IT信息外包服务管理程序.doc

IT信息外包服务管理程序 1 目的 为规范所有信息系统相关的外包服务管理，特制订本程序。 2 范围 本程序适用于对IT外包服务的管理。 3 相关文件 《物理访问控制程序》 《用户访问控制程序》 《变更管理控制程序》 4 职责 4.1 总经理负责外包服务项目的审批。 4.2 各相关岗位人员负责外包服务所涉及到的第三方的定期监控与评审。 4.3 指定的副总经理负责外包服务合同的签订与定期回顾。 5 程序 5.1 外包策略 涉及核心系统的任何服务不得长期外包给任何第三方，仅可与第三方签订必要的服务协议；其余系统的日常运行维护工作可以外包给具有服务资质或经过总经理审查的第三方。 5.2 外包事项的确定 5.2.1 符合外包策略要求的事项，符合IT业务发展需要的服务事项，可由相关系统管理人员起草《外包服务申请报告》提出申请，在申请报告中应说明需外包的事项、所涉及的信息系统、提出申请的理由、可能存在的风险及风险应对计划，报信息科技部总经理。 5.2.2 信息科技部总经理应组织部门信息安全管理委员会成员协同申请提出人，共同讨论外包事项是否符合IT业务发展的需要，必要时提请行领导决策，经审批后，进入采购流程。 5.3 第三方能力评定 5.3.1 各相关管理岗位需要将设备、网络、系统、软件和信息安全等事项外包时，应明确外包服务的内容和要求，对第三方提供服务的能力进行评定，必要时通过招投标，确定合格第三方。 5.3.2 应确保第三方保持充分的提供服务的能力，并且具备有效的工作计划，即使发生重大的服务故障或灾难也能保持服务的连贯性。 5.4 服务协议 5.4.1 任何外包服务供应商均应签订外包服务合同及保密协议，并在保密协议中体现信息安全风险金，服务合同及保密协议应通过IT法律事务部门的审核。 5.4.2 信息科技部须同外部服务供应商针对所涉及的外包服务事项签订服务等级协议，协议应至少包括以下内容： a) 简单的服务描述； b) 有效期或变更控制的机制； c) 授权的细节； d) 沟通的简单描述，包括服务报告； e) 紧急事件、事件和问题纠正和恢复的应急计划，包括联系人的信息； f) 服务时间； g) 预定的和协商同意的服务中断； h) 用户责任，例如：安全； i) 信息科技部责任和义务，例如：安全； j) 影响和优先级的指导方针； k) 调整升级和通知的过程； l) 投诉程序； m) 服务的目标； n) 工作量的限定，例如：服务范围用户数量； o) 财务管理细节； p) 服务中断事件所应采取的措施； q) 供应商内部管理的相关程序； r) 术语； s) 支持的或相关的服务； t) 任何针对服务等级协议条款的例外声明。 5.5 服务履行 5.5.1 服务提供过程中，仅限在外包服务供应商在服务等级协议中明确的已被授权的工作人员进入服务现场。 5.5.2 对外包服务供应商技术人员在现场处理需要设备入网时，应填写《市行机关办公楼、内外网络接入申请单》，经信息科技部总经理批准后方可入网，对系统的巡检和维护需有信息科技部专业人员陪同，按《物理访问控制程序》和《用户访问控制程序》进行。 5.5.3 服务履行中的，外包服务提供商所提出的任何变更，均应告知信息科技部，并共同进行变更内容所可能引起的服务质量及风险情况进行评估，确保服务等级可以维持在IT金融业务要求的程度时，由指定的分管副总经理审批后实施变更。具体变更流程执行《变更管理控制程序》。 5.6 服务监控与评审 5.6.1 相关外包服务归口管理岗位负责人应按照服务合同及服务等级协议的要求对服务情况进行巡检，对服务内容和质量进行记录和评审，相关人员应对巡检结果保留《外包服务巡检记录单》。 5.6.2 外包服务提供商应按照服务等级协议的约定，按时编写描写服务提供情况的《服务报告》，相关外包服务归口管理岗位负责人应按照双方约定的报告提交时间，对服务提供方服务和《服务报告》进行评审，必要时应将评审结果与相关的外包服务提供商进行沟通。 5.6.3 外包服务归口管理岗位负责人应保持对第三方访问、处理和管理敏感信息、关键信息、信息处理设施的监控和技术分析的记录。 5.6.4 每年由分管副总经理组织信息科技部所有外包服务所涉及的人员，对外包服务供应商的服务情况进行评审，如无法达成服务等级协议的要求或有重大违反信息科技部信息安全管理要求的情况，应重新选择外包服务供应商。 5.7 外包服务应急演练 5.7.1 外包服务提供商应根据双方约定的服务等级协议，对应急计划中所涉及的事项进行应急演练的策划，并形成《应急演练计划》，应急演练计划应与相应外包服务归口管理岗位负责人进