（一） 对外包风险进行识别、评估与风险提示；

（二） 监督、评价外包管理工作，并督促外包风险管理的持续改善； （三） 向高级管理层定期汇报信息科技外包活动相关风险管理情况； （四） 董事会或高级管理层确定的其他信息科技外包风险管理职责。

第十五条

银行业金融机构应当在信息科技管理部门或信息科技外包活动执行部门内建立信息科技

外包管理执行团队，并配备足够人员履行以下职责：

（一） 实施信息科技外包战略；

（二） 制定并执行信息科技外包管理制度与流程；

（三） 执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略； （四） 制定保障外包服务持续性的应急管理方案，并组织实施定期演练；

（五） 对外包过程中的各项管理活动进行监控及分析，定期向信息科技及外包风险管理主管部门报告外包活动情况。

第三章 信息科技外包战略及风险管理

第一节 信息科技外包战略

第十六条

银行业金融机构应当以提升信息科技队伍能力，提高科技管理及创新水平，掌握信息科技

核心技能为目标，基于信息科技战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括：不能外包的职能、资源能力建设方案、供应商关系管理策略和外包分级管理策略。

第十七条

银行业金融机构应当根据自身信息科技战略明确不能外包的职能。涉及战略管理、风险管

理、内部审计及其他有关信息科技核心竞争力的职能不得外包。

第十八条

银行业金融机构应当根据外包战略制定资源、能力建设方案，通过补充人员、提升技能、

知识转移等方式，有针对性地获取或提升管理及技术能力，降低对服务提供商的依赖。

第十九条

银行业金融机构应当建立与自身规模、市场地位相适应的供应商关系管理策略。通过准入

和退出机制合理管控各类高风险服务提供商的数量，实现以下目标：防范行业垄断和机构集中度风险，通过引入适当的竞争在降低采购成本的同时提高服务质量，合理管控服务提供商的数量从而降低风险及管理成本等。

第二十条

银行业金融机构可以按照外包服务性质和重要性程度对服务提供商进行分级管理，对不同

级别的服务提供商采取差异化的管控措施，在有效管理重要风险的前提下降低管理成本。

第二十一条

银行业金融机构要同母公司或集团公司协同做好外包服务及服务提供商的管理工作，

但应当保持关联外包有关决策的独立性，避免因关联关系而降低外包活动的风险控制水平。

第二节 信息科技外包风险管理

第二十二条 银行业金融机构信息科技外包风险管理部门应当至少每年开展一次全面的外包风险管理评

估，保持评估的独立性，并向高级管理层提交评估报告。评估内容包括：信息科技外包战略执行情况、外包信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对外包服务的影响分析等。

第二十三条 银行业金融机构应当对重要的外包服务提供商进行定期的风险评估，保持评估的独立性。

至少在三年内覆盖所有重要的服务提供商。评估内容包括：服务提供商合规情况、服务的执行效果等，评估结果应当作为服务提供商准入及退出的重要依据。

第二十四条 银行业金融机构内部审计部门应当定期开展信息科技外包风险管理审计工作，至少每三年

对重要的外包服务活动进行一次全面审计。发生外包风险事件后应当及时开展专项审计。

第四章 信息科技外包管理

第一节 外包风险评估及准入

第二十五条 外包项目立项前，银行业金融机构应当审慎检查项目与信息科技外包战略的一致性，根据

项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处置措施，不因外包活动的引入而增加整体