外包服务管理程序.docVIP

邑阜祈银行 BANK OF FUXIN 信息科技部外包服务管理程序 A版 2011年6月1日发布 2011年6月1日实施 目录 TOC \o 1-5 \h \z HYPERLINK \l bookmark61目的 3 2范围 3 HYPERLINK \l bookmark103相关文件 3 HYPERLINK \l bookmark124职责 3 HYPERLINK \l bookmark145程序 3 HYPERLINK \l bookmark165.1外包策略 3 HYPERLINK \l bookmark185.2外包事项的确定 3 HYPERLINK \l bookmark205.3第三方能力评定 4 HYPERLINK \l bookmark225.4服务等级协议 4 HYPERLINK \l bookmark245.5服务履行 5 HYPERLINK \l bookmark265.6服务监监控与评审 5 HYPERLINK \l bookmark285.7外包服务应急演练 6 HYPERLINK \l bookmark306记录 6 修订历史甲录 版本 日期 修订者 修订描述 1.0 1目的 为规范阜新银行信息科技部所有信息系统相关的外包服务管理，特制订本程 序。 范围 本程序适用于阜新银行信息科技部对外包服务的管理。 3相关文件 《物理访问控制程序》 《用户访问控制程序》 《变更管理控制程序》 4职责 4.1总经理负责外包服务项冃的审批。 4.2各相关岗位人员负责外包服务所涉及到的第三方的定期监控与评审。 4.3指定的副总经理负责外包服务合同的签订与定期回顾。 5程序 5.1外包策略 涉及核心系统的任何服务不得长期外包给任何第三方，仅可与第三方签订必 要的服务协议；其余系统的口常运行维护工作可以外包给具有服务资质或经过总 经理审查的第三方。 5.2外包事项的确定 5.2.1符合外包策略耍求的事项，符合阜新银行业务发展需耍的服务事项，可由 相关系统管理人员起草《外包服务申请报告》提出申请，在申请报告中应说明需 外包的事项、所涉及的信息系统、提出申请的理由、可能存在的风险及风险应对 计划，报信息科技部总经理。 5.2.2信息科技部总经理应组织部门信息安全管理委员会成员协同中请提岀人， 瑩亲斤毛艮彳亍 BANK OF FUXIN 信息安全管理体系文件 ISMSP-15-A 共同讨论外包事项是否符合阜新银行业务发展的需要， 经审批后，进入采购流程。 必要时提请行领导决策， 5.3第三方能力评定 5.3.1各相关管理岗位需耍将设备、网络、系统、软件和信息安全等事项外包时, 丿应明确外包服务的内容和要求，对第三方提供服务的能力进行评定，必要时通过 招投标，确定合格第三方。 5.3.2应确保第三方保持充分的提供服务的能力，并且具备有效的工作计划，即 使发生重大的服务故障或灾难也能保持服务的连贯性。 5.4服务协议 5.4.1任何外包服务供应商均应签订外包服务合同及保密协议，并在保密协议中 体现信息安全风险金，服务合同及保密协议应通过阜新银行法律事务部门的审 核。 5.4.2信息科技部须同外部服务供应商针对所涉及的外包服务事项签订服务等级 协议，协议应至少包括以下内容： a） 简单的服务描述； b） 有效期或变更控制的机制； c） 授权的细节； d） 沟通的简单描述，包括服务报告； e） 紧急事件、事件和问题纠正和恢复的应急计划，包括联系人的信息； f） 服务时间； g） 预定的和协商同意的服务中断； h） 用户责任，例如：安全； i） 信息科技部责任和义务，例如：安全； J）影响和优先级的指导方针； k） 调整升级和通知的过程； l） 投诉程序； m） 服务的冃标； n） T.作量的限定，例如：服务范围用户数量； o） 财务管理细节； p） 服务中断事件所应采取的措施； q） 供应商内部管理的相关程序； r） 术语; s） 支持的或相关的服务； t） 任何针对服务等级协议条款的例外声明。 5.5服务履行 5.5.1服务提供过程中，仅限在外包服务供应商在服务等级协议中明确的已被授 权的工作人员进入服务现场。 5.5.2对外包服务供应商技术人员在现场处理需要设备入网时，应填写《市行机 关办公楼、内外网络接入申请单》，经信息科技部总经理批准后方可入网，对系 统的巡检和维护需有信息科技部专业人员陪同，按《物理访问控制程序》和《用 户访问控制程序》进行。 5.5.3服务履行屮的，外包服务提供商所提岀的任何变更，均应告知信息科技部, 并共同进行变更内容所可能引起的服务质量及风险情况进行评估，确保服务等级 可以维持在阜新银行金融业务耍求的程度时，由指定的分管副总经