招商银行分行IT桌面运维外包管理办法征求意见稿V12.docx

1、招商银行分行IT桌面运维外包管理办法征求意见稿V12分行IT桌面运维外包管理办法(征求意见稿)2015年11月第一章总则第二章第一条本办法参照中华人民共和国计算机信息系统安全保护条例对信息安全的要求，银监会发布的关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见对银行业自主可控信息安全的指导，以及招商银行信息科技外包风险管理指引（招银发【2014】204号）等对外包服务的管理要求，制定本管理办法。第二条第三条【适用范围】本办法是分行IT桌面运维外包管理的指引性文件，适用于分行各单位IT桌面终端及设备的日常运维管理工作。第四条第五条【运维对象】桌面运维的对象包括但不限于：桌面计算机

2、及外设硬件（行员日常办公电脑，办公网内多人使用的终端，长期使用人为杭外人员的我行终端，供应商或合作方需要临时接入的终端，办公网内打印机、IP电话、视频会议系统等终端）、桌面计算机操作系统及办公软件，桌面安全（如防病毒软件的解决方案、病毒防范安全策略等），桌面设备的网络连通等。第六条第七条【运维类别】桌面运维工作分为日常运行、故障处理、技术支持、应急处理等类别。第八条(一)日常运行：硬件外设、操作系统、软件日常运行维护；保证设备与我行网络的连接通畅、安全，维护我行内部网络的运行安全，提供桌面计算机的防病毒解决方案等。(二)(三)故障处理：处理桌面终端和外设硬件故障，解决软件和操作系统安装以及网络

3、在使用过程中的问题。(四)(五)技术支持：对于一线客服人员不能解决或客户提出的技术咨询，提交二线运维人员提供技术支持服务。(六)(七)应急处理：计算机病毒疫情控制、桌面终端数据备份与恢复等紧急事件处理。(八)第三章岗位及职责第四章第九条【总行信息技术部】总行信息技术部负责建立适用全行的的IT桌面运维外包管理体系和机制，制定桌面运维中涉及网络、操作系统、病毒防护、桌面安全、软件管理和上网行为、域管理、人员准入等方面的规范或手册并统一下发至分行参照执行。第十条第十一条【分行信息技术部】参照总行制定的分行运维类信息科技外包管理办法和本办法制定适合分行的IT桌面运维外包管理实施细则，并推广实施。制定并

4、落实分行IT桌面运维外包商准入、评价、退出管理，负责分行IT桌面运维外包商日常工作的监督。第十二条第十三条【分行IT桌面运维管理岗】分行信息技术部IT桌面运维管理岗的职责包括按照总分行制定的桌面运维管理制度要求，对分行桌面运维外包商进行评价、考核、日常管理等工作。对分行IT桌面运维外包商提供入场安全培训，使IT桌面运维外包商能够明确了解我行信息安全、人员准入等发面的要求。第十四条第十五条【IT桌面运维外包商】分行信息技术部根据分行供应商准入管理相关规定选择适当的IT桌面运维供应商提供IT桌面运维服务，其主要职责包括但不限于：第十六条（1）辖区内终端网络接入维护、IT桌面终端及设备的硬件维护、I

5、T桌面终端的操作系统安装与维护、常规系统软件安装与维护、IT桌面设备盘点等工作。（2）（3）IT桌面运维外包商应根据行内制度要求，对其工程师进行前期安全培训，掌握行内的工作流程，开展有针对性地业务知识、专业技能、沟通技巧的培训，提高服务工程师的综合素质及服务质量。（4）第五章IT桌面运维外包策略第六章第十七条为了指导分行IT桌面运维外包活动，分行IT桌面运维外包策略与总行外包管理策略保持一致，对于涉及我行IT桌面运维中的战略管理、风险管理、内部审计以及核心竞争力的职能不得进行外包。第十八条(一)第十九条分行IT桌面运维外包管理兼顾平衡风险、成本、效益和质量，并考虑当前IT桌面运维外包市场环境、

6、自身风险控制能力和风险偏好，不因外包降低我行日常办公的服务质量和效率。第二十条第二十一条IT桌面运维工作属于风险可控领域，但因涉及个人终端等敏感信息，在外包过程中应加强对相关领域信息安全管理。第二十二条第二十三条选择低风险的外包供应商，建立与自身规模、市场地位相适应的外包供应商关系管理策略，通过准入和退出机制控制各类高风险外包供应商的数量，防范行业垄断和机构集中度风险，通过引入适当的竞争降低采购成本、提高服务质量，同时形成备份，合理控制外包供应商的数量；第二十四条第二十五条在使用关联外包时不应因关联关系降低对外包管理要求;第二十六条第二十七条对于外包供应商为同业托管机构的情况可参照本指引要求对

7、其进行管理。第二十八条第二十九条原则上不使用跨境外包；第三十条(二)第三十一条第三十二条第七章风险管理第八章第三十三条分行IT桌面运维外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理，贯穿于分行IT桌面运维外包日常管理工作中。第三十四条第三十五条第三十六条分行IT桌面运维管理岗应按照总行要求开展分行IT桌面运维外包风险评估。评估内容包括：外包战略执行情况、信息安全、机构集中度、服务连续性、服务质量、政策及市场变化对IT桌面运维外包服务的影响分析等。第三十七条第三十八条第三十九条分行IT桌面运维管理岗根据总、分行信息技术部要求对重要的非驻场IT桌面运维外包商

8、进行实地检查，检查结果作为该维护商考核指标。第四十条第四十一条分行信息技术部应对不同级别的IT桌面运维外包商采取差异化的管控措施，在有效管控重要风险的前提下降低管理成本。对重要外包商的管控措施还包括：第四十二条（1）与其签订合同前应当深入开展尽职调查；（2）（3）对其进行定期的风险评估，保持评估的独立性，评估内容包括：合规情况、服务的执行效果等，评估结果应当作为分行IT桌面运维外包商准入及退出的重要依据。（4）第四十三条分行内控审计部室应按照总行要求定期开展IT桌面运维外包风险管理审计工作，发生外包风险事件后应及时开展专项审计。第四十四条(一)（5）（6）第九章外包商管理第十章第一节关系管理第

9、二节第四十五条外包商关系分类以及维护机制分行参照总行供应商关系管理文件执行。针对不同关系类型的IT桌面运维外包商，应区分风险管控力度和管控手段，建立相应的惩罚或激励措施，以提高管理效率，降低分行运维外包管理风险。第四十六条第三节外包商准入和退出第四节第四十七条分行对IT桌面运维外包商的准入管理应按照招商银行信息科技外包风险管理指引（招银发【2014】204号文）和分行运维类信息科技外包管理办法相关要求制定准入细则，分行IT桌面运维管理岗应该对IT桌面运维外包商开展准入信息收集，收集的信息包括但不限于内部控制与管理能力信息、持续经营能力信息和技术与服务能力信息。IT桌面运维外包商应满足如下准入条

10、件：第四十八条(一)具有符合经营专业化服务所需要的专业技术人员和管理人员；(二)(三)能够提供适合我行IT桌面运维需要的技术与业务发展、满足信息安全要求的服务方案；(四)(五)具有健全的组织架构、内控制度和业务管理、风险控制措施，具有良好的商业信誉和社会评价；(六)(七)具有较强的项目管理水平和良好的运营管理能力。(八)第四十九条分行信息技术部在与重要IT桌面运维外包商签订合同前，应开展尽职调查。并形成重要外包供应商尽职调查报告（模板见附件），必要时可聘请第三方机构协助。开展尽职调查时, 应关注IT桌面运维外包商技术和行业经验、内部控制和管理能力、持续经营状况等。第五十条第五十一条分行IT桌面

11、运维管理岗参照总行的外包供应商的准入退出标准执行，主动终止与不适用的IT桌面运维外包商的合作关系，报送分行信息技术部，并上报至总行信息技术部备案，分行同时启动项目应急预案，并寻求外包服务替代方案。第五十二条(一)(二)(三)(四)(五)(六)(七)(八)(九)(十)(十一)(十二)(十三)第五节外包商评价和考核流程第六节第五十三条分行IT桌面运维管理岗参照总行供应商考核管理细则的要求建立并落实分行IT桌面运维外包商的评价管理制度，包括评价指标、评价标准、评价流程、评价结果 应用措施等，对分行IT桌面运维外包商评价结果进行审核汇总。第五十四条（一）（二）（三）（四）（五）（六）（七）（八）（九）

12、（十）（十一）（十二）（十三）（十四）第五十五条分行IT桌面运维管理岗在IT桌面运维外包服务合同终止时对外包商进行评价，将相关的评价结果反馈给分行信息技术部，作为该外包商再次准入的重要参考依据。第五十六条第五十七条分行IT桌面运维管理岗依据分行外包商绩效评价体系，针对所管理的IT桌面运维外包商开展绩效评价工作，原则上每季度一次对外包商的专业资质、工作质量、管理能力和服务水平等进行总体评价，确保评价结果的真实性和完整性，且数据至少需保存到服务结束后一年，并将评价结果报送总、分行信息技术部。分行信息技术部根据评价结果督促IT桌面运维外包商对存在的问题提出解决方案，并要求其进行整改。第五十八条第五十

13、九条分行IT桌面设备使用部门应积极参与分行IT桌面运维外包商绩效评价工作，对其服务质量进行评价并及时向分行IT桌面运维管理岗反馈评价结果。第六十条第六十一条分行IT桌面运维管理岗负责管理外包商绩效评价，包括对运维类供应商的奖励和惩罚措施等，外包商如存在考核不合格的情况，原则上未来两年内不得作为分行被采购对象纳入备选范围。第六十二条第六十三条分行与IT桌面运维外包商的服务合同终止时，分行信息技术部应组织对其进行评价，评价结果应当作为再次准入、资质评审以及外包商关系划分的重要参考依据。第六十四条第六十五条第七节人员管理第八节第六十六条分行IT桌面运维管理岗根据分行供应商日常管理细则的要求，对IT桌

14、面运维外包人员的资质考核、背景调查、进场、离场、考勤、加班、评价、离职、释放以及安全合规检查进行管理。第六十七条第六十八条各分行IT桌面运维管理岗应监督IT桌面运维外包商对违规行为整改计划的实施情况,并将整改实施结果报告IT桌面设备使用部门和分行信息技术部。第六十九条第七十条分行信息技术部在和IT桌面运维外包商签订维护合同时，必须要求该外包商提供有资质的维护人员名单（包括该名单的有效期，名单内人员的身份证、工作照、工作证等资料）并加盖公司公章，便于开展工作过程中的身份识别。第七十一条第七十二条IT桌面运维外包商应加强服务工程师的队伍建设，保证支持保障服务的稳定性和可持续性。服务工程师的变更，需

15、要经过分行信息技术部、外包商双方协商书面同意后方可进行。第七十三条第七十四条IT桌面运维外包商应掌握我行IT桌面运维的工作流程和安全要求，并在服务前期有针对性地对服务工程师进行业务知识、专业技能、沟通技巧的培训，提高服务工程师的综合素质和服务质量，更好的满足我行业务不断发展的需求。第七十五条第七十六条外包商需落实对服务工程师的管理，敦促其必须遵守我行和现场服务的规章制度，积极配合各网点解决出现的软硬件问题，为我行提供优质的服务。第七十七条第七十八条对违反我行规定和无法满足我行工作要求的服务工程师，外包商需要立即整改，视情节轻重，对个人给予相应处罚，根据我行意见对服务人员进行调整。外包商需要对服

16、务工程师适当进行人员储备，以应对特殊情况下服务工程师的调整和变更。第七十九条第十一章外包项目管理第十二章第一节决策管理第二节第八十条分行信息技术部进行IT桌面运维外包项目决策时应充分考虑该项目的市场成熟度、法律风险、战略风险、操作风险、声誉风险、国别风险以及其他特殊风险进行项目决策，并制定相应的风险处置措施，不因运维类外包活动的引入而增加整体剩余风险。第八十一条第八十二条分行信息技术部应将IT桌面运维外包项目申请表和相关实施方案（含技术可行性分析、外包风险评估与处置分析），提交总行信息技术部审批。第八十三条第三节采购与合同第四节第八十四条分行信息技术部按照项目决策根据我行采购管理相关规定进行采

17、购。第八十五条第八十六条分行IT桌面运维外包商实施服务前，分行信息技术部应当与其签订合同，合同条款经由分行法律与合规主管部室（或职能岗位）、分行信息技术部审核。对我行已制定供应商合同标准文本或范本的，原则上应使用我行标准合同文本或范本。对我行合同标准文本或范本条款的修改应报分行法律与合规主管部室审查。第八十七条第八十八条合同中应当明确IT桌面运维外包商在安全和保密方面的责任，以及针对信息安全及保密性要求需采取的具体措施。分行信息技术部应与IT桌面运维外包商签订保密承诺或在合同中签订保密条款。 第八十九条第九十条第九十一条第九十二条第九十三条第九十四条第十三章第九十五条第九十六条第九十七条第九十

18、八条第九十九条第十四章运维管理第十五章第一节报修与运维流程第二节第一百条各分行应设立集中服务电话提供报修服务，在出现本办法规定的服务范围内故障时，报修人应说明网点、故障现象、紧急程度、联系人和电话等关键信息。服务工程师应耐心听取报修人员意见、了解情况，填写故障保修单，初步判断故障原因及处理方法。第一百零一条第一百零二条服务工程师根据故障的情况，采用电话质询、远程处理、现场服务三种维护服务方式进行维护处理。第一百零三条第一百零四条服务工程师在维护期间应统一着装，仪表仪容整洁。开展现场维护服务前，应主动向报修单位陪同人员出示工作证件。第一百零五条第一百零六条服务工程师需进入分行所属单位进行现场维护

19、时，接待人员要登陆综合管理网站进行必要身份识别和验证，信息无误后方可允许服务工程师进入报修单位现场进行维护。第一百零七条第一百零八条服务工程师进入分行所属单位进行现场维护时，维护地点原则上在有监控覆盖指定的办公区域，原则上不允许进入业务核心区域进行维护（如现金区域等营业室内），如确因特殊情况需进入业务核心区域，按照招银发【2009】890号招商银行营业及办公场所环境安全管理办法中第四十条的流程规定严格办理相关审批和登记手续。第一百零九条第一百一十条服务工程师在分行各单位的维护过程中，报修单位需派专人全程陪同。维护完成后要在维护单上正楷签字确认。陪同人应重点关注服务工程师存在对硬盘数据违规操作、

20、拆走硬盘等未经许可或可能导致信息泄露等行为。第一百一十一条第一百一十二条故障处理结束并测试正常后，由报修人在故障保修单上签字确认，交付使用。第一百一十三条第三节常见硬件、软件等故障处理第四节第一百一十四条分行单位发现故障并报修后，服务工程师确定故障属于硬件故障，服务工程师需到现场进行维护处理。第一百一十五条第一百一十六条故障硬件在保修期内，服务工程师可报修硬件厂商，协助厂商工程师进行硬件维护，故障解决后由技术维护人员进行测试，测试正常后，交由使用人确认并在故障报修单上签字。第一百一十七条第一百一十八条故障硬件在保修期外，服务工程师需要咨询原厂以及与我行签订维护合同的维护商，询问故障硬件的报价，

21、填写故障保修单，经过分行信息技术部审批后，进行硬件故障维修，或进入设备更换流程。故障解决后，由服务工程师进行测试，然后交由报修人确认并在故障报修单上签字。第一百一十九条第一百二十条对操作系统、办公软件等软件方面的故障，服务工程师维护结束并交付使用人后，应当给使用人员讲解该软件使用方法及注意事项，避免发生不必要的软件故障。第一百二十一条第五节存储介质管理第六节第一百二十二条服务工程师对我行进行维护所用的存储介质应在分行信息技术部进行统一登记管理和使用，使用时应填写招商银行存储介质交接记录表。存储介质是指光盘、移动硬盘、U盘等。第一百二十三条第一百二十四条服务工程师需要存储介质到网点维护时，需在分

22、行信息技术部登记并填写招商银行存储介质交接记录表，审批后领取密封的存储介质。第一百二十五条第一百二十六条服务工程师应妥善携带存储介质，防止因为携带原因造成存储介质的遗失。第一百二十七条第一百二十八条服务工程师携带存储介质到达网点后，由网点陪同人员检查存储介质封条的完整性后，拆除封条交维护人员使用。第一百二十九条第一百三十条服务工程师在各单位使用存储介质结束后，由保修单位陪同人员密封包后交由服务工程师带回信息技术部或者其它单位。对服务工程师带回信息技术部的存储介质，分行信息技术部IT桌面运维管理岗负责人检查存储介质封条的完整性，并登记收回。第一百三十一条第一百三十二条存储介质的使用和交接全程在监

23、控下完成。第一百三十三条第一百三十四条存储介质是在服务工程师手中是封闭保存的，如果分行报修单位陪同人员或分行信息技术部IT桌面运维管理岗负责人发现其手中存储介质封条破损、无封条或者存储介质丢失，服务工程师需书面写明原因并要求外包商负责人签字确认，评估可能损失，并对当事服务工程师进行批评教育等处理。第一百三十五条第十六章安全管理第十七章第一百三十六条服务工程师应协助分行IT桌面运维管理岗，按照招商银行办公终端准入管理办法和招商银行员工使用计算机信息系统安全管理规定的要求，对终端使用人的设备实施准入安全管理。第一百三十七条第一百三十八条分行信息技术部与外包商签订保密协议或者在服务合同中订立保密条款

24、。服务商须对服务工程师进行信息安全保密培训，增强服务工程师的保密意识与安全知识，并应与其签订信息安全保密协议。第一百三十九条第一百四十条服务工程师不得安装非授权软件，不得未经分行允许将我行硬盘等磁介质设备带到行外进行维护和维修，服务工程师不能泄露任何有关我行信息资料。服务工程师因工作变更、离岗等如需归还本部门的信息资产、由分行IT桌面运维管理岗组织文件等信息资产归还工作以及数据擦除工作。第一百四十一条第一百四十二条信息技术部要采用技术措施，加强对敏感数据或客户信息的安全管理。第一百四十三条第一百四十四条第一百四十五条第十八章应急管理第十九章第一百四十六条为保证各IT桌面运维外包商向各分行提供持

25、续稳定的服务，各分行应按照服务的可持续性制定应急策略。IT桌面运维的服务中断场景可按照以下几个因素考虑，并拟定相应的应急计划进行演练：第一百四十七条（一）当外包商无法出现提供日常运维服务的情况时，现有IT桌面终端及设备运维服务由分行IT桌面运维外包管理岗接管，并启动新的外包商选择和招标工作；（二）（三）当服务工程师出现人员紧张或短时人力资源短缺时，分行可要求供应商启用备用服务工程师，按时到位，及时满足分行IT桌面运维工作需求；（四）（五）当分行紧急运维或程序升级需求时，在现有工程师和行内资源无法满足业务发展需求时，分行可要求供应商临时抽调具有相关能力的服务工程师满足维护需求。（六）第二十章监督

26、检查第二十一章第一百四十八条分行信息技术部在IT桌面运维过程发生如下重大事件时，应在两个工作日内向属地监管机构报告，并报总行信息技术部：第一百四十九条（1）客户信息等敏感数据泄露；（2）（3）数据损毁或者重要业务运营中断；（4）（5）由于不可抗力或外包供应商重大经营、财务问题，导致或可能导致我行运维外包服务中断;（6）（7）其他重大的外包供应商违法违规事件；（8）（9）银监会规定需要报告的其他重大事件。（10）第一百五十条分行IT桌面运维管理岗（责任人）应定期检查外包商的各项质量记录、维护流程等，审核是否严格按规章制度执行。第一百五十一条第一百五十二条第一百五十三条第一百五十四条第二十二章附则第二十三章第一百五十五条本办法由总行信息技术部负责修订和解释。第一百五十六条第一百五十七条本办法自2016年XX月XX日起实施。第一百五十八条附件1：故障报修单附件2：招商银行存储介质交接记录表附件3：重要外包供应商尽职调查报告