银行运维类信息科技外包管理办法模版.docx

资源描述

1、*银行分行运维类供应商管理办法第一章总则第一条【拟定目的】为加强*银行(以下简称“我行”）分行运维类信息科技外包服务管理，确保分行运维类外包供应商提供延续、稳定、优质的服务，有效监控分行外部采购及服务过程中由供应商引发的风险，依据有关银行业银行等金融机构信息科技外包风险监管指引的监管要求，以及行内拟定的、*银行信息科技外包管理指引、*银行分行信息科技外包管理指引、*银行信息科技供应商管理办法以及其他监管部门关于法律、法规等制度要求，结合分行自身信息科技外包管理特点,拟定本办法。第二条【适用领域】本办法适用于*银行在中华人民共和国境内依法设立的各级地方分行以及在境外设立的分支机构。第三条

2、【管理对象】运维类信息科技外包是指我行将原本由自身负责处理的运维类信息科技活动委托给信息科技外包供应商进行处理的行为,包含项目外包、人力外包等形式,总行信息技术部信息科技外包管理职责分工细则。在描述中，是否可以改为原本由自身负责处理的或已经达到维保期限的分行运维类信息科技外包管理范围包括：（一）分行基础设备运维类，即所有涉及客户或内部信息转移的基础设备维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管）。（二）分行应用运维类，所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动(包括托管)。（三）分行桌面运维类,所有外部服务提供

3、商参加的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动（包括托管)。（四）运维有关咨询服务类:外部服务供应商提供或参加信息科技领域的技术支持、解决方案、评测、认证、研究等活动。第二章组织分工与职责第四条【总行操作风险部】总行操作风险管理部是运维类信息科技外包风险主管部门,其职责主要包括:(一) 对分行运维类信息科技外包风险进行识别、评估与风险提示;(二) 监督、评估分行运维类信息科技外包管理工作，并督促外包风险管理的延续改善;(三) 参加分行运维类信息科技外包项目实施情形的跟踪检查和将来评估；招商银行信息科技外包管理指引第五条【总行信息技术部】总行信息技术部是分行信

4、息科技运维类外包供应商管理工作的归口管理部门，C313-WP-分行信息科技外包管理指引第三条负责管理总行信息系统运行维护类外包和运维有关的信息科技咨询外包,对分行自助设备维护外包、应用运维类外包、IT桌面运维外包和运维类咨询外包等领域的信息科技活动提供支持。改自：总行信息技术部信息科技外包管理职责分工细则第五条主要职责包括：(一) 起草并实施信息科技外包战略；(二) 拟定并贯彻分行运维类信息科技外包项目的向上申报、审批制度和流程。招商银行信息科技外包管理指引信息技术部职责(三) 负责分行运维类信息科技外包总体制度的拟定与维护，覆盖分行运维类信息科技外包策略、分工职责和总体管理要求;总行信息技术

5、部信息科技外包管理职责分工细则中安全内控室的职责(四) 依照监管部门和操作风险管理部要求组织分行运维类信息科技外包风险管理工作，组织协助配合监管部门和审计部门进行分行运维类信息科技外包检查和审计；总行信息技术部信息科技外包管理职责分工细则中安全内控室的职责第六条【分行信息技术部】分行信息技术部负责统筹分行运维类信息科技外包管理工作,依照总行信息科技外包战略指引，结合分行工作实际,建立适合分行的运维类信息科技外包管理体系,拟定分行运维类信息科技外包管理流程和操作细则。分行信息科技外包管理指引其职责主要包括:(一) 负责建立分行运维类外包供应商关系、准入退出、评估、退出管理制度，建立并维护分行运

6、维类外包供应商关系管理策略;(二) 依据有关总行在应急管理方面的总体要求,拟定保障分行运维类信息科技外包服务延续性的应急管理方案。(三) 监控外包活动,定时向总行信息科技外包风险管理主管部门报告外包活动情形。招商银行信息科技外包管理指引信息技术部职责(四) 建立运维类IT外包安全事件应急处理机制,包括管理组织、报告路线、处置方案等，提出预防措施;负责组织调查并处理IT外包重大安全事故,提出整改或补救措施,并监督执行外包安全管理指引安全管理室第七条【分行运维类IT外包管理职能岗】分行信息科技外包管理职能岗是分行运维类信息科技外包管理的实施和监督部门,其主要职责是负责协助配合分行信息技术部(或有

7、关职能部门)建立运维类信息科技外包管理体系，组织并实施分行运维类外包供应商准入退出、评估、安全、应急管理，并负责监督管理日常工作。调研结果，分行没有对应的专职岗位，都是由分行信息技术部、设备室、法律合规室等代为兼职。第八条【分行运维类I外包使用部室】分行运维类IT外包使用部门负责监督、管理运维类外包商在本行工作或访问期间的所有行为,并对其所对口外包商的行为、影响和后果负有所有责任。招商银行IT外包安全管理指引第六条第九条【实施依据】各级分行应当依据本管理办法对任何参加我行分行信息科技建设或服务，以及拟参加我行分行信息科技建设或服务的运维类外包供应商进行管理。第三章管控原则*第十条【执行

8、原则】分行运维类信息科技外包管理的管控原则是依据有关分行运维类信息科技外包管理范围类别、提供服务重要性的不同,对其采取分类分级的办法进行管控。第十一条【分类管控】分类管控是分行信息技术部依照分行运维类信息科技外包管理范围类别（参见本办法第三条)进行管理。第十二条【分级管控】分级管控即分行信息技术部依据有关分行运维类信息科技外包服务的重要性（如依照项目规模将运维类外包供应商依照一般、重要进行分级),对不同级别的运维类外包供应商采取差异化的管控措施。新疆、西藏地区的执行标准第四章关系如何划分关系3.应用.对不同的供应商影响准入选择,管理*第十三条【关系管理】分行运维类信息科技外包关系管理是

9、指依照信息科技外包管理范围对运维类外包供应商在各个服务领域中进行分类，对每类运维类外包供应商采取不同方式的管控，并与其建立不同合作关系的管理方式。分行信息技术部应对运维类外包供应商关系进行划分(如划分为战略型、合作型、淘汰型等供应商)，针对不同关系的运维类外包供应商，区分风险管控力度和管控手段，建立相应的惩罚或激励措施,以提升管理效率,降低分行运维类信息科技外包管理风险。第十四条【管理依据】分行信息技术部应当确定运维类外包供应商关系分类以及维护机制（应包括判定标准、判断时间点、关系更新维护人员、关系应用场景），运维类外包供应商关系分类以及维护机制参照总行供应商关系管理资料文件执行。第十五条

10、【关系划分】分行信息技术部应依据有关运维类外包供应商采购内容重要性(可考虑项目重要性、技术依赖性、垄断性、价值性)和采购金额占比,对运维类外包供应商的重要性进行评分,将运维类外包供应商重要性分为一般、重要，对不同重要性的供应商采取不同的管控方式，降低管理成本，加强风险管控。第五章运维类外包供应商准入参照 5号文准入的标准或指标附件每年一次年度准入新供应商单次准入多久一次要做什么(搜集哪些信息)*第十六条【信息收集】分行信息技术部对自助设备运维供应商的准入评估由总行信息技术部履行自助设备的准入由总行完成，有关的准入要求参照*银行信息科技外包管理指引。对其他类型的正在合作或曾经合作的运维类外包

11、供应商,分行信息技术部应该开展准入信息收集、实施供应商准入评估。收集的信息包括(但不限于)内部监控与管理能力信息、延续经营能力信息和技术与服务能力信息，识别运维类外包供应商的服务连续性风险参照总行外包管理指引。第十七条【限制条件】以下关于运维类外包供应商准入的要求如非特殊说明都是指非自助设备类运维供应商。此处限制条件需确认第十八条【准入机制】分行运维类IT外包管理职能岗应依据有关分行运维类外包供应商关系分类、分级的管控原则，结合分行自身业务特点建立分行运维类外包供应商准入机制，包括分行运维类信息科技外包商准入退出管理实施细则、准入评估内容及标准等(参照总行信息技术部供应商准入管理资料文件执

12、行),明确：（一）运维类外包供应商准入条件应包括基础条件和专业能力;（二）运维类外包供应商准入执行时点,如设置在年度绩效评估之后；（三）运维类外包供应商准入执行频率,原则上一年一次;执行频率及时间点由总行确认（四）对于创新型、技术独有型、负责迭代开发项目等特殊运维类外包供应商,当其未能满足准入条件时,可召开讨论会，在确保其服务风险可控或可接受的前提下，依据详细情形将其视为有条件准入供应商，并记录其风险监控方式，包括(但不限于）:合作领域限制、增强企业监控频率、付款模式限制、签订应急附加协议等。总行供应商准入要求第十九条【准入流程】分行运维类IT外包使用部室应沟通协调有关运维类外包供应

13、商参加准入评估；第二十条【准入流程】分行运维类IT外包管理职能岗是分行运维类IT外包主管部门,分行运维类外包使用部室应协助配合分行运维类外包管理职能岗开展运维类外包供应商准入评估和尽职调查等工作，包括参加运维类外包供应商信息收集、准入评估执行、准入结果汇总、风险和违规事件报告和跟踪等；总行外包商准入实施细则第二十一条【准入流程】分行运维类IT外包管理职能岗应定时组织并实施外包商的退出管理，并以年度为单位，将分行准入评估结果提交总行信息技术部（分行管理室）调研了解监督检查。第六章运维类外包供应商选择参照分行外包管理指引*参照分行外包管理指引第二十二条【限制条件】分行信息技术部对自助设备

14、运维供应商的选择由总行信息技术部履行自助设备的选择由总行完成,以下关于运维类外包供应商选择的要求如非特殊说明都是指非自助设备类运维供应商。此处限制条件需确认第二十三条【选择要求】如采用邀标或对公开招标对象进行初选，具备投标资格/资质的潜在运维类外包供应商应至少满足准入要求，确定项目备选供应商时应考虑供应商关系类型,如应将战略合作关系供应商纳入备选范围，以及对于单一来源项目，在同等条件下应优先考虑将应急备选运维类外包供应商纳入备选范围等。第二十四条【一般项目】分行实施自主运维类外包供应商选择模式，对于项目金额不超过xx万元的运维类信息科技外包项目，调研了解分行信息技术部应编制项目实施方案，确

15、定采购方式、备选运维类外包供应商名单和有关采购需求方案,依照分行采购管理关于流程,招标确定运维类外包供应商并与其签订服务协议，负责组织开展协议验收和运维类外包供应商考核工作。是否需要向总行进行项目备案第二十五条【重要项目】根据供应商关系划分，重要项目需要总行审核对于项目规模超过xxx万的重大项目,分行信息技术部应当依据有关供应商关系管理策略，结合风险识别、评估结果以及供应商准入标准对备选运维类外包供应商进行初步筛选后,提交总行信息技术部设备管理室审批,对于无法有效监控项目执行风险的运维类外包供应商，总行信息技术部有权要求分行重新采购。防范引入高机构集中度风险特点的运维类外包供应商、或引入增加

16、整体风险的运维类外包供应商。银行业金融机构信息科技外包风险监管指引【5号】文【特殊项目】参照招商银行信息科技外包管理指引对于非公开招标的项目,分行信息技术部应提供选择其招标方式的原因及风险监控，并取得相应管理层的审批;针对单一来源采购形式，应将优质的供应商关系类型(如战略合作关系、重点合作型关系等）作为评估单一来源的考虑因素,而对绩效考核结果较差或存在高集中度风险的运维类外包供应商建议取消其单一来源采购资格/资质。第七章尽职调查参照5号文件尽职调查报告*第二十六条【关注对象】对于重要运维类外包供应商(包括由总行信息技术部框架采购的运维类外包供应商),分行信息技术部在与其签订协议签前应当深入

17、开展尽职调查，必要时可聘请第三方机构协助调查。对运维类外包供应商的尽职调查应当关注：（一）运维类外包供应商的技术和行业经验,包括（但不限于)：服务能力和支持技术、服务经验、服务人员技能、场评估、监管评估等。（二）运维类外包供应商的内部监控和管理能力，包括（但不限于)：内部监控机制和管理流程的完善程度、内部监控技术与工具等。（三）运维类外包供应商的延续经营状况，包括（但不限于）:从业时间、*场地位及发展趋势、资金的安全性、近期盈利情形等。第二十七条【特别要求】各级分行信息技术部不得因运维类外包供应商在我行的服务存在关联关系而降低对运维类外包供应商的要求,应当在尽职调查阶段详尽分析供应商技

18、术、内控和管理水平，确认其有足够能力实施有关服务、处理突发事件等。第八章采购与协议*第二十八条【采购条件】完设立项审批的运维类项目,已达到我行集中采购规定条件的，金额小于50万，由总行信息技术部设备管理室自行采购，大于50万由总行采购管理部进行采购分行信息技术部采购管理部门设备管理室应及时将采购需求报总行采购管理部,由其组织实施集中采购并确定合格运维类供应商。未达到我行集中采购规定条件的，由分行信息技术部采购管理部门依照我行采购管理办法自行组织采购并确定合格运维类供应商。第二十九条【签订条件】分行运维类供应商实施服务前,分行信息技术部应当与其签订协议，协议应依据有关服务需求、风险评估及资

19、质评估结果确定其详尽程度和重点，并由法律与合规部、总行信息技术部设备室审核。对我行已拟定供应商协议标准文本或范本的,原则上应使用我行标准协议文本或范本。对我行协议标准文本或范本条款的修改应报法律与合规部审查。第三十条【协议范围】协议中应当明确以下内容，包括(但不限于）:（一）服务范围、服务内容、工作时限、责任分配、交付物要求；（二）合规与内控要求,对法律法规及分行信息技术部内部管理制度的遵从要求、监管政策的通报贯彻机制、供应商的内控措施；（三）服务连续性要求,供应商的服务连续性管理目标应当满足分行信息技术部业务连续性目标要求；（四）我行监控和检查的权力、频率，以及供应商协助配合我行内

20、、外部审计机构和监管机构检查的责任；（五）政策或环境变化因素等在内的协议变更或终止的触发条件,运维类供应商在过渡期间应该履行的主要职责及协议变更或终止的过渡安排，包括信息、资料文件资料和设备的交接处置等过渡期间有关服务的安排；（六）服务过程中造成或产生、加工、交互的信息和知识所有权的归属权以及允许供应商使用的内容及范围、对供应商使用合法软、硬件产品的要求；（七）供应商服务要求或服务水平条款，应至少包含如下内容:服务的关键要素、服务时效和可用性、数据的秘密性和完整性要求、变更的监控、安全标准及业务连续性要求的遵守情形、技术支持水平等;（八）争端的解决机制、违约及赔偿条款，包括如下内容：服

21、务质量违约、安全违约、知识所有权违约等,及在各种违约情形下的赔偿以及服务争端的解决机制。（九）报告条款,至少包含如下内容:常规报告内容和报告频度、突发事件时报告路线、报告方式及时限要求;第三十一条【详细措施】协议中应当明确供应商在安全和保密方面的责任,以及针对信息安全及保密性要求需采取的详细措施,包括（但不限于):（一）禁止供应商在协议允许范围外使用或者披露分行信息技术部的信息，以防止信息被非授权使用；（二）在协议或协议中商定供应商对银行客户信息安全和银行客户权利的保护条款、事故处理方式及违约赔偿条款；（三）在协议或协议中商定供应商不得以所服务的分行信息技术部名义开展活动;（四）供

22、应商接触分行信息技术部信息时，需满足安全和保密有关条款的要求;（五）在发生银监会规定的信息科技突发事件,或发生可能引发系统性、区域性银行业信息科技风险类突发事件时，供应商应及时向分行信息技术部报告,包括事件的影响以及处置和更正纠正措施。第三十二条【保密承诺】分行信息技术部应安排供应商签订保密承诺或在协议中签订保密条款，供应商需在承诺书承诺: 依据有关我行要求以书面认可的方式及时整改检查中发现的问题；保障银行客户信息的安全性，当客户信息不安全或客户权利受到影响时,我行有权随时终止协议。第三十三条【协议要求】协议中应当明确要求运维类供应商不得将服务转包和变相转包。在涉及服务分包时应当要求：

23、（一）不得将服务的主要业务分包；（二）主供应商对服务水平负总责,确保分包供应商能够严格遵守协议或协议；（三）主供应商对分包商进行监控,并对分包商的变更履行通知或报告审批义务。待确认第九章行为参照总行供应商管理办法管理*第三十四条【制度约束】总行信息技术部设备管理室拟定的供应商行为管理规范，明确我行对运维类供应商日常行为的管理原则及详细实施办法,督促运维类供应商在提供服务的过程中更迅速地提升自身的管理合规意识及能力,以满足我行对其日常行为的基本合规要求。第三十五条【上报违规】各分行信息技术部应依照总行拟定的供应商行为规范要求，监督运维类供应商日常行为，对运维类供应商违规行为进行记录并

24、定时报送总行XXX室。第三十六条【整改计划】各分行信息技术部应监督运维类供应商对违规行为整改计划的实施。第三十七条【上报评估】总行信息技术部运行调度室应以不定时抽查的方式对分行运维类供应商日常行为进行检查，将分行运维类供应商日常行为合规情形纳入整体绩效评估,并定时汇总报送设备管理室。第十章运维类供应商评估按照供应商评价的生命周期描述，参照5号文和分行外包管理指引评价工作机制:谁去评价*与客户讨论总行如何管理分行的评价报告。第三十八条【分行设备管理部门】分行信息技术部设备管理部门负责建立分行运维类供应商评估体系(参照总行信息技术部运维类供应商评估管理有关资料文件执行），包括评估指标、评估

25、标准、评估流程、评估结果应用措施等,对分行运维类供应商评估结果进行审核并汇总发布。第三十九条【分行运行调度部门】分行信息技术部运行调度管理部门依据分行运维类供应商绩效评估体系,针对所管理的运维类供应商,开展绩效评估工作,原则上每年一次对运维类供应商的专业资质、工作质量、管理能力和服务水平等进行总体评估,确保评估结果的真实性和完整性,且数据至少需保存到服务终止后一年，并将评估结果报送分行信息技术部设备管理部门，评估要求包括(但不限于）：（一）项目实施计划的拟定情形;（二）项目计划的履行率;（三）项目文档管理质量；（四）例行服务的履行情形；（五）电话支持电话服务情形；（六）故障响应的

26、及时率;（七）备件/耗材响应及时率；（八）修理修缮诊断的准确率；（九）故障及时修复率;（十）故障报告的履行情形；（十一）由于项目实施致使的异常情形率;（十二）管理能力;（十三）专业资质；（十四）遵守我行信息安全保密要求、遵守我行规章制度情形等。第四十条【分行项目实施部门】分行项目实施部门应积极参加分行运维类供应商绩效评估工作,对所使用的运维类供应商的服务质量进行评估并及时反馈评估结果。第四十一条【准入依据评估约束】分行与运维类供应商的服务协议终止时,分行信息技术部应组织对运维类供应商进行评估，评估结果应当作为运维类供应商再次准入、资质评估以及分行运维类供应商关系划分的重要参

27、考依据。第四十二条【惩罚】分行信息技术部设备管理部门应牵头组织运维类供应商绩效评估结果应用措施的贯彻,包括对运维类供应商的奖励和惩罚措施等,运维类供应商如存在考核不合格的情形,原则上未来两年内不得作为分行被采购对象纳入备选范围。第十一章退出管理*第四十三条【退出流程】分行运维类供应商退出管理是指分行信息技术部设备管理部门牵头建立分行运维类供应商退出机制,依据有关退出条件,由分行运行调度部门主动终止与运维类供应商的T外包合作关系,将其列入黑名单,不再与其开展新的运维类供应商服务合作,设备管理部门审核后报送总行信息技术部设备管理室存档。对于现有项目,应启动项目应急预案,并寻求尽速替代。第四十

28、四条【退出条件】分行存在以下情形之一的运维类供应商,分行应主动要求运维类供应商终止服务,退出与其合作：（一）严重违反国家法律、法规的；（二）严重违约、擅自变更或者终止已生效协议的；（三）泄露我行商业秘密、技术秘密等非公开信息的;（四）侵犯我行知识所有权的;（五）故意提供虚假资质材料、隐瞒真实情形的;（六）信誉和财务发生严重危机的;（七）提供的产品质量和服务出现重大问题，并造成不良后果的;（八）中标后无正当理由拒绝签订协议的;（九）其他可能严重影响我行声誉以及给我行带来风险或损失的情形;第四十五条【惩罚】分行信息技术部应定时将运维类供应商黑名单及时报送总行信息技术部设备管理

29、室备案，情节严重的应取消其准入资质，并报监管机构申请对其备案。第十二章交付物验收*第四十六条【组织验收】验收小组应依照协议中项目接收和转移的有关规定,组织有关人员贯彻好文档移交、技术转移以及知识转移等工作,依据有关服务水平协议中定义的阶段性和最终验收时点开展项目验收，确定运维类供应商交付的产品或提供的服务,以及验收标准。第四十七条【验收过程】分行信息技术部负责依据有关总行信息技术部的有关要求(验收标准参照总行信息技术部SLA管理有关资料文件执行),拟定验收流程和实施细则,组织开展验收，依据有关验收结果和协议要求,组织开展付款工作，对于项目交付成果与服务水平协议出现差异的情形,应对运维类供

30、应商交付物进行管理、矫正与再验收,确保差异均被处理；由验收差异对我行造成的损失,依照协议要求运维类供应商进行赔偿。第十三章安全管理*第四十八条【详细措施】分行应当贯彻并严格依照总行拟定的运维类供应商安全管理指引,防范因分行运维类供应商活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设备遭受破坏等风险。详细措施包括:（一）要求分行运维类供应商依照银行信息安全管理制度对维护工程师进行信息安全培训，提升风险管理意识，确保信息安全管控措施在服务过程中得到有效贯彻；（二）明确服务活动中需要访问或使用的信息安全资产，按“必须知道”和“最小授权”原则进行访问授权;（三）定时对运维类供

31、应商进行实地检查,获取其自评估或第三方评估报告。检查原则上一年不少于一次，检查结果作为供应商项目考核及准入的重要指标。第四十九条【关联检查】分行在对存在关联关系的运维类供应商进行安全检查，不得以该供应商自评估替代、不得因关联关系而影响检查的独立性、客观性及公正性。第五十条【整改补救】分行信息技术部安全管理部门应对发生的安全事件拟定整改和补救措施,对重大安全事件应形成处理报告并上报总行信息技术部安全管理室。第十四章应急管理第五十一条【管理要求】分行应当考虑运维类供应商的引入对业务连续性管理的影响，有针对性的完善业务连续性计划，包括(但不限于)：（一）识别运维类业务所涉及的供应商和资源;

32、（二）通过协议、协议等形式明确要求运维类供应商提前筹备并维护好有关资源；（三）对运维类供应商提供服务的业务连续性进行监控,评估其管理水平;（四）在进行业务连续性计划演练时将运维类供应商纳入演练范围。第五十二条【管理措施】为降低运维类供应商在服务过程中突发事件的可能性及影响，分行信息技术部应当事先对业务连续性管理造成重大影响的运维类服务建立风险监控、缓释或转移措施,包括（但不限于）以下内容:（一）在运维类供应商服务过程中延续收集供应商有关信息，尽早发现可能致使服务中断的情形;（二）与运维类供应商事先商定在其服务质量未能满足协议要求的情形下获取其服务资源的优先权;（三）要求运维类供应

33、商拟定关于服务中断的应急处理预案，如提供备份人员；（四）对于涉及重要业务运维类服务，分行信息技术部需考虑预先要求运维类供应商向行方提供必要的培训，掌握必要的技能，以在运维类服务中断期间自行保持最低限度的服务能力。第五十三条【实施演练】分行信息技术部应当依照总行拟定的年度应急演练计划，针对重要运维类服务中断的场景，拟定相应的应急计划，并进行演练,并总结演练经验和问题,反馈至总行信息技术部运行调度室。考虑因素包括（但不限于）以下内容：（一）事件场景，如重要人员流失致使服务无法延续,供应商主动退出,因资质变更、被收购、兼并或破产等原因致使的供应商被动退出等;（二）事件延续时间和恢复可能性；（

34、三）事件影响范围和可能的应急措施;（四）供应商自行恢复服务的可能性和时间;（五）备选的供应商以及运维类服务迁移方案;（六）运维类服务过渡给分行信息技术部自行运作的可能性、时效及资源需求。第五十四条【奖惩】对于无法满足运维类服务要求或发生重大事件的情形,分行信息技术部应当在充份评估其影响及拟定退出计划的前提下,考虑主动要求分行运维类供应商终止服务，情节特别严重的,可考虑取消准入资质,报总行信息技术部以及监管机构申请对其备案。第十五章监督管理*第五十五条【职责划分】总行信息技术部负责对分行信息科技运维类供应商服务进行监督、检查和指导。第五十六条【重要项目监管】分行信息技术部实施以下

35、重要信息科技运维类项目时，应当在协议签订前二十个工作日书面报告中国银监会或属地银监局：需要确定哪些类型项目向监管机构报告（一）在境外实施的信息科技运维类供应商服务项目;（二）一旦运维类供应商服务意外终止，短时间内有可能对我行的业务运营、管理、声誉或者安全造成或产生严重、显著不良影响的信息科技项目;（三）涉及将银行业银行等金融机构客户资料文件资料、交易数据等敏感信息交由运维类供应商进行分析或处理的信息科技项目;（四）以非驻场形式实施的、集中存贮客户数据的业务交易系统项目；（五）在评估阶段被我行认为是高风险级别的其他信息科技运维类供应商服务项目;（六）监管机构认定的其他重要信息科技运维

36、类供应商服务项目;第五十七条【重大事件监管】分行信息技术部在实施运维类项目中发生如下重大事件时,应当及时向总行信息技术部以及中国银监会或属地银监局报告：（一）敏感数据泄露等各类信息安全事件；（二）数据损毁或者重要业务运营中断; （三）由于不可抗力或供应商重大经营、财务问题、管理问题,致使或可能致使的运维服务中断或运维服务水平显著下降；（四）其他重大的供应商违法违规事件;（五）总行信息技术部规定需要报告的其他重大事件。第五十八条【分行监管领域】由于分行信息技术部无法对非驻场的运维类供应商的内部监控及风险管理措施进行直接管控，分行应当在信息安全、知识所有权保护、质量监控、法律合规等方面加强对供应商的风险监管。第五十九条【奖惩】分行信息技术部应当加强对运维类供应商质量管理、信息安全的监控和评估,评估结果作为运维类供应商准入的重要依据。对于高风险的供应商,分行应责成其进行限期整改，对于逾期未改的供应商应暂停或取消其服务资格/资质。第六十条【报送】分行信息技术部在开展年度运维类供应商风险评估工作后，应当将年度风险评估报告报送总行信息技术部。第十二章附则第六十一条本办法由总行信息技术部负责说明。第六十二条本办法自年月日起施行。

展开阅读全文