技外包战略--第2页

信息科技外包战略--第3页

提高本行自主研发运行能力和创新能力，逐步降低对外包服务提

供商的依赖，减少在意外情况下业务中断、信息科技服务水平下

降等风险。

五、供应商关系管理策略

本行通过建立外包供应商准入、监控、评价、考核、退出机

制，对外包供应商实施有效管理，使各类外包资源能够得到充分、

高效、低风险的使用。本行的供应商关系管理策略具体包括：

（一）由开展信息科技外包活动的各部门负责根据业务和信

息系统建设发展的实际需要，遵循本行外包管理战略和采购管理

相关制度，对符合要求的供应商进行筛选，在采购环节引入适当

的竞争以降低采购成本；

（二）通过对信息科技外包服务供应商在服务过程中的监控、

评价与考核，确保供应商的服务能够持续达到所需的服务质量；

（三）通过供应商淘汰、退出机制合理控制各类高风险服务

供应商的数量，降低管理成本，并有效防