银行跨银行现金管理产品运维外包管理办法模版.docx

**银行跨银行现金管理产品 运维外包管理办法 第一章 总则 第一条 为规范全行跨银行现金管理产品实施运维的安全管理，依据有关《**银行跨银行现金管理业务管理办法》、《**银行信息安全和保密管理规定》、《**银行信息科技外包风险管理指引》及有关规定，特制订此办法。 第二条 本办法所称的跨银行现金管理产品包括标准版、定制版以及附属的跨银行交换中心等。其中,定制版包括(但不限于）集团财资管理平台（TMS）、跨境资金管理平台(CBS－TT）、海关资金管理系统CBS、住房公积金管理系统CBS等产品。 第三条 本办法中所规范的实施运维工作，是指客户申请我行跨银行现金管理产品CBS后，在项目管理过程中,所开展的项目实施、故障处理、使用指导、升级维护、系统安全保障、项目个性化开发等工作。 第四条 跨银行现金管理产品CＢS的实施运维安全管理工作,主要由总行信息技术部、总行交易银行部、分行信息技术部、分行交易银行部（公司银行部）以及运维外包供应商共同参加管理。 第五条 本办法中所指ＣBＳ实施运维团队，主要为总行ＣBS运维中心、分行CBS项目组中负责实施运维的成员、总行建立并派驻异地外包运维人员以及分行依据有关总行规定建立的分行外包运维人员。 第六条 本办法适用于全行CBＳ运维团队以及外包运维服务活动，各分行应依据有关本办法要求开展CBS运维外包管理工作,并可依据有关本办法所有要求,拟定相应实施细则或工作流程。 第七条 CBＳ实施运维工作涉及客户及我行重要商业秘密信息，应严格依照《**银行信息安全和保密管理规定》做好信息安全和保密工作。 第二章 职责分工 第八条 总行信息技术部的职责包括： (一）负责拟定运维安全管理办法，组织全行开展实施运维工作； （二)负责结合全行跨银行现金管理业务发展，筹建覆盖全行的CBS实施运维团队,建立实施运维体系、安全规范管理等。 (三)建立总行CＢS运维中心,负责总行托管环境运维工作，以及管理规范分行非托管环境运维工作； (四)负责第三方运维外包供应商的准入管理、尽职调查、评估、退出管理; (五)负责管理全行CBS实施运维团队,监督分行运维团队及外包运维人员运维工作,并对违规情形进行调查和认定。 （六）负责对全行外包运维人员的工作绩效进行季度考核。 第九条 总行交易银行部的职责包括: （一）负责参加全行CBS实施运维体系建设规划与统筹沟通协调； （二)负责依据有关业务推广需要调度和使用总行建立的CＢS实施运维外包资源，及时受理总行有关部门以及分行运维外包资源调度申请； （三)负责对全行实施运维团队的绩效进行评估和建议或意见反馈； （四）负责指导、管理分行对运维违规情形的处理工作；协助分行对外包服务商违规行为进行调查、认定及处理；负责监督分行运维团队及外包服务商违规行为，并参加对违规情形进行调查和认定。 第十条 分行信息技术部的职责包括: (一)负责建立以行内职工或员工为主分行CBＳ实施运维团队,保障业务发展需要; （二）负责依据有关总行规范选择本地运维外包供应商; （三）负责对总行信息技术部派驻分行的运维外包资源以及分行自建的外包资源进行日常管理； (四)负责协助配合分行交易银行部,与总行派驻外包运维人员共同承担跨银行现金管理项目的实施上线、客户培训以及系统运行维护工作；对于非托管项目，负责客户现场生产环境的实施及运维管理; (五）负责对客户个性化需求包括报表需求，按总行开发管理规范提供个性化开发支持; （六)负责按总行运维安全管理要求,对总行派驻外包运维人员的实施运维工作进行安全管控，协助对违规情形进行调查和认定。 第十一条 分行交易银行部(公司银行部)的职责包括： (一）使用分行运维团队进行CＢＳ项目的实施和运维； （二）负责对总行派驻分行外包运维人员进行业务培训、向总行定时反馈派驻人员的工作情形； (三）负责协助配合分行信息技术部选择合适的外包供应商; （四）负责对分行运维团队进行评估; (五）协助分行信息技术部对总行派驻外包运维人员的客户现场实施运作工作进行安全管控，协助对违规情形进行调查和认定。 第十二条 运维团队分工: （一）为确保运维安全，分行运维团队核心骨干成员需由行员编制成员承担,具备专业的技术能力和业务能力对外包团队进行管理和使用；分行自建的外包团队成员不得低于总行派驻分行的外包运维人员数量，否则需要取得总行交易银行部认可。总行交易银行部有权根据全行业务需要,紧急抽调派驻分行的外包运维资源进行全行范围协同。 (二）对于定制版、非托管等CBS项目，分行需配备３人以上的开发运维人员，负责个性化需求开发、内部系统接口开发等工作。不得安排第三方外包运维人员或非招行人员负责、参加开发工作。 (三)分行运维团队的开发人员需要具备报表及客户端代码、直联接口、ＥRP接口开发能力;运维人员需要具备服务器安装部署能力、熟练掌握直联实施部署能力。 第三章 运维外包策略 第十三条 跨银行现金管理产品运维外包应严格依照总行信息科技外包管理策略执行，对于涉及我行战略管理、风险管理、内部审计以及核心竞争力的职能不得进行外包，实施运维工作中的涉及的关键岗位、流程、环节都不进行外包,包括（但不限于）挖掘客群价值、客户经营、项目管理、产品核心功能开发、咨询顾问咨询等。 第十四条 总分行运维外包要兼顾平衡风险、成本、效益和质量,并考虑当前外包*场环境、自身风险监控能力和风险偏好，不因外包降低对我行客户的服务质量和效率。 第十五条 分行自建运维外包团队时，优先采用驻场人力外包，尽量避免非驻场人力外包； 第十六条 总行统一通过准入和退出机制监控银行各类高风险外包供应商的数量,防范行业垄断和机构集中度风险，通过引入适当的竞争降低采购成本、提升服务质量,同时形成备份,合理监控外包供应商的数量; 第四章 外包风险管理 第十七条 运维外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理,贯穿于运维包日常管理工作中。 第十八条 总行建立的派驻异地的运维外包团队的风险管理由总行信息科技外包风险管理团队负责风险管理。分行自建的本地运维外包团队的风险管理由分行自行参照总行执行。定时风险评估内容建议包括：运维外包执行情形、外包信息安全、机构集中度、服务连续性、服务质量、政策及＊场变化对外包服务的影响分析等。 第十九条 延续风险管控: 项目过程中总行、分行信息技术部应对运维外包进行风险评估,通过项目跟踪和适当的技术手段进行风险监控； 项目过程中总行、分行信息技术部应对运维供应商的财务、内控及安全管理进行延续监控。 第二十条 分行IT外包管理执行部门应当依据有关总行风险管理要求对重要的非驻场运维类外包服务进行实地检查。实地检查原则上一年不少于一次,检查结果作为运维外包供应商项目考核及准入的重要指标。 第五章 外包供应商管理 第二十一条 CＢＳ运维外包管理团队规模、数量应与业务发展需要相适应，依照“我行为主、外包为辅”的原则，保持合理的外包资源与行内运维外包人员的占比。 第一节 关系管理 第二十二条 运维外包商关系分类以及维护机制分行参照总行供应商关系管理资料文件执行。针对不同关系的运维外包供应商，区分风险管控力度和管控手段,建立相应的惩罚或激励措施,以提升管理效率,降低分行运维类信息科技外包管理风险。 第二节 外包供应商准入管理 第二十三条 总行外包供应商的准入管理，由总行信息科技外包管理执行团队参照《**银行信息科技外包风险管理指引》负责执行。 第二十四条 分行外包供应商的准入管理参照《**银行分行运维类信息科技外包管理办法》和《实施细则》执行，对外包供应商开展准入信息收集，收集的信息包括（但不限于)内部监控与管理能力信息、延续经营能力信息和技术与服务能力信息。外包供应商应满足相应的条件。 第二十五条 外包供应商是银行业重点外包供应商的，应具备有关领域资质认证。 第二十六条 分行在与重要外包供应商签订协议前,应开展尽职调查。重点关注外包供应商技术和行业经验、内部监控机制和管理流程的完善程度、突发事件应对能力、内部监控技术和工具、延续经营状况等。 第二十七条 各级分行信息技术部不得因外包供应商在我行的服务存在关联关系而降低对该供应商的要求,应当在尽职调查阶段详尽分析供应商的技术、内控和管理水平,确认其有足够能力实施有关服务、处理突发事件等。 第三节 外包供应商评估与考核 第二十八条 分行运维外包人员按总行研发中心的统一绩效管理流程,每季度进行考核。季度初进行绩效计划的录入。总行运维中心会与分行业务和技术管理人员进行该计划的确认。 第二十九条 分行交易银行部每月对外包人员进行当月工作评估，并报告给总行运维中心管理人员；每季度针对其绩效计划,给出参考的考核建议或意见，并报告给总行运维中心管理人员。 第三十条 总行运维中心管理人员将对外包运维人员进行最终的季度考核。 第四节 外包供应商退出管理 第三十一条 总行外包供应商的退出管理,由总行信息科技外包管理执行团队负责。分行外包供应商的退出管理，应参照总行规范建立外包供应商退出机制,主动终止与服务质量不达标外包供应商外包合作关系，不再与其开展新的外包合作。对于现有运维外包项目，应启动项目应急预案,并寻求尽速替代。 第三十二条 存在以下情形之一的外包供应商,应主动退出与其合作： 1. 严重违反国家法律、法规和监管要求的; 2. 严重违约、擅自变更或者终止已生效协议的； 3. 泄露我行商业秘密、技术秘密等非公开信息的; 4. 侵犯我行知识所有权的; 5. 故意提供虚假资质材料、隐瞒真实情形的； 6. 信誉和财务发生严重危机的; 7. 提供的运维服务出现重大问题，并造成不良后果的; 8. 中标后无正当理由拒绝签订协议的; 9. 经营条件发生变化，无法继续提供符合标准的服务； 10. 对服务质量进行检查，连续3次未能达到服务标准； 11. 其他可能严重影响我行声誉以及给我行带来风险或损失的情形； 12. 外包供应商评估连续两年为“差”； 13. 总行信息科技外包管理执行团队认定的其他情形。 第六章 运维外包项目管理 第一节 项目决策 第三十三条 总行外包项目的建立和决策,由总行信息科技外包执行团队依据有关总行交易银行部的业务规划和实际需要建立。分行开展运维外包前,分行信息技术部应将外包项目申请表(详见信息科技外包风险管理指引附件）和详细实施方案(包括技术可行性分析、外包风险评估与处置分析内容)，提交总行信息技术部审批。 第二节 协议管理 第三十四条 分行实施运维外包服务前，分行应与外包供应商签订协议,协议条款应经由分行法律与合规部审核。对我行已拟定外包协议标准文本模板的，原则上应使用我行标准协议文本模板，对我行协议标准文本条款的修改,应报送法律与合规部审查。详细协议内容要求以及应明确的安全保密责任,参照《信息科技外包风险管理指引》执行。 第七章 运维外包工作内容及流程 第一节 运维团队组建 第三十五条 总行CBＳ运维中心的建立 总行CBS运维中心由总行CBS运维组及派驻分行的异地外包运维团队构成；派驻分行的异地外包运维团队采取双线管理模式。由总行运维组进行整体的工作分配及有关培训,由所在分行对外包人员直接管理及详细工作安排。由分行技术部人员进行详细的日常管理，包括考勤座位场地的安排、机器的提供等等;由分行交易银行部依据有关流程进行详细外包运维工作的安排。各分行依据有关自身情形，业务和技术部门自行商定申请使用的流程。如需要总行提供的支持,如外包邮箱申请等等,由分行向总行运维中心进行申请。 第三十六条 分行运维团队的建立 分行运维团队是ＣBＳ项目组建员中专职实施运维的团队,其中包括分行信息技术部运维人员、分行自建外包运维团队人员以及总行派驻分行的异地运维外包人员。为客户开通ＣBS项目的分行必须建立由我行人员主导的运维团队。 第二节 运维外包工作内容 第三十七条 负责ＣBS项目的实施上线工作。包括按流程申请总行授权、联系分行项目组人员,获取项目的安装程序。赴现场进行ＣBＳ系统的前、后台程序、机器设备的安装调试。详细内容详见《跨银行现金管理CＢS项目实施手册》。 第三十八条 负责CBS系统直联平台与各银行直联的安装调试工作。包括各行直联程序的安装,直联及DCＢANK\CBC程序的参数配置和调通、与本地各家直联银行的测试人员一起履行直联的调通和测试工作。向客户提交《CBS直联平台运行管理办法V1.0》\《直联业务风险提示函》并取得由客户有效签收的回执。详细内容详见《CBS直联平台实施手册》、《ＣBS直联用户手册》、《CBＳ直联运行维护手册》。 第三十九条 协助负责ＣBS系统的初始化和基础信息录入工作。依照客户整理的业务信息进行系统初始化，包括基础账户信息、用户信息、业务参数、审批流、成员单位及账号等信息的录入。 第四十条 协助负责CＢＳ系统的培训工作。包括标准的系统应用培训、业务操作培训、系统使用安全培训等。 第四十一条 在系统上线后,协助负责现场指导和检查客户头几笔业务的办理,并给予操作方面的辅导和建议。 第四十二条 负责CBＳ系统在运行维护期间的有关工作。包括系统突发故障的现场应急处理。依据有关总行的通知，由专人赶赴客户现场进行故障的诊断、定位、日志下载、问题排除、向总行信息技术部ＣBS运维组实时反馈问题处理情形和进度。并做好问题处理的登记和客户反馈建议或意见的登记。 第四十三条 负责现场收集客户需求和反馈建议或意见。 第四十四条 按要求,定时进行客户现场的例行维护。 第四十五条 CBS产品新版本发布,ＵAＴ测试。 第四十六条 按要求进行日常运维工作报告的编写。 第四十七条 其他新纳入外包工作范畴内的工作。 第三节 运维外包工作流程 第四十八条 跨银行现金管理产品运维外包工作流程,依据有关业务需要分为响应式运维和主动运维两大类流程。 第四十九条 响应式运维。依据有关客户直接反馈的运维需求或通过总分行交易银行部反馈的运维需求,进行第一时间响应客户。及时依据有关需求判断运维等级，并告之客户处理的时间及流程。同时，发起内部运维工作申请流程，填报《跨银行现金管理项目实施运维工作任务单》。如未收到总分行交易银行部建议变更和推迟执行维护任务的指令，则直接依照《跨银行现金管理CBS项目实施手册》处理有关流程。 第五十条 主动式运维。依据有关总分行交易银行部拟定的CBS客户例行回访计划,每年不少于4次对辖区内所服务的所有CBS客户进行主动定时上门回访运维。维护内容包括运行环境检查、日志清理、直联前置机检查、日常问题汇总、客户疑问解答等。分行交易银行部需要提前拟定运维回访计划，并提前安排好运维人员进行筹备。开展主动回访运维时仍须填报《跨银行现金管理项目实施运维工作任务单》。 第五十一条 因涉及成本核算，总行异地派驻运维外包人员的所有运维工作履行时,必须填报《跨银行现金管理项目实施运维工作任务单》。各分行可依据有关自身情形,拟定简化适用流程。 第八章 运维外包人员管理 第五十二条 总行对运维外包供应商提供的异地派驻运维人员依照“资源池”的方式进行管理,对“资源池”内人员由总行交易银行部、总行CＢS运维组以及分行产品经理共同进行招聘,确定合格外包人员。并由总行统一进行集中岗前培训。分行自建运维外包团队需参照总行标准进行管理。 第五十三条 外包资源使用。对派驻分行的异地运维外包人员，由总行依据有关分行运维需要进行统一调度,分行对上述资源的使用需要提前申请，总行视详细情形，统一安排。并可以依据有关需要安排派驻团队支援周边地区的运维工作。分行自建外包团队的使用,由分行交易银行部依据有关业务情形决定。 第五十四条 总行异地派驻外包人员管理 总行派驻分行异地运维外包人员采取双线管理模式。由总行运维中心进行整体的工作分配及有关培训，由所在分行对外包人员直接管理及详细工作安排，在《**银行信息科技外包风险管理指引》的指导下开展工作。 第五十五条 日常办公管理，由分行信息技术部详细管理,包括座位场地的安排、办公设备、机器的提供等等。日常考勤管理,如运维外包人员签到签退、请休假等,须在总行统一的外包系统管理系统中进行操作,其中，请休假必须先征得分行的同意,同时分行信息技术部需要及时告之总行运维中心;如外出运维无法签到签退的必须要进行备注，总行运维中心会与分行人员进行抽查确认；如在客户现场因为运维延长工作时间的，必须按管理规定，在外包管理系统中进行录入，总行运维中心在与分行人员确认后,在系统中进行确认操作。日常报工管理,运维外包管理人员需在总行统一的项目管理工具中,进行每天的工作描述。分行在不与总行外包管理冲突的情形下，可拟定相应管理细则。 第五十六条 详细运维工作由总行运维中心以及总行交易银行部整体管理调配、分行交易银行部进行详细安排。总行异地派驻外包运维人员不得承担ＣBS实施运维以外的工作。包括但不限于分行CBS新客户营销推广工作、非CＢＳ系统的运维工作、任何涉及我行系统安全的开发工作。 第九章 外包运维安全管理 第五十七条 总分行外包运维人员需严格遵守《**银行跨银行现金管理产品实施运维安全管理办法》中第五章各条项安全条款的同时,参照《分行运维类信息科技外包管理实施细则》第八章对运维安全的有关要求，重点加强针对外包人员的信息安全检查管控措施。防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设备遭受破坏等风险。 第五十八条 分行运维外包人员的实施和运维工作，必须严格遵守我行的《**银行信息安全和保密管理规定》，分行技术人员应对其有关工作进行检查，确认是否符合信息安全保障的要求。 第五十九条 分行运维团队负责人,为外包运维人员管理的首要责任人。负责详尽记录运维外包人员所去的客户、日期以及所进行的操作;对于直联实施、非托管环境维护等风险较高的运维工作，分行信息技术部人员必须为主负责处理，并对外包人员的现场运维工作进行直接的管理;对于风险较低的日常维护，分行交易银行部应通过客户的反馈,确认外包人员维护工作以及维护的效果。 第六十条 分行应做好运维外包人员的储备工作,关注现有外包人员的思想动态,做好相应防范措施,在外包人员离职变更时能及时进行补充或者衔接,以免对客户的系统运维造成较大影响。 第六十一条 外包人员在进场前应签署保密承诺书，定时组织外包人员信息安全培训,提升信息安全意识，确保信息安全管控措施在外包服务过程中有效贯彻； 第六十二条 明确外包活动中需要访问或使用的信息资产，包括场地、办公设备、计算机、服务器、访问监控设备、网络端口、账号、软件、数据、信息等,按“必需知道”和“最小授权”原则进行访问授权; 第六十三条 分行自建外包团队,应确保协议中有信息安全承诺条款和对应罚则，或单独签署信息安全承诺函; 第六十四条 定时对外包服务进行安全检查,获取外包供应商自评估或第三方评估报告。 第十章 应急管理 第六十五条 为保证我行ＣBS业务延续稳定运行,总行CBS运维管理中心应依据有关业务需要拟定业务连续性计划，完善应急预案，组织运维人员和外包人员参加。分行运维团队也应依照分行拟定的业务连续性计划针对分行CBS前房地产务组织分行运维人员和外包人员参加实施。 第六十六条 总分行运维管理团队应当考虑信息科技外包的引入对业务连续性管理的影响，有针对性的完善业务连续性计划，包括(但不限于)： （一） 识别重要的运维类业务所涉及的外包供应商和资源； （二） 通过协议、协议等形式明确要求外包供应商提前筹备并维护好有关资源; （三） 对外包供应商提供服务的业务连续性进行监控，评估其管理水平； （四） 在进行业务连续性计划演练时将外包供应商纳入演练范围。 第六十七条 为降低外包突发事件的可能性及影响,总分行运维管理团队应建立风险监控、缓释或转移措施。包括（但不限于）以下措施:尽早发现可能致使服务中断的情形，要求外包供应商筹备足够的备份人员，分行运维团队必须保留最低限度的自行运维服务能力等。 第六十八条 总分行运维团队应该针对重要服务中断的场景，拟定相应的应急计划进行演练,考虑因素包括(但不限于）以下内容： （一） 事件场景,如重要人员流失致使服务无法延续，供应商主动退出,因资质变更、被收购、兼并或破产等原因致使的供应商被动退出等； （二） 事件延续时间和恢复可能性; （三） 事件影响范围和可能的应急措施; （四） 外包供应商自行恢复服务的可能性和时间; （五） 备选的外包供应商以及服务迁移方案； （六） 有关运维服务过渡给总分行自行运作的可能性、时效及资源需求。 第六十九条 对于无法满足外包服务要求或发生重大事件的情形,总行、分行运维团队应当在充份评估其影响及拟定退出计划的前提下，考虑主动要求有关的外包供应商终止服务，情节特别严重的，可考虑取消准入资质，并报送监管机构申请对其备案。对于关联外包，不得因为关联关系而影响外包提供商退出机制的贯彻。 第十一章 监督检查 第七十条 为保证服务质量，总行定时对分行运维外包团队工作情形进行检查,检查内容包括(但不限于）分行运维外包规范性、及时性、风险监控措施、专业能力等。以及外包供应商经营稳定性、管理规范性、可延续发展、专业资质、工作质量、管理能力、服务水平、风险监控措施、运营成本、服务质量和信息安全等。 第七十一条 检查发现问题,应及时提出并要求其限期改正,发现外包供应商无法满足我行要求的，应及时取消与其合作。分行对运维外包团队的定时检查,每年至少开展一次。 第七十二条 重大事件监管: 总行CBS运维中心、分行运维团队在运维过程发生如下重大事件时，应在两个工作日内向银监会或其派出机构报告,并及时报告总行信息技术部： l 客户信息等敏感数据泄露; l 数据损毁或者重要业务运营中断； l 由于不可抗力或外包供应商重大经营、财务问题,致使或可能致使我行运维外包服务中断; l 其他重大的外包供应商违法违规事件; l 银监会规定需要报告的其他重大事件。 第十二章　附则 第一条 　本办法由总行信息技术部负责说明。 第二条 本办法自 年 月 日起施行。