银行信息科技外包服务应急管理办法

1、xx银行信息科技外包服务应急管理办法xx总技xx43号附件1，xx年11月19日印发第一章 总 则 第一条 为有效防范重要信息科技外包服务中断产生的风险，促进本行信息系统安全、持续、稳健运行，根据银监会商业银行信息科技风险管理指引的有关规定，制定本办法。第二条 本办法适用于xx银行全行的信息科技外包项目。第二章 组织与职责第三条 风险管理部在外包服务应急管理中的主要职责包括：负责牵头组织对重要信息科技外包项目的外包服务商失效、异常退出等重大缺失进行风险评估。第四条 稽核监察部负责对重要信息科技外包应急管理的执行演练进行内部审计。第五条 科技部项目（外包）管理办公室，主要职责包括：（一）牵头对外

2、包项目按重要性进行分级； （二）建立外包项目应急预案模板；（三）组织制定各重要信息科技外包项目的应急预案；（四）组织重要外包项目应急预案演练。第三章 外包项目应急管理第六条 外包商选择时，应充分考虑外包商的管理能力和行业地位、财务稳健性、经营声誉、技术实力和服务质量、突发事件的应对能力、行业熟悉度等，重点应关注外包商应对突发事件的能力。第七条 签订外包合同时，项目经理应要求外包服务商提供外包服务连续性计划，外包合同中应该明确外包服务商应该提供的业务连续性保障水平，以及提供相关资源的承诺。第八条 项目（外包）管理办公室收集信息科技外包项目和信息，按系统重要性进行分级，分级标准参考xx银行信息科技

3、项目管理办法中第3条甲、乙、丙类和关于重大项目的定义并结合系统数据重要性进行分类：（一）甲类项目是指资源投入规模大、技术复杂度高、由总行决策的年度重点工作的项目或者为符合监管等要求必须开展的外包项目。（二）乙类项目是指资源投入规模较大、技术复杂度较高、商业价值较大的外包项目。（三）丙类项目是指资源投入规模小、技术复杂度低、风险小的变更维护类项目。丙类项目的it人力资源投入一般在30人天以下。以上三类项目中预算投资规模超过500万元（含）或风险影响程度为重大级的计算机应用开发项目列为重大项目，形成外包服务项目管理台账。第九条 项目（外包）管理办公室负责建立外包项目应急预案模板，其中内容应包括但不

4、限于：（一）总则（二）触发应急预案的事件和级别，定义应急场景。 （三）突发事件发生可能性的评估预测。（四）应急处置操作过程。（五）沟通和报告内容。（六）应急处置记录。（七）附录应急预案相关参与单位和人员，协调内容和沟通方式。第十条 项目（外包）管理办公室负责组织制定重要信息科技外包项目的应急预案。（一）外包项目突发事件包含但不限于：1、外包商倒闭或陷入重大经济、财务、法律事项。2、外包商的所有权和控制权发生变化。3、外包商提供的服务不充分，造成银行不能履行监督义务。（二）应急预案须考虑替换表现欠佳的服务商的选择成本，如果不满意服务商的表现，可将其替换或自行承担此外包业务，或者采取第三方托管等措

5、施。（三）应编制外包项目应急联系人清单，并定期更新。（四）应急预案应当明确预案的演练、宣传、培训等方面的要求。第十一条 项目（外包）管理办公室负责组织对外包服务应急计划进行定期模拟演练，编制相应的演练报告和记录。（一）每年应至少组织一次例行的应急预案演练和培训。（二）应急预案培训应使相关人员充分了解并掌握应急预案的策略、风险的识别、预案实施条件、实施流程和操作与及相关人员有效的沟通。（三）应急预案的演练会同项目经理和相关人员，经分管领导批准后实施。（四）应急预案的演练包括但不限于以下方式，原则上采用桌面演练方式。1、桌面演练：是按照技术应急预案及其工作程序，讨论紧急情况时应采取行动的演练。桌面演练针对演练情境进行口头演练，主要目的是锻炼参演人员解决问题的能力，以及解决应急组织相互协作和职责划分的问题。2、操作演练：是按照技术应急预案，在模拟环境下，在不同的情况发生时，由参加人员根据预案要求进行相应的操作。主要目的是针对应急响应功能，检验应急人员的处置能力。3、综合演练：由部分桌面演练和部分操作演练构成的演练。主要目的是针对应急响应功能，检验应急人员以及应急体系的策划、响应和处置能力。4、实战演练：是针对技术应急预案中全部或大部分应急响应功能，调用更多的应急人员和资源，并开展人员、设备及其它资源的实战性