第一章  总 则

第一条  为加强学校信息科技外包管理，强化信息科技外包管理意识，规范信息科技外包管理工作，根据信息科技外包管理相关要求，建立本办法。

第二条  信息科技外包管理制度描述了信息科技外包管理体系的架构及建设方法，阐明职工应遵循的信息科技外包政策，以及在信息科技外包工作规划、实践与持续改进过程中所扮演的角色及承担的责任。

第三条  本办法适用于全校，包括网络与教育技术中心，以非驻场形式实施信息科技外包活动涉及系统的业务主管部门（以下简称“外包项目主管部门”）。

第四条  信息科技外包是指将原本由自身负责处理的信息科技活动委托给外包商进行处理的行为，包含项目外包、人力资源外包等形式。除特殊说明外，下文中提出的“外包”均指代“信息科技外包”。外包主要包括以下类型：

（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；

（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包等远程终端及办公设备的运维外包；

（三）业务外包中的信息科技活动。

第五条  机构集中度风险指将信息科技外包服务集中交由少量外包商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第六条  非驻场外包指服务提供商不在学校现场提供服务的外包形式。

第七条  非驻场集中式外包是指外包服务商不在学校提供现场服务，或外包的关键基础设施和信息系统不在学校产权场所，由学校以租用设施或购买服务资源的方式获得，主要由外包服务商运维，并且外包服务商同时为3家（含）以上教育机构或其他机构提供服务的外包方式。

第八条  同业托管机构指作为外包商为其他同行业教育机构提供信息科技外包服务的学校教育机构。

第九条  重点外包服务机构指集中为学校提供外包服务，同时满足下述条件，如其外包服务失败可能导致学校大面积数据损毁、丢失、泄露或信息系统服务中断，造成经济损失的机构。

第十条  重要信息科技外包服务除包括本办法第四条中提到的服务外，还包括：

（一）信息科技工作整体外包；

（二）数据中心或灾备中心整体外包；

（三）涉及将我校敏感信息交由外包商进行分析或处理的信息科技外包；

（四）非驻场形式实施的，集中存贮学生数据的业务交易系统外包；

（五）关联外包；

（六）涉及跨境的信息科技外包；

第十一条  重要信息科技外包服务提供商指提供重要信息科技外包服务的外包服务提供商。

第十二条  信息科技外包管理应避免如下风险：

（一）科技能力丧失：学校过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；

（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；

（三）信息泄露：包含学生信息在内的学校非公开数据被外包商非法获得或泄露；

（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得学校科技服务水平下降。

第十三条  在实施信息科技外包时应当坚持以下原则：

（一）以不妨碍核心能力建设、积极掌握关键技术为导向；

（二）保持外包风险、成本和效益平衡；

（三）强调外包风险的事前控制，保持管控力度；

（四）根据外包管理及技术发展趋势，持续改进外包策略和措施。

第十四条  根据学校信息科技战略，涉及学校战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不能外包。学校信息科技管理责任不能外包。

第十五条  信息科技外包重大事件主要包括：

（一）学校用户信息等敏感数据泄露；

（二）数据损毁或重要业务运营中断；

（三）由于不可抗力或外包商重大经营、财务问题，导致或可能导致多家学校外包服务中断；

（四）其他重大的外包商违法违规事件；

第二章  信息科技外包管理组织架构及主要职责

第十六条  学校信息科技外包管理组织包括领导层和执行层。领导层为学校网络安全与数据安全领导小组，执行层建立信息科技外包管理执行团队（以下简称“执行团队”），执行团队成员包括网络与教育技术中心、外包项目主管部门。

第十七条  执行团队应配备足够的人员履行以下职责：

（一）实施信息科技外包战略；

（二）制定并执行信息科技外包管理制度与流程；

（三）执行供应商准入、评价、退出管理，建立并维护供应商关系管理策略；

（四）制定保障外包服务的应急管理方案，并组织实施定期演练；

（五）对外包过程中的各项管理活动进行监控及分析，定期向信息科技外包风险管理主管部门报告外包活动情况。

第十八条  网络与教育技术中心是执行团队的牵头部门，是信息科技外包管理成功实施的关键，是衔接领导层与执行层其他部门的核心枢纽，主要职责包括：

（一）协助主管校长准备网络安全与数据安全领导小组议题，确保各项外包事项的落实，向网络安全与数据安全领导小组报告外包管理实施进度及发生的重大事件；

（二）监督、回顾、总结所有网络安全与数据安全领导小组关于信息科技外包管理决议的执行情况；

（三）负责发布委员会关于信息科技外包管理的决策和公告，推动、落实信息科技外包管理改进计划；

（四）实施信息科技外包战略，制定信息科技外包管理相关政策，制定、执行信息科技外包管理制度及流程落实，并定期复查；

（五）维护信息科技外包管理体系，保证信息科技外包管理体系的更新，确保相关政策、标准、措施、操作规则的文档化以及相关人员能查阅到这些文件；

（六）承担信息科技外包管理执行团队主要职责，负责具体落实信息科技外包风险管理政策制度；

（七）落实信息科技外包各项管控措施，对信息科技外包进行监测，制定并落实信息科技外包问题的整改；

（八）负责签订学校信息科技外包合同；

（九）为业务主管部门提供信息科技外包管理的指导和技术支持；

（十）负责根据监管要求向山东网信办报送德州学院信息科技外包事项；

（十一）负责其他信息科技外包管理工作。

第十九条  外包项目主管部门作为非驻场外包实施的管理部门，对涉及的信息科技外包负有管理职责，主要包括：

（一）定期对信息科技外包执行情况进行评价，回顾并总结信息科技外包管理工作的执行情况，根据要求向网络与教育技术中心报送相关材料；

（二）及时向网络与教育技术中心报送信息科技外包重大事件，并配合做好相关处置工作；

（三）强化自身信息安全意识，加强学习，提升信息科技外包管理水平。

第三章  外包风险评估与准入

第二十条  外包项目立项前，应当审慎检查项目与信息科技外包战略的一致性，根据项目内容、范围、性质对其进行风险识别和评估，制定相应的风险处置措施，不因外包活动的引入而增加整体剩余风险。重大外包项目应向网络安全与数据安全领导小组报告。

第二十一条  应当根据供应商关系管理策略，结合风险评估结果及服务提供商的准入标准，对备选服务提供商进行初步筛选，防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商。

第四章  服务提供商尽职调查

第二十二条  对重要的服务提供商，在与其签订合同前应当深入开展尽职调查，必要时可聘请第三方机构协助调查。

第二十三条  在尽职调查时应当关注服务提供商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等。

第二十四条  在尽职调查时应当关注服务提供商的内部控制和管理能力，包括但不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具等。

第二十五条  在尽职调查时应当关注服务提供商的持续经营状况，包括但不限于：从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。

第二十六条  应当对非驻场集中式外包服务商开展全面深入的尽职调查，除本章上述条款要求的尽职调查内容以外，对社会类机构和提供外包服务未满3年的教育类机构应当重点调查如下内容：

（一）外包服务商对本机构与其他机构的设施、系统和数据是否有明确、清晰的边界；

（二）外包服务商是否有管理制度和技术措施保障本机构数据的完整性和保密性；

（三）外包服务商对设计本机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限；

（四）外包服务商是否拥有或可能拥有业务系统的最高管理权限，外包服务商是否拥有或可能拥有业务系统的访问权限，是否能够浏览、获取用户敏感信息；

（五）外包服务商是否有完善的灾难恢复设施和应急管理体系，对关键基础设施和信息系统运行是否有业务连续性安排；

（六）外包服务商是否知晓并遵从了教育相关监管法规要求。

第二十七条  对于关联外包，不得因关联关系而降低对服务提供商的要求，应当在尽职调查阶段详细分析服务提供商技术、内控和管理水平，确认其有足够能力实施外包服务、处理突发事件等。

第二十八条  学校可以委托第三方机构开展尽职调查，或者采信其他学校对同一外包商6个月内的尽职调查结果。

第五章  外包服务合同及要求

第二十九条  在实施外包服务项目前，应当与服务提供商签订服务合同。合同应当根据外包服务需求、风险评估及尽职调查结果确定详细程度和重点。

第三十条  在合同或协议中应当明确以下内容，包括但不限于：

（一） 服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件；

（二） 合规与内控要求，对法律法规及学校内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施；

（三） 服务连续性要求，服务提供商的服务连续性管理目标应当满足学校业务连续性目标要求；

（四） 学校监控和检查的权利、频率，服务提供商配合其内、外部审计机构检查，及配合学校业监管机构检查的责任；

（五） 政策或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处置等过渡期间相关服务的安排；

（六） 外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求；

（七） 服务要求或服务水平条款，至少应当包括如下内容：外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等；

（八） 争端解决机制、违约及赔偿条款，至少包括如下内容：服务质量违约、安全违约、知识产权违约等，及在各种违约情况下的赔偿以及外包争端的解决机制；

（九） 报告条款，至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

第三十一条  应当在合同或协议中明确服务提供商在安全和保密方面的责任，以及针对安全及保密要求需采取的具体措施。包括但不限于：

（一） 禁止服务提供商在合同允许范围外使用或者披露学校的信息，以防止信息被非授权使用；

（二） 在合同或协议中约定服务提供商对学校用户信息安全和学校用户权利的保护条款、事故处理方式及违约赔偿条款；

（三） 在合同或协议中约定服务提供商不得以所服务的学校名义开展活动；

（四） 服务提供商接触学校信息时，需满足安全和保密相关条款的要求；

（五） 在发生教育部规定的信息科技突发事件，或发生可能引发系统性、区域性学校信息科技风险类突发事件时，服务提供商应及时向学校报告，包括事件的影响以及处置和纠正措施。

第三十二条  应当在合同或协议中明确要求服务提供商不得将外包服务转包和变相转包。在涉及外包服务分包时应当要求：

（一） 不得将外包服务的主要业务分包；

（二） 主服务提供商对服务水平负总责，确保分包服务提供商能够严格遵守外包合同或协议；

（三） 主服务提供商对分包商进行监控，并对分包商的变更履行通知或报告审批义务。

第三十三条  非驻场集中式外包合同除应满足本章上述要求外，还应当在合同中书面明确：

（一）外包服务商应当遵从教育相关法律法规；

（二）外包服务商应当承诺接受教育监督管理机构的监督检查；

（三）外包服务商应当承诺接受学校安排的风险评估或审计；

（四）外包服务商对学校提供的服务资源应当至少与其他机构相互逻辑隔离，仅学校具有对业务系统和数据的最高访问权限；

（五）未经同意，外包服务商不得将本机构数据以任何形式转移、挪用或为外包服务商自身谋取利益。

本条（一）、（二）款仅适用于社会类机构外包合同。

第六章  外包服务安全管理

第三十四条  应当制定和落实信息安全管控措施，防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险。具体措施包括：

（一） 对外包人员进行信息安全培训，提高风险管理意识，确保信息安全管控措施在外包服务过程中有效落实；

（二） 明确外包活动需要访问或使用的信息资产，包括场地、办公设施、计算机、服务器、软件、数据、信息、物理访问控制设备、账号、网络宽带、网络端口等，按“必需知道”和“最小授权”原则进行访问授权；

（三） 对重要或核心的信息系统开发交付物进行源代码检查和安全扫描；

（四） 定期对服务提供商进行安全检查，获取服务提供商自评估或第三方评估报告。

第三十五条  对关联外包服务提供商定期进行的安全检查，不得以服务提供商的自评估替代，不得因关联关系而影响检查的独立性、客观性及公正性。

第三十六条  应当关注外包服务引入的新技术或新应用对现有治理模式及安全架构的冲击，及时完善信息安全管控体系，避免因新技术或应用的引入而增加额外的信息安全风险。

第七章  外包服务监控与评价

第三十七条  应当对外包服务过程进行持续监控，要求服务提供商建立阶段性服务目标及任务，并跟踪任务的执行情况，及时发现和纠正服务过程中存在的各类异常情况。

第三十八条  应当根据信息科技外包需求、合同、服务水平协议等建立明确的服务质量监控指标，并进行相应监控。常见指标包括：

（一） 信息系统和设备及基础设施的可用率、设备的开机率；

（二） 故障次数、故障解决率、故障的响应时间；

（三） 服务的次数、用户满意度；

（四） 各阶段业务需求的及时完成率、程序的缺陷数、需求变更率；

（五） 外包人职工作饱和率、外包人员的考核合格率。

第三十九条  应当建立明确的服务目录、服务水平协议以及服务水平监控评价机制,并确保外包服务监控基础数据和评价结果的真实性和完整性，且数据至少需保存到服务结束后一年。

第四十条  应当对服务提供商的财务、内控及安全管理进行持续监控，关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况，防范外包服务意外终止或服务质量的急剧下降。

第四十一条  监控到异常情况时，应当及时督促服务提供商采取纠正措施，情节严重的或未及时纠正的，应当约谈服务提供商高管人员并限期整改。

第四十二条  外包服务结束时，应当对服务提供商进行评价，评价结果应当作为服务提供商准入的重要参考依据。

第八章  外包服务中断与终止

第四十三条  应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性地完善业务连续性管理计划，包括但不限于：

（一） 识别出重要业务所涉及的服务提供商和资源；

（二） 通过合同、协议等形式明确要求服务提供商提前准备并维护好相关资源；

（三） 对服务提供商业务连续性管理进行监控，并评价其管理水平；

（四） 在进行业务连续性计划演练时将相关的服务提供商纳入演练范围。

第四十四条  为降低外包突发事件的可能性及影响，当事先对业务连续性管理造成重大影响的外包服务建立风险控制、缓释或转移措施，包括但不限于以下内容：

（一） 在外包服务实施过程中持续收集服务提供商相关信息，尽早发现可能导致服务中断的情况；

（二） 与服务提供商事先约定在其服务质量不能满足合同要求的情况下获取其外包服务资源的优先权；

（三） 要求服务提供商制定服务中断相关的应急处理预案，如提供备份人员；

（四） 对于涉及重要业务的外包服务，需考虑预先在其内部配置相应的人力资源，掌握必要的技能，以在外包服务中断期间自行维持最低限度的服务能力。

第四十五条  应当针对重要外包服务中断的场景，拟定相应的应急计划，并定期进行演练，考虑因素包括但不限于以下内容：

（一） 事件场景，如重要人员流失导致服务无法持续，服务提供商主动退出，因资质变更、被收购、兼并或破产等原因导致的服务提供商被动退出等；

（二） 事件持续时间和恢复可能性；

（三） 事件影响范围和可能的应急措施；

（四） 服务提供商自行恢复服务的可能性和时间；

（五） 备选的服务提供商以及外包服务迁移方案；

（六） 外包服务过渡给学校自行运作的可能性、时效及资源需求。

第四十六条  对于无法满足外包服务要求或发生重大事件的情况，应当在充分评估其影响及制定退出计划的前提下，考虑主动要求服务提供商终止服务，情节特别严重的，可考虑取消准入资质，并报监管机构申请对其备案。对于关联外包，不得因为关联关系而影响服务提供商退出机制的落实。

第九章  重点外包服务机构管理

第四十七条  应根据监管机构发布的重点外包服务机构风险提示，审慎选择外包商，并按照如下要求进行管理：

（一）重点外包服务机构应当是中华人民公共和国境内注册的独立法人实体，注册资本和实收资本不少于1000万，注册成立时间不少于3年。

（二）重点外包服务机构应当拥有健全的组织架构，并针对所提供的外包服务建立有效的风险治理架构，至少应当建立由分管校长直接领导、针对学校金融机构外包服务的专职信息科技风险管理团队，为持续的外包服务提供保证。

（三）重点外包服务机构应当建立与所承担的服务范围和规模相适应的服务管理体系，建立完善的信息安全、服务质量、服务持续性等管理制度体系，拥有有效的检查、监控和考核机制，确保管理规范有效执行。

（四）重点外包服务机构应当具有足够的技术能力、人力资源和设施、环境，满足外包服务的质量和安全管理要求。重点外包服务机构承担的学校外包服务场地应当设置在中国境内。

第四十八条  重点外包服务机构应具有以下相关领域资质认证：

（一）具有完善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

（二）具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证。

（三）承担学校数据中心、灾备中心机房及基础设施外包服务的教育重点外包服务机构，其机房及基础设施应当达到国家电子计算机机房最高标准。

（四）承担集中存贮用户数据的业务交易系统外包服务，或承担学校用户资料、交易数据等敏感信息的批量分析或处理服务的重点外包服务机构，应当具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。

第四十九条  学校重点外包服务机构应当至少每季度向执行团队报送外包风险监控报告，针对监控发现的潜在风险或风险事件，及时采取控制或缓释措施。

第十章  非驻场外包管理

第五十条  由于学校不能对非驻场外包商内部控制进行直接管控，应当在信息安全、知识产权保护、质量监控、法律合规等方面加强对服务提供商的管理。

第五十一条  应建立针对非驻场外包服务内部控制要求的最低标准，该标准应当作为选择服务提供商的最低要求。

第五十二条  应当对重要的非驻场外包服务进行实地检查。实地检查原则上一年不少于一次，检查结果作为外包服务提供商项目考核及准入的重要指标。

第五十三条  学校可以采信监管机构对外包服务商在12个月内的评估、审计或检查结果，不再重复安排外部评估、审计或检查。

第五十四条  应当加强对外包服务提供商非驻场外包服务的内部控制、质量管理、信息安全的有效性评估，评估结果作为供应商准入的重要依据。对于高风险的服务提供商，应责令其限期整改，对于逾期未改的服务提供商应当暂停或取消其服务资格。

第五十五条  对于非驻场外包服务提供商为同业托管机构的情况，可以参照本章内容对其进行外包管理，但同业托管机构须将为其他同行业金融机构提供的信息科技外包服务视同自身信息科技服务的重要组成部分，不得区别对待，降低对自身提供外包服务的管理水平。

第五十六条  学校开展非驻场集中式外包活动，应当经过审慎、充分的风险评估，形成书面风险评估报告，并报送网络与教育技术中心，非驻场集中式外包决策应当经过学校网络安全与数据安全领导小组的书面批准。

第五十七条  同等条件下，非驻场集中式外包服务应当优先选择学校类机构或主动申请接受监管评估和监督检查的社会类机构。

第十一章  报告管理

第五十八条  学校开展信息科技外包服务时，应当在外包合同签订前二十个工作日向教育厅或其派出机构报告。上述服务属于非驻场集中式外包服务的，报告内容应当还包括尽职调查报告和风险评估报告。

第五十九条  学校应要求重点外包服务机构每年聘请独立的审计机构，对自身外包服务进行风险评估，年度风险评估报告需报送学校，学校应按时报送教育厅或其派出机构。

第六十条  学校信息科技外包活动中发生信息科技外包重大事件时，应当在两个工作日内向教育厅或其派出机构报告。

第十二章  附 则

第六十一条  本办法由学校网络安全与数据安全领导小组负责解释、修订。

第六十二条  本办法自印发之日起执行。

德州学院网络安全与信息化领导小组办公室

网络与教育技术中心（代章）

                  2024年1月12日