1、运维外包管理第一章 总则第一条 为了保证自助设备维护商提供延续稳定的服务,降低自助设备运维外包风险,提升客户使用自助设备的满意度,依据有关银行业银行等金融机构信息科技外包风险监管指引(银监发5号)、*银行信息科技外包风险管理指引(招银发*204号)以及*银行自助设备信息技术管理办法的要求,拟定本管理办法。第二章 组织分工与职责第二条 总行信息技术部的职责(一) 负责拟定、修订本办法,并督导分行信息技术部履行办法中所规定的职责。(二) 组织分行开展针对自助设备维护商的准入、退出、评估管理。(三) 参加我行自助设备及维护的采购工作,为采购决策提供技术支持。(四) 负责我行自助设备有关软件的项目管理
2、、开发管理、配置管理及发布管理等工作。第三条 分行信息技术部(或责任岗)的职责(一) 负责我行自助设备的软硬件、操作系统、网络安装、调试、升级和数据安全等日常管理工作。(二) 负责对我行自助设备故障维护、保养管理等工作进行培训、检查、监督和指导。(三) 协助配合分行零售银行部对自助设备的采购和选点工作,协助配合分行运营管理部对自助设备进行技术维护。自助设备发生疑难问题或故障时,协助管机行解决。调研(四) 依据有关总行采购管理部公布的自助设备维护采购结果,与对应的自助设备维护商签订维护协议,并依照维护协议行使对设备维护商的退出、评估、监督等管理职能调整了内容。(五) 协助分行运营管理部对自助服务
3、费用差错进行技术鉴定 交流结果: 当前长短款的处理基本上由分行运营管理部负责处理,相关工作可在培训时与分行交流确认;(六) 协助分行零售银行部拟定有关管理办法及操作流程等。经了解分行零售网络银行部负责客户服务工作;采购、选点由分行零售银行部负责; 设备的维修、维护等由运营管理部负责 采购:运营管理部提出采购申请 管机行直接向维护商报障,维护商不会通知信息技术部。 总行信息技术部下发通知,要求对自助设备进行全面升级时。统一下发技术升级通知的情况下,分行换硬盘、机器的停机更换设备: 第三章 管理策略第四条 分行自助设备运维外包应严格依照总行信息科技外包管理策略执行,即:对于涉及我行自助设备运维中的
4、战略管理、风险管理、内部审计以及核心竞争力的职能不得进行外包。第五条 分行自助设备运维外包要兼顾平衡风险、成本、效益和质量,并考虑当前自助设备运维外包*场环境、自身风险监控能力和风险偏好,不因外包降低对我行客户的服务质量和效率。第六条 对分行自助设备运维管理中的非核心业务、*场具备专业性和成熟解决方案的业务领域,我行没有技术储备或我行不具备专业性的领域,在风险、成本、质量可控的条件下可考虑外包;第七条 规划低风险的外包布局,采用低风险的外包模式,选择低风险的自助设备维护商。不涉及(一) 建立与自身规模、*场地位相适应的供应商关系管理策略,通过准入和退出机制监控高风险自助设备维护商的数量,防范行
5、业垄断和机构集中度风险,通过引入适当的竞争降低采购成本、提升服务质量,同时形成备份,合理监控自助设备维护商的数量;(二) 在使用关联外包时不应因关联关系降低外包管理要求。第四章 风险管理第八条 自助对应细则13条设备运维外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理,贯穿于自助设备运维外包日常管理工作中。不涉及细则14条第九条 分行对应细则15条信息技术部应依照总行要求开展分行自助设备运维外包风险评估,评估内容包括:外包战略执行情形、信息安全、机构集中度、服务连续性、服务质量、政策及场变化对自助设备运维外包服务的影响分析等。第十条 分行对应细则16条内控
6、审计部室应依照总行要求定时开展自助设备运维外包风险管理审计工作,发生外包风险事件后应及时开展专项审计。第十一条 分行对应细则17条,19条T外包管理执行部门依据有关总、分行信息技术部要求对重要的非驻场自助设备运维维护商进行实地检查。,检查结果作为自助设备维护商考核指标。5号文:非驻场外包风险管理中第六十九条第十二条 分行信息技术部应对不同级别的自助设备维护商采取差异的自助设备维护商的管化的管理措施对应细则第23条,在有效管控重要风险的前提下降低管理成本。对重要控措施还包括:(三) 与其签订协议前应当深入开展尽职调查;(四) 对其进行定时的风险评估,保持评估的独立性,评估内容包括:合规情形、服务
7、的执行效果等,评估结果应当作为分行自助设备维护商准入及退出的重要依据;第五章 自助设备维护商管理自助设备维护商的关系管理、准入管理都是由总行负责,并要求分行提供尽职调查报告(可知总行将自助设备维护商作为重要供应商进行管理)第一节 关系管理实施细则20-22条,23条第十三条 运维供应商关系分类以及维护机制分行参照总行供应商关系管理资料文件执行总行是否有供应商关系管理的相关制度?使用安永的模板。针对不同关系类型的自助设备维护商,应区分风险管控力度和管控手段,建立相应的惩罚或激励措施,以提升管理效率,降低分行自助设备运维外包管理风险。第二节 准入和尽职调查第十四条 总行供应商的准入管理由总行负责,
8、涉及实施细则24-32条,信息技术部是分行自助设备维护商准入管理的主管部门,在选择合作商前,由总行负责对自助设备维护商开展准入信息的收集, 收集的信息包括(但不限于)内部监控与管理能力信息、延续经营能力信息和技术与服务能力信息,识别供应商的服务连续性风险。第十五条 分行信息技术部涉及实施细则第33-34条在与自助设备维护商签订协议前应展开尽职调查,必要时可聘请第三方机构协助调查。尽职调查重点关注:技术和行业经验、内部监控和管理能力、延续经营状况等。第十六条 分行对运维上展开的尽职调查履行后,应形成重要外包商尽职调查报告并上报总行信息技术部调研了解,报告模板请参见附件。第三节 评估与考核流程第十
9、七条 分行实施细则35条信息技术部依照供应商考核管理细则的要求建立并贯彻分行自助设备维护商的评估管理体系,包括评估指标、评估标准、评估流程、评估结果应用措施等,对分行自助设备维护商评估结果进行审核汇总。第十八条 分行实施细则36条T外包管理执行部门依据分行自助设备维护商绩效评估体系,针对所管理的自助设备维护商开展绩效评估工作,原则上每季度一次对自助设备维护商的专业资质、工作质量、管理能力和服务水平等进行总体评估,确保评估结果的真实性和完整性,且数据至少需保存到服务终止后一年,并将评估结果报送总、分行信息技术部。总行信息技术部依据有关评估结果督促自助设备维护商对存在的问题提出解决方案,并要求其进
10、行整改。第十九条 分行实施细则37条运营管理部(或责任人)作为自助设备维护商的使用部门应积极参加分行自助设备维护商绩效评估工作,对所使用的自助设备维护商的服务质量进行评估并及时向分行信息技术部反馈评估结果。第二十条 分行实施细则38条不涉及实施细则39条,自助设备准入退出由总行负责。信息技术部在自助设备维护商服务协议终止时对其进行评估,将有关的评估结果反馈给总行信息技术部,作为该维护商再次准入的重要参考依据。第四节 退出管理第二十一条 分行实施细则40条、41、42条。T外包管理执行部门参照总行的外包供应商的准入退出标准执行,主动终止与不适用的自助设备维护商的IT外包合作关系,报送分行信息技术
11、部,并上报至总行信息技术部备案,由总行启动项目应急预案,并寻求自助设备维护商的替代方案。第六章 项目管理第一节 决策管理第二十二条 分行实施细则52条信息技术部进行自助设备维护项目决策时应充份考虑该项目的场成熟度、法律风险、战略风险、操作风险、声誉风险、国别风险以及其他特殊风险进行项目决策,并拟定相应的风险处置措施,不因运维类外包活动的引入而增加整体剩余风险。第二十三条 分行信息技术部进行项目决策时应将自助设备维护项目项目类型已确定,不需要描述项目金额。集采制度要求将集采目录或50万以上的项目实施方案报总行审批涉及实施细则53、54条第51条不涉及有关实施方案(含技术可行性分析、外包风险评估与
12、处置分析),提交总行信息技术部审批。第二节 采购与协议第二十四条 分行自助设备维护项目采用总行集中采购的方式,分行信息技术部采购管理部门依据有关集中采购管理要求,组织实施集中采购。第二十五条 分行自助设备维护商实施服务前,分行信息技术部应当与其签订协议,协议应依据有关服务需求、风险评估及资质评估结果确定其详尽程度和重点,并由分行法律与合规主管部室(或职能岗位)、分行信息技术部待确认审核。对我行已拟定供应商协议标准文本或范本的,原则上应使用我行标准协议文本或范本。对我行协议标准文本或范本条款的修改应报分行法律与合规主管部室总行是否需要确认,签订合同后,是否需要在总行信息技术部备案实施细则56条审
13、查。第二十六条 协议中应当明确自助设备维护商在安全和保密方面的责任,以及针对信息安全及保密性要求需采取的详细措施。分行信息技术部应与自助设备维护商签订保密承诺或在协议中签订保密条款实施细则58条、59条。合同的内容分行可参照实施细则中的范围定义。涉及57条,详细内容不再本管理办法中赘述。第三节 工作内容和流程第二十七条 更换硬盘。新更换使用的硬盘,应由设备维护商预先提供给分行信息技术部,分行信息技术部自助设备管理员需要对该硬盘进行分区格式化处理,保证各分区中不附带其他非授权软件程序,格式化后的硬盘封包,加骑缝签名或盖章,然后交给维护商。维护商更换硬盘时,管机员(或分行授权的人员)应核对签章并现
14、场拆封后直接使用。更换下来的硬盘由管机员(或分行授权的人员)现场封包,加骑缝签名或盖章后,通过管机行的指定人员送达分行信息技术部。分行信息技术部对于更换下来的硬盘在进行消磁处理之后,才能返还给设备维护商第二十八条 更换加密模块。新更换使用的加密模块,应由现金自助设备维护商预先提供给分行信息技术部,分行信息技术部自助设备管理员需要对该部件登记序列号,登记履行后的加密模块封包,加骑缝签名或盖章,然后交给维护商。维护商更换加密模块时,管机员(或分行授权的人员)应核对签章并现场拆封,并在我行现金自助设备质量记录档案中登记更换前后的加密模块序号。在维护商更换履行后,应保证现金自助设备已能恢复正常服务,才
15、能将被更换下来的加密模块直接交还维护商。第二十九条 停用拆除模块。停用或拆除模块时,若分行信息技术部人员在现场监督,管机员(或分行授权的人员)履行登记交接记录表后,直接交给现场分行信息技术部人员即可;若分行信息技术部人员无法现场监督,分行信息技术部应依照第十六条的要求给管机行发送现金自助设备允许维护通知书,管机行依据有关维护通知书验证维护商人员身份,安排管机员(或分行授权的人员)对拆除工作进行监督,并现场将拆除模块进行封包,加骑缝签名或盖章后,通过管机行指定的人员送分行信息技术部。第三十条 设备保管。分行信息技术部应妥善保管已停用的现金自助设备的硬盘及加密模块,在设备恢复使用时由分行信息技术部
16、交还管机行,管机行派人在现场监督维护商进行安装,或由分行信息技术部派人直接在现场监督维护商履行安装。第三十一条 固件及系统更新固件和系统支撑软件,均由现金自助设备的厂商(或代理商、维护商)负责提供,所涉及的开发工作也由对应的现金自助设备的厂商(或代理商、维护商)履行。自助设备厂商(或代理商、维护商)在提交固件和系统支撑软件版本时,应同时向总行信息技术部提供对应软件版本的归档说明、测试报告和升级说明文档。第三十二条 资料文件传输分行可通过使用FP服务器的资料文件网络传输功能,供维护商工程师下载现金自助设备的有关安装资料文件、升级补丁,或总行信息技术部授权可以使用的其他软件;分行也可在需要拷贝现金
17、自助设备的运行数据时,通过使用FP服务器的资料文件网络传输功能,提供给维护商工程师上传相应资料文件的空间,以避免维护商工程师使用软盘、U盘等存储介质拷贝带来的安全风险。第七章 人员管理第三十三条 分行信息技术部应参照分行的供应商日常管理细则,对自助设备维护商维护人员的资质、背景、进场、离场、考勤、加班、离职以及安全合规检查等方面进行管理。第三十四条 设备维护人员准入安全管理规范流程(一) 分行信息技术部在和现金自助设备维护商签订维护协议时,必须要求自助设备维护商提供有资质的维护人员名单(包括该名单的有效期,名单内人员的证件号码和相片)并加盖公章。维护人员一旦变更,设备维护商必须及时通知分行信息
18、技术部更新维护人员名单。(二) 分行信息技术部须采取方便有效的方式,向各管机行公布各自助设备维护商的维护人员名单、证件、照片等信息,在发生变更时需及时进行更新。(三) 需要进入维护区域对自助设备进行维护的,应事先通知分行信息技术部,分行信息技术部审查同意后将现金自助设备允许维护通知书(见附4)以电子邮件或传真号码方式发给管机行,管机行依据有关维护通知书验证维护商人员身份后,方可允许其进行维护工作。第八章 安全管理第三十五条 分行自助设备维护人员应严格依照*银行自助设备信息安全管理规范条款执行,重点加强针对外包人员的信息安全检查管控措施。防范因外包活动引起的信息泄露、信息篡改、信息不可用、非法入
19、侵、物理环境或设备遭受破坏等风险。分行运维类信息科技外包管理办法第三十六条 分行运维外包人员的实施和运维工作,必须严格遵守我行的*银行信息安全和保密管理规定,分行技术人员应对其有关工作进行检查,确认是否符合信息安全保障的要求。参照招商银行信息安全和保密管理规定第三十七条 运维类外包人员在进场前应签署保密承诺,并定时组织信息安全培训,提升风险管理意识,确保信息安全管控措施在服务过程中得到有效贯彻;第三十八条 明确服务活动中需要访问或使用的信息安全资产,包括场地、办公设备、计算机、服务器、软件、数据、信息、物理访问监控设备、账号、网络宽带、网络端口等,按“必须知道”和“最小授权”原则进行访问授权;
20、第三十九条 定时对自助设备维护商进行实地检查,获取其自评估或第三方评估报告。检查原则上一年不少于一次,检查结果作为自助设备维护商项目考核及准入的重要指标。第四十条 分行信息技术部在对存在关联关系的自助设备维护商进行安全检查,不得以该维护商自评估替代、不得因关联关系而影响检查的独立性、客观性及公正性根据5号文。第九章 应急管理第四十一条 为保证分行自助设备运维服务延续稳定运行,各分行信息技术部应依据有关业务需要拟定年度业务连续性计划,完善应急预案,组织自助设备维护人员参加。完善业务连续性计划。第四十二条 为降低分行自助设备运维外包突发事件的可能性及影响,分行信息技术部应建立风险监控、缓释或转移措
21、施。包括(但不限于)以下措施:尽早发现可能致使外包服务中断的情形;要求自助设备维护商筹备足够的备份人员,拟定关于服务中断的应急处理预案;自助设备维护商应向行方提供必要的培训5号文中:考虑预先在其内部配置相应的人力资源。,掌握必要的技能,保留最低限度的自行运维服务能力按照银行业金融机构信息科技外包风险监管指引的要求,加强对外包服务中断应急场景的演练,将此部分放入服务连续性管理中。;与自助设备维护商事先商定在其服务质量未能满足协议要求的情形下获取其服务资源的优先权。第四十三条 分行信息技术部应该针对重要服务中断的场景,拟定相应的应急计划进行演练,考虑因素包括(但不限于)以下内容:l 事件场景,如重
22、要人员流失致使服务无法延续,自助设备维护商主动退出,因资质变更、被收购、兼并或破产等原因致使的自助设备维护商被动退出等;l 事件延续时间和恢复可能性;l 事件影响范围和可能的应急措施;l 外包供应商自行恢复服务的可能性和时间;l 备选的外包供应商以及服务迁移方案;l 有关运维服务过渡给总分行自行运作的可能性、时效及资源需求。第四十四条 对于无法满足自助设备运维外包服务要求或发生重大事件的情形,分行信息技术部应当在充份评估其影响及拟定退出计划的前提下,考虑主动要求有关的自助设备维护商终止服务,情节特别严重的,可考虑取消准入资质,并报送监管机构申请对其备案。对于关联外包,不得因为关联关系而影响自助设备维护商退出机制的贯彻。第十章 监督管理第四十五条 分行信息技术部在运维过程发生如下重大事件时,应在两个工作日内向银监会或其派出机构报告,并报告总行信息技术部:l 客户信息等敏感数据泄露;l 数据损毁或者重要业务运营中断;l 由于不可抗力或外包供应商重大经营、财务问题,致使或可能致使我行运维外包服务中断;l 其他重大的外包供应商违法违规事件;l 银监会规定需要报告的其他重大事件。监管机构对银行业金融机构的要求第十一章 附则第四十六条 本办法由总行信息技术部负责说明。第四十七条 本办法自 年 月 日起施行。