IT项目外包服务商管理应急预案

1、IT 项目外包服务商管理应急预案第一章 总则第一条 为提高公司处置 IT 项目外包服务风险突发事件的能力，形成科学、有效、及时的应急工作机制，确保公司 各业务系统持续安全、稳定运行，预防因外包管理的原因造 成业务系统服务中断或外包协议服务的意外终止，并将外包 服务风险可能造成的损失控制在最小范围，结合公司实际， 特制定本应急预案。第二条 本应急预案所指的 IT 项目外包服务是指公司将原本由自身负责处理的信息科技活动委托给服务提供商进 行处理的行为包括以下类型：（一）系统开发服务类外包： 包括系统软件开发、 系统 软件优化服务、系统测试等外包服务。（二）系统运行维护类外包： 包括数据中心 （灾备

2、中心）、 机房配套设施、网络、系统等运维外包服务。第三条 应急预案适用范围：（一）业务系统服务中断：由于外包服务质量问题或内 外部协作效率低下，使得支持业务运营的外包服务无法持续 提供导致业务中断；（二）外包协议的意外终止：外包服务商在服务中可能 出现的重大资源损失，重大财务损失和重要人员的变动等引 起外包协议的意外终止。第四条 应急处置的原则（一）统一指挥，协调配合原则。各部门、各分支机构 应按照权限和职责各司其职，服从统一指挥，密切配合，做 好外包服务风险突发事件应对和处置工作。（二）保障现有业务不中断原则。 在进行 IT 项目外包服 务风险突发事件应急处置时，必须保障已经上线使用的业务不

3、 中断。（三）损失最小化原则。在进行外包服务风险突发事件 应急处置时，应采取积极有效的措施，防止损失扩大或者追 回损失。（四）可操作性原则。如在处理本应急预案过程遇到与 国家现行的法律法规相抵触的情况时，应在国家法律和法规 的范围内实施。第二章 应急组织架构及职责第五条 为切实加强 IT 项目外包服务风险突发事件应急 处置管理，成立外包应急领导小组 （ 下称应急领导小组 ） ，下 设外包应急处置小组和外包应急支持保障小组。如图：IT项目外包风险突发事 件应急处置领导小组（一）应急处置领导小组 ：组长由董事长/总经理担任， 总公司分管信息科技工作的行领导担任副组长，小组成员由 信息技术部、办公室

4、、人力资源部、法律合规部、风险管理部、审计部、计划财务部、各业务系统归口管理部门负责人 组成。（二）应急处置小组：组长由信息技术部负责人担任，小组成员由信息技术部相关技术人员、风险管理部相关外 包管理人员、各业务系统部门业务骨干（负责IT项目需求、外包合同审查、外包服务管理和外包服务风险评估的 人员）及法律合规部业务骨干组成。（三）支持保障小组：组长由办公室负责人担任， 小组成 员由办公室、审计部、人力资源部、计划财务部等部门人员 组成。第六条 工作职责（一）应急处置领导小组职责IT 项目外包风险突发事件应急处置领导小组是公司 IT项目外包服务风险突发事件应急处置的实施指挥机构，负责 应急预案

5、的启动、处置措施决策、资源协调等。具体职责包 括：1. 审核和批准 IT 项目外包服务风险突发事件应急措施 的政策和程序；2. 负责 IT 项目外包服务风险突发事件的应急指挥、组 织协调和过程控制；3. 下达启动应急指令、 发布预警、 宣布应急状态的解除；（二）应急处置小组职责1. 负责及时准确地收集、整理和上报 IT 项目外包服务 风险突发事件的信息资料、处置进展情况和事态发展情况；2. 对 IT 项目外包服务风险突发事件业务影响情况进行 分析和评估；3. 针对突发事件制定应急方案，上报应急处置领导小组；4. 落实应急处置措施；5. 提出修订应急预案的建议；6. 突发事件发生后，负责向人民银

6、行及银监局等监管部 门上报，按照监管部门的指示精神及时采取有效措施处置各项 应急工作。 4 7. 完成应急处置领导小组交办的其他事项。 应急处置小组各组成部门的职责分工如下： 信息技术部：负责在发生 IT 项目外包服务风险突发事 件的情况下，进行外包服务相关技术支持、故障排查和技术 恢复，保障业务服务的正常运行。负责向人民银行及银监局 等监管部门上报突发事件并保持联系。同时负责本应急预案 的编制、修订。风险管理部： 负责对 IT 项目外包服务风险进行识别、 评 估与风险提示， 督导各部门落实突发事件处置工作， 对 IT 项 目外包服务风险突发事件处置情况进行跟踪。各业务部门：负责在外包服务中断

7、引起业务系统中断时， 对全行进行业务应急组织协调，对业务处理进行指导以及业 务应急流程管理；法律合规部：负责在处置 IT 项目外包服务风险突发事 件过程中涉及的法律事务，把控法律风险，违护公司权益。（三）支持保障小组职责 负责提供后勤支援，保障应急情况下各类资源的可用行。 办公室：负责在发生 IT 项目外包服务风险突发事件的 情况下，制定对外媒体公关策略，并负责为本行新闻发言人 提供必要的发言条件，做好舆论引导和秩序维护。审计部：负责对 IT 项目外包服务风险突发事件处置工 作进行监督检查，根据需要可开展相关审计工作。 5 人力资源部：负责 IT 项目外包服务风险突发事件处置时，根据需要配给相

8、应的应急人力资源。计划财务部：负责 IT 项目外包服务风险突发事件处置 时，应急成本核算和应急所需经费审批工作。第三章 监测与预警第七条 外包服务前期风险评估。在外包服务前期对本 外包服务进行可行性调研，外包商的经营状况、技术能力及 专业能力，业务策略和业务规模，业务连续性及破产风险， 自身风险控制能力等进行风险评估。从法律、金融业务、外 包服务、外包服务风险等多角度考虑，谨慎签订外包合同， 并签订外包服务水平协议。第八条 外包服务中期持续监控。 外包服务启动后， IT 外 包服务申报部门应加强外包管理和日常监控。密切关注外包 商财务稳健性、主要人员流动性、固定资产状况等，有效预 防突发事件发

9、生。第九条 外包服务交付后，维保存续期间 IT 外包服务申 报部门应保持对外包服务商监控。第四章 突发事件的启动条件第十条 通过多途径了解的服务商信息经分析并确认外包服务商在服务中可能出现的重大缺失，尤其需要考虑外包 服务商的重大资源损失，重大财务损失和重要人员的变动， 以及外包协议的意外终止时，启动本应急预案。第十一条 对外包商信息的分析可以从包括但不限于以 下途径进行收集分析，对应急管理外包服务商定期审计、服 务商日常服务过程、行业发生重大政策变化等。第五章 突发事件应对程序和措施第十二条 IT 项目外包服务风险突发事件发生后，应急 处置小组应立即向应急处置领导小组报告，并制订详细的处 置

10、方案。处置方案的内容包括但不限于：突发事件的基本情 况、事件的性质和严重程度、影响范围、协调处置的方式方 法和所要采取的具体措施等。第十三条 推动处置方案的实施。应急处置领导小组召 开会议审议批准处置方案后，应及时启动本应急预案，由应 急处置小组实施，尽快化解突发事件可能带来的损失。第十四条 根据不同情况下发生的突发事件，应对措施 如下：（一）IT 项目外包服务实施前期 当已签订合同或协议但还未开始外包服务实施的外包 商发生退出事件： 7 1. 应急处置小组成员应针对外包服务前期已经提供给 外包商的信息资料，要求外包商就关键字段、信息、数据进 行销毁，防止公司信息泄露；2. 法律合规部负责对外

11、包合同或协议条款规定对该外 包商进行责任认定，必要时采取法律诉讼。（二）IT 项目外包服务实施中期 当正在实施中的外包服务发生外包商退出事件：1. 应急处置小组负责人与外包商进行沟通，确定外包服 务进程，进行相关工作交接，索要公司提供资料并确保内部 信息不被泄露；2. 应急处置小组成员确保外包商如实将外包服务开发 文档、运维文档、说明文档、过程文档等所有与该外包服务 相关的信息资料移交公司，并监督其在自有电脑中将与公司 相关信息销毁；3. 应急处置小组与外包商双方共同确定外包服务的剩 余部分，如剩余部分公司组织技术部门可独立完成的，则上 报应急处置领导小组决议后由公司继续实施；4. 如公司现有

12、技术力量无法完成剩余工作的， 则上报 IT 项目外包服务风险突发事件应急处置领导小组决议后，确定 是否重新采购外包服务，通过集中采购流程，重新选择外包 服务商；5. 法律合规部就合同或协议条款对该外包商进行责任 8 认定；6. 应急处置小组负责外包服务相关材料资料保全、外包 人员离场工作交接监控等工作。（三）IT 项目外包服务实施后期 当已实施完成的外包服务发生外包商退出事件时：1. 应急处置小组负责人与外包商进行沟通，索要外包服 务开发文档、运维文档、说明文档、过程文档等所有与该外 包服务相关的信息资料，并对外包方所提供文档逐条进行验 证；2. 应急处置小组确定外包服务系统的可用性和稳定性。

13、 分析论证公司人员可独立完成该外包服务的运行维护工作， 则上报 IT 项目外包服务风险突发事件应急处置领导小组决 议后由公司继续维护；3. 如通过验证发现公司人员无法独立完成该外包服务 的运行维护，则上报应急处置领导小组决议后，确定是否重 新采购外包服务， 通过集中采购流程， 重新选择外包服务商；4. 法律合规部应就合同或协议内容对该外包商进行责 任认定；5. 应急处置小组负责外包服务相关材料资料保全、外包 人员离场工作交接监控等工作。第六章 后续处理第十五条 突发事件评估总结 在风险平息之后，应急处置小组要对出现的风险及应对 工作进行评估与总结，内容包括但不限于：出现外包服务风 险的情况、原因和影响范围，采取的措施和取得的效果等，