商业银行业务外包服务管理应急预案.doc

xx商商业银业银行行外包服外包服务务管理管理 应应急急预预案案 _ -可编辑修改- 序言序言 为确保 xx 商业银行各业务系统持续、稳定运行，加强外包管理，预防 因外包管理的原因造成业务系统服务中断或外包协议的意外终止，并 将外包风险可能造成的损失控制在最小范围内，特制定本预案 依据文件依据文件 依据商业银行信息科技风险管理指引以及商业银行外包风险管理 指引（征求意见稿）等监管要求制定本预案。 使用范使用范围围 本预案适用于外包服务商在服务中可能出现的重大缺失，尤其需要考 虑外包服务商的重大资源损失，重大财务损失和重要人员的变动，以 及外包协议的意外终止时应急管理。 修修订记录订记录 版本号日期 修订说明修订人审核 1.02015.4 Xx 商业 x _ -可编辑修改- 目 录 第一章第一章外包管理外包管理监监管要求管要求 .4 第二章第二章应应急急组织组织及及职责职责 .5 2.1应急组织架构 .5 2.2职责与权限 .5 2.3应急组织成员联系方式 .7 第三章第三章应应急管理流程急管理流程 .8 3.1启动条件 .8 3.2应急处理流程 .8 第四章第四章预预案演案演练练和更新和更新 .14 第五章第五章参考文件参考文件 .15 _ -可编辑修改- 一一一 外包管理外包管理监监管要求管要求 外包定外包定义义 外包是指商业银行将原本应由自身负责处理的某些事务或某些 业务活动委托给服务提供商进行处理 的经营行为。服务提供商包括 独立第三方，商业银行或其所属集团设立在中国境内或者境外的子公 司、关联公司或附属机构。 商商业银业银行不得将其信息科技管理行不得将其信息科技管理责责任外包。任外包。 商商业银业银行外包管理的行外包管理的组织组织架构架构应应包括董事会、高包括董事会、高级级 管理管理层层及外包及外包 管理管理团队团队 外包外包应应急急预预案范案范围围 外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服 务商的重大资源损失，重大财务损失和重要人员的变动，以及外包协 议的意外终止。 _ -可编辑修改- 一一一 应应急急组织组织及及职责职责 2.1 2.1 应应急急组织组织架构架构 为保障外包服务应急预案的顺利实施，成立总行外包应急领导小 组、外包应急处理协调小组，其中外包应急处理协调小组由外包商联 系组、技术支持组、业务支持组和行外联络组等组成。全行外包管理 应急组织架构见下图： 技 术 支 持 组 业 务 支 持 组 外 包 商 联 系 组 外包应急处置协调小组 行 外 联 络 组 外包应急领导小组 2.2 2.2 职责职责与与权权限限 总总行行应应急急领导领导小小组组 主要由总行风险管理部、信息科技部、审计部、运营管理部、电子 银行部、零售业务部、公司业务部、办公室等部门领导组成。 主要负责外包管理应急方案的启动和决策；负责协调总行部门和 _ -可编辑修改- 外部单位资源；审核应急方案和重大问题的汇报；针对外包服务商在 服务中可能出现的重大缺失，尤其需要考虑外包服务商的重大资源损 失，重大财务损失和重要人员的变动，以及外包协议的意外终止发生 时，及时向当地人民银行、银监局报告，组织指挥外包服务的应急处 置工作。 总总行行应应急急处处理理协调协调小小组组 主要由总行风险管理部、信息科技部部门领导组成。 负责组织、协调、实施应急方案，调配应急资源，及时向领导小组 报告应急处置相关信息。 外包商外包商联联系小系小组组 由科技部综合管理岗相关人员组成。 负责向应急处置协调小组提供引起外包应急预案的外包服务商 相关联系信息，负责在外包服务商资源池中寻求其他外包服务商信息。 技技术术支持小支持小组组 信息科技部相关技术人员组成。 负责在外包服务中断的情况下，有关进行外包服务相关故障的协 助排查、技术恢复，保障业务服务的正常运行。 业务业务支持小支持小组组 由运营管理部、公司业务部和零售业务部、电子银行部等相关 _ -可编辑修改- 业务部门组成。 主要负责在外包服务中断引起业务系统中断时，对全行进行业 务应急进行组织协调，对业务处理进行指导，以及业务应急流程管理。 总总行行外行行外联络组联络组 包括办公室、审计部等保障支持部门。 主要负责协调行外资源协调，联系行外单位以进行应急处理。 2.3 2.3 应应急急组织组织成成员联员联系方式系方式 请将各小组联系方式等信息填进去 小小组组姓名姓名部部门门联联系方式系方式其他其他联联系方式系方式 _ -可编辑修改- 一一一 应应急管理流程急管理流程 3.1 3.1 启启动动条件条件 对通过多途径了解的服务商信息经分析并确认外包服务商在服 务中可能出现的重大缺失，尤其需要考虑外包服务商的重大资源损失， 重大财务损失和重要人员的变动，以及外包协议的意外终止时，启动 外包服务管理应急预案。 对服务商信息的分析，可以从包括但不限于以下途径进行信息收 集分析：对应急管理外包服务商定期审计、服务商日常服务过程、服 务商所在行业发生重大政策变化等。 3.2 3.2 应应急急处处理流程理流程 1恢复系统生产运行 2解决由于系统故障导致的业务问题 3形成故障解决报告上报总行应急领导小组。 4总行技术应急小组形成报告上报总行应急领导小组。 5总行应急领导小组进行分析，并通过全行发文提示各行注意规避。 密切与相关部门沟通与合作，重点防范业务系统崩溃、数据丢失和失 密。组长宣布启动应急预案后，小组成员按预案要求实施各类防抗措 施，与人民银行、银监局保持密切联系，掌握灾害情况，及时通报系统 防灾、受灾及抗灾情况，迅速传达人民银行、银监局对抗灾工作的指 示精神，确保信息透明和畅通。向人民银行、银监局提交突发事件处 _ -可编辑修改- 置工作报告，报告内容应包括但不限于：突发事件的描述及分析；各项 对策制定的原因及实施效果；处置工作的费用核算及效益分析，突发 事件及处置工作对未来的影响评估、处置工作的经验教训等。 4.2.1 故障故障发发生生 故障的发生被发现可能来自两个地方： 1结算中心业务人员。首先他们负责业务的日常监控，一旦业务发生 异常，就转发技术支持小组，技术支持小组进行确认，同时将故障情 况报总行应急小组。 2信息科技部技术人员。他们负责技术方面的日常监控，一旦发现主 机、数据库或者应用发生异常，就转发技术支持小组，同时将故障情 况报总行应急小组。 3总行应急小组受理故障报告后，立即开展部门间的协调工作，监督 故障排除情况，同时上报总行应急领导小组。 4总行应急领导小组受理故障报告后，立即开展外部单位间的协调 工作，同时督导行内故障处理情况。 4.2.2 故障故障处处理理 总行技术支持小组对故障进行分类， a) 如果属于硬件原因而导致的故障，则交由相关主机维护人员和 公司处理，并请相关公司人员现场支持。 b) 如果是由于操作系统故障导致的故障，则交由主机维护人员进 行相关处理，并进行双机切换等步骤。 _ -可编辑修改- c) 如果由于数据库故障导致的故障，则交由数据库维护人员处理， 必要的话进行数据库恢复等操作。 d) 如果由于应用系统导致的故障，则交由应用系统维护人员进行 处理，并进行系统恢复或者数据修改等操作。 e) 对于技术支持小组无法处理的故障，报总行应急小组，经总行 应急小组迅速确认，再报总行应急领导小组，申请总行项目组 和合作公司的现场技术支持，启动业务应急预案。 4.2.3 善后善后处处理理 1恢复系统生产运行 2解决由于系统故障导致的业务问题 3形成故障解决报告上报总行应急领导小组。 4总行技术应急小组形成报告上报总行应急领导小组。 5总行应急领导小组进行分析，并通过全行发文提示各行注意规避。 1 负责支付系统的业务开展以及日常运行维护管理的人员，在 30 分钟之内不能解决的问题，应迅速的向运维支持部门报告， 运维部门接受到报告后应立即联系应急技术支持。 2 信息科技部作为运维支持，当确定属于系统故障时，应提出 应急技术支持，并尽快对问题做出定位，估计在 15 分钟内不 能解决的，应负责与设备供应商、操作系统及数据库系统提 供商，以及软件开发部门联系。 _ -可编辑修改- 3 信息科技部对应用系统的问题进行定位和解决，提供应用系 统级的应急支持。 相关厂商作为系统软硬件的二级支持，提 供高级技术支持，必要时赶到现场。 a) 由业务运行监控和技术运行监控进行日常监控，发现问题后， 将问题迅速反馈到总行应用维护技术支持组。 b) 总行应用维护技术支持组收到问题反馈后，马上进行故障诊断， 判断能否快速解决，能够快速解决的问题马上进行故障解决阶 段，在故障解决后做出故障解决反馈。 c) 如果不能快速解决，应该迅速将该问题报告到总行应急领导小 组，由应急小组启用各应急资源，并指示应急技术支持组进行 故障分析。 d) 通过故障分析，判断是否能够发现故障点，如果能够发现故障 点，则根据故障点的情况申请相关分行系统支持组的技术支持， 并由技术支持开始故障排除；如果不能发现故障点，报告分行 应急领导小组，由应急领导小组准备协调全行资源进行处理。 e) 如果经过系统支持组解决依然不能排除故障，则直接报告总行 应急领导小组及对外联络小组。 f) 对外联络小组将故障情况报告总行相关业务技术部门，同时通 知合作公司做好应急准备。 g) 总行应急领导组组织各相关部门和工作组召开故障应急处理 会议，通报故障情况，讨论故障处理意见。 h) 同时应急领导组通知业务支持组做好业务应急准备，进入故障 _ -可编辑修改- 处理阶段。 a) 总行应急领导小组收到分行的应急情况报告后，下达总行应急 处理指令。 b) 业务支持组接受应急处理指令后，联络总行级的外部资源，同 时协助进行应急处理。 c) 技术支持组接受应急处理指令后，进行远程登录，开始问题排 查。 d) 经过合作公司、技术支持组协同查找还是不能排除故障的，合 作公司和技术支持组进行现场支持。 e) 在故障实在不能解决的情况下，由技术和业务部门一起进行系 统恢复和数据恢复工作。 f) 在故障排除后，技术支持组和业务支持组进入善后处理阶段。 g) 总行应急领导小组向总行应急领导小组报告相关处理情况，进 入善后处理。 时序三：善后处理描述 a) 故障排除后，由总行应急领导小组组织善后工作会议。 b)应急领导小组发布系统运行指令，由应用技术支持组启动系统 各进程。 c) 应急领导小组发布业务开办指令，由业务支持组通知各部门、 网点开始业务办理。 d) 应急领导小组组织宣传部门降低故障影响，同时组织法律部门 实施法律应对。 _ -可编辑修改- e) 应急小组根据业务故障报告、技术故障报告和合作公司提供的 故障报告，进行整理，形成分行的故障报告，上报总行应急领 导小组。 f) 业务支持组整理各类处理业务清单留底保存。 g) 业务支持组密切监控系统运行情况，进行故障部分数据恢复； 编写故障报告，上报到应急领导小组。 h) 对外联络组联系合作公司，通知相关合作公司上交故障报告， 并将故障报告上报应急领导小组。 i) 技术支持组备份应用环境，系统技术支持组备份主机环境和数 据库环境，编写技术故障报告，并将故障报告上报应急领导小 组。 j) 系统支持组编写系统故障报告，并将故障报告上报总行应急领 导小组。 k) 总行应急小组根据各组上报的故障报告，进行整理，形成全行 性的总体故障报告，并反馈各部门。 l) 故障处理结束。 _ -可编辑修改- 一一一 预预案演案演练练和更新和更新 信息科技风险管理的日常主管部门风险管理部，定期组织外包管 理应急预案演练活动，并形成档案记录供日后参考，并定期对相关部 门人员进行培训，以便在发生应急时能及时、高效有条不紊地应对， 使应急小组成