信息科技外包风险管理办法

文件编号： RM-MAN-2023-07
密级： 内部使用
签发部门： 风险管理部 & 信息科技部
生效日期： 2024年1月1日

---

第一章 总则

第一条 目的
为规范本行信息科技外包活动，有效识别、评估、监控和控制信息科技外包风险，确保外包服务商提供的服务质量和安全水平符合本行要求，维护本行业务连续性和数据安全，依据《银行保险机构信息科技外包风险监管办法》及本行《信息科技风险管理政策》制定本办法。

第二条 外包风险定义
信息科技外包风险是指在信息科技外包服务过程中，由于外包服务商的专业能力不足、操作失误、管理疏忽、安全漏洞，或因本行对外包活动管理不善，可能导致的业务中断、财务损失、数据泄露、客户权益受损、声誉风险或监管处罚等风险。

第三条 适用范围
本办法适用于本行所有信息科技外包活动，涵盖从外包战略制定、服务商尽职调查、合同签订、日常监控到合同终止的全过程。外包范围包括但不限于：应用开发、系