农村信用社联合社信息科技外包管理办法试行doc.docx
《农村信用社联合社信息科技外包管理办法试行doc.docx》由会员分享,可在线阅读,更多相关《农村信用社联合社信息科技外包管理办法试行doc.docx(14页珍藏版)》请在冰豆网上搜索。
农村信用社联合社信息科技外包管理办法试行doc
农村信用社联合社信息科技外包管理办法(试行)
农村信用社联合社信息科技外包管理办法试行第一章总则第一条为了规范省农村信用社联合社以下简称“省联社”的外包活动,保障省联社信息系统安全持续稳定运行,依据银监会颁布的商业银行信息科技风险管理指引和银行业金融机构外包风险管理指引,以及国家有关法律法规,制定本办法。
第二条本办法中的信息科技外包以下简称“外包”是指省联社将某些信息系统项目委托给服务提供商进行处理的行为。
第三条外包应以满足需求、保证质量、提高效率、风险可控、成本可控为基本原则。
第四条省联社信息科技的战略管理、核心管理以及内部审计等职能不宜外包。
第二章组织架构及职责第五条省联社外包管理的组织架构包括理事会、高级管理层及外包管理部门,其中外包管理部门主要包括省联社银信金融服务中心信息技术部以下简称“信息技术部”、稽核审计中心、合规部等部门。
第六条省联社理事会的职责主要包括以下方面一审议批准信息科技外包的战略发展规划;二审议批准外包的风险管理制度;三审议批准外包范围及相关安排;四审阅本机构外包活动相关报告;五安排内部审计,确保审计范围涵盖所有的外包活动。
第七条省联社高级管理层的职责主要包括以下方面一制定外包战略发展规划;二制定外包风险管理的政策、操作流程和内控制度;三确定外包业务的范围及相关安排;四确定外包管理部门职责,并对其行为进行有效监督。
第八条信息技术部的职责主要包括以下方面一执行外包风险管理的政策、操作流程和内控制度;二根据省联社信息科技建设规划或外包服务需求,结合省联社信息科技的建设情况,确立外包项目的范围和内容、制定外包年度计划及外包阶段性计划;三负责外包活动的日常管理,包括尽职调查、合同签署以及外包服务技术指标的制定等;四负责形成外包项目情况汇总报告,提交省联社合规部和稽核审计中心;五根据省联社稽核审计中心或合规部对外包项目评估、审计以及提出的风险管理意见对信息科技外包项目实施优化和改进;六在发现外包服务提供商的业务活动存在缺陷时,采取及时有效的措施;七高级管理层确定的其他职责。
第九条稽核审计中心的职责主要包括以下方面一负责内部审计,确保审计范围涵盖所有的信息科技外包活动。
二高级管理层确定的其他职责。
第十条合规部的职责主要包括以下方面一负责外包合同的审查与修改;二负责外包风险状况的监督及风险管理;三向高级管理层提出有关外包活动发展和风险管控的意见和建议;四根据信息技术部提交的外包项目情况报告,及时发现信息科技外包风险,并进行风险提示。
五定期向高级管理层和监管部门提交外包风险评估报告;六高级管理层确定的其他职责。
第三章外包服务商资质评审第十一条外包服务提供商的资质评审由信息技术部负责统一组织,原则上每年评审一次,特殊情况可根据实际需要安排评审。
第十二条参加资质评审的外包服务商必须满足省联社招标文件中要求的资质,不符合资质要求的外包服务商不准参与外包服务,并严格按照省农村信用社联合社电子设备项目采购管理办法规定的流程确定外包服务商。
第十三条开展外包服务商资质评审前必须对服务提供商进行尽职调查,并形成尽职调查报告。
对外包服务商的尽职调查主要包括以下内容一管理能力和行业地位;二财务稳健性;三经营声誉和企业文化;四技术实力和服务质量;五突发事件应对能力;六对银行业的熟悉程度;七对其他银行业金融机构提供服务的情况;八省联社认为重要的其他事项。
如果外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
第四章外包合同第十四条省联社开展信息科技外包活动时与外包服务商签订书面合同或协议,明确双方的权利义务。
合同或协议应当包括但不限于以下内容一外包服务的范围和标准;二外包服务的保密性和安全性的安排;三外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺;四外包服务的审计和检查;五外包争端的解决机制;六合同或协议变更或终止的过渡安排;七担保和损失赔偿以及违约责任。
第十五条签订外包合同时外包服务提供商须承诺以下事项一定期通报外包活动的有关事项;二及时通报外包活动的突发性事件;三配合省联社接受银行业监督管理机构的检查;四保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,省联社有权随时终止外包合同;五遵守省联社有关信息科技风险管理制度和流程;六第三方供应商出现问题时,保证软硬件持续可用的相关措施;七不得以省联社的名义开展活动;八省联社认为应当承诺的其他事项。
第十六条对于数据中心的重要基础设施、重要信息系统的维护服务外包,签订外包合同时,外包服务商须保证购买商业保险以保证其有足够的赔偿能力,并告知保险覆盖范围。
第十七条省联社所有信息科技外包合同须由合规部审核通过、省联社高级管理层批准后方可实施。
第五章风险管理第十八条外包管理部门要切实加强信息科技相关外包管理工作,确保省农村合作金融机构的客户资料等敏感信息的安全,应采取包括但不限于以下风险管控措施一实现我省农村合作金融机构客户资料与外包服务商其他客户资料的有效隔离;二按照“必需知道”和“最小授权”原则对外包服务商相关人员授权,对使用环境中的系统权限、文件读写权限等必须严格控制,不得授予与工作无关的其他权限;三要求外包服务商保证其相关人员遵守保密规定及省联社信息科技风险的相关管理制度;四将涉及我省农村合作金融机构客户资料的外包作为重要外包;五严格禁止外包服务商对外转包,采取足够措施确保相关信息的安全;六确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。
第十九条关注外包服务商分包风险,若外包活动存在分包情况的,须在合同中明确以下事项一服务提供商分包的规则;二分包服务提供商应当严格遵守主服务提供商与省联社确定的外包合同或协议中的相关条款;三主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;四不得将外包活动的主要业务分包;五不得将外包活动转包或变相转包。
第二十条信息技术部负责制定和建立外包突发事件应急预案和机制,以应对外包服务商在服务中可能出现的重大缺失。
尤其是需要考虑外包服务商的重大资源损失,重大财物损失和重要人员的变动,以及外包合同或协议的意外终止等情况。
通过采取替代方案、寻求合同项下的保险安排等措施,确保业务活动的正常经营。
第二十一条合规部负责对外包活动进行全面风险评估,稽核审计中心负责对外包活动进行审计。
第二十二条省联社在开展外包活动时如遇到对省农村合作金融机构业务经营、客户信息安全、声誉等产生重大影响事件,应及时向监管部门报告。
省联社在实施重要外包如数据中心和信息科技基础设施等应格外谨慎,在准备实施重要外包时应以书面材料正式报告监管部门。
第六章外包人员管理第二十三条外包服务商需要明确一名项目经理或项目负责人负责协调项目相关重要事项。
第二十四条省联社对于外包人员的管理方式以管理外包服务商项目经理为主,也可以根据实际需要直接管理和调配外包人员。
第二十五条外包人员在省联社服务期间,应严格遵守省联社作息考勤制度以及其他工作规范。
第二十六条信息技术部负责对外包人员使用环境和权限配置管理,对使用环境中的系统权限、文件读写权限必须严格控制,以满足工作需要为前提,遵循权限最小化原则,不得授予与工作无关的权限。
第二十七条对于向外包人员提供省联社内部资料必须严格审核,严禁XX提供。
第二十八条信息技术部如发现外包人员违反有关规定和规章制度,须立即制止并纠正,多次违反情节严重的,有权停止其省联社的一切活动,并通知其所在的外包服务商。
造成损失的,由外包服务商负责赔偿。
第二十九条信息技术部对其使用的外包人员的工作饱满度负责,应及时制订和适时调整外包人员工作计划,经常检查、督促外包人员工作。
第三十条对由于工作调整无须再使用的外包人员,信息技术部应及时确认其使用省联社的资源已全部退还。
第七章外包交付物验收第三十一条外包人员应按时交付服务工作成果,信息技术部应及时组织人员进行验收。
第三十二条开发类外包人员的交付物必须经过在测试环境下的严格测试,验收合格后才可以投产试用。
第三十三条对于外包交付物验收不合格的,应要求外包服务商重新提供产品,并重新组织验收,直到验收通过,并纳入外包服务商考核评价过程。
第三十四条由于外包服务商原因导致未按计划完成或完成项目质量不高,并造成一定影响的,作为不良合作记录登记,对未完成服务由外包服务商继续完成,并不再追加任何费用。
第八章外包交付物管理第三十五条对于外包人员提交的源代码,须经信息技术部人员审核编译。
所产生的执行程序,须经省联社相关人员测试通过后,按规定流程投入生产系统。
第三十六条对于外包开发人员提交的关键代码涉及业务系统核心处理流程、记账或有关安全加密、认证的代码等,信息技术部须对源代码进行重点抽查,并记录抽查结果,存档保留。
第三十七条对于外包测试人员提交的测试方案和测试案例,信息技术部须组织人员进行复核确认;外包测试人员编写的测试脚本和测试用程序必须满足项目测试性能要求。
第三十八条外包咨询人员应及时对省联社的咨询要求做出响应,按时协助解决问题,或提供符合要求的咨询建议或报告。
第三十九条外包维护人员必须及时响应业务需求,并按省联社统一形象和服务方式的要求提供服务。
第九章外包评价与审计第四十条信息技术部负责制定对外包服务商考核评价的量化指标,根据量化的考核指标,原则上每年进行一次对外包服务商的服务水平和服务质量的总体评价,并将评价结果提交高级管理层。
第四十一条考核评价结果将做为外包服务商资质评审的重要依据。
外包服务商如存在考核不合格的情况,未来两年内不得参与省联社信息科技外包服务。
第四十二条稽核审计中心负责定期对信息科技外包活动进行审计。
第十三章附则第四十三条本办法由省联社负责制定、修改和解释。
第四十四条本办法自发布之日起执行。
信用社银行重要信息系统突发事件应急管理办法第一章总则第一条为规范全省农村信用社重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范信息系统风险,根据商业银行信息科技风险管理指引、银行业重要信息系统突发事件应急管理规范试行,特制定本办法。
第二条工作原则一健全机制。
建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。
二明确职责。
明确本机构各部门在应急管理工作中的职责,以保障业务连续性为目标,落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
三预防为主。
建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
四处置高效。
加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第三条以下术语适用于本办法。
一重要信息系统是指甘肃省农村信用社支撑关键业务,其信息安全和系统服务安全关系客户、法人和组织的权益或社会秩序和公共利益,甚至影响**的信息系统。
具体包括核心综合业务系统、核心综合业务系统外围的各子系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施,以及核心综合业务系统外围保障系统,如机房漏水、机房防盗治安、机房火灾扑救、机房停电、机房空调故障等。
二业务服务时段是指甘肃省农村信用社重要信息系统所承载业务对客户提供服务的时间。
三突发事件是指甘肃省农村信用社重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。
四信息系统应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。
五业务影响分析是指分析业务功能及其相关信息系统资源、评估特定信息系统突发事件对各种业务功能的影响的过程。
六剩余风险是指采取了风险控制措施后仍不能被完全消除的信息系统风险。
第二章组织机构及职责第四条根据应急工作要求,成立甘肃省农村信用社以下简称省联社重要信息系统突发事件应急领导小组以下简称领导小组、重要信息系统突发事件应急协调小组以下简称协调小组、重要信息系统突发事件应急执行小组以下简称执行小组,协调小组和执行小组应对领导小组负责。
一领导小组组长雷志强副组长职责1.审定重要信息系统环境设施突发事件应急管理办法;2.负责重要信息系统突发事件的应急指挥、组织协调和过程控制;3.宣布重大应急响应状态的降级或解除;4.明确新闻发布人,授权其在应急过程中统一对外发布信息;5.负责决策应急处置重大事宜。
包括中断关键运行业务、向银监会及其派出机构信息系统应急管理部门报告、向下级机关通报和对外有业务往来的部门及机构披露有关情况和信息等。
二协调保障小组组长王永佳副组长康欣成员张忠林、张禧、杨子江、苏月梅、尹进亮、巩若冰、肖如强、陈国庆、宋小宁职责1.提供应急所需人力和物力等资源保障;2.做好对受影响客户的解释工作;3.做好秩序维护、安全保障、法律咨询和支援等工作;4.建立与电力、通讯、公安和消防等相关外部机构的应急协调和应急联动;5.其他为降低事件负面影响或损失提供的应急支持保障等。
三执行小组组长***副组长*****成员科技信息部全体人员职责1.实施信息系统突发事件的具体应急处置工作;2.对信息系统突发事件业务影响情况进行分析和评估;3.收集分析信息系统突发事件应急处置过程中的数据信息和日志;4.向应急领导小组报告事态发展情况和应急处置进展情况;5.组织协调应急预案的测试、培训和演练。
第三章突发事件分级第五条突法事件按照其严重程度、可控性和影响范围等因素分级。
当突发事件同时满足多个级别的定级条件时,按最高级别确定突发事件等级。
一特别重大突发事件Ⅰ级1.由于核心综合业务系统服务中断或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定的,或对客户利益造成特别严重损害的突发事件;2.由于核心综合业务系统服务异常,在业务服务时段导致全省业务无法正常开展达6个小时含以上的突发事件;3.业务服务时段以外,核心综合业务系统出现的故障或事件救治未果,可能产生上述1至2类的突发事件。
二重大突发事件Ⅱ级1.由于核心综合业务系统服务中断或重要数据损毁、丢失、泄露,对我社或客户利益造成严重损害的突发事件;2.由于核心综合业务系统服务异常,在业务服务时段导致全省业务无法正常开展达3个小时含以上的突发事件;3.业务服务时段以外,出现的核心综合业务系统故障或事件救治未果,可能产生上述1至2类的突发事件。
三较大突发事件Ⅲ级1.由于核心综合业务系统服务中断或重要数据损毁、丢失、泄露,对我社或客户利益造成较大损害的突发事件;2.由于核心综合业务系统服务异常,在业务服务时段导致全省业务无法正常开展达半个小时含以上的突发事件;3.业务服务时段以外,出现的核心综合业务系统故障或事件救治未果,可能产生上述1至2类的突发事件。
第四章风险防范第六条执行小组根据业务影响分析确定各项业务的信息系统恢复指标,主要包括一恢复时间目标RTO业务功能恢复正常的时间要求;二恢复点目标RPO业务功能恢复时能够容忍的数据丢失量。
第七条执行小组根据信息系统恢复指标和系统间的依赖关系,确定各信息系统应急响应恢复优先顺序,并系统化地识别信息技术资源风险,包括基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险等,以确保风险识别的全面性。
第八条执行小组制定全面的风险防范措施,并通过场景模拟、压力测试等手段验证风险防范措施的有效性。
在突发事件应急处置后,应评估已有风险防范措施的有效性并加以改进。
第九条执行小组依据风险防范措施对关键信息技术资源进行剩余风险评估,明确剩余风险的监测方法与预警条件,并将其纳入信息系统风险事件监测与预警体系中。
第十条执行小组对关键信息技术资源建立监测指标体系以及相关的日常监测与预警机制,对监测指标的异常波动及时预警,并定期测试与修订监测指标体系以确保其有效性。
第十一条执行小组应建立关键时点监测与预警机制,在重大业务活动、重大社会活动、信息系统重大变更等关键时点加强风险监控和预警,并及时向协调小组进行风险提示报告,多部门协同做好应急准备。
第十二条执行小组在系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时,应重新识别、分析、控制风险,并更新剩余风险评估和风险事件监测与预警。
第十三条协调小组应与电力、通信等重要基础设施服务商,主机、网络、存储等重要设备服务商,系统集成服务商以及其他外包服务商签定服务水平协议,并对服务商的技术与产品政策、服务水平、服务能力发生变化可能产生的影响及时进行风险评估和预警。
第五章应急预案与演练第十四条执行小组根据恢复时间目标RTO和恢复点目标RPO,结合风险控制策略,从基础设施、网络、信息系统等不同方面,分类制定应急预案。
第十五条信息系统应急预案应包括以下内容一明确有关各方的分工和责任;二说明重要信息系统的业务影响范围、恢复时间目标、恢复点目标、以及信息系统包括的系统资源,明确资源的物理位置、设备型号、软件资源、网络配置等关键信息;三明确各类故障的诊断方法和流程;应急场景应至少覆盖电力故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与信息系统相关的故障;四制定系统恢复流程和应急处置操作手册,尽可能将操作代码化、自动化,降低应急处置过程中产生的操作风险;五明确应急恢复过程中的关键状态,并明确不同状态的沟通和报告内容及等级;六明确应急相关人员的协调内容和沟通方式;七明确系统重建步骤,确保信息系统恢复正常业务处理能力。
第十六条执行小组会同相关业务部门定期对应急预案进行测试和演练,确保其有效性。
第十七条当信息系统发生系统上线、系统升级、网络改造、设备更新、配置参数调整等变更时应及时更新应急预案,执行小组应适时组织演练。
第十八条执行小组制定年度信息系统应急演练计划,明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。
演练计划应涵盖对应急预案各环节的检验,验证应急预案的有效性、应急资源的完备性及应急人员的适应性。
应急演练应做到全面演练和专项演练相结合,一般情况下,每年至少应组织一次全系统范围内的应急演练。
第十九条严格按照应急演练计划实施应急演练,并注意如下事项一以应急预案为基础,制定应急演练总体方案,并进行风险再评估,制定相应的保障措施;二应急演练内容应全面完整,涵盖信息系统的各类应急场景;三严格控制应急演练引起的信息系统变更风险,避免因演练导致服务中断;四应急演练应选择在非主要业务时段进行;五应急演练完成后,应保证实施应急预案所需的各项资源恢复正常;六定期对信息系统应急响应相关人员进行培训。
第二十条协调小组在应急演练的过程中,对可能存在较大风险的演练如全系统范围的演练,应按属地监管原则,在实施演练前将应急演练计划向银监会或其派出机构报备。
第二十一条应急演练结束后,执行小组应撰写应急演练情况总结报告,大型或重要的应急演练总结报告应提交领导小组。
总结报告必须包括内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论。
第二十二条执行小组根据演练总结报告提出的改进措施进行整改,及时修订相应的应急预案。
第二十三条对于全省系统范围内的年度演练,执行小组应将演练总结报告上报银监会或其派出机构。
第二十四条在应急演练过程中,应根据稽核审计部、风险管理部、合规监察部的要求,将应急演练计划、过程记录和结果分析等归档。
第六章应急响应第二十五条按照本办法,做好应急处置,快速有效处置突发事件。
第二十六条协调小组应在领导小组授权下负责突发事件报告,并指定专人为报告责任人。
当报告责任人确定或发生变更时应及时向银监会或其派出机构信息系统应急管理部门报备。
当多个重要信息系统同时受到影响时,按照受影响程序最高原则报告。
第二十七条突发事件应急响应流程一执行小组事先报告领导小组,再根据既定的应急预案,启动应急操作。
应急处置应集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施;二对于应急预案没有覆盖的突发事件,应立即报告领导小组进行应急决策;三领导小组应立即启动应急组织,组织协调机构内部进行应急处置,并负责向监管部门报告应急响应情况;四协调小组做好各项应急保障工作,为应急处置提供场地、交通、通讯及其他后勤保障;五领导小组应在重要信息系统突发事件后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告;六对造成经济秩序混乱或重大经济损失、影响金融稳定的,或对银行、客户、公众的利益造成损害的突发事件,协调小组要立即上报;七领导小组应将应急处置重大进展情况及时上报银监会或其派出机构,直至应急结束。
Ⅰ级突发事件发生后,领导小组应每2小时将应急处置进展情况上报,直至应急结束。
第二十八条上报银监会或其派出机构的局面报告内容应包括突发事件时间、地点、现象、影响的业务范围、原因分析、后果的初步判断、已采取的措施,后续拟采取方案的建议、事件报告单位、联系人及联系方式、其他与本突发事件有关的内容,并在报告中重点明确需要银监会协调的事项。
第二十九条应急处置中所有相关的信息和处理过程应进行严格记录,外部供应商的处理过程应有专门记录文件,如果涉及到理赔事宜,中间过程和场景可用摄像设备进行记录。
所有
升级会员 