1、IT外包服务中断应急管理指引第一章 总则第一条 为规范招商银行(以下简称“本行”)IT外包服务中断应急响应流程,提高IT外包服务中断应急处置能力,推动外包商提供持续、稳定的服务,有效控制IT外包服务中断风险,根据中国银监会银行业金融机构信息科技外包风险监管指引(银监发【2013】5号)的要求,特制订本指引。第二条 本指引中提到的IT外包突发事件指由于IT外包服务中断而影响到本行IT外包服务正常获取的突发事件。第三条 本行总行信息科技外包项目都应根据本指引进行管理,分行信息科技外包项目可参照本指引进行管理。第二章 职责分工第四条 总行信息技术部外包管理室为研发中心IT外包服务中断应急管理牵头部门
2、,主要职责包括:(一) 制订研发中心IT外包服务中断组织级应急响应预案;(二) 制订研发中心IT外包服务中断组织级年度演练计划,组织开展应急演练;(三) 检查研发中心IT外包突发事件应急演练及应急处置结果;(四) 协调总行信息技术部研发中心,以及和其它部门的应急管理工作。第五条 总行信息技术部运行调度室为运行中心IT外包服务中断应急管理牵头部门,主要职责包括:(一) 制订运行中心IT外包服务中断组织级年度演练计划,组织开展应急演练;(二) 检查运行中心IT外包突发事件应急演练及应急处置结果;(三) 协调总行信息技术部运行中心,以及和其它部门的应急管理工作。第六条 总行信息技术部BCP条线为运行
3、中心IT外包服务中断应急管理牵头部门,主要职责为制订运行中心IT外包服务中断组织级应急响应预案。第七条 使用外包商进行信息化建设或服务的为项目实施部门,其主要职责包括:(一) 制订IT外包服务中断项目级应急响应预案;(二) 制订IT外包服务中断项目级应急演练计划,进行演练并对结果进行总结;(三) 在IT外包服务日常管理中实施外包服务中断风险控制、缓释或转移措施;(四) 发生IT外包突发事件时组织实施对事件的应急处置并对结果进行总结;第三章 IT外包服务中断应急管理第八条 为降低IT外包突发事件的可能性及影响, 项目实施部门应对业务连续性管理造成重大影响的IT外包服务在日常管理中实施外包服务中断
4、风险控制、缓释或转移措施,包括但不限于以下内容:(一) 应与外包商在合同中约定在其不能提供持续服务的情况下本行拥有购买其人力、技术、设备等资源的优先权;(二) 应要求外包商制定IT外包服务中断相关的应急处理预案,并作为合同附件(合同附件模板请参见附件一IT外包项目服务中断应急预案(合同附件模板));(三) 应为外包服务的关键角色配备相应的行内人力资源,并要求外包商预先针对非正常退出的情况购买商业保险或预支风险担保金; (四) 在外包服务实施过程中,应持续收集外包商相关信息并通知应急管理牵头部门,以便尽早发现可能导致IT外包服务中断的情况;第九条 应急管理牵头部门应针对重要外包服务中断的场景,制
5、定相应的组织级应急响应预案,作为IT外包项目级应急管理的指导规范,预案包括但不限于以下内容:(一) 应急响应预案的目的、适用范围及前提假设;(二) 应急响应的组织架构及职责,包括总行应急处置领导小组、信息技术部负责人、IT外包突发事件应急组、其他应急处置支持部门等;(三) 可能导致IT外包服务中断的事件场景,包括重要人员流失导致服务无法持续,外包商主动退出,因资质变更、被收购、兼并或破产、不可抗力等原因导致的外包商被动退出,本行主动清退外包商等;(四) 应急响应流程,包括事件发现与报告、事件分析与方案制定、处置决策、措施执行等环节,以及每个环节的工作任务描述;(五) 应急响应联系人清单。组织级
6、应急响应预案具体内容请参见附件二IT外包服务中断组织级应急响应预案。第十条 针对承接多个项目的外包商,应急管理牵头部门应对其承接项目划分应急优先级。第十一条 项目实施部门应以组织级应急预案为指导,结合项目实际情况制定项目级外包服务中断应急响应预案,包括但不限于以下内容:(一) 可能导致外包服务中断的事件场景,至少覆盖组织级应急预案所列场景内容;(二) 在项目实施过程中针对外包服务中断的日常规避措施,包括本行人员职责及外包商职责;(三) 每个事件场景的应急优先级及具体应急处置措施,包括本行人员职责及外包商职责;(四) 每个事件场景的IT外包服务恢复时间目标;(五) 每个事件场景的应急审批级别、应
7、急联络人、应急配合部门或第三方;(六) 项目备选外包商。项目级外包服务中断应急响应预案模板请参见附件三IT外包服务中断项目级应急响应预案(模板)第十二条 应急管理牵头部门应制订组织级应急年度演练计划,演练计划内容包括但不限于:演练目的、演练策略、演练周期、演练方式、演练的组织、演练的评估。具体请参见附件四IT外包服务中断应急演练计划)。第十三条 应急管理牵头部门应依照演练计划内容定期组织相关方对IT外包服务中断应急响应预案进行演练,演练频率和项目覆盖范围应考虑所涉及外包商的关系类型(外包商关系类型的定义请参见招商银行IT外包商关系管理指引):(一) 两年内完成所有重要外包商的服务中断应急演练;
8、(二) 一年内完成所有消极淘汰外包商的服务中断应急演练;(三) 三年内完成所有高集中度外包商的应急演练,该类型外包商应全程参与演练过程;(四) 两年内完成所有行业重点外包商的应急演练;(五) 应急备选外包商应至少每年参加一次相应子领域的应急演练。第十四条 项目实施部门应在演练结束后对演练结果进行分析总结,修正项目级应急响应预案。第十五条 当发生IT外包突发事件时,项目实施部门应按照应急响应预案对事件进行响应及处置,应对处置过程进行完整记录,并在服务恢复后对应急处置结果进行总结分析。第四章 附则第十六条 本指引由招商银行总行信息技术部负责解释。附件:附件一 IT外包项目服务中断应急预案(合同附件模板)附件二 IT外包服务中断组织级应急响应预案附件三 IT外包服务中断项目级应急响应预案(模板)附件四 IT外包服务中断应急演练计划
浙ICP备2021020529号-1 | 浙B2-20240490 
