平保产办〔2023〕128号《信息科技外包管理办法（2023版）》

1817-平保产办〔2023〕128号关于下发《信息科技外包管理办法（2023版）》的通知总公司各部门、各二级机构：根据《银行保险机构信息科技外包风险监管办法》（银保监办发〔2021〕141号）要求，为规范信息科技外包活动，加强信息科技外包风险管控，确保信息科技外包管理工作规范、高效开展，根据相关法律法规，公司结合实际情况，公司对原《信息科技外包管理办法》（平保产办〔2022〕219号）进行了修订，制定了《信息科技外包管理办法（2023版）》。现予下发，请遵照执行。特此通知中国平安财产保险股份有限公司2023年12月8日承办人：屈永直电话：4008866338-621417中国平安财产保险股份有限公司2023年12月8日印发信息科技外包管理办法（2023版）第一章总则第一条目的为规范信息科技外包活动，加强信息科技外包风险管控，确保信息科技外包管理工作规范、高效开展，根据《银行保险机构信息科技外包风险监管办法》（银保监办发〔2021〕141号）、公司《外包业务管理办法》（平保产办〔2022〕26号）等有关规定，制定本办法。第二条信息科技外包定义及管理策略信息科技外包，指公司将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。公司建立信息科技外包活动分类管理机制，针对不同类型的外包活动建立相应的管理和风控策略。信息科技外包原则上划分为：（一）咨询规划类。包括但不限于：信息科技战略规划（含中长期规划）咨询，数据中心（机房）整体建设咨询和规划，信息科技治理（含数据治理）、信息科技风险管理体系、信息安全管理体系、业务连续性管理体系等管理类咨询和规划，重要信息系统架构和建设相关的咨询和规划，新兴技术应用咨询和规划。（二）开发测试类。包括但不限于：软硬件开发和测试外包（含人力外包），软件即服务形式的外包。（三）运行维护类。包括但不限于：数据中心（机房）物理环境的托管或运行维护，软硬件基础设施托管或运行维护，应用系统运行维护，电子机具运行维护，终端等办公设备的运行维护，以及涉及以上运行维护的人力外包。（四）安全服务类。包括但不限于：安全运营服务，安全加固服务，安全设备运行维护，安全日志处理与分析，安全测试服务，密钥管理及运行维护，数据安全服务，以及涉及以上服务的人力外包。（五）业务支持类。包括但不限于：市场拓展、业务运营（集中作业、呼叫中心等）、企业管理、资产处置、数据处理、数据利用等业务外包或第三方合作当中涉及重要数据或客户个人信息处理的信息科技活动，法律法规另有要求的除外。公司将信息科技外包活动及相关服务提供商分为重要外包和一般外包两个级别，并采取差异化的管控措施。下列信息科技外包活动原则上属于重要外包：信息科技类重要外包，涉及整体数据中心（机房）、整体核心业务系统开发测试和运行维护、信息科技战略规划（含中长期规划）咨询、直接影响实时服务、影响财务准确性的重要信息系统、集中存储或处理公司重要数据和客户个人敏感信息等。公司与第三方（含关联外包）合作当中，涉及以上类型的信息科技外包服务，应按照本办法相关要求执行。第三条禁止信息科技外包的范围公司不得将信息科技管理责任、网络安全主体责任外包，不得将涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能外包。第二章管理架构和职责第四条公司设立由数据科技管理委员会统筹管理，总部科技中心IT规划管理团队、总部科技中心安全基础运维团队、总部科技中心架构团队、总部科技中心数据智能平台团队协同管理的信息科技外包管理架构。第五条数据科技管理委员会作为信息科技外包的决策机构。职责如下：（一）审批信息科技外包战略；（二）审议信息科技重要外包决策；（三）建立健全信息科技外包及其风险管理体系；（四）审批信息科技外包风险管理年度报告。第六条总部科技中心安全基础运维团队、总部科技中心IT规划管理团队为信息科技外包风险管理部门。职责如下：（一）负责制定信息科技外包风险管理策略、制度和流程；（二）负责信息科技外包风险识别、评估、监测、预警、报告及处置工作；（三）负责监督、评价信息科技外包执行团队的管理工作，并督促外包风险管理持续改善；（四）负责向数据科技管理委员会汇报信息科技外包相关风险及管理情况；（五）负责审核信息科技外包风险管理相关评估报告。第七条总部科技中心IT规划管理团队为信息科技外包执行管理部门。职责如下：（一）落实信息科技外包战略；（二）制定、执行信息科技外包管理制度与流程；（三）负责信息科技服务提供商准入、尽职调查、服务评价、退出管理工作；（四）持续检测外包服务的水平和质量，及时处理服务提供商发生的相关违规、违约和内部对供应商投诉；（五）对外包过程中的关键管理活动进行监控及分析，每年至少一次与信息科技外包风险管理部门沟通外包活动及有关风险情况。第八条总部科技中心架构团队、总部科技中心数据智能平台团队为信息科技外包重要参与团队，具体职责如下：（一）负责对信息科技外包事项进行审议，从安全、技术等层面对外包的可行性进行评估；（二）负责对信息科技外包活动开展过程中的安全、数据等进行过程监控，防范信息科技系统性风险；（三）负责对信息科技外包服务提供商的交付成果进行审查，从安全、技术、数据等层面评估信息科技外包的交付验收。第九条信息科技外包业务需求部门是开展外包业务的发起部门，负责开展信息科技外包业务，对信息科技外包交易的识别、开展范围、合作风险、合作质量、报备及存档等承担首要和直接责任，职责包括：（一）负责向信息科技外包执行管理部门提出外包业务需求，并对业务或职能外包开展风险评估；（二）负责根据公司采购等管理要求，选定信息科技外包业务服务商；（三）负责根据监管要求，在签订合同前完成监管报告，并就涉及关联交易的合作事项完成关联交易相关报告工作；（四）负责签署外包书面合同，明确外包内容、形式、服务价格、客户信息保密要求、各方权利义务以及违约责任等内容；（五）负责监测外包合作过程中的服务水平和质量，并对外包履行情况、合作质量进行年度审查；（六）负责按照合作进度和交付质量根据合同约定向服务提供商支付合作费用；（七）合作结束后，关注外包服务的后续品质影响，评估原外包职能是否持续具有外包需求。第十条信息科技外包其他相关管理部门职责参照公司《外包业务管理办法》（平保产办〔2022〕26号）有关规定执行。第三章信息科技外包准入管理第一节信息科技外包评估第十一条信息科技外包执行管理部门和信息科技外包业务需求部门对于需要以信息科技外包方式实施的项目，充分评估拟开展的信息科技外包活动相关风险，对实施外包作出审慎决策，应至少从以下方面进行外包分析与评估：（一）信息科技外包工作目标和计划；（二）信息科技外包服务提供商选择建议和原因说明；（三）信息科技外包工作量估算和外包费用估算；（四）采购设备时，需确认设备详细清单（包括型号、配置、数量及费用等）。第十二条信息科技外包分析与评估过程中，信息科技外包执行管理部门可按如下指引进行外包调研及相关分析评估活动：（一）分析和识别项目的业务目标、业务需求范围、关键的交付日期，以及其他相关限制与约束；（二）对服务提供商实施的资源、技术能力进行分析；（三）给出项目实施方式和外包范围建议。第十三条信息科技外包分析与评估后，需求部门发起“外包工作量评审”申请。提交的评审材料文件包括：（一）外包需求及工作量评估表；（二）业务需求说明书、方案评审材料；（三）设备采购清单（需要采购设备时提供）。（一）需求部门提交的评审材料是否完整；（二）项目是否已完成立项；（三）协助组织发起安全、架构、数据等部门联合评审。第十五条需求部门应对重要外包服务提供商开展尽职调查，尽职调查应包括但不限于：（一）服务提供商的技术和行业经验，人员及能力；（二）服务提供商的内部控制和管理能力；（三）服务提供商的网络和信息安全保障能力；（四）服务提供商的持续经营状况；（五）服务提供商及其母公司或实际控制人遵守国家和国家金融监督管理总局相关法律法规要求的情况；（六）服务提供商过往配合银行保险机构审计、评估、检查及监管机构监督检查情况。第十六条对于符合重要外包条件的非驻场外包，需求部门应当进一步重点调查如下内容：（一）服务提供商对公司的设施、系统和数据是否有明确、清晰的边界；（二）服务提供商是否有管理制度和技术措施保障公司数据的完整性和保密性；（三）服务提供商对涉及公司的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；（四）服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限，是否能够浏览、获取重要数据或客户个人敏感信息；（五）服务提供商是否有完善的灾难恢复设施和应急管理体系，是否有业务连续性安排；（六）服务提供商是否存在不正当竟争或规避监管的情形。第十七条信息科技外包合作审议，由需求部门在允许开展外包业务的职能范围内提出合作申请，经总部分管领导审批。信息科技外包合作需提交方案至数据科技外包管理委员会审议，审议结果报送外包管理委员会决策。第二节信息科技外包合作第十八条需求部门应根据监管规定，于外包合作申请审议通过后，在外包合同签署前20个工作日向国家金融监督管理总局报告。信息科技外包执行管理部门应审核外包事项合作报告，从完整性、合规性、风险监控、业务支持等角度出具专业意见。第十九条信息科技外包合作报告应包含：信息科技外包的业务或职能及其风险评估、信息科技外包事项受托方基本情况、服务提供商尽职调查报告、风险评估结果等。第二十条信息科技外包合作事项涉及关联交易的，需求部门应遵照关联交易相关规定履行报告工作。第二十一条若各部门发现存在外包交易漏审查、漏报告的情况，应及时知会信息科技外包风险管理部门，参照信息科技外包管理审批和报告流程及时进行补审批、补报告。第二十二条信息科技外包业务需求部门应负责与外包服务提供商签订书面合同。合同内容应明确服务内容、服务价格、交付要求、交付时间、知识产权、客户信息保护要求、各方权利义务、违约责任以及监管规定要求的其他内容等。第二十三条信息科技外包合作过程中，需求部门应持续监测外包过程服务水平、交付质量、验收结算情况以及风险事件等，及时发现和纠正外包开展过程中的各类异常情况，评价外包合作结果，作为后续外包合作的重要依据。第二十四条需求部门应根据合作进度，按照合同约定对交付成果完成验收后，进行费用结算，禁止未达履约进度或交付不达标时按照达标情况进行费用结算。第三节信息科技外包监控评价第二十五条外包项目实施过程中，信息科技外包执行团队根据管理需要召开与服务提供商的工作沟通例会，确认工作进展情况、产出质量情况、团队及人员管理情况等，及时发现并应对和解决存在的风险和问题。（一）业务管控：在合作过程中至少每年一次对信息科技外包的服务情况进行监督及评价，以及时发现潜在风险，并据此制定通过自有科技能力和人力资源进行临时承接的过渡方案；（二）平台管控：在业务系统有对应的日志、链路监控，以确保委托的数据：1．按照约定的目的、范围、方式等进行处理；2．采用去标识化（不应仅使用加密技术）或者匿名化等方式进行脱敏处理；（三）数据管控：对信息科技外包进行专项安全检查，以确保服务器、操作系统、数据库、应用系统等账号权限最小化。第二十六条信息安全管理（一）信息科技外包人员入场后，需求部门对外包人员进行必要的信息安全规章制度培训。（二）应要求信息科技外包人员在工作期间及离开后，必须严格遵守国家有关法律和行政法规，严格遵守与公司签署的《信息安全保密承诺函》和其他信息安全管理规定，不从事损害公司利益的活动。（三）应要求服务提供商对其派出人员遵守公司信息安全要求的情况进行管控，措施包括但不限于服务提供商与其派出人员签署保密协议、对派出人员遵守信息安全规定情况进行日常监督检查和必要的奖惩处理。同时，信息科技外包风险管理部门有责任对外包人员进行信息安全教育，并在外包人员工作全程持续进行信息安全的监督管理。（四）对涉及处理业务数据或其他保密信息的工作，原则上，承担或参与该工作的信息科技外包人员须使用公司配备的标装办公电脑。（五）信息科技外包人员在公司工作应遵守“最小授权”原则，任何特殊权限要求，由经办部门审核后提交申请，并按信息安全管理既定的审批流程处理。（六）不得允许信息科技外包人员访问公司生产系统。第二十七条信息科技外包项目涉及非驻场工作时，信息科技外包风险管理部门应：（一）严格控制非驻场工作范围，对非驻场外包服务进行实地检查，防止范围蔓延引致项目实施失控的问题或风险；（二）对非驻场部分的工作，要求服务提供商有严格的内部管控措施和机制；（三）非驻场部分的工作进展情况，对任何问题和风险均应进行及时管理。第二十八条信息科技外包项目具体实施过程中，需求部门应关注：（一）针对服务提供商特点和公司工作需要，为服务提供商工作提供有效的支持和保障；（二）监督服务提供商按照公司相关技术、管理、安全等规范和制度要求来开展工作；（三）对服务提供商产出物进行严格和及时的最终质量控制，包括但不限于组织相关人员对服务提供商交付的文档进行评审、对代码进行检视和安全扫描、对软件系统进行技术验收测试；（四）关注服务提供商关键工作人员的稳定性，对存在风险的人员，应及时安排人员调整；（五）对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。第三十条信息科技外包执行管理部门应至少每年一次或事件驱动地向业务和开发领导汇报外包项目进展，对重大问题和风险及时升级，以保障外包目标的顺利达成。第三十一条信息科技外包日常管理中，信息科技外包执行管理部门应及时从以下方面对服务提供商和人员发起评价：（一）服务商履约情况；（二）服务商人员满意度评价；（三）服务商违约或服务商人员违纪情况；（四）服务商其他突发应急事件处理情况。第四章信息科技外包风险管理第三十二条需求部门应对外包服务提供商进行入围评估。准予入围的外包服务提供商应具有稳定的经营和财务状况、提供服务的人员和能力、技术实力和服务质量、管理能力、风险应对能力、突发事件处置能力等。第三十三条根据管理需要，公司可聘请第三方机构对服务提供商开展专业风险评估，出具评估报告，并作为外包业务合作审议的决策支持。在外包服务提供商经营状况未发生重大变化的前提下，尽职调查结果原则上一年内有效。第三十四条信息科技外包合作过程中，公司应加强对信息科技外包活动风险的监测，在年度风险评估中审查信息科技外包业务、职能的履行情况，进行风险敞口分析和其他风险评估。每年至少开展一次风险评估，评估报告包括：信息科技外包战略执行情况、外包信息安全、集中度、服务连续性、服务质量、政策市场变化对外包服务的影响分析等。第三十五条对可能给业务连续性管理造成重大影响的信息科技外包业务，需求部门应当建立风险控制、缓释或转移措施，以应对信息科技外包合作突发变化对公司业务带来的不利影响。第三十六条落实网络和信息安全管理措施，包括但不限于：（一）对服务提供商和信息科技外包人员进行网络和信息安全教育或培训，增强网络和信息安全意识，服务提供商