銀行自助設備運維外包管理辦法模版

運維外包管理第一章總則第一條為了保證自助設備維護商提供延續(xù)穩(wěn)定的服務，降低自助設備運維外包風險，提升客戶使用自助設備的滿意度，依據有關《銀行業(yè)銀行等金融機構信息科技外包風險監(jiān)管指引》（銀監(jiān)發(fā)［大］5號）、《**銀行信息科技外包風險管理指引》（招銀發(fā)［*］204號）以及《**銀行自助設備信息技術管理辦法》的要求，擬定本管理辦法。第二章組織分工與職責第二條總行信息技術部的職責（一） 負責擬定、修訂本辦法，并督導分行信息技術部履行辦法中所規(guī)定的職責。（二） 組織分行開展針對自助設備維護商的準入、退出、評估管理。（三） 參加我行自助設備及維護的采購工作，為采購決策提供技術支持。（四） 負責我行自助設備有關軟件的項目管理、開發(fā)管理、配置管理及發(fā)布管理等工作。第三條分行信息技術部（或責任崗）的職責（一） 負責我行自助設備的軟硬件、操作系統(tǒng)、網絡安裝、調試、升級和數據安全等日常管理工作。（二） 負責對我行自助設備故障維護、保養(yǎng)管理等工作進行培訓、檢查、監(jiān)督和指導。（三） 協(xié)助配合分行零售銀行部對自助設備的采購和選點工作，協(xié)助配合分行運營管理部對自助設備進行技術維護。自助設備發(fā)生疑難問題或故障時，協(xié)助管機行解決。（四） 依據有關總行采購管理部公布的《自助設備維護采購結果》，與對應的自助設備維護商簽訂維護協(xié)議，并依照維護協(xié)議行使對設備維護商的退出、評估、監(jiān)督等管理職能。（五） 協(xié)助分行運營管理部對自助服務費用差錯進行技術鑒定;（六） 協(xié)助分行零售銀行部擬定有關管理辦法及操作流程等。第三章管理策略第四條分行自助設備運維外包應嚴格依照總行信息科技外包管理策略執(zhí)行，即：對于涉及我行自助設備運維中的戰(zhàn)略管理、風險管理、內部審計以及核心競爭力的職能不得進行外包。第五條分行自助設備運維外包要兼顧平衡風險、成本、效益和質量，并考慮當前自助設備運維外包*場環(huán)境、自身風險監(jiān)控能力和風險偏好，不因外包降低對我行客戶的服務質量和效率。第六條對分行自助設備運維管理中的非核心業(yè)務、*場具備專業(yè)性和成熟解決方案的業(yè)務領域，我行沒有技術儲備或我行不具備專業(yè)性的領域，在風險、成本、質量可控的條件下可考慮外包；第七條規(guī)劃低風險的外包布局，采用低風險的外包模式，選擇低風險的自助設備維護商。（一） 建立與自身規(guī)模、*場地位相適應的供應商關系管理策略，通過準入和退出機制監(jiān)控高風險自助設備維護商的數量，防范行業(yè)壟斷和機構集中度風險，通過引入適當的競爭降低采購成本、提升服務質量，同時形成備份，合理監(jiān)控自助設備維護商的數量；（二） 在使用關聯(lián)外包時不應因關聯(lián)關系降低外包管理要求。第四章風險管理第八條自助設備運維外包風險管理包括風險識別、風險分析與評估、風險處置、風險監(jiān)控及風險報告的全生命周期管理，貫穿于自助設備運維外包日常管理工作中。第九條分行信息技術部應依照總行要求開展分行自助設備運維外包風險評估，評估內容包括：外包戰(zhàn)略執(zhí)行情形、信息安全、機構集中度、服務連續(xù)性、服務質量、政策及大場變化對自助設備運維外包服務的影響分析等。第十條分行內控審計部室應依照總行要求定時開展自助設備運維外包風險管理審計工作，發(fā)生外包風險事件后應及時開展專項審計。第十一條分行IT外包管理執(zhí)行部門依據有關總、分行信息技術部要求對重要的非駐場自助設備運維維護商進行實地檢查。，檢查結果作為自助設備維護商考核指標。第十二條分行信息技術部應對不同級別的自助設備維護商采取差異的自助設備維護商的管化的管理措施，在有效管控重要風險的前提下降低管理成本。對重要控措施還包括：（三） 與其簽訂協(xié)議前應當深入開展盡職調查；（四） 對其進行定時的風險評估，保持評估的獨立性，評估內容包括：合規(guī)情形、服務的執(zhí)行效果等，評估結果應當作為分行自助設備維護商準入及退出的重要依據；第五章自助設備維護商管理第一節(jié)關系管理第十三條運維供應商關系分類以及維護機制分行參照總行供應商關系管理資料文件執(zhí)行。針對不同關系類型的自助設備維護商，應區(qū)分風險管控力度和管控手段，建立相應的懲罰或激勵措施，以提升管理效率，降低分行自助設備運維外包管理風險。第二節(jié)準入和盡職調查第十四條總行信息技術部是分行自助設備維護商準入管理的主管部門，在選擇合作商前，由總行負責對自助設備維護商開展準入信息的收集，收集的信息包括（但不限于）內部監(jiān)控與管理能力信息、延續(xù)經營能力信息和技術與服務能力信息，識別供應商的服務連續(xù)性風險。第十五條分行信息技術部在與自助設備維護商簽訂協(xié)議前應展開盡職調查，必要時可聘請第三方機構協(xié)助調查。盡職調查重點關注:技術和行業(yè)經驗、內部監(jiān)控和管理能力、延續(xù)經營狀況等。第十六條分行對運維上展開的盡職調查履行后,應形成《重要外包商盡職調查報告》并上報總行信息技術部，報告模板請參見附件。第三節(jié)評估與考核流程第十七條分行信息技術部依照《供應商考核管理細則》的要求建立并貫徹分行自助設備維護商的評估管理體系，包括評估指標、評估標準、評估流程、評估結果應用措施等，對分行自助設備維護商評估結果進行審核匯總。第十八條分行IT外包管理執(zhí)行部門依據分行自助設備維護商績效評估體系，針對所管理的自助設備維護商開展績效評估工作，原則上每季度一次對自助設備維護商的專業(yè)資質、工作質量、管理能力和服務水平等進行總體評估，確保評估結果的真實性和完整性，且數據至少需保存到服務終止后一年，并將評估結果報送總、分行信息技術部。總行信息技術部依據有關評估結果督促自助設備維護商對存在的問題提出解決方案，并要求其進行整改。第十九條分行運營管理部（或責任人）作為自助設備維護商的使用部門應積極參加分行自助設備維護商績效評估工作，對所使用的自助設備維護商的服務質量進行評估并及時向分行信息技術部反饋評估結果。第二十條分行信息技術部在自助設備維護商服務協(xié)議終止時對其進行評估，將有關的評估結果反饋給總行信息技術部，作為該維護商再次準入的重要參考依據。第四節(jié)退出管理第二十一條分行IT外包管理執(zhí)行部門參照總行的外包供應商的準入退出標準執(zhí)行，主動終止與不適用的自助設備維護商的IT外包合作關系，報送分行信息技術部，并上報至總行信息技術部備案，由總行啟動項目應急預案，并尋求自助設備維護商的替代方案。第六章項目管理第一節(jié)決策管理第二十二條分行信息技術部進行自助設備維護項目決策時應充份考慮該項目的大場成熟度、法律風險、戰(zhàn)略風險、操作風險、聲譽風險、國別風險以及其他特殊風險進行項目決策，并擬定相應的風險處置措施，不因運維類外包活動的引入而增加整體剩余風險。第二十三條分行信息技術部進行項目決策時應將自助設備維護項目有關實施方案（含技術可行性分析、外包風險評估與處置分析），提交總行信息技術部審批。第二節(jié)采購與協(xié)議第二十四條分行自助設備維護項目采用總行集中采購的方式，分行信息技術部采購管理部門依據有關集中采購管理要求，組織實施集中采購。第二十五條分行自助設備維護商實施服務前,分行信息技術部應當與其簽訂協(xié)議，協(xié)議應依據有關服務需求、風險評估及資質評估結果確定其詳盡程度和重點，并由分行法律與合規(guī)主管部室（或職能崗位）、分行信息技術部 審核。對我行已擬定供應商協(xié)議標準文本或范本的，原則上應使用我行標準協(xié)議文本或范本。對我行協(xié)議標準文本或范本條款的修改應報分行法律與合規(guī)主管部室審查。第二十六條協(xié)議中應當明確自助設備維護商在安全和保密方面的責任，以及針對信息安全及保密性要求需采取的詳細措施。分行信息技術部應與自助設備維護商簽訂保密承諾或在協(xié)議中簽訂保密條款。第三節(jié)工作內容和流程第二十七條更換硬盤。新更換使用的硬盤，應由設備維護商預先提供給分行信息技術部，分行信息技術部自助設備管理員需要對該硬盤進行分區(qū)格式化處理，保證各分區(qū)中不附帶其他非授權軟件程序，格式化后的硬盤封包，加騎縫簽名或蓋章，然后交給維護商。維護商更換硬盤時，管機員（或分行授權的人員）應核對簽章并現場拆封后直接使用。更換下來的硬盤由管機員（或分行授權的人員）現場封包，加騎縫簽名或蓋章后，通過管機行的指定人員送達分行信息技術部。分行信息技術部對于更換下來的硬盤在進行消磁處理之后，才能返還給設備維護商第二十八條更換加密模塊。新更換使用的加密模塊，應由現金自助設備維護商預先提供給分行信息技術部，分行信息技術部自助設備管理員需要對該部件登記序列號，登記履行后的加密模塊封包，加騎縫簽名或蓋章，然后交給維護商。維護商更換加密模塊時,管機員（或分行授權的人員）應核對簽章并現場拆封，并在我行現金自助設備質量記錄檔案中登記更換前后的加密模塊序號。在維護商更換履行后，應保證現金自助設備已能恢復正常服務，才能將被更換下來的加密模塊直接交還維護商。第二十九條停用拆除模塊。停用或拆除模塊時，若分行信息技術部人員在現場監(jiān)督，管機員（或分行授權的人員）履行登記交接記錄表后，直接交給現場分行信息技術部人員即可；若分行信息技術部人員無法現場監(jiān)督，分行信息技術部應依照第十六條的要求給管機行發(fā)送《現金自助設備允許維護通知書》，管機行依據有關維護通知書驗證維護商人員身份，安排管機員（或分行授權的人員）對拆除工作進行監(jiān)督，并現場將拆除模塊進行封包，加騎縫簽名或蓋章后，通過管機行指定的人員送分行信息技術部。第三十條設備保管。分行信息技術部應妥善保管已停用的現金自助設備的硬盤及加密模塊，在設備恢復使用時由分行信息技術部交還管機行，管機行派人在現場監(jiān)督維護商進行安裝，或由分行信息技術部派人直接在現場監(jiān)督維護商履行安裝。第三十一條固件及系統(tǒng)更新固件和系統(tǒng)支撐軟件，均由現金自助設備的廠商（或代理商、維護商）負責提供，所涉及的開發(fā)工作也由對應的現金自助設備的廠商（或代理商、維護商）履行。自助設備廠商（或代理商、維護商）在提交固件和系統(tǒng)支撐軟件版本時，應同時向總行信息技術部提供對應軟件版本的歸檔說明、測試報告和升級說明文檔。第三十二條資料文件傳輸分行可通過使用FTP服務器的資料文件網絡傳輸功能，供維護商工程師下載現金自助設備的有關安裝資料文件、升級補丁，或總行信息技術部授權可以使用的其他軟件；分行也可在需要拷貝現金自助設備的運行數據時，通過使用FTP服務器的資料文件網絡傳輸功能，提供給維護商工程師上傳相應資料文件的空間，以避免維護商工程師使用軟盤、U盤等存儲介質拷貝帶來的安全風險。第七章人員管理第三十三條分行信息技術部應參照分行的供應商日常管理細則，對自助設備維護商維護人員的資質、背景、進場、離場、考勤、加班、離職以及安全合規(guī)檢查等方面進行管理。第三十四條設備維護人員準入流程（一） 分行信息技術部在和現金自助設備維護商簽訂維護協(xié)議時,必須要求自助設備維護商提供有資質的維護人員名單（包括該名單的有效期，名單內人員的證件號碼和相片）并加蓋公章。維護人員一旦變更,設備維護商必須及時通知分行信息技術部更新維護人員名單。（二） 分行信息技術部須采取方便有效的方式，向各管機行公布各自助設備維護商的維護人員名單、證件、照片等信息，在發(fā)生變更時需及時進行更新。（三） 需要進入維護區(qū)域對自助設備進行維護的,應事先通知分行信息技術部，分行信息技術部審查同意后將《現金自助設備允許維護通知書》（見附4）以電子郵件或傳真號碼方式發(fā)給管機行,管機行依據有關維護通知書驗證維護商人員身份后，方可允許其進行維護工作。第八章安全管理第三十五條分行自助設備維護人員應嚴格依照《**銀行自助設備信息安全管理規(guī)范》條款執(zhí)行，重點加強針對外包人員的信息安全檢查管控措施。防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設備遭受破壞等風險。第三十六條分行運維外包人員的實施和運維工作，必須嚴格遵守我行的《**銀行信息安全和保密管理規(guī)定》，分行技術人員應對其有關工作進行檢查，確認是否符合信息安全保障的要求。第三十七條運維類外包人員在進場前應簽署保密承諾，并定時組織信息安全培訓，提升風險管理意識，確保信息安全管控措施在服務過程中得到有效貫徹；第三十八條明確服務活動中需要訪問或使用的信息安全資產，包括場地、辦公設備、計算機、服務器、軟件、數據、信息、物理訪問監(jiān)控設備、賬號、網絡寬帶、網絡端口等，按“必須知道”和“最小授權”原則進行訪問授權；第三十九條定時對自助設備維護商進行實地檢查，獲取其自評估或第三方評估報告。檢查原則上一年不少于一次，檢查結果作為自助設備維護商項目考核及準入的重要指標。第四十條分行信息技術部在對存在關聯(lián)關系的自助設備維護商進行安全檢查，不得以該維護商自評估替代、不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性。第九章應急管理第四十一條為保證分行自助設備運維服務延續(xù)穩(wěn)定運行，各分行信息技術部應依據有關業(yè)務需要擬定年度業(yè)務連續(xù)性計劃，完善應急預案，組織自助設備維護人員參加。完善業(yè)務連續(xù)性計劃。第四十二條為降低分行自助設備運維外包突發(fā)事件的可能性及影響，分行信息技術部應建立風險監(jiān)控、緩釋或轉移措施。包括（但不限于）以下措施:盡早發(fā)現可能致使外包服務中斷的情形；要求自助設備維護商籌備足夠的備份人員，擬定關于服務中斷的應急處理預案；自助設備維護商應向行方提供必要的培訓，掌握必要的技能，保留最低限度的自行運維服務能力;與自助設備維護商事先商定在其服務質量未能滿