银行运维类IT外包服务中断应急管理指引模版.docx

分行运维类ＩＴ外包服务中断应急管理细则 第一章 总则 第一条 为规范**银行分行运维类ＩT外包服务中断应急响应流程,提升分行运维类ＩT外包服务中断应急处置能力，推进分行运维类外包商提供延续、稳定的服务,有效监控分行运维类IT外包服务中断风险，依据有关中国银监会《银行业银行等金融机构信息科技外包风险监管指引》(银监发【*】5号)，**银行《**银行信息科技外包风险管理指引》（招银发【＊】2０4号）等管理制度的要求，特制订本细则。 第二条 本细则中提到的分行运维类IT外包突发事件指由于分行运维类ＩT外包服务中断而影响到分行运维类ＩT外包服务正常获取的突发事件。 第三条 分行信息技术部应参照本细则对参加分行运维类信息科技建设或拟参加分行运维类信息科技建设的外包商进行管理。 第四条 本细则所称分行运维类IT外包管理领域包括: l 分行基础设备运维类，即所有涉及客户或内部信息转移的基础设备维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管）。 l 分行应用运维类,所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动(包括托管）。 l 分行桌面运维类，所有外部服务提供商参加的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动（包括托管）。 l 运维有关咨询服务类：外部服务供应商提供或参加信息科技领域的技术支持、解决方案、评测、认证、研究等活动。 第二章 职责分工 第五条 分行信息技术部为分行运维类IT外包服务中断应急管理组织部主管部门,主要职责包括: (一) 依据有关总行外包服务年度应急演练计划安排,制订分行运维类IT外包服务中断组织级年度演练计划，组织开展应急演练； (二) 检查分行运维类IT外包突发事件应急演练及应急处置结果; 分行IT外包管理执行部门为分行运维类ＩT外包服务中断应急管理实施部门，主要职责包括为: 依据有关分行信息技术部拟定的分行运维类IＴ外包服务中断组织级年度演练计划,组织分行项目实施部门和分行运维类外包商拟定项目级应急演练计划; 组织分行运维类外包商依照应急响应预案进行应急演练,并要求其对演练结果进行总结; 第六条 汇总分行各运维类外包项目服务中断应急演练总结,编写应急演练总结报告，督促分行运维类外包商整改演练过程中发现的问题。制订分行运维类ＩT外包服务中断组织级应急响应预案。 第七条 使用运维类外包商进行分行运维类信息化建设或服务的部门为项目实施部门,其主要职责包括： (一) 协助配合分行运维类外包商制订IT外包服务中断项目级应急响应预案,确认演练的业务范围; (二) 协助配合分行信息技术部和ＩT外包管理执行部门制订IT外包服务中断项目级应急演练计划，确定演练时间窗口;进行演练并对结果进行总结； (三) 负责监督、监控分行运维类IT外包服务中断项目级应急响应过程中的业务风险在ＩT外包服务日常管理中实施外包服务中断风险监控、缓释或转移措施； (四) 发生IT外包突发事件时组织实施对事件的应急处置并对结果进行总结； 第三章 IＴ外包服务中断应急管理 第八条 为降低IT外包突发事件的可能性及影响， 项目实施部门应对业务连续性管理造成重大影响的IT外包服务在日常管理中实施外包服务中断风险监控、缓释或转移措施,包括（但不限于）以下内容: (一) 应与外包商在协议中商定在其未能提供延续服务的情形下本行拥有购买其人力、技术、设备等资源的优先权; (二) 应要求外包商拟定IT外包服务中断有关的应急处理预案，并作为协议附件(协议附件模板请参见附件一《IT外包项目服务中断应急预案(协议附件模板)》)； (三) 应为外包服务的关键角色配备相应的行内人力资源,并要求外包商预先针对非正常退出的情形购买商业保险或预支风险担保金; (四) 在外包服务实施过程中,应延续收集外包商有关信息并通知应急管理牵头部门,以便尽早发现可能致使IT外包服务中断的情形； 第九条 应急管理牵头部门应针对重要外包服务中断的场景，拟定相应的组织级应急响应预案，作为IＴ外包项目级应急管理的指导规范，预案包括(但不限于）以下内容: (一) 应急响应预案的目的、适用范围及前提假设; (二) 应急响应的组织架构及职责，包括总行应急处置领导小组、信息技术部负责人、IT外包突发事件应急组、其他应急处置支持部门等； (三) 可能致使IT外包服务中断的事件场景,包括重要人员流失致使服务无法延续，外包商主动退出,因资质变更、被收购、兼并或破产、不可抗力等原因致使的外包商被动退出,本行主动清退外包商等; (四) 应急响应流程,包括事件发现与报告、事件分析与方案拟定、处置决策、措施执行等环节，以及每个环节的工作任务描述； (五) 应急响应联系人清单。 组织级应急响应预案详细内容请参见附件二《IＴ外包服务中断组织级应急响应预案》。 第十条 针对承接多个项目的外包商,应急管理牵头部门应对其承接项目划分应急优先级。 第十一条 项目实施部门应以组织级应急预案为指导,结合项目实际情形拟定项目级外包服务中断应急响应预案,包括（但不限于)以下内容: (一) 可能致使外包服务中断的事件场景,至少覆盖组织级应急预案所列场景内容; (二) 在项目实施过程中针对外包服务中断的日常规避措施，包括本行人员职责及外包商职责； (三) 每个事件场景的应急优先级及详细应急处置措施，包括本行人员职责及外包商职责; (四) 每个事件场景的IT外包服务恢复时间目标； (五) 每个事件场景的应急审批级别、应急联络人、应急协助配合部门或第三方； (六) 项目备选外包商。 项目级外包服务中断应急响应预案模板请参见附件三《IT外包服务中断项目级应急响应预案（模板)》 第十二条 应急管理牵头部门应制订组织级应急年度演练计划，演练计划内容包括（但不限于):演练目的、演练策略、演练周期、演练方式、演练的组织、演练的评估。详细请参见附件四《IT外包服务中断应急演练计划》)。 第十三条 应急管理牵头部门应依照演练计划内容定时组织有关方对IT外包服务中断应急响应预案进行演练，演练频率和项目覆盖范围应考虑所涉及外包商的关系类型（外包商关系类型的定义请参见《**银行IT外包商关系管理指引》)： (一) 两年内履行所有重要外包商的服务中断应急演练; (二) 一年内履行所有消极淘汰外包商的服务中断应急演练; (三) 三年内履行所有高集中度外包商的应急演练，该类型外包商应全程参加演练过程; (四) 两年内履行所有行业重点外包商的应急演练; (五) 应急备选外包商应至少每年参加一次相应子领域的应急演练。 第十四条 项目实施部门应在演练终止后对演练结果进行分析总结,修正项目级应急响应预案。 第十五条 当发生ＩＴ外包突发事件时，项目实施部门应依照应急响应预案对事件进行响应及处置,应对处置过程进行完整记录,并在服务恢复后对应急处置结果进行总结分析。 第四章 附则 第十六条 本指引由**银行总行信息技术部负责说明。 附件: 附件一 《IT外包项目服务中断应急预案(协议附件模板）》 附件二 《IT外包服务中断组织级应急响应预案》 附件三 《IＴ外包服务中断项目级应急响应预案(模板)》 附件四 《IT外包服务中断应急演练计划》