銀行跨銀行現(xiàn)金管理產(chǎn)品實施運(yùn)維安全管理辦法(修訂稿-含外包)模版

**銀行跨銀行現(xiàn)金管理產(chǎn)品實施運(yùn)維安全管理辦法總則為規(guī)范全行跨銀行現(xiàn)金管理產(chǎn)品實施運(yùn)維的安全管理,依據(jù)有關(guān)《**銀行跨銀行現(xiàn)金管理業(yè)務(wù)管理辦法》、《**銀行信息安全和保密管理規(guī)定》、《**銀行信息科技外包風(fēng)險管理指引》及有關(guān)規(guī)定，特制訂此辦法。本辦法所稱的跨銀行現(xiàn)金管理產(chǎn)品包括標(biāo)準(zhǔn)版、定制版以及附屬的跨銀行交換中心等。其中，定制版包括（但不限于)集團(tuán)財資管理平臺（ＴMS）、跨境資金管理平臺(CBS-TＴ）、海關(guān)資金管理系統(tǒng)CBS、住房公積金管理系統(tǒng)CBＳ等產(chǎn)品。本辦法中所規(guī)范的實施運(yùn)維工作，是指客戶申請我行跨銀行現(xiàn)金管理產(chǎn)品CＢＳ后，在項目管理過程中,所開展的項目實施、故障處理、使用指導(dǎo)、升級維護(hù)、系統(tǒng)安全保障、項目個性化開發(fā)等工作?？玢y行現(xiàn)金管理產(chǎn)品CＢS的實施運(yùn)維安全管理工作，主要由總行信息技術(shù)部、總行交易銀行部、分行信息技術(shù)部、分行交易銀行部(公司銀行部）以及運(yùn)維外包供應(yīng)商共同參加管理。本辦法中所指CＢＳ實施運(yùn)維團(tuán)隊,主要為總行CBS運(yùn)維中心、分行CBS項目組中負(fù)責(zé)實施運(yùn)維的成員、總行建立并派駐異地外包運(yùn)維人員以及分行依據(jù)有關(guān)總行規(guī)定建立的分行外包運(yùn)維人員。本辦法適用于全行ＣＢＳ運(yùn)維團(tuán)隊以及外包運(yùn)維服務(wù)活動，各分行應(yīng)依據(jù)有關(guān)本辦法要求開展CBS運(yùn)維外包管理工作,并可依據(jù)有關(guān)本辦法所有要求,擬定相應(yīng)實施細(xì)則或工作流程。CBS實施運(yùn)維工作涉及客戶及我行重要商業(yè)秘密信息,應(yīng)嚴(yán)格依照《**銀行信息安全和保密管理規(guī)定》做好信息安全和保密工作。職責(zé)分工總行信息技術(shù)部的職責(zé)包括:(一)負(fù)責(zé)擬定運(yùn)維安全管理辦法，組織全行開展實施運(yùn)維工作;（二)負(fù)責(zé)結(jié)合全行跨銀行現(xiàn)金管理業(yè)務(wù)發(fā)展，籌建覆蓋全行的CＢS實施運(yùn)維團(tuán)隊,建立實施運(yùn)維體系、安全規(guī)范管理等。(三）建立總行CＢＳ運(yùn)維中心，負(fù)責(zé)總行托管環(huán)境運(yùn)維工作,以及管理規(guī)范分行非托管環(huán)境運(yùn)維工作；(四)負(fù)責(zé)第三方運(yùn)維外包供應(yīng)商的準(zhǔn)入管理、盡職調(diào)查、評估、退出管理;(五)負(fù)責(zé)管理全行CBＳ實施運(yùn)維團(tuán)隊，監(jiān)督分行運(yùn)維團(tuán)隊及外包運(yùn)維人員運(yùn)維工作,并對違規(guī)情形進(jìn)行調(diào)查和認(rèn)定。（六)負(fù)責(zé)對全行外包運(yùn)維人員的工作績效進(jìn)行季度考核?？傂薪灰足y行部的職責(zé)包括：（一)負(fù)責(zé)參加全行CＢS實施運(yùn)維體系建設(shè)規(guī)劃與統(tǒng)籌溝通協(xié)調(diào)；(二）負(fù)責(zé)依據(jù)有關(guān)業(yè)務(wù)推廣需要調(diào)度和使用總行建立的CBS實施運(yùn)維外包資源，及時受理總行有關(guān)部門以及分行運(yùn)維外包資源調(diào)度申請；(三)負(fù)責(zé)對全行實施運(yùn)維團(tuán)隊的績效進(jìn)行評估和建議或意見反饋;(四)負(fù)責(zé)指導(dǎo)、管理分行對運(yùn)維違規(guī)情形的處理工作；協(xié)助分行對外包服務(wù)商違規(guī)行為進(jìn)行調(diào)查、認(rèn)定及處理;負(fù)責(zé)監(jiān)督分行運(yùn)維團(tuán)隊及外包服務(wù)商違規(guī)行為，并參加對違規(guī)情形進(jìn)行調(diào)查和認(rèn)定。分行信息技術(shù)部的職責(zé)包括:(一）負(fù)責(zé)建立以行內(nèi)職工或員工為主分行CBＳ實施運(yùn)維團(tuán)隊,保障業(yè)務(wù)發(fā)展需要;（二）負(fù)責(zé)依據(jù)有關(guān)總行規(guī)范選擇本地運(yùn)維外包供應(yīng)商;（三）負(fù)責(zé)對總行信息技術(shù)部派駐分行的運(yùn)維外包資源以及分行自建的外包資源進(jìn)行日常管理；（四)負(fù)責(zé)協(xié)助配合分行交易銀行部,與總行派駐外包運(yùn)維人員共同承擔(dān)跨銀行現(xiàn)金管理項目的實施上線、客戶培訓(xùn)以及系統(tǒng)運(yùn)行維護(hù)工作;對于非托管項目，負(fù)責(zé)客戶現(xiàn)場生產(chǎn)環(huán)境的實施及運(yùn)維管理；（五)負(fù)責(zé)對客戶個性化需求包括報表需求，按總行開發(fā)管理規(guī)范提供個性化開發(fā)支持；(六）負(fù)責(zé)按總行運(yùn)維安全管理要求，對總行派駐外包運(yùn)維人員的實施運(yùn)維工作進(jìn)行安全管控,協(xié)助對違規(guī)情形進(jìn)行調(diào)查和認(rèn)定。分行交易銀行部（公司銀行部)的職責(zé)包括:(一）使用分行運(yùn)維團(tuán)隊進(jìn)行CBS項目的實施和運(yùn)維；（二)負(fù)責(zé)對總行派駐分行外包運(yùn)維人員進(jìn)行業(yè)務(wù)培訓(xùn)、向總行定時反饋派駐人員的工作情形;（三）負(fù)責(zé)協(xié)助配合分行信息技術(shù)部選擇合適的外包供應(yīng)商；（四)負(fù)責(zé)對分行運(yùn)維團(tuán)隊進(jìn)行評估；(五)協(xié)助分行信息技術(shù)部對總行派駐外包運(yùn)維人員的客戶現(xiàn)場實施運(yùn)作工作進(jìn)行安全管控，協(xié)助對違規(guī)情形進(jìn)行調(diào)查和認(rèn)定。為確保運(yùn)維安全，分行運(yùn)維團(tuán)隊核心骨干成員需由行員編制成員承擔(dān),具備專業(yè)的技術(shù)能力和業(yè)務(wù)能力對外包團(tuán)隊進(jìn)行管理和使用;分行自建的外包團(tuán)隊成員不得低于總行派駐分行的外包運(yùn)維人員數(shù)量,否則需要取得總行交易銀行部認(rèn)可?？傂薪灰足y行部有權(quán)依據(jù)有關(guān)全行業(yè)務(wù)需要,緊急抽調(diào)派駐分行的外包運(yùn)維資源進(jìn)行全行范圍協(xié)同。對于定制版、非托管等ＣＢS項目分行需配備3人以上的開發(fā)運(yùn)維人員,負(fù)責(zé)個性化需求開發(fā)、內(nèi)部系統(tǒng)接口開發(fā)等工作。不得安排第三方外包運(yùn)維人員或非招行人員負(fù)責(zé)、參加開發(fā)工作。分行運(yùn)維團(tuán)隊的開發(fā)人員需要具備報表及客戶端代碼、直聯(lián)接口、ＥＲP接口開發(fā)能力;運(yùn)維人員需要具備服務(wù)器安裝部署能力、熟練掌握直聯(lián)實施部署能力。實施運(yùn)維工作流程系統(tǒng)實施(一)對于新開通CBS項目，工作流程包括項目前期的籌備、客戶使用培訓(xùn)、程序安裝、基礎(chǔ)數(shù)據(jù)初始化、客戶個性化參數(shù)設(shè)置，各銀行銀企直聯(lián)的協(xié)助開通、直聯(lián)前置機(jī)部署、直聯(lián)的安裝調(diào)試，以及系統(tǒng)上線試運(yùn)行的現(xiàn)場支持等工作。詳盡工作內(nèi)容參照附件1《CBS實施運(yùn)維手冊》執(zhí)行。（二)對于非托管項目,在上述工作流程之前，還包括客戶生產(chǎn)環(huán)境有關(guān)軟硬件、網(wǎng)絡(luò)籌備的協(xié)助支持和安裝部署，以及系統(tǒng)后臺服務(wù)程序的部署等工作。使用支持對客戶的系統(tǒng)使用提供支持,包括操作講解、使用咨詢、問題解答、程序更新、協(xié)助進(jìn)行數(shù)據(jù)維護(hù)等工作,對客戶提出的系統(tǒng)改進(jìn)需求予以處理和答復(fù)。故障處理對客戶在系統(tǒng)使用過程中出現(xiàn)的故障進(jìn)行處理，對故障進(jìn)行現(xiàn)場解決，或協(xié)助總行ＣBＳ運(yùn)維中心進(jìn)行故障定位、跟蹤和反饋,對于銀企直聯(lián)問題涉及到對方銀行的，還需要與對方銀行溝通協(xié)調(diào)溝通。對于非托管項目,還需要對生產(chǎn)環(huán)境軟硬件的故障進(jìn)行處理。更新發(fā)布在系統(tǒng)有新版本發(fā)布時，需要協(xié)助客戶履行程序更新,并進(jìn)行有關(guān)更新功能的介紹;如涉及到該客戶的升級需求，在上線之前的ＵAT階段,需要對有關(guān)功能進(jìn)行UAT測試。對于非托管項目，需要嚴(yán)格按總行的說明和指導(dǎo)進(jìn)行客戶生產(chǎn)環(huán)境的更新發(fā)布,并在發(fā)布履行后進(jìn)行有關(guān)驗證。溝通機(jī)制分行運(yùn)維團(tuán)隊要與總行CＢS運(yùn)維中心建立良好的溝通機(jī)制,重要的實施或運(yùn)維行動要提前通知,在實施運(yùn)維工作中保持密切聯(lián)系，并做好客戶的溝通協(xié)調(diào)工作，以便對客戶提供及時高效率的運(yùn)維服務(wù)。培訓(xùn)指導(dǎo)對新上線項目、新版本新功能發(fā)布以及客戶提出在協(xié)議范圍內(nèi)的培訓(xùn)要求,進(jìn)行及時培訓(xùn)支持。需求管理項目推進(jìn)過程中收集到的客戶反饋的系統(tǒng)優(yōu)化需求,首先依據(jù)有關(guān)客戶需求分析判斷，屬于培訓(xùn)指導(dǎo)能夠解決的需求,直接負(fù)責(zé)處理。屬于需要進(jìn)行開發(fā)實現(xiàn)的提交總行進(jìn)行需求評估，屬于通用類功能總行統(tǒng)一規(guī)劃版本進(jìn)行開發(fā)，屬于個性化功能由分行運(yùn)維團(tuán)隊負(fù)責(zé)開發(fā)。個性化需求開發(fā)經(jīng)總行評估需要分行運(yùn)維開發(fā)人員進(jìn)行個性化開發(fā)的需求,由分行參照總行開發(fā)流程，自行進(jìn)行開發(fā)的流程管理和監(jiān)控,需要合并代碼的ST測試和UAT測試由總行統(tǒng)一安排,其他類型需要分行嚴(yán)格執(zhí)行測試流程和步驟,保障分行開發(fā)代碼的質(zhì)量和穩(wěn)定性。實施運(yùn)維保障措施崗前培訓(xùn)(一)新建運(yùn)維團(tuán)隊或新人上崗前，必須進(jìn)行系統(tǒng)的實施運(yùn)維培訓(xùn),認(rèn)真學(xué)習(xí)《CBS實施運(yùn)維手冊》及其有關(guān)文檔。(二)模擬操作,各分行實施運(yùn)維人員需要在總行提供的演示環(huán)境中操作，熟練掌握實施流程和步驟。尤其是銀企直聯(lián)實施，每次實施前必須進(jìn)行上機(jī)模擬操作。(三)分行可申請總行ＣBS運(yùn)維中心進(jìn)行遠(yuǎn)程培訓(xùn),或者赴總行CＢS運(yùn)維中心進(jìn)行現(xiàn)場培訓(xùn)指導(dǎo)。（四)對于非托管項目,要求分行技術(shù)人員必須赴總行進(jìn)行服務(wù)器部署的現(xiàn)場培訓(xùn)，并在分行搭建模擬環(huán)境進(jìn)行演練操作。過程監(jiān)控管理(一）項目實施過程。分行必須嚴(yán)格按總行CBS運(yùn)維中心《ＣBS實施運(yùn)維手冊》中流程執(zhí)行，嚴(yán)格各環(huán)節(jié)的操作規(guī)范。（二）重大運(yùn)維事件監(jiān)控。對于重大項目的實施、重點(diǎn)功能的客戶試用、非托管的更新升級、客戶的特殊要求等較重大事件,需要總行ＣBS運(yùn)維中心進(jìn)行支持的，分行運(yùn)維團(tuán)隊必須要提前一周知會總行CBS運(yùn)維中心有關(guān)人員。對于客戶數(shù)據(jù)維護(hù)類、數(shù)據(jù)導(dǎo)出類運(yùn)維操作，必須嚴(yán)格按總行運(yùn)行中心的管理流程進(jìn)行申請，并依據(jù)有關(guān)總行ＣＢS運(yùn)維中心的處理時間做好客戶溝通協(xié)調(diào)工作。結(jié)果反饋對于需要分行操作的新銀行直聯(lián)或者直聯(lián)新功能的測試、系統(tǒng)重大升級客戶試點(diǎn)使用等運(yùn)維工作,尤其是非托管項目的版本升級等工作，必須按總行ＣBＳ運(yùn)維中心要求進(jìn)行有關(guān)結(jié)果的反饋,由總行CＢS運(yùn)維中心進(jìn)行運(yùn)維結(jié)果的檢查,并依據(jù)有關(guān)建議或意見進(jìn)行相應(yīng)的調(diào)整操作。故障處理對于客戶系統(tǒng)使用過程中出現(xiàn)的故障，分行必須第一時間聯(lián)系總行CBＳ運(yùn)維中心,重大故障必須赴客戶現(xiàn)場,提供或指導(dǎo)客戶提供有關(guān)的截圖、日志等資料文件資料，協(xié)助總行ＣBＳ運(yùn)維中心進(jìn)行故障定位。對于有及時解決措施的,分行需協(xié)助總行CBS運(yùn)維中心進(jìn)行有關(guān)措施的現(xiàn)場執(zhí)行,并跟蹤反饋故障處理結(jié)果。對于必須升級系統(tǒng)解決的,分行需按總行CBS運(yùn)維中心提供的臨時解決辦法指導(dǎo)客戶操作,并此期間做好客戶溝通和溝通協(xié)調(diào)工作。有關(guān)責(zé)任認(rèn)定及處罰依照《**銀行案件及重大安全事故處置辦法》執(zhí)行。升級管理(一)ＣBＳ版本升級后,對于包含有所屬客戶升級需求的,分行應(yīng)及時通知客戶進(jìn)行程序升級,并跟蹤反饋其使用情形；(二)對于CBS增加的新功能,分行應(yīng)依據(jù)有關(guān)總行推廣的策略進(jìn)行客戶推廣，在給客戶使用前，必須進(jìn)行該新功能的學(xué)習(xí)并指導(dǎo)客戶操作,同時提前通知總行ＣBS運(yùn)維中心進(jìn)行有關(guān)開通工作。（三）對于新功能需要進(jìn)行客戶試點(diǎn)，分行應(yīng)按總行試點(diǎn)要求協(xié)助配合進(jìn)行客戶試點(diǎn)工作;（四）對于直聯(lián)、ＥRP有重大升級或者架構(gòu)替換的,分行必須按總行ＣBS運(yùn)維中心的要求及安排，赴客戶現(xiàn)場進(jìn)行升級替換,并提前通知總行CＢＳ運(yùn)維中心進(jìn)行遠(yuǎn)程指導(dǎo)和協(xié)助。(五)非托管項目的升級由分行自行把握，每年不少于2次。升級前分行必須進(jìn)行模擬發(fā)布，確認(rèn)無誤后方可進(jìn)行非托管客戶的更新發(fā)布,并且應(yīng)提前知會總行CBＳ運(yùn)維中心進(jìn)行遠(yuǎn)程協(xié)助指導(dǎo)。發(fā)布履行后應(yīng)將有關(guān)升級日志提交總行進(jìn)行結(jié)果檢查，并在客戶開始使用后的前幾天進(jìn)行現(xiàn)場支持,出現(xiàn)問題及時處理，以保證系統(tǒng)的穩(wěn)定運(yùn)行。(六)TMS項目的升級維護(hù)開發(fā)由分行承擔(dān),上線發(fā)布必須嚴(yán)格按總行項目管理的流程進(jìn)行操作，托管的項目由總行CBＳ運(yùn)維中心進(jìn)行發(fā)布操作，分行開發(fā)人員協(xié)助并進(jìn)行驗證。運(yùn)行監(jiān)測（一）對于托管項目，總行ＣＢS運(yùn)維中心會定時進(jìn)行監(jiān)測,檢查風(fēng)險隱患。對于直聯(lián)前置不穩(wěn)定、直聯(lián)故障指令較多、支付失敗較多等問題較多的客戶,分行應(yīng)協(xié)助配合總行ＣBＳ運(yùn)維中心進(jìn)行問題定位,并按總行的要求或建議措施指導(dǎo)客戶進(jìn)行整改。(二)對于非托管項目,分行應(yīng)按總行CBS運(yùn)維中心要求定時進(jìn)行監(jiān)測檢查,反饋檢查結(jié)果，并依據(jù)有關(guān)總行的檢查建議或意見進(jìn)行改進(jìn)。（三）總行、分行信息技術(shù)部應(yīng)該對系統(tǒng)出口、入口的網(wǎng)絡(luò)、端口、軟件接口狀態(tài)以及系統(tǒng)交易量、交易日志等數(shù)據(jù)進(jìn)行實時監(jiān)控，及早發(fā)現(xiàn)問題隱患,降低事件發(fā)生概率，監(jiān)控系統(tǒng)風(fēng)險并擬定應(yīng)急措施。實施運(yùn)維信息安全保障要求信息安全保密管理（一）在跨銀行現(xiàn)金管理平臺ＣBS產(chǎn)品涉及客戶重要的資金數(shù)據(jù)，屬于重要商業(yè)秘密。保密等級為“商業(yè)秘密一級”,對于行員泄密事件均依照《**銀行信息安全保密管理規(guī)定》處置，對于外包運(yùn)維人員泄密事件,依據(jù)有關(guān)責(zé)任認(rèn)定追究各環(huán)節(jié)人員及公司的法律責(zé)任。（二)CBＳ實施運(yùn)維團(tuán)隊成員及有關(guān)人員,均需要簽署保密協(xié)議和競業(yè)限制協(xié)議，加強(qiáng)實施運(yùn)維要害崗位工作人員的信息安全管理。（三)因為項目實施、故障處理、客戶維護(hù)等原因，需要接觸或處置客戶數(shù)據(jù)的,必須雙人以上在場處理。并征得客戶同意,要求客戶知情、在場、限時的情形下進(jìn)行操作處理。盡量留存法律認(rèn)可的客戶授權(quán)證據(jù),包括（但不限于）書面授權(quán)資料文件、正式郵件、授權(quán)許可的錄像、錄音資料文件等。（四)短暫持有涉密數(shù)據(jù)期間,嚴(yán)禁擅自復(fù)制、篡改,嚴(yán)禁向任何第三方提供。如直聯(lián)日志、統(tǒng)計報表、交易數(shù)據(jù)等,必須在運(yùn)維終止時,當(dāng)場刪除或銷毀數(shù)據(jù)，不得留存副本。(五)客戶提供的臨時性操作用戶及密碼，包括(但不限于)系統(tǒng)登錄、直聯(lián)前置登錄、數(shù)據(jù)庫登錄、進(jìn)行ＥＲＰ配置登錄的用戶和密碼,臨時用戶的權(quán)限應(yīng)依據(jù)有關(guān)“必須知道”和“最小授權(quán)”的原則進(jìn)行分配。必須在運(yùn)維操作終止時主動要求客戶更換、凍結(jié)用戶或進(jìn)行密碼變更。不得在客戶不在場的情形下使用任何客戶提供的有關(guān)用戶密碼進(jìn)行登錄處理，客戶知情且授權(quán)情形下除外。（六）對于ＣBＳ正常的業(yè)務(wù)數(shù)據(jù)的內(nèi)部統(tǒng)計分析,需考慮客戶信息安全。在數(shù)據(jù)加工時要進(jìn)行敏感信息屏蔽、篩選、剔除等操作,確保統(tǒng)計分析結(jié)果不暴露客戶隱私和商業(yè)秘密。在統(tǒng)計分析結(jié)果使用時，要進(jìn)行范圍監(jiān)控、授權(quán)管理、只讀、不得下載利用等操作,確保分析結(jié)果的受限查閱。對分行申請?zhí)峁┑臉I(yè)務(wù)數(shù)據(jù)統(tǒng)計結(jié)果,只提供最終匯總數(shù)據(jù)及百分比數(shù)據(jù),不得提供可直接推算和拆分出客戶敏感數(shù)據(jù)的結(jié)果。最終數(shù)據(jù)的說明和提供權(quán)為總行交易銀行部所有。Ｌiｃnese的管理客戶生產(chǎn)環(huán)境的ｌicｎｅse資料文件，為CＢS客戶端程序重要的身份認(rèn)證、辦公地址識別、運(yùn)行安全監(jiān)控資料文件。錯誤的安裝和使用將致使,無法正常登錄。分行運(yùn)維人員不得復(fù)制、占有或挪作他用。尤其在項目開通時licnese資料文件的下發(fā)和系統(tǒng)管理員初始密碼的下發(fā)必須不同渠道獨(dú)立發(fā)送，不得由我行同一人員送達(dá)。銀企直聯(lián)安全管理銀企直聯(lián)實施和運(yùn)維包括，直聯(lián)前置程序的安裝、參數(shù)的配置、直聯(lián)指令的調(diào)試以及日志分析等工作。(一)在有關(guān)的實施運(yùn)維工作中，應(yīng)要求客戶方人員進(jìn)行陪同操作或在對方機(jī)房監(jiān)控區(qū)域操作，避免事故追責(zé)認(rèn)定為我方人員單方面行為。對于接觸到的前置機(jī)用戶和密碼、直聯(lián)前置程序用戶和密碼、進(jìn)行直聯(lián)參數(shù)配置的CBS用戶和密碼、各銀行UＫＥY的密碼必須嚴(yán)格保密及處置，未能擅自留存記錄。有條件進(jìn)行更改密碼的,有關(guān)工作履行后應(yīng)提醒客戶進(jìn)行密碼的更改。（二）在直聯(lián)正式環(huán)境中進(jìn)行調(diào)試時，應(yīng)該指導(dǎo)用戶進(jìn)行對應(yīng)業(yè)務(wù)指令的發(fā)送,尤其是涉及到支付指令的操作，不得由我行運(yùn)維人員自己操作。正式使用系統(tǒng)時，如有支付業(yè)務(wù),務(wù)必建議客戶先選擇金額較小的業(yè)務(wù)進(jìn)行支付以防止意外。(三)在進(jìn)行直聯(lián)的故障分析時,如必須要對交易日志進(jìn)行分析或提供總行CBS運(yùn)維中心時，應(yīng)該依照日志查詢的有關(guān)流程進(jìn)行審批，確保該日志資料文件不會外傳。運(yùn)維終止后,必須銷毀流轉(zhuǎn)的日志資料文件。不得擅自拷貝前置機(jī)的日志資料文件或保留副本。（四)直聯(lián)實施履行后，必須按總行CＢＳ運(yùn)維中心提供的直聯(lián)安全管理文檔，對客戶進(jìn)行直聯(lián)安全管理的培訓(xùn)。ＥRP對接安全管理ERP對接的實施運(yùn)維包括,中間數(shù)據(jù)庫以及有關(guān)表的建立、相應(yīng)數(shù)據(jù)對接的開通及參數(shù)配置、與客戶軟件方的調(diào)試以及將來出現(xiàn)問題的處理。在實施運(yùn)維工作中,需要對中間數(shù)據(jù)庫表進(jìn)行查詢或更改操作時,必須要求客戶方人員在場,對于查詢出來的數(shù)據(jù)不得外傳,維護(hù)履行后必須銷毀，對于更改操作，必須進(jìn)行記錄并報備。非托管項目的安全管理非托管項目由于生產(chǎn)部署在客戶方，并且由分行運(yùn)維人員進(jìn)行日常運(yùn)維，因此需要對生產(chǎn)環(huán)境進(jìn)行嚴(yán)格的管理。（一)對于服務(wù)器的部署以及版本升級的上線發(fā)布,必須嚴(yán)格按總行CBS運(yùn)維中心的要求和指導(dǎo)進(jìn)行操作,同時在操作履行后必須提供有關(guān)日志給總行CBS運(yùn)維中心進(jìn)行檢查；(二)對于故障運(yùn)維,如涉及到要對生產(chǎn)環(huán)境的軟硬件或者數(shù)據(jù)進(jìn)行維護(hù)時，必須請示總行CBＳ運(yùn)維中心,由總行CBS運(yùn)維中心進(jìn)行分析決策,并依照分行信息科技部擬定的變更管理流程指導(dǎo)分行進(jìn)行操作，每次維護(hù)必須進(jìn)記錄,并把維護(hù)內(nèi)容以及結(jié)果反饋給總行ＣBS運(yùn)維中心。（三）為最大化降低我方或有責(zé)任,運(yùn)維團(tuán)隊在客戶現(xiàn)場進(jìn)行運(yùn)維操作時,應(yīng)嚴(yán)格遵守客戶現(xiàn)場的管理要求，由客戶方人員陪同,并提供有關(guān)維護(hù)內(nèi)容。運(yùn)維外包管理運(yùn)維外包策略(一)跨銀行現(xiàn)金管理產(chǎn)品運(yùn)維外包應(yīng)嚴(yán)格依照總行信息科技外包管理策略執(zhí)行，對于涉及我行戰(zhàn)略管理、風(fēng)險管理、內(nèi)部審計以及核心競爭力的職能不得進(jìn)行外包，。實施運(yùn)維工作中的涉及的關(guān)鍵崗位、流程、環(huán)節(jié)都不進(jìn)行外包，包括(但不限于)挖掘客群價值、客戶經(jīng)營、項目管理、產(chǎn)品核心功能開發(fā)、咨詢顧問咨詢等。（二)總分行運(yùn)維外包要兼顧平衡風(fēng)險、成本、效益和質(zhì)量，并考慮當(dāng)前外包*場環(huán)境、自身風(fēng)險監(jiān)控能力和風(fēng)險偏好，不因外包降低對我行客戶的服務(wù)質(zhì)量和效率。（三）分行自建運(yùn)維外包團(tuán)隊時,優(yōu)先采用駐場人力外包，盡量避免非駐場人力外包；（四)總行統(tǒng)一通過準(zhǔn)入和退出機(jī)制監(jiān)控銀行各類高風(fēng)險外包供應(yīng)商的數(shù)量，防范行業(yè)壟斷和機(jī)構(gòu)集中度風(fēng)險,通過引入適當(dāng)?shù)母偁幗档筒少彸杀?、提升服?wù)質(zhì)量，同時形成備份，合理監(jiān)控外包供應(yīng)商的數(shù)量;運(yùn)維外包風(fēng)險管理(一）運(yùn)維外包風(fēng)險管理包括風(fēng)險識別、風(fēng)險分析與評估、風(fēng)險處置、風(fēng)險監(jiān)控及風(fēng)險報告的全生命周期管理,貫穿于運(yùn)維包日常管理工作中。(二)總行建立的派駐異地的運(yùn)維外包團(tuán)隊的風(fēng)險管理由總行信息科技外包風(fēng)險管理團(tuán)隊負(fù)責(zé)風(fēng)險管理。分行自建的本地運(yùn)維外包團(tuán)隊的風(fēng)險管理由分行自行參照總行執(zhí)行。定時風(fēng)險評估內(nèi)容建議包括：運(yùn)維外包執(zhí)行情形、外包信息安全、機(jī)構(gòu)集中度、服務(wù)連續(xù)性、服務(wù)質(zhì)量、政策及＊場變化對外包服務(wù)的影響分析等。(三）分行自行選擇本地運(yùn)維外包供應(yīng)商，需要對外包供應(yīng)商的財務(wù)、內(nèi)控及安全管理狀況進(jìn)行延續(xù)監(jiān)控。(四)延續(xù)風(fēng)險管控：項目過程中總行、分行信息技術(shù)部應(yīng)對運(yùn)維外包進(jìn)行風(fēng)險評估，通過項目跟蹤和適當(dāng)?shù)募夹g(shù)手段進(jìn)行風(fēng)險監(jiān)控;項目過程中總行、分行信息技術(shù)部應(yīng)對運(yùn)維供應(yīng)商的財務(wù)、內(nèi)控及安全管理進(jìn)行延續(xù)監(jiān)控。（五)分行ＩＴ外包管理執(zhí)行部門應(yīng)當(dāng)對重要的非駐場運(yùn)維類外包服務(wù)進(jìn)行實地檢查。實地檢查原則上一年不少于一次,檢查結(jié)果作為外包服務(wù)提供商項目考核及準(zhǔn)入的重要指標(biāo)。運(yùn)維外包供應(yīng)商的準(zhǔn)入和退出ＣBＳ運(yùn)維外包管理團(tuán)隊規(guī)模、數(shù)量應(yīng)與業(yè)務(wù)發(fā)展需要相適應(yīng),依照“我行為主、外包為輔”的原則，保持合理的外包資源與行內(nèi)運(yùn)維外包人員的占比。分行對外包供應(yīng)商準(zhǔn)入退出的管理也需要參照總行。通過準(zhǔn)入和退出機(jī)制合理管控各類高風(fēng)險服務(wù)外包供應(yīng)商的數(shù)量，防范風(fēng)險;通過引入適當(dāng)?shù)母偁?在降低采購成本的同時提升服務(wù)質(zhì)量;合理管控外包供應(yīng)商的數(shù)量,降低風(fēng)險及管理成本等。(一）外包供應(yīng)商準(zhǔn)入管理總行外包供應(yīng)商的準(zhǔn)入管理，由總行信息科技外包管理執(zhí)行團(tuán)隊參照《**銀行信息科技外包管理指引》負(fù)責(zé)執(zhí)行。分行外包供應(yīng)商的準(zhǔn)入管理參照《**銀行分行運(yùn)維類信息科技外包管理辦法》執(zhí)行，對外包供應(yīng)商開展準(zhǔn)入信息收集,收集的信息包括(但不限于）內(nèi)部監(jiān)控與管理能力信息、延續(xù)經(jīng)營能力信息和技術(shù)與服務(wù)能力信息。外包供應(yīng)商應(yīng)滿足如下準(zhǔn)入條件:1.具備符合經(jīng)營專業(yè)化服務(wù)所需要的專業(yè)技術(shù)人員和管理人員；２．能夠提供適合我行所需技術(shù)與業(yè)務(wù)發(fā)展、滿足信息安全要求的服務(wù)方案;３.具備健全的組織架構(gòu)、內(nèi)監(jiān)控度和業(yè)務(wù)管理、風(fēng)險監(jiān)控措施,具備良好的商業(yè)信譽(yù)和社會評估；4.具備較強(qiáng)的項目管理水平和良好的運(yùn)營管理能力。同時,分行在與重要外包供應(yīng)商簽訂協(xié)議前，應(yīng)開展盡職調(diào)查。重點(diǎn)關(guān)注外包供應(yīng)商技術(shù)和行業(yè)經(jīng)驗、內(nèi)部監(jiān)控機(jī)制和管理流程的完善程度、突發(fā)事件應(yīng)對能力、內(nèi)部監(jiān)控技術(shù)和工具、延續(xù)經(jīng)營狀況,包括從業(yè)時間、*場地位及發(fā)展趨勢、資金的安全性、近期盈利情形、對其他銀行業(yè)銀行等金融機(jī)構(gòu)提供服務(wù)的情形等。(二)外包供應(yīng)商退出管理總行外包供應(yīng)商的退出管理,由總行信息科技外包管理執(zhí)行團(tuán)隊負(fù)責(zé)。分行外包供應(yīng)商的退出管理，應(yīng)參照總行規(guī)范建立外包供應(yīng)商退出機(jī)制，主動終止與服務(wù)質(zhì)量不達(dá)標(biāo)外包供應(yīng)商外包合作關(guān)系,不再與其開展新的外包合作。對于現(xiàn)有運(yùn)維外包項目,應(yīng)啟動項目應(yīng)急預(yù)案，并尋求盡速替代。存在以下情形之一的外包供應(yīng)商，應(yīng)主動退出與其合作：嚴(yán)重違反國家法律、法規(guī)和監(jiān)管要求的；嚴(yán)重違約、擅自變更或者終止已生效協(xié)議的；泄露我行商業(yè)秘密、技術(shù)秘密等非公開信息的；侵犯我行知識所有權(quán)的；故意提供虛假資質(zhì)材料、隱瞞真實情形的；信譽(yù)和財務(wù)發(fā)生嚴(yán)重危機(jī)的；提供的運(yùn)維服務(wù)出現(xiàn)重大問題，并造成不良后果的；中標(biāo)后無正當(dāng)理由拒絕簽訂協(xié)議的;經(jīng)營條件發(fā)生變化，無法繼續(xù)提供符合標(biāo)準(zhǔn)的服務(wù);對服務(wù)質(zhì)量進(jìn)行檢查,連續(xù)3次未能達(dá)到服務(wù)標(biāo)準(zhǔn);其他可能嚴(yán)重影響我行聲譽(yù)以及給我行帶來風(fēng)險或損失的情形;外包供應(yīng)商評估連續(xù)兩年為“差”;總行信息科技外包管理執(zhí)行團(tuán)隊認(rèn)定的其他情形。運(yùn)維外包項目管理總行外包項目的建立和決策，由總行信息科技外包執(zhí)行團(tuán)隊依據(jù)有關(guān)總行交易銀行部的業(yè)務(wù)規(guī)劃和實際需要建立。分行開展運(yùn)維外包前,分行信息技術(shù)部應(yīng)將外包項目申請表(詳見信息科技外包風(fēng)險管理指引附件）和詳細(xì)實施方案(包括技術(shù)可行性分析、外包風(fēng)險評估與處置分析內(nèi)容)，提交總行信息技術(shù)部審批。(一)協(xié)議管理分行實施運(yùn)維外包服務(wù)前，分行應(yīng)與外包供應(yīng)商簽訂協(xié)議,協(xié)議條款應(yīng)經(jīng)由分行法律與合規(guī)部審核。對我行已擬定外包協(xié)議標(biāo)準(zhǔn)文本模板的，原則上應(yīng)使用我行標(biāo)準(zhǔn)協(xié)議文本模板,對我行協(xié)議標(biāo)準(zhǔn)文本條款的修改,應(yīng)報送法律與合規(guī)部審查。詳細(xì)協(xié)議內(nèi)容要求以及應(yīng)明確的安全保密責(zé)任,參照《信息科技外包風(fēng)險管理指引》執(zhí)行。（二)總行ＣBS運(yùn)維中心的建立總行CBＳ運(yùn)維中心由總行CBＳ運(yùn)維組及派駐分行的異地外包運(yùn)維團(tuán)隊構(gòu)成;派駐分行的異地外包運(yùn)維團(tuán)隊采取雙線管理模式。由總行運(yùn)維組進(jìn)行整體的工作分配及有關(guān)培訓(xùn)，由所在分行對外包人員直接管理及詳細(xì)工作安排。由分行技術(shù)部人員進(jìn)行詳細(xì)的日常管理,包括考勤座位場地的安排、機(jī)器的提供等等;由分行交易銀行部依據(jù)有關(guān)流程進(jìn)行詳細(xì)外包運(yùn)維工作的安排。各分行依據(jù)有關(guān)自身情形,業(yè)務(wù)和技術(shù)部門自行商定申請使用的流程。如需要總行提供的支持,如外包郵箱申請等等，由分行向總行運(yùn)維中心進(jìn)行申請。(三）分行運(yùn)維團(tuán)隊的建立分行運(yùn)維團(tuán)隊是CBS項目組建員中專職實施運(yùn)維的團(tuán)隊,其中包括分行信息技術(shù)部運(yùn)維人員、分行自建外包運(yùn)維團(tuán)隊人員以及總行派駐分行的異地運(yùn)維外包人員。為客戶開通CBS項目的分行必須建立由我行人員主導(dǎo)的運(yùn)維團(tuán)隊。運(yùn)維外包人員管理總行對運(yùn)維外包供應(yīng)商提供的異地派駐運(yùn)維人員依照“資源池”的方式進(jìn)行管理,對“資源池”內(nèi)人員由總行交易銀行部、總行CＢS運(yùn)維組以及分行產(chǎn)品經(jīng)理共同進(jìn)行招聘,確定合格外包人員。并由總行統(tǒng)一進(jìn)行集中崗前培訓(xùn)。分行自建運(yùn)維外包團(tuán)隊需參照總行標(biāo)準(zhǔn)進(jìn)行管理。(一）外包資源使用。對派駐分行的異地運(yùn)維外包人員，由總行依據(jù)有關(guān)分行運(yùn)維需要進(jìn)行統(tǒng)一調(diào)度,分行對上述資源的使用需要提前申請，總行視詳細(xì)情形,統(tǒng)一安排。并可以依據(jù)有關(guān)需要安排派駐團(tuán)隊支援周邊地區(qū)的運(yùn)維工作。分行自建外包團(tuán)隊的使用，由分行交易銀行部依據(jù)有關(guān)業(yè)務(wù)情形決定。（二）總行異地派駐外包人員管理總行派駐分行異地運(yùn)維外包人員采取雙線管理模式。由總行運(yùn)維中心進(jìn)行整體的工作分配及有關(guān)培訓(xùn)，由所在分行對外包人員直接管理及詳細(xì)工作安排,在《**銀行信息科技外包風(fēng)險管理指引》的指導(dǎo)下開展工作。１.日常辦公管理，由分行技術(shù)部詳細(xì)管理,包括座位場地的安排、辦公設(shè)備、機(jī)器的提供等等。日常考勤管理,如運(yùn)維外包人員簽到簽退、請休假等，須在總行統(tǒng)一的外包系統(tǒng)管理系統(tǒng)中進(jìn)行操作，其中，請休假必須先征得分行的同意，同時分行信息技術(shù)部需要及時告之總行運(yùn)維中心;如外出運(yùn)維無法簽到簽退的必須要進(jìn)行備注，總行運(yùn)維中心會與分行人員進(jìn)行抽查確認(rèn)；如在客戶現(xiàn)場因為運(yùn)維延長工作時間的,必須按管理規(guī)定，在外包管理系統(tǒng)中進(jìn)行錄入，總行運(yùn)維中心在與分行人員確認(rèn)后，在系統(tǒng)中進(jìn)行確認(rèn)操作。日常報工管理,運(yùn)維外包管理人員需在總行統(tǒng)一的項目管理工具中,進(jìn)行每天的工作描述。分行在不與總行外包管理沖突的情形下,可擬定相應(yīng)管理細(xì)則。２.詳細(xì)運(yùn)維工作由總行運(yùn)維中心以及總行交易銀行部整體管理調(diào)配、分行交易銀行部進(jìn)行詳細(xì)安排?？傂挟惖嘏神v外包運(yùn)維人員不得承擔(dān)CBＳ實施運(yùn)維以外的工作。包括但不限于分行ＣBＳ新客戶營銷推廣工作、非CBS系統(tǒng)的運(yùn)維工作、任何涉及我行系統(tǒng)安全的開發(fā)工作。運(yùn)維外包工作內(nèi)容及流程(一)運(yùn)維外包工作內(nèi)容1.負(fù)責(zé)ＣBS項目的實施上線工作。包括按流程申請總行授權(quán)、聯(lián)系分行項目組人員,獲取項目的安裝程序。赴現(xiàn)場進(jìn)行CＢS系統(tǒng)的前、后臺程序、機(jī)器設(shè)備的安裝調(diào)試。詳細(xì)內(nèi)容詳見《跨銀行現(xiàn)金管理CBS項目實施手冊》。2．負(fù)責(zé)ＣBS系統(tǒng)直聯(lián)平臺與各銀行直聯(lián)的安裝調(diào)試工作。包括各行直聯(lián)程序的安裝,直聯(lián)及DCBＡNＫ＼ＣBC程序的參數(shù)配置和調(diào)通、與本地各家直聯(lián)銀行的測試人員一起履行直聯(lián)的調(diào)通和測試工作。向客戶提交《CBS直聯(lián)平臺運(yùn)行管理辦法V1.0》\《直聯(lián)業(yè)務(wù)風(fēng)險提示函》并取得由客戶有效簽收的回執(zhí)。詳細(xì)內(nèi)容詳見《ＣBS直聯(lián)平臺實施手冊》、《CBS直聯(lián)用戶手冊》、《CＢS直聯(lián)運(yùn)行維護(hù)手冊》。3.協(xié)助負(fù)責(zé)ＣBS系統(tǒng)的初始化和基礎(chǔ)信息錄入工作。依照客戶整理的業(yè)務(wù)信息進(jìn)行系統(tǒng)初始化,包括基礎(chǔ)賬戶信息、用戶信息、業(yè)務(wù)參數(shù)、審批流、成員單位及賬號等信息的錄入。4.協(xié)助負(fù)責(zé)CBＳ系統(tǒng)的培訓(xùn)工作。包括標(biāo)準(zhǔn)的系統(tǒng)應(yīng)用培訓(xùn)、業(yè)務(wù)操作培訓(xùn)、系統(tǒng)使用安全培訓(xùn)等。5．在系統(tǒng)上線后，協(xié)助負(fù)責(zé)現(xiàn)場指導(dǎo)和檢查客戶頭幾筆業(yè)務(wù)的辦理,并給予操作方面的輔導(dǎo)和建議。6.負(fù)責(zé)CBS系統(tǒng)在運(yùn)行維護(hù)期間的有關(guān)工作。包括系統(tǒng)突發(fā)故障的現(xiàn)場應(yīng)急處理。依據(jù)有關(guān)總行的通知，由專人趕赴客戶現(xiàn)場進(jìn)行故障的診斷、定位、日志下載、問題排除、向總行信息技術(shù)部CBＳ運(yùn)維組實時反饋問題處理情形和進(jìn)度。并做好問題處理的登記和客戶反饋建議或意見的登記。７．負(fù)責(zé)現(xiàn)場收集客戶需求和反饋建議或意見。８.按要求,定時進(jìn)行客戶現(xiàn)場的例行維護(hù)。９.CBS產(chǎn)品新版本發(fā)布，UＡＴ測試。１0．按要求進(jìn)行日常運(yùn)維工作報告的編寫。１1.其他新納入外包工作范疇內(nèi)的工作。(二）運(yùn)維外包工作流程跨銀行現(xiàn)金管理產(chǎn)品運(yùn)維外包工作流程,依據(jù)有關(guān)業(yè)務(wù)需要分為響應(yīng)式運(yùn)維和主動運(yùn)維兩大類流程。1.響應(yīng)式運(yùn)維。依據(jù)有關(guān)客戶直接反饋的運(yùn)維需求或通過總分行交易銀行部反饋的運(yùn)維需求，進(jìn)行第一時間響應(yīng)客戶。及時依據(jù)有關(guān)需求判斷運(yùn)維等級,并告之客戶處理的時間及流程。同時,發(fā)起內(nèi)部運(yùn)維工作申請流程,填報《跨銀行現(xiàn)金管理項目實施運(yùn)維工作任務(wù)單》。如未收到總分行交易銀行部建議變更和推遲執(zhí)行維護(hù)任務(wù)的指令,則直接依照《跨銀行現(xiàn)金管理CBS項目實施手冊》處理有關(guān)流程。２.主動式運(yùn)維。依據(jù)有關(guān)總分行交易銀行部擬定的CＢＳ客戶例行回訪計劃，每年不少于４次對轄區(qū)內(nèi)所服務(wù)的所有CBＳ客戶進(jìn)行主動定時上門回訪運(yùn)維。維護(hù)內(nèi)容包括運(yùn)行環(huán)境檢查、日志清理、直聯(lián)前置機(jī)檢查、日常問題匯總、客戶疑問解答等。分行交易銀行部需要提前擬定運(yùn)維回訪計劃，并提前安排好運(yùn)維人員進(jìn)行籌備。開展主動回訪運(yùn)維時仍須填報《跨銀行現(xiàn)金管理項目實施運(yùn)維工作任務(wù)單》。因涉及成本核算，總行異地派駐運(yùn)維外包人員的所有運(yùn)維工作履行時,必須填報《跨銀行現(xiàn)金管理項目實施運(yùn)維工作任務(wù)單》。各分行可依據(jù)有關(guān)自身情形,擬定簡化適用流程。外包運(yùn)維安全管理及風(fēng)險監(jiān)控總分行外包運(yùn)維人員需嚴(yán)格遵守本辦法第五章各條項安全條款的同時，分行應(yīng)重點(diǎn)加強(qiáng)針對外包人員的信息安全檢查管控措施。防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環(huán)境或設(shè)備遭受破壞等風(fēng)險。（一)分行運(yùn)維外包人員的實施和運(yùn)維工作,必須嚴(yán)格遵守我行的《**銀行信息安全和保密管理規(guī)定》,分行技術(shù)人員應(yīng)對其有關(guān)工作進(jìn)行檢查，確認(rèn)是否符合信息安全保障的要求。(二)分行運(yùn)維團(tuán)隊負(fù)責(zé)人,為外包運(yùn)維人員管理的首要責(zé)任人。負(fù)責(zé)詳盡記錄運(yùn)維外包人員所去的客戶、日期以及所進(jìn)行的操作;對于直聯(lián)實施、非托管環(huán)境維護(hù)等風(fēng)險較高的運(yùn)維工作，分行信息技術(shù)部人員必須為主負(fù)責(zé)處理，并對外包人員的現(xiàn)場運(yùn)維工作進(jìn)行直接的管理；對于風(fēng)險較低的日常維護(hù),分行交易銀行部應(yīng)通過客戶的反饋，確認(rèn)外包人員維護(hù)工作以及維護(hù)的效果。(三）分行應(yīng)做好運(yùn)維外包人員的儲備工作,關(guān)注現(xiàn)有外包人員的思想動態(tài)，做好相應(yīng)防范措施，在外包人員離職變更時能及時進(jìn)行補(bǔ)充或者銜接，以免對客戶的系統(tǒng)運(yùn)維造成較大影響。（四)外包人員在進(jìn)場前應(yīng)簽署保密承諾書,定時組織外包人員信息安全培訓(xùn),提升信息安全意識,確保信息安全管控措施在外包服務(wù)過程中有效貫徹;（五）明確外包活動中需要訪問或使用的信息資產(chǎn)，包括場地、辦公設(shè)備、計算機(jī)、服務(wù)器、訪問監(jiān)控設(shè)備、網(wǎng)絡(luò)端口、賬號、軟件、數(shù)據(jù)、信息等，按“必需知道”和“最小授權(quán)”原則進(jìn)行訪問授權(quán);（六）分行自建外包團(tuán)隊，應(yīng)確保協(xié)議中有信息安全承諾條款和對應(yīng)罰則，或單獨(dú)簽署信息安全承諾函;(七)定時對外包服務(wù)進(jìn)行安全檢查，獲取外包供應(yīng)商自評估或第三方評估報告。外包服務(wù)連續(xù)性管理為保證我行CBＳ業(yè)務(wù)延續(xù)穩(wěn)定運(yùn)行,總行CＢS運(yùn)維管理中心應(yīng)依據(jù)有關(guān)業(yè)務(wù)需要擬定業(yè)務(wù)連續(xù)性計劃,完善應(yīng)急預(yù)案,組織運(yùn)維人員和外包人員參加。分行運(yùn)維團(tuán)隊也應(yīng)依照分行擬定的業(yè)務(wù)連續(xù)性計劃針對分行ＣBS前房地產(chǎn)務(wù)組織分行運(yùn)維人員和外包人