银行运维类IT外包服务中断应急管理实施细则模版.docx

1、分行运维类IT外包服务中断应急管理实施细则 第一章 总则 第一条 为规范**银行分行运维类IT外包服务中断应急响应流程,提升IＴ外包服务中断应急处置能力，推进外包商提供延续、稳定的服务,有效监控分行运维类ＩT外包服务中断风险,依据有关中国银监会《银行业银行等金融机构信息科技外包风险监管指引》（银监发【＊】５号)，**银行《**银行信息科技外包风险管理指引》（招银发【*】204号）、《**银行IT外包服务中断应急管理指引》等管理制度的要求,特制订本细则。 第二条 本细则中提到的分行运维类IT外包突发事件指由于分行运维类IT外包服务中断而影响到分行运维类IＴ外包服务正常获取的突发事件。

2、第三条 分行信息技术部应参照本细则对参加分行运维类信息科技建设或拟参加分行运维类信息科技建设的外包商进行管理。 第四条 本细则所称分行运维类ＩT外包管理领域包括： l 分行基础设备运维类,即所有涉及客户或内部信息转移的基础设备维护以及维保活动(包括非长期驻场、非驻场、非固定周期、固定周期、托管）。 l 分行应用运维类,所有非长期驻场、非驻场、非固定周期、固定周期的应用维护以及涉及银行客户或内部信息转移的维保活动（包括托管）。 l 分行桌面运维类，所有外部服务提供商参加的为保障桌面信息系统和防病毒系统正常、安全、有效运行而采取的维护活动（包括托管）。 l 运维有关咨询服务类：外部服务供

3、应商提供或参加信息科技领域的技术支持、解决方案、评测、认证、研究等活动。 第二章 职责分工 第五条 分行信息技术部为分行运维类IT外包服务中断应急管理组织部门,主要职责包括: (一) 制订分行运维类IT外包服务中断组织级应急响应预案； (二) 依据有关总行外包服务中断年度应急演练计划安排,制订分行运维类IT外包服务中断组织级年度演练计划,组织开展应急演练; (三) 监督运维类IT外包突发事件应急演练及应急处置过程及结果； (四) 沟通协调分行信息技术部内部,以及和其它部门的应急管理工作。 第六条 分行ＩＴ外包管理执行部门为分行运维类IＴ外包服务中断应急管理执行部门,其主要职责

4、包括： (一) 制订分行运维类IT外包服务中断项目级应急响应预案; (二) 制订分行运维类IT外包服务中断项目级应急演练计划,进行演练并对结果进行总结; (三) 在分行运维类IT外包服务日常管理中实施外包服务中断风险监控、缓释或转移措施； (四) 发生分行运维类ＩT外包突发事件时组织实施对事件的应急处置并对结果进行总结； 第三章 IT外包服务中断应急管理 第七条 为降低分行运维类IT外包突发事件的可能性及影响， 分行IＴ外包管理执行部门应在分行运维类ＩT外包服务日常管理中实施外包服务中断风险监控、缓释或转移措施，包括(但不限于）以下内容： (一) 应与分行运维类外包商在协议中

5、商定在其未能提供延续服务的情形下本行拥有购买其人力、技术、设备等资源的优先权; (二) 应要求分行运维类外包商拟定分行运维类IＴ外包服务中断有关的应急处理预案，并作为协议附件（协议附件模板请参见附件一《IT外包项目服务中断应急预案(协议附件模板）》）； (三) 对业务连续性管理造成重大影响的分行运维类ＩT外包服务,应为运维类外包服务的关键角色配备相应的行内人力资源,并要求运维类外包商预先针对非正常退出的情形购买商业保险或预支风险担保金；　 (四) 在分行运维类外包服务实施过程中,应延续收集运维类外包商有关信息并通知分行信息技术部,以便尽早发现可能致使IT外包服务中断的情形; 第八条 分

6、行信息技术部应针对重要运维类外包服务中断的场景，拟定相应的组织级应急响应预案,作为分行运维类ＩT外包项目级应急管理的指导规范,预案包括（但不限于）以下内容: (一) 应急响应预案的目的、适用范围及前提假设； (二) 应急响应的组织架构及职责，包括总行应急处置领导小组、信息技术部负责人、运维类IT外包突发事件应急组、其他应急处置支持部门等； (三) 可能致使运维类IT外包服务中断的事件场景,包括重要人员流失致使服务无法延续，运维类外包商主动退出，因资质变更、被收购、兼并或破产、不可抗力等原因致使的外包商被动退出,本行主动清退外包商等； (四) 应急响应流程,包括事件发现与报告、事件分析与

7、方案拟定、处置决策、措施执行等环节,以及每个环节的工作任务描述; (五) 应急响应联系人清单。 组织级应急响应预案详细内容请参见附件二《IＴ外包服务中断组织级应急响应预案》。 第九条 针对承接多个项目的分行运维类外包商,分行信息技术部应对其承接项目划分应急优先级。 第十条 分行IT外包管理执行部门应以组织级应急预案为指导,结合项目实际情形拟定项目级运维类外包服务中断应急响应预案，包括（但不限于）以下内容: (一) 可能致使运维类外包服务中断的事件场景，至少覆盖组织级应急预案所列场景内容; (二) 在项目实施过程中针对运维类外包服务中断的日常规避措施，包括分行人员职责及运维类外包商职

8、责; (三) 每个事件场景的应急优先级及详细应急处置措施,包括本行人员职责及运维类外包商职责； (四) 每个事件场景的运维类ＩT外包服务恢复时间目标； (五) 每个事件场景的应急审批级别、应急联络人、应急协助配合部门或第三方； (六) 项目备选的运维类外包商。 项目级外包服务中断应急响应预案模板请参见附件三《IT外包服务中断项目级应急响应预案（模板）》 第十一条 分行信息技术部应制订组织级应急年度演练计划，演练计划内容包括（但不限于）：演练目的、演练策略、演练周期、演练方式、演练的组织、演练的评估。详细请参见附件四《ＩT外包服务中断应急演练计划》)。 第十二条 分行信息技术部应依

9、照演练计划内容定时组织有关方对分行运维类ＩT外包服务中断应急响应预案进行演练，演练频率和项目覆盖范围应考虑所涉及分行运维类外包商的关系类型（外包商关系类型的定义请参见《分行运维类IT外包商关系管理实施细则》)： (一) 两年内履行所有重要外包商的服务中断应急演练； (二) 一年内履行所有消极淘汰外包商的服务中断应急演练; (三) 三年内履行所有高集中度外包商的应急演练，该类型运维类外包商应全程参加演练过程; (四) 两年内履行所有行业重点外包商的应急演练； (五) 应急备选运维类外包商应至少每年参加一次相应子领域的应急演练。 第十三条 分行IT外包执行部门应在演练终止后对演练结果进行分析总结，组织分行运维类外包商修正项目级应急响应预案。 第十四条 当发生运维类ＩT外包突发事件时，分行信息技术部应依照应急响应预案对事件进行响应及处置，应对处置过程进行完整记录，并在服务恢复后对应急处置结果进行总结分析。 第四章 附则 第十五条 本细则由**银行总行信息技术部负责说明。