银行跨银行现金管理产品实施运维安全管理办法(修订稿-含外包)模版.docx

资源描述

1、*银行跨银行现金管理产品实施运维安全管理办法第一章总则第一条为规范全行跨银行现金管理产品实施运维的安全管理,依据有关*银行跨银行现金管理业务管理办法、*银行信息安全和保密管理规定、*银行信息科技外包风险管理指引及有关规定，特制订此办法。第二条本办法所称的跨银行现金管理产品包括标准版、定制版以及附属的跨银行交换中心等。其中，定制版包括（但不限于)集团财资管理平台（MS）、跨境资金管理平台(CBS-T）、海关资金管理系统CBS、住房公积金管理系统CB等产品。第三条本办法中所规范的实施运维工作，是指客户申请我行跨银行现金管理产品C后，在项目管理过程中,所开展的项目实施、故障处理、使用指导、升

2、级维护、系统安全保障、项目个性化开发等工作。第四条跨银行现金管理产品CS的实施运维安全管理工作，主要由总行信息技术部、总行交易银行部、分行信息技术部、分行交易银行部(公司银行部）以及运维外包供应商共同参加管理。第五条本办法中所指C实施运维团队,主要为总行CBS运维中心、分行CBS项目组中负责实施运维的成员、总行建立并派驻异地外包运维人员以及分行依据有关总行规定建立的分行外包运维人员。第六条本办法适用于全行运维团队以及外包运维服务活动，各分行应依据有关本办法要求开展CBS运维外包管理工作,并可依据有关本办法所有要求,拟定相应实施细则或工作流程。第七条 CBS实施运维工作涉及客户及我行重要商

3、业秘密信息,应严格依照*银行信息安全和保密管理规定做好信息安全和保密工作。第二章职责分工第八条总行信息技术部的职责包括:(一)负责拟定运维安全管理办法，组织全行开展实施运维工作;（二)负责结合全行跨银行现金管理业务发展，筹建覆盖全行的CS实施运维团队,建立实施运维体系、安全规范管理等。(三）建立总行C运维中心，负责总行托管环境运维工作,以及管理规范分行非托管环境运维工作；(四)负责第三方运维外包供应商的准入管理、尽职调查、评估、退出管理;(五)负责管理全行CB实施运维团队，监督分行运维团队及外包运维人员运维工作,并对违规情形进行调查和认定。（六)负责对全行外包运维人员的工作绩效进行季度考

4、核。第九条总行交易银行部的职责包括：（一)负责参加全行CS实施运维体系建设规划与统筹沟通协调；(二）负责依据有关业务推广需要调度和使用总行建立的CBS实施运维外包资源，及时受理总行有关部门以及分行运维外包资源调度申请；(三)负责对全行实施运维团队的绩效进行评估和建议或意见反馈;(四)负责指导、管理分行对运维违规情形的处理工作；协助分行对外包服务商违规行为进行调查、认定及处理;负责监督分行运维团队及外包服务商违规行为，并参加对违规情形进行调查和认定。第十条分行信息技术部的职责包括:(一）负责建立以行内职工或员工为主分行CB实施运维团队,保障业务发展需要;（二）负责依据有关总行规范选择本地运维

5、外包供应商; （三）负责对总行信息技术部派驻分行的运维外包资源以及分行自建的外包资源进行日常管理；（四)负责协助配合分行交易银行部,与总行派驻外包运维人员共同承担跨银行现金管理项目的实施上线、客户培训以及系统运行维护工作;对于非托管项目，负责客户现场生产环境的实施及运维管理；（五)负责对客户个性化需求包括报表需求，按总行开发管理规范提供个性化开发支持；(六）负责按总行运维安全管理要求，对总行派驻外包运维人员的实施运维工作进行安全管控,协助对违规情形进行调查和认定。第十一条分行交易银行部（公司银行部)的职责包括:(一）使用分行运维团队进行CBS项目的实施和运维；（二)负责对总行派驻分行外包运

6、维人员进行业务培训、向总行定时反馈派驻人员的工作情形;（三）负责协助配合分行信息技术部选择合适的外包供应商；（四)负责对分行运维团队进行评估；(五)协助分行信息技术部对总行派驻外包运维人员的客户现场实施运作工作进行安全管控，协助对违规情形进行调查和认定。第十二条为确保运维安全，分行运维团队核心骨干成员需由行员编制成员承担,具备专业的技术能力和业务能力对外包团队进行管理和使用;分行自建的外包团队成员不得低于总行派驻分行的外包运维人员数量,否则需要取得总行交易银行部认可。总行交易银行部有权依据有关全行业务需要,紧急抽调派驻分行的外包运维资源进行全行范围协同。第十三条对于定制版、非托管等S项目分

7、行需配备3人以上的开发运维人员,负责个性化需求开发、内部系统接口开发等工作。不得安排第三方外包运维人员或非招行人员负责、参加开发工作。第十四条分行运维团队的开发人员需要具备报表及客户端代码、直联接口、P接口开发能力;运维人员需要具备服务器安装部署能力、熟练掌握直联实施部署能力。第三章实施运维工作流程第十五条系统实施(一)对于新开通CBS项目，工作流程包括项目前期的筹备、客户使用培训、程序安装、基础数据初始化、客户个性化参数设置，各银行银企直联的协助开通、直联前置机部署、直联的安装调试，以及系统上线试运行的现场支持等工作。详尽工作内容参照附件1CBS实施运维手册执行。（二)对于非托管项目

8、,在上述工作流程之前，还包括客户生产环境有关软硬件、网络筹备的协助支持和安装部署，以及系统后台服务程序的部署等工作。第十六条使用支持对客户的系统使用提供支持,包括操作讲解、使用咨询、问题解答、程序更新、协助进行数据维护等工作,对客户提出的系统改进需求予以处理和答复。第十七条故障处理对客户在系统使用过程中出现的故障进行处理，对故障进行现场解决，或协助总行B运维中心进行故障定位、跟踪和反馈,对于银企直联问题涉及到对方银行的，还需要与对方银行沟通协调沟通。对于非托管项目,还需要对生产环境软硬件的故障进行处理。第十八条更新发布在系统有新版本发布时，需要协助客户履行程序更新,并进行有关更新功能的介

9、绍;如涉及到该客户的升级需求，在上线之前的AT阶段,需要对有关功能进行UAT测试。对于非托管项目，需要严格按总行的说明和指导进行客户生产环境的更新发布,并在发布履行后进行有关验证。第十九条沟通机制分行运维团队要与总行CS运维中心建立良好的沟通机制,重要的实施或运维行动要提前通知,在实施运维工作中保持密切联系，并做好客户的沟通协调工作，以便对客户提供及时高效率的运维服务。第二十条培训指导对新上线项目、新版本新功能发布以及客户提出在协议范围内的培训要求,进行及时培训支持。第二十一条需求管理项目推进过程中收集到的客户反馈的系统优化需求,首先依据有关客户需求分析判断，属于培训指导能够解决的需求

10、,直接负责处理。属于需要进行开发实现的提交总行进行需求评估，属于通用类功能总行统一规划版本进行开发，属于个性化功能由分行运维团队负责开发。第二十二条个性化需求开发经总行评估需要分行运维开发人员进行个性化开发的需求,由分行参照总行开发流程，自行进行开发的流程管理和监控,需要合并代码的ST测试和UAT测试由总行统一安排,其他类型需要分行严格执行测试流程和步骤,保障分行开发代码的质量和稳定性。第四章实施运维保障措施第二十三条岗前培训(一)新建运维团队或新人上岗前，必须进行系统的实施运维培训,认真学习CBS实施运维手册及其有关文档。(二)模拟操作,各分行实施运维人员需要在总行提供的演示环境中操作

11、，熟练掌握实施流程和步骤。尤其是银企直联实施，每次实施前必须进行上机模拟操作。(三)分行可申请总行BS运维中心进行远程培训,或者赴总行CS运维中心进行现场培训指导。（四)对于非托管项目,要求分行技术人员必须赴总行进行服务器部署的现场培训，并在分行搭建模拟环境进行演练操作。第二十四条过程监控管理(一）项目实施过程。分行必须严格按总行CBS运维中心BS实施运维手册中流程执行，严格各环节的操作规范。（二）重大运维事件监控。对于重大项目的实施、重点功能的客户试用、非托管的更新升级、客户的特殊要求等较重大事件,需要总行BS运维中心进行支持的，分行运维团队必须要提前一周知会总行CBS运维中心有关人员。对

12、于客户数据维护类、数据导出类运维操作，必须严格按总行运行中心的管理流程进行申请，并依据有关总行S运维中心的处理时间做好客户沟通协调工作。第二十五条结果反馈对于需要分行操作的新银行直联或者直联新功能的测试、系统重大升级客户试点使用等运维工作,尤其是非托管项目的版本升级等工作，必须按总行B运维中心要求进行有关结果的反馈,由总行CS运维中心进行运维结果的检查,并依据有关建议或意见进行相应的调整操作。第二十六条故障处理对于客户系统使用过程中出现的故障，分行必须第一时间联系总行CB运维中心,重大故障必须赴客户现场,提供或指导客户提供有关的截图、日志等资料文件资料，协助总行B运维中心进行故障定位。对于

13、有及时解决措施的,分行需协助总行CBS运维中心进行有关措施的现场执行,并跟踪反馈故障处理结果。对于必须升级系统解决的,分行需按总行CBS运维中心提供的临时解决办法指导客户操作,并此期间做好客户沟通和沟通协调工作。有关责任认定及处罚依照*银行案件及重大安全事故处置办法执行。第二十七条升级管理(一)B版本升级后,对于包含有所属客户升级需求的,分行应及时通知客户进行程序升级,并跟踪反馈其使用情形；(二)对于CBS增加的新功能,分行应依据有关总行推广的策略进行客户推广，在给客户使用前，必须进行该新功能的学习并指导客户操作,同时提前通知总行BS运维中心进行有关开通工作。（三）对于新功能需要进行客户试点

14、，分行应按总行试点要求协助配合进行客户试点工作;（四）对于直联、RP有重大升级或者架构替换的,分行必须按总行BS运维中心的要求及安排，赴客户现场进行升级替换,并提前通知总行C运维中心进行远程指导和协助。(五)非托管项目的升级由分行自行把握，每年不少于2次。升级前分行必须进行模拟发布，确认无误后方可进行非托管客户的更新发布,并且应提前知会总行CB运维中心进行远程协助指导。发布履行后应将有关升级日志提交总行进行结果检查，并在客户开始使用后的前几天进行现场支持,出现问题及时处理，以保证系统的稳定运行。(六)TMS项目的升级维护开发由分行承担,上线发布必须严格按总行项目管理的流程进行操作，托管的项目由

15、总行CB运维中心进行发布操作，分行开发人员协助并进行验证。第二十八条运行监测（一）对于托管项目，总行S运维中心会定时进行监测,检查风险隐患。对于直联前置不稳定、直联故障指令较多、支付失败较多等问题较多的客户,分行应协助配合总行B运维中心进行问题定位,并按总行的要求或建议措施指导客户进行整改。(二)对于非托管项目,分行应按总行CBS运维中心要求定时进行监测检查,反馈检查结果，并依据有关总行的检查建议或意见进行改进。（三）总行、分行信息技术部应该对系统出口、入口的网络、端口、软件接口状态以及系统交易量、交易日志等数据进行实时监控，及早发现问题隐患,降低事件发生概率，监控系统风险并拟定应急措施。

16、第五章实施运维信息安全保障要求第二十九条信息安全保密管理（一）在跨银行现金管理平台BS产品涉及客户重要的资金数据，属于重要商业秘密。保密等级为“商业秘密一级”,对于行员泄密事件均依照*银行信息安全保密管理规定处置，对于外包运维人员泄密事件,依据有关责任认定追究各环节人员及公司的法律责任。（二)CB实施运维团队成员及有关人员,均需要签署保密协议和竞业限制协议，加强实施运维要害岗位工作人员的信息安全管理。（三)因为项目实施、故障处理、客户维护等原因，需要接触或处置客户数据的,必须双人以上在场处理。并征得客户同意,要求客户知情、在场、限时的情形下进行操作处理。尽量留存法律认可的客户授权证据,包括

17、（但不限于）书面授权资料文件、正式邮件、授权许可的录像、录音资料文件等。（四)短暂持有涉密数据期间,严禁擅自复制、篡改,严禁向任何第三方提供。如直联日志、统计报表、交易数据等,必须在运维终止时,当场删除或销毁数据，不得留存副本。(五)客户提供的临时性操作用户及密码，包括(但不限于)系统登录、直联前置登录、数据库登录、进行配置登录的用户和密码,临时用户的权限应依据有关“必须知道”和“最小授权”的原则进行分配。必须在运维操作终止时主动要求客户更换、冻结用户或进行密码变更。不得在客户不在场的情形下使用任何客户提供的有关用户密码进行登录处理，客户知情且授权情形下除外。（六）对于B正常的业务数据的内部统

18、计分析,需考虑客户信息安全。在数据加工时要进行敏感信息屏蔽、筛选、剔除等操作,确保统计分析结果不暴露客户隐私和商业秘密。在统计分析结果使用时，要进行范围监控、授权管理、只读、不得下载利用等操作,确保分析结果的受限查阅。对分行申请提供的业务数据统计结果,只提供最终汇总数据及百分比数据,不得提供可直接推算和拆分出客户敏感数据的结果。最终数据的说明和提供权为总行交易银行部所有。第三十条 inese的管理客户生产环境的icse资料文件，为CS客户端程序重要的身份认证、办公地址识别、运行安全监控资料文件。错误的安装和使用将致使,无法正常登录。分行运维人员不得复制、占有或挪作他用。尤其在项目开通时licn

19、ese资料文件的下发和系统管理员初始密码的下发必须不同渠道独立发送，不得由我行同一人员送达。第三十一条银企直联安全管理银企直联实施和运维包括，直联前置程序的安装、参数的配置、直联指令的调试以及日志分析等工作。(一)在有关的实施运维工作中，应要求客户方人员进行陪同操作或在对方机房监控区域操作，避免事故追责认定为我方人员单方面行为。对于接触到的前置机用户和密码、直联前置程序用户和密码、进行直联参数配置的CBS用户和密码、各银行UY的密码必须严格保密及处置，未能擅自留存记录。有条件进行更改密码的,有关工作履行后应提醒客户进行密码的更改。（二）在直联正式环境中进行调试时，应该指导用户进行对应业务指

20、令的发送,尤其是涉及到支付指令的操作，不得由我行运维人员自己操作。正式使用系统时，如有支付业务,务必建议客户先选择金额较小的业务进行支付以防止意外。(三)在进行直联的故障分析时,如必须要对交易日志进行分析或提供总行CBS运维中心时，应该依照日志查询的有关流程进行审批，确保该日志资料文件不会外传。运维终止后,必须销毁流转的日志资料文件。不得擅自拷贝前置机的日志资料文件或保留副本。（四)直联实施履行后，必须按总行C运维中心提供的直联安全管理文档，对客户进行直联安全管理的培训。第三十二条 RP对接安全管理ERP对接的实施运维包括,中间数据库以及有关表的建立、相应数据对接的开通及参数配置、与客户软件方

21、的调试以及将来出现问题的处理。在实施运维工作中,需要对中间数据库表进行查询或更改操作时,必须要求客户方人员在场,对于查询出来的数据不得外传,维护履行后必须销毁，对于更改操作，必须进行记录并报备。第三十三条非托管项目的安全管理非托管项目由于生产部署在客户方，并且由分行运维人员进行日常运维，因此需要对生产环境进行严格的管理。（一)对于服务器的部署以及版本升级的上线发布,必须严格按总行CBS运维中心的要求和指导进行操作,同时在操作履行后必须提供有关日志给总行CBS运维中心进行检查；(二)对于故障运维,如涉及到要对生产环境的软硬件或者数据进行维护时，必须请示总行CB运维中心,由总行CBS运维中心进行

22、分析决策,并依照分行信息科技部拟定的变更管理流程指导分行进行操作，每次维护必须进记录,并把维护内容以及结果反馈给总行BS运维中心。（三）为最大化降低我方或有责任,运维团队在客户现场进行运维操作时,应严格遵守客户现场的管理要求，由客户方人员陪同,并提供有关维护内容。第六章运维外包管理第三十四条运维外包策略(一)跨银行现金管理产品运维外包应严格依照总行信息科技外包管理策略执行，对于涉及我行战略管理、风险管理、内部审计以及核心竞争力的职能不得进行外包，。实施运维工作中的涉及的关键岗位、流程、环节都不进行外包，包括(但不限于)挖掘客群价值、客户经营、项目管理、产品核心功能开发、咨询顾问咨询等。（二

23、)总分行运维外包要兼顾平衡风险、成本、效益和质量，并考虑当前外包*场环境、自身风险监控能力和风险偏好，不因外包降低对我行客户的服务质量和效率。（三）分行自建运维外包团队时,优先采用驻场人力外包，尽量避免非驻场人力外包；（四)总行统一通过准入和退出机制监控银行各类高风险外包供应商的数量，防范行业垄断和机构集中度风险,通过引入适当的竞争降低采购成本、提升服务质量，同时形成备份，合理监控外包供应商的数量;第三十五条运维外包风险管理(一）运维外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理,贯穿于运维包日常管理工作中。(二)总行建立的派驻异地的运维外包团队的风险

24、管理由总行信息科技外包风险管理团队负责风险管理。分行自建的本地运维外包团队的风险管理由分行自行参照总行执行。定时风险评估内容建议包括：运维外包执行情形、外包信息安全、机构集中度、服务连续性、服务质量、政策及场变化对外包服务的影响分析等。(三）分行自行选择本地运维外包供应商，需要对外包供应商的财务、内控及安全管理状况进行延续监控。(四)延续风险管控：项目过程中总行、分行信息技术部应对运维外包进行风险评估，通过项目跟踪和适当的技术手段进行风险监控;项目过程中总行、分行信息技术部应对运维供应商的财务、内控及安全管理进行延续监控。（五)分行外包管理执行部门应当对重要的非驻场运维类外包服务进行实地检查。

25、实地检查原则上一年不少于一次,检查结果作为外包服务提供商项目考核及准入的重要指标。第三十六条运维外包供应商的准入和退出B运维外包管理团队规模、数量应与业务发展需要相适应,依照“我行为主、外包为辅”的原则，保持合理的外包资源与行内运维外包人员的占比。分行对外包供应商准入退出的管理也需要参照总行。通过准入和退出机制合理管控各类高风险服务外包供应商的数量，防范风险;通过引入适当的竞争,在降低采购成本的同时提升服务质量;合理管控外包供应商的数量,降低风险及管理成本等。(一）外包供应商准入管理总行外包供应商的准入管理，由总行信息科技外包管理执行团队参照*银行信息科技外包管理指引负责执行。分行外包供应商

26、的准入管理参照*银行分行运维类信息科技外包管理办法执行，对外包供应商开展准入信息收集,收集的信息包括(但不限于）内部监控与管理能力信息、延续经营能力信息和技术与服务能力信息。外包供应商应满足如下准入条件:1.具备符合经营专业化服务所需要的专业技术人员和管理人员；能够提供适合我行所需技术与业务发展、满足信息安全要求的服务方案;.具备健全的组织架构、内监控度和业务管理、风险监控措施,具备良好的商业信誉和社会评估；4.具备较强的项目管理水平和良好的运营管理能力。同时,分行在与重要外包供应商签订协议前，应开展尽职调查。重点关注外包供应商技术和行业经验、内部监控机制和管理流程的完善程度、突发事件应对能力

27、、内部监控技术和工具、延续经营状况,包括从业时间、*场地位及发展趋势、资金的安全性、近期盈利情形、对其他银行业银行等金融机构提供服务的情形等。(二)外包供应商退出管理总行外包供应商的退出管理,由总行信息科技外包管理执行团队负责。分行外包供应商的退出管理，应参照总行规范建立外包供应商退出机制，主动终止与服务质量不达标外包供应商外包合作关系,不再与其开展新的外包合作。对于现有运维外包项目,应启动项目应急预案，并寻求尽速替代。存在以下情形之一的外包供应商，应主动退出与其合作：1. 严重违反国家法律、法规和监管要求的；2. 严重违约、擅自变更或者终止已生效协议的；3. 泄露我行商业秘密、技术秘密等非公

28、开信息的；4. 侵犯我行知识所有权的；5. 故意提供虚假资质材料、隐瞒真实情形的；6. 信誉和财务发生严重危机的；7. 提供的运维服务出现重大问题，并造成不良后果的；8. 中标后无正当理由拒绝签订协议的;9. 经营条件发生变化，无法继续提供符合标准的服务;10. 对服务质量进行检查,连续3次未能达到服务标准;11. 其他可能严重影响我行声誉以及给我行带来风险或损失的情形;12. 外包供应商评估连续两年为“差”;13. 总行信息科技外包管理执行团队认定的其他情形。第三十七条运维外包项目管理总行外包项目的建立和决策，由总行信息科技外包执行团队依据有关总行交易银行部的业务规划和实际需要建立。分行开

29、展运维外包前,分行信息技术部应将外包项目申请表(详见信息科技外包风险管理指引附件）和详细实施方案(包括技术可行性分析、外包风险评估与处置分析内容)，提交总行信息技术部审批。 (一)协议管理分行实施运维外包服务前，分行应与外包供应商签订协议,协议条款应经由分行法律与合规部审核。对我行已拟定外包协议标准文本模板的，原则上应使用我行标准协议文本模板,对我行协议标准文本条款的修改,应报送法律与合规部审查。详细协议内容要求以及应明确的安全保密责任,参照信息科技外包风险管理指引执行。（二)总行BS运维中心的建立总行CB运维中心由总行CB运维组及派驻分行的异地外包运维团队构成;派驻分行的异地外包运维团队采取

30、双线管理模式。由总行运维组进行整体的工作分配及有关培训，由所在分行对外包人员直接管理及详细工作安排。由分行技术部人员进行详细的日常管理,包括考勤座位场地的安排、机器的提供等等;由分行交易银行部依据有关流程进行详细外包运维工作的安排。各分行依据有关自身情形,业务和技术部门自行商定申请使用的流程。如需要总行提供的支持,如外包邮箱申请等等，由分行向总行运维中心进行申请。(三）分行运维团队的建立分行运维团队是CBS项目组建员中专职实施运维的团队,其中包括分行信息技术部运维人员、分行自建外包运维团队人员以及总行派驻分行的异地运维外包人员。为客户开通CBS项目的分行必须建立由我行人员主导的运维团队。第三十

31、八条运维外包人员管理总行对运维外包供应商提供的异地派驻运维人员依照“资源池”的方式进行管理,对“资源池”内人员由总行交易银行部、总行CS运维组以及分行产品经理共同进行招聘,确定合格外包人员。并由总行统一进行集中岗前培训。分行自建运维外包团队需参照总行标准进行管理。(一）外包资源使用。对派驻分行的异地运维外包人员，由总行依据有关分行运维需要进行统一调度,分行对上述资源的使用需要提前申请，总行视详细情形,统一安排。并可以依据有关需要安排派驻团队支援周边地区的运维工作。分行自建外包团队的使用，由分行交易银行部依据有关业务情形决定。（二）总行异地派驻外包人员管理总行派驻分行异地运维外包人员采取双线管

32、理模式。由总行运维中心进行整体的工作分配及有关培训，由所在分行对外包人员直接管理及详细工作安排,在*银行信息科技外包风险管理指引的指导下开展工作。.日常办公管理，由分行技术部详细管理,包括座位场地的安排、办公设备、机器的提供等等。日常考勤管理,如运维外包人员签到签退、请休假等，须在总行统一的外包系统管理系统中进行操作，其中，请休假必须先征得分行的同意，同时分行信息技术部需要及时告之总行运维中心;如外出运维无法签到签退的必须要进行备注，总行运维中心会与分行人员进行抽查确认；如在客户现场因为运维延长工作时间的,必须按管理规定，在外包管理系统中进行录入，总行运维中心在与分行人员确认后，在系统中进行确

33、认操作。日常报工管理,运维外包管理人员需在总行统一的项目管理工具中,进行每天的工作描述。分行在不与总行外包管理冲突的情形下,可拟定相应管理细则。.详细运维工作由总行运维中心以及总行交易银行部整体管理调配、分行交易银行部进行详细安排。总行异地派驻外包运维人员不得承担CB实施运维以外的工作。包括但不限于分行B新客户营销推广工作、非CBS系统的运维工作、任何涉及我行系统安全的开发工作。第三十九条运维外包工作内容及流程(一)运维外包工作内容1.负责BS项目的实施上线工作。包括按流程申请总行授权、联系分行项目组人员,获取项目的安装程序。赴现场进行CS系统的前、后台程序、机器设备的安装调试。详细内容详见

34、跨银行现金管理CBS项目实施手册。2负责BS系统直联平台与各银行直联的安装调试工作。包括各行直联程序的安装,直联及DCBNBC程序的参数配置和调通、与本地各家直联银行的测试人员一起履行直联的调通和测试工作。向客户提交CBS直联平台运行管理办法V1.0直联业务风险提示函并取得由客户有效签收的回执。详细内容详见BS直联平台实施手册、CBS直联用户手册、CS直联运行维护手册。3.协助负责BS系统的初始化和基础信息录入工作。依照客户整理的业务信息进行系统初始化,包括基础账户信息、用户信息、业务参数、审批流、成员单位及账号等信息的录入。4.协助负责CB系统的培训工作。包括标准的系统应用培训、业务操作培训

35、、系统使用安全培训等。5在系统上线后，协助负责现场指导和检查客户头几笔业务的办理,并给予操作方面的辅导和建议。6.负责CBS系统在运行维护期间的有关工作。包括系统突发故障的现场应急处理。依据有关总行的通知，由专人赶赴客户现场进行故障的诊断、定位、日志下载、问题排除、向总行信息技术部CB运维组实时反馈问题处理情形和进度。并做好问题处理的登记和客户反馈建议或意见的登记。负责现场收集客户需求和反馈建议或意见。.按要求,定时进行客户现场的例行维护。.CBS产品新版本发布，U测试。0按要求进行日常运维工作报告的编写。1.其他新纳入外包工作范畴内的工作。(二）运维外包工作流程跨银行现金管理产品运维外包工作

36、流程,依据有关业务需要分为响应式运维和主动运维两大类流程。1.响应式运维。依据有关客户直接反馈的运维需求或通过总分行交易银行部反馈的运维需求，进行第一时间响应客户。及时依据有关需求判断运维等级,并告之客户处理的时间及流程。同时,发起内部运维工作申请流程,填报跨银行现金管理项目实施运维工作任务单。如未收到总分行交易银行部建议变更和推迟执行维护任务的指令,则直接依照跨银行现金管理CBS项目实施手册处理有关流程。.主动式运维。依据有关总分行交易银行部拟定的C客户例行回访计划，每年不少于次对辖区内所服务的所有CB客户进行主动定时上门回访运维。维护内容包括运行环境检查、日志清理、直联前置机检查、日常问题

37、汇总、客户疑问解答等。分行交易银行部需要提前拟定运维回访计划，并提前安排好运维人员进行筹备。开展主动回访运维时仍须填报跨银行现金管理项目实施运维工作任务单。因涉及成本核算，总行异地派驻运维外包人员的所有运维工作履行时,必须填报跨银行现金管理项目实施运维工作任务单。各分行可依据有关自身情形,拟定简化适用流程。第四十条外包运维安全管理及风险监控总分行外包运维人员需严格遵守本办法第五章各条项安全条款的同时，分行应重点加强针对外包人员的信息安全检查管控措施。防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设备遭受破坏等风险。（一)分行运维外包人员的实施和运维工作,必须严格遵守

38、我行的*银行信息安全和保密管理规定,分行技术人员应对其有关工作进行检查，确认是否符合信息安全保障的要求。(二)分行运维团队负责人,为外包运维人员管理的首要责任人。负责详尽记录运维外包人员所去的客户、日期以及所进行的操作;对于直联实施、非托管环境维护等风险较高的运维工作，分行信息技术部人员必须为主负责处理，并对外包人员的现场运维工作进行直接的管理；对于风险较低的日常维护,分行交易银行部应通过客户的反馈，确认外包人员维护工作以及维护的效果。(三）分行应做好运维外包人员的储备工作,关注现有外包人员的思想动态，做好相应防范措施，在外包人员离职变更时能及时进行补充或者衔接，以免对客户的系统运维造成较大影

39、响。（四)外包人员在进场前应签署保密承诺书,定时组织外包人员信息安全培训,提升信息安全意识,确保信息安全管控措施在外包服务过程中有效贯彻;（五）明确外包活动中需要访问或使用的信息资产，包括场地、办公设备、计算机、服务器、访问监控设备、网络端口、账号、软件、数据、信息等，按“必需知道”和“最小授权”原则进行访问授权;（六）分行自建外包团队，应确保协议中有信息安全承诺条款和对应罚则，或单独签署信息安全承诺函;(七)定时对外包服务进行安全检查，获取外包供应商自评估或第三方评估报告。第七章外包服务连续性管理第四十一条为保证我行CB业务延续稳定运行,总行CS运维管理中心应依据有关业务需要拟定业务连续

40、性计划,完善应急预案,组织运维人员和外包人员参加。分行运维团队也应依照分行拟定的业务连续性计划针对分行BS前房地产务组织分行运维人员和外包人员参加实施。第四十二条总分行运维管理团队应当考虑信息科技外包的引入对业务连续性管理的影响,有针对性的完善业务连续性计划，包括（但不限于）:（一）识别重要的运维类业务所涉及的外包供应商和资源;（二）通过协议、协议等形式明确要求外包供应商提前筹备并维护好有关资源;（三）对外包供应商提供服务的业务连续性进行监控，评估其管理水平；（四）在进行业务连续性计划演练时将外包供应商纳入演练范围。第四十三条为降低外包突发事件的可能性及影响，总分行运维管理团队应建

41、立风险监控、缓释或转移措施。包括（但不限于)以下措施:尽早发现可能致使服务中断的情形，要求外包供应商筹备足够的备份人员,分行运维团队必须保留最低限度的自行运维服务能力等。第四十四条总分行运维团队应该针对重要服务中断的场景,拟定相应的应急计划进行演练,考虑因素包括（但不限于）以下内容:（一）事件场景，如重要人员流失致使服务无法延续，供应商主动退出,因资质变更、被收购、兼并或破产等原因致使的供应商被动退出等;（二）事件延续时间和恢复可能性；（三）事件影响范围和可能的应急措施；（四）外包供应商自行恢复服务的可能性和时间；（五）备选的外包供应商以及服务迁移方案；（六）有关运维服务过渡给总

42、分行自行运作的可能性、时效及资源需求。第四十五条对于无法满足外包服务要求或发生重大事件的情形,总行、分行运维团队应当在充份评估其影响及拟定退出计划的前提下,考虑主动要求有关的外包供应商终止服务,情节特别严重的,可考虑取消准入资质，并报送监管机构申请对其备案。对于关联外包，不得因为关联关系而影响外包提供商退出机制的贯彻。第八章外包绩效考核及监督检查第四十六条绩效考核分行运维外包人员按总行研发中心的统一绩效管理流程,每季度进行考核。季度初进行绩效计划的录入。总行运维中心会与分行业务和技术管理人员进行该计划的确认。分行交易银行部每月对外包人员进行当月工作评估,并报告给总行运维中心管理人员；每季

43、度针对其绩效计划,给出参考的考核建议或意见,并报告给总行运维中心管理人员。总行运维中心管理人员将对外包运维人员进行最终的季度考核。第四十七条监督检查(一)为保证服务质量,总行定时对分行运维外包团队工作情形进行检查,检查内容包括（但不限于)分行运维外包规范性、及时性、风险监控措施、专业能力等。以及外包供应商经营稳定性、管理规范性、可延续发展、专业资质、工作质量、管理能力、服务水平、风险监控措施、运营成本、服务质量和信息安全等。对于检查发现问题,应及时提出并要求其限期改正，发现外包供应商无法满足我行要求的，应及时取消与其合作。分行对运维外包团队的定时检查,每年至少开展一次。(二)重大事件监管总行BS运维中心、分行运维团队在运维过程发生如下重大事件时,应在两个工作日内向银监会或其派出机构报告，并报告总行信息技术部：l 客户信息等敏感数据泄露；l 数据损毁或者重要业务运营中断；l 由于不可抗力或外包供应商重大经营、财务问题,致使或可能致使我行运维外包服务中断;l 其他重大的外包供应商违法违规事件；l 银监会规定需要报告的其他重大事件。第九章附则第四十八条本办法由总行信息技术部负责说明。第四十九条本法办自*年*月1日起施行。附件:外包项目申请表跨银行现金管理项目实施运维工作任务单跨银行现金管理CB项目实施手册

展开阅读全文