中小銀行經(jīng)過長期發(fā)展已經(jīng)成為我國金融領(lǐng)域內(nèi)重要的組成部分，如何在保證安全穩(wěn)定的前提下， 提高其資本使用效率，有效降低管理成本成為中小銀行共同面臨的難題。中小銀行在信息系統(tǒng)的建設(shè)、 使用和管理過程中普遍存在缺乏專業(yè)人員、管理體系不健全、系統(tǒng)建設(shè)不規(guī)范、系統(tǒng)功能不完備、系統(tǒng) 更新不及時等問題，已經(jīng)嚴重制約許多中小銀行的發(fā)展。然而，中小銀行獨立建設(shè)功能全面的信息系統(tǒng) 和管理規(guī)范的IT服務(wù)團隊，存在建設(shè)成本高、周期長、效果不理想的難題。 銀行信息系統(tǒng)承載了銀行關(guān)鍵業(yè)務(wù)功能和敏感運營數(shù)據(jù)，信息系統(tǒng)的安全與穩(wěn)定不但關(guān)系銀行業(yè)金 融機構(gòu)的業(yè)務(wù)安全，同時也直接關(guān)系社會民生穩(wěn)定和整個金融體系的安全。所以需要全面
JRT01402017 目次 前 III 引言 范圍 2規(guī)范性引用文件 3術(shù)語和定義 4綜述 4.1基本原則 4.2托管維護服務(wù)范圍和類型 4.3信息系統(tǒng)托管維護服務(wù)生命周期 5組織管理 5.1委托機構(gòu)的組織 5.2受托機構(gòu)的組織 5.3受托機構(gòu)的資質(zhì)和能力要求. 6托管服務(wù)的準備 ,魯 6.1委托機杓選擇受托機構(gòu)的基本原則. 魯 6.2服務(wù)需求的評估 6.3服務(wù)方案的設(shè)計. 6.4服務(wù)方案的評審和報備 7托管服務(wù)的建立 7.1服務(wù)協(xié)議/合同的簽署 7.2服務(wù)資源的準備. 7.3服務(wù)人員的準備 7.4服務(wù)管理的準備.. 7.5服務(wù)方案的測試驗證 7.6服務(wù)方案的交付 11 8托管服務(wù)的持續(xù)保障.. 11 8.1服務(wù)過程管理 11 8.2操作管理 8.3應(yīng)用管理 8.4信息系統(tǒng)安全的保障和管理 8.5業(yè)務(wù)連續(xù)性的保障和管理 8.6服務(wù)的持續(xù)監(jiān)督和改善. ·李· 9托管服務(wù)的變更和退出 20 RT01402017 9.1托管服務(wù)變更管理.. 9.2托管服務(wù)退出管理 21 10托管服務(wù)的監(jiān)督管理.. 10.1內(nèi)部審計 10.2委托方審計 10.3獨立第三方審計. 10.4監(jiān)管 參考文執(zhí) II JRT01402017 木標準按照GB/T1.1-2009給出的規(guī)則起草 本標準由興業(yè)銀行股份有限公司提出。 本標準由全國金融標準化技術(shù)委員會(SAC/TC180)歸口。 本標準負責起草單位:興業(yè)銀行股份有限公司。 本標準參加起草蘭位:萬國數(shù)據(jù)服務(wù)有限公司、上海翰緯信息科技有限公司。 本標準主要起草人:李堅寶、柯明通、李山河、詹志輝、徐光、姚昱全、左天祖、何政、陳宏峰、 高勇、許志恒、江南春、唐宗、楊旭輝、歐陽捷、魏猛、姜克、李旳飛、馬濤、劉世濤、張丿強、饒祖 IIL RT01402017 引言 中小銀行經(jīng)過長期發(fā)展己經(jīng)成為我國金融領(lǐng)域內(nèi)重要的組成部分,如何在保證安全穩(wěn)定的前提卜, 提高其資本使用效率,有效降低管理成本成為中小銀行共同面臨的難題。中小銀行在信息系統(tǒng)的建設(shè)、 使用和管理過程中旾遍存在缺乏專業(yè)人員、管理體系不健全、系統(tǒng)建設(shè)不規(guī)范、系統(tǒng)功能不完備、系統(tǒng) 史新不及時等問題,已經(jīng)嚴重制約許多中小銀行的發(fā)展。然而,中小銀行獨立建設(shè)功能全面的信息系統(tǒng) 和管理規(guī)范的IT服務(wù)團隊,存在建設(shè)成本高、周期長、效果不理想的難題。 銀行信息系統(tǒng)承載了銀行關(guān)鍵業(yè)務(wù)功能和敏感運營數(shù)據(jù),信息系統(tǒng)的安全與穩(wěn)定不但關(guān)系銀行業(yè)金 融杋構(gòu)的業(yè)務(wù)安全,同時也直接關(guān)系社公民牛穩(wěn)定和整個金融體系的安全。所以需要全面提升中小銀行 信息系統(tǒng)服務(wù)能力和水平,以確保銀行信息系統(tǒng)的安全和穩(wěn)定 行業(yè)相關(guān)服務(wù)機構(gòu)在建立專業(yè)共亨資源、提供專業(yè)化服務(wù)方面己經(jīng)積累了可資借鑒的服務(wù)產(chǎn)品和服 務(wù)經(jīng)驗,可以向中小銀行尤其是村鎮(zhèn)銀行提供包括基礎(chǔ)設(shè)施托管服務(wù)、基礎(chǔ)架構(gòu)托管服務(wù)和應(yīng)用系統(tǒng)托 管服務(wù)在內(nèi)的專業(yè)第三方托管維護服務(wù)。在可以預(yù)見的將來,隨著中小銀行的高速發(fā)展,信息系統(tǒng)托管 維護服務(wù)必將在更大范圍內(nèi)普及和發(fā)展 在信息系統(tǒng)托管維護服務(wù)快速發(fā)展的同時,如何安全、規(guī)范、有效的使用托管服務(wù),做好服務(wù)過程 的管珄、服務(wù)質(zhì)量的控訇、降低信息安全風(fēng)險成為各方面臨的共同問題。為規(guī)范信息系統(tǒng)托管維護服務(wù), 持續(xù)改進服務(wù)水平,提高中小銀行信息系統(tǒng)運行的安全性、穩(wěn)定性,降低中小銀行信息系統(tǒng)運行風(fēng)險, 滿足中小銀行的業(yè)務(wù)發(fā)展需求,特制定本標準。 IV JRT01402017 中小銀行信息系統(tǒng)托管維護服務(wù)規(guī)范 1范圍 木標準規(guī)定了中小銀行信息系統(tǒng)托管維護服務(wù)生命周期各階段的管理要求,包括托管前的準備、托 管服務(wù)的建立、托管服務(wù)的持續(xù)保障、托管服務(wù)的變更和退岀,以及托管服務(wù)的監(jiān)督管理,規(guī)范了委托 機構(gòu)和受托機構(gòu)雙方應(yīng)具備的資源準備、托管服務(wù)運行保障能力、托管流程以及管理機制,明確了信息 系統(tǒng)托管服務(wù)的委托機構(gòu)和受托機構(gòu)雙方的職責以及服務(wù)范圍。 標準適用于中小銀行信息系統(tǒng)的托管維護服務(wù)。 2規(guī)范性引用文件 卜列文件對于木文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版木適用」木文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。 GB/20988—2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)沱 GB50174—2008電子信息系統(tǒng)機房設(shè)計規(guī)范 3術(shù)語和定義 下列術(shù)語和定義適用于本文件。 中小銀行smal| and med i um bank 依法設(shè)立的股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、村鎮(zhèn)銀行等,其中股 份制商業(yè)銀行不包括國有大型股份制商業(yè)銀行。 信息系統(tǒng) information system 由計算機系統(tǒng)、網(wǎng)終系統(tǒng)軟硬件及其相關(guān)的設(shè)備、設(shè)施和應(yīng)用軟件等構(gòu)成的,按照一定的應(yīng)用目標 和規(guī)則對信息進行采集、加工、存儲、傳輸和檢索等處理的人機系統(tǒng)。 信息系統(tǒng)托管維護服務(wù) i nformat i on system host i ng ma intenance service 托管服務(wù) hosting maintenance service 采用專業(yè)服務(wù)機構(gòu)的基礎(chǔ)設(shè)施環(huán)境,在此基礎(chǔ)上將部分或全部信息系統(tǒng)服務(wù)(應(yīng)用、數(shù)據(jù)、基 礎(chǔ)架構(gòu)的優(yōu)化、維護服務(wù))委托給專業(yè)服務(wù)機杓代為提供非駐場服務(wù),以支持其自身的業(yè)務(wù)處理 RT01402017 委托機構(gòu) client 托管服務(wù)的委托方和使用方 注:本標準中委托機構(gòu)限定于3.1中所述的中小銀行。 受托機構(gòu) service prov ider 依法設(shè)立的信息系統(tǒng)托管維護服務(wù)的提供方。 注:受托機杓包括村鎮(zhèn)銀行主發(fā)起行、銀行業(yè)金融機構(gòu)、專業(yè)服務(wù)提供商 3.6 重點受托機構(gòu) high-grade service provider 具有較高的集中度風(fēng)險,其托管服務(wù)失敗可能導(dǎo)致銀行業(yè)大面積數(shù)據(jù)損毀、丟失、泄露或信息系統(tǒng) 服務(wù)中斷,嚴重損害公眾利益或造成銀行業(yè)重大經(jīng)濟損失的機構(gòu) 注:重點受托機構(gòu)提供的托管服務(wù)同時兵備以下特點: )承擔集中存貯客戶數(shù)據(jù)的業(yè)務(wù)交易系統(tǒng)托管服務(wù);或承擔銀行業(yè)僉融機構(gòu)客戶資料、交易數(shù)據(jù)等敘感信息 的批量分析或處瑪服務(wù):或承擔銀行業(yè)金融機構(gòu)生產(chǎn)中心、災(zāi)備中心機房及基礎(chǔ)設(shè)施托管服務(wù)。 b)重點受托機構(gòu)服務(wù)的法人銀行業(yè)僉融機構(gòu)數(shù)量、服務(wù)合同金額占有本服務(wù)領(lǐng)域市場份額的三分之一以上; 或服務(wù)的國有、股份制法人銀行業(yè)金融機構(gòu)數(shù)量達到3家或以上:或服務(wù)的其他類型法人銀行業(yè)金融機構(gòu)數(shù)量 達到10家或以上。 生產(chǎn)中心 production center 委托機構(gòu)對其業(yè)務(wù)、客戶和管理等重要信息進行集中存儲、處理和維護,只備專用場所,為業(yè)務(wù)運 營及管理提供信息科技支撐服務(wù)的組織。 3.8 災(zāi)備中心 backup center for disaster recover y 委托杋構(gòu)為保障其業(yè)竻連續(xù)性,在生產(chǎn)中心故障、停頓或癱瘓后,能夠接替生產(chǎn)中心運行,具備專 用場所,進行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運行的組織。 3.9 同城災(zāi)備中心 regional backup center for disaster recover y 與生產(chǎn)中心位于同一地理區(qū)域,一般距離數(shù)|公里,可防范火災(zāi)、建筑物破壞、電力或通信系統(tǒng)中 斷等事件的災(zāi)備中心 3.10 異地災(zāi)備中心 non-reg ional backup center for disaster recover y 與生產(chǎn)中心處于不同地理區(qū)域,一般距離在數(shù)百公里以上,不會同時面臨同類區(qū)域性災(zāi)難風(fēng)險,如 地震、臺風(fēng)和洪水等的災(zāi)備中心。 3.11 數(shù)據(jù)中心 data center JRT01402017 包括牛產(chǎn)中心和災(zāi)備中心。 3.12 重要業(yè)務(wù) critica bus iness 面向客戶、涉及賬務(wù)處理、時效性要求較高的銀行業(yè)務(wù),其運營服務(wù)中斷會對委托機構(gòu)產(chǎn)生較大經(jīng) 濟損失或聲譽景響,或?qū)瘛⒎ㄈ撕推渌M織的權(quán)益、社會秩序和公共利益、國家安全造成嚴重影響 的業(yè)務(wù)。 3.13 重要信息系統(tǒng) critical information system 支撐重要業(yè)務(wù),其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和組織的權(quán)益,或關(guān)系社會秩序、公共利益 乃至國家安全的信息系統(tǒng)。 注:木標準中的信息系統(tǒng)指的面向客戶、涉及賬務(wù)處理且時效性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管 理等業(yè)務(wù)的管理類信息系統(tǒng),以及攴撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。 3.14 T基礎(chǔ)設(shè)施 it faci l ity 包含機房空間、動力、環(huán)境控制等I?設(shè)備及應(yīng)用運行所必需的基礎(chǔ)環(huán)境 3.15 T基礎(chǔ)架構(gòu) iT infrastructure 包含服務(wù)器、存儲、網(wǎng)絡(luò)、操作系統(tǒng)、中間件和數(shù)據(jù)庫等IT應(yīng)用運行所必需的基礎(chǔ)硬件及軟件環(huán)境。 4綜述 4.1基本原則 信息系統(tǒng)托管維護服務(wù)的基本原則如下: a)權(quán)責明晰:委托機枃和受托機構(gòu)應(yīng)清晰界定雙方的職責分工、資產(chǎn)歸屬,明確交付內(nèi)容和審査 標準,并設(shè)立評審檢査機制,明確違約責仼和態(tài)罰、賠償原則。委托札構(gòu)法定代表人是委托機 構(gòu)信息科技風(fēng)險管理的第一責任人,委托機構(gòu)不應(yīng)將其信息科技管理責仼外包。受托機構(gòu)應(yīng)建 立配套的風(fēng)險管理機制,配合完成委托機構(gòu)的風(fēng)險管理要求,以桷保委托機構(gòu)的利益和安全 b)信息安全:信息安仝是開展信息系統(tǒng)托管維護服務(wù)的前提和基礎(chǔ),委托機構(gòu)應(yīng)眀確托管服務(wù)的 范圍和安全等級要求,并針對不同安全等級明確信息安全策略。受托機構(gòu)應(yīng)針對委托機構(gòu)的信 息安仝要求制定信息安全保障措施,并切實加強信息安全管理工作,確保委托機構(gòu)的客戶資料 等敏感信息的安全。 業(yè)務(wù)連續(xù):信息系統(tǒng)托管維護服務(wù)應(yīng)考慮意外事件可能導(dǎo)致的托管服務(wù)缺失對委托機構(gòu)業(yè)務(wù)連 續(xù)運營要求的影響,并設(shè)法將該影響減至最低。委托杋構(gòu)應(yīng)眀確本杋構(gòu)對托管服務(wù)業(yè)務(wù)連續(xù)性 保障的目標要求,受托機構(gòu)應(yīng)建立恰當?shù)膽?yīng)急措施和備用資源應(yīng)對可能的風(fēng)險。委托機構(gòu)和受 托機構(gòu)都應(yīng)建立完備的業(yè)務(wù)連續(xù)性計劃,明確緊急狀況下雙方的分工和合作機訇,并定期聯(lián)合 開展災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性演練。 RT01402017 d)資源共享:應(yīng)統(tǒng)籌規(guī)劃、適度集中、節(jié)約髙效、合理利用信息科技資源。委托機構(gòu)可采用發(fā)起 行托管、同業(yè)共建或社會資源共享等方式獲取信息系統(tǒng)維護服務(wù)資源,在選擇共享方式時應(yīng)綜 合考慮責任界定、信息安仝和服務(wù)級別要求、區(qū)域集中風(fēng)險和損失擴散等因素。 4.2托管維護服務(wù)范圍和類型 委托機構(gòu)可將除IT管理責任之外的其他∏T服務(wù),包括:基礎(chǔ)設(shè)施、基礎(chǔ)架構(gòu)、應(yīng)用系統(tǒng)和數(shù)據(jù)等有 選擇地托管于受托機構(gòu)的物理場所。托管維護服務(wù)根據(jù)托管服務(wù)內(nèi)容的不同主要可分為以下三種類型 a)基礎(chǔ)設(shè)施級托管:受托杋枃提供數(shù)據(jù)中心基礎(chǔ)設(shè)施運維服務(wù),I?基礎(chǔ)架構(gòu)、應(yīng)用系統(tǒng)和數(shù)據(jù) 的運維都由委托機構(gòu)負責。 υ)基礎(chǔ)架構(gòu)級托管:受托杋構(gòu)提供數(shù)據(jù)中心基礎(chǔ)設(shè)施和I'基礎(chǔ)架構(gòu)的運維服務(wù),應(yīng)用系統(tǒng)和藪 據(jù)的運維都由委托機構(gòu)負責 c)應(yīng)用系統(tǒng)級托管:受托機構(gòu)提供數(shù)據(jù)中心基礎(chǔ)設(shè)施、II基礎(chǔ)架構(gòu)、應(yīng)用系統(tǒng)和數(shù)據(jù)的運維服 務(wù) 托管維護服務(wù)的范圍和類型如圖1所示: 業(yè)務(wù)/組織 委托機構(gòu) 受托機構(gòu) 交付 反饋 IT管理 服務(wù) 持 應(yīng)用系統(tǒng)級托管 應(yīng)用程序 數(shù)據(jù)/信息 托管服務(wù) 使用 架構(gòu)繳托 基礎(chǔ)架構(gòu) 中間件 數(shù)據(jù)庫 托管 基礎(chǔ)設(shè)施級扦管 服務(wù)器 存儲 網(wǎng)絡(luò) 基礎(chǔ)設(shè)施 信息系統(tǒng)及服務(wù) 空間/動力/環(huán)境保障 管對象 物理場所 圖1托管維護服務(wù)范圍和類型的示意圖 4.3信息系統(tǒng)托管維護服務(wù)生命周期 信息系統(tǒng)托管維護服務(wù)應(yīng)包括以下幾個階段 托管前的準備:托管前委托方首先應(yīng)對當前信息系統(tǒng)服務(wù)需求進行袢估,明確必要的資源、服 務(wù)內(nèi)容和服務(wù)級別,明確雙方對于當前信息系統(tǒng)所涉及的軟件及數(shù)據(jù)知識產(chǎn)權(quán)使用情況,評估 可能的資源獲取方式和可能面臨的風(fēng)險、收益。根據(jù)確定的需求明確托管服務(wù)的服務(wù)項目和資 源要求,審慎評估備選受托杋構(gòu)的資質(zhì)、資格、資源保障能力、服務(wù)能力和服務(wù)經(jīng)驗,并與受 托機構(gòu)共同評什、規(guī)劃、設(shè)計技術(shù)和服務(wù)方案。方案明確后將委托機構(gòu)的基本情況、托管內(nèi)容 和范圍、受托機構(gòu)的基木情況、相關(guān)技術(shù)和服務(wù)方案等報送上級主管部門評審備案。 b)托管服務(wù)的實現(xiàn):委托機構(gòu)與受托機構(gòu)達成服務(wù)意向后簽署正式的服務(wù)協(xié)議/合同,內(nèi)容應(yīng)明 確服務(wù)內(nèi)容、服務(wù)級別、雙方權(quán)利、責任界定和發(fā)生合同偏離時進行處置的辦法;受托機構(gòu)按 照簽署的協(xié)議進行技術(shù)和服務(wù)方案的實施準備,并與委托機構(gòu)共同完成受托系統(tǒng)和服務(wù)的建設(shè)