中小銀行經過長期發展已經成為我國金融領域內重要的組成部分，如何在保證安全穩定的前提下， 提高其資本使用效率，有效降低管理成本成為中小銀行共同面臨的難題。中小銀行在信息系統的建設、 使用和管理過程中普遍存在缺乏專業人員、管理體系不健全、系統建設不規范、系統功能不完備、系統 更新不及時等問題，已經嚴重制約許多中小銀行的發展。然而，中小銀行獨立建設功能全面的信息系統 和管理規范的IT服務團隊，存在建設成本高、周期長、效果不理想的難題。 銀行信息系統承載了銀行關鍵業務功能和敏感運營數據，信息系統的安全與穩定不但關系銀行業金 融機構的業務安全，同時也直接關系社會民生穩定和整個金融體系的安全。所以需要全面
JRT01402017 目次 前 III 引言 范圍 2規范性引用文件 3術語和定義 4綜述 4.1基本原則 4.2托管維護服務范圍和類型 4.3信息系統托管維護服務生命周期 5組織管理 5.1委托機構的組織 5.2受托機構的組織 5.3受托機構的資質和能力要求. 6托管服務的準備 ,魯 6.1委托機杓選擇受托機構的基本原則. 魯 6.2服務需求的評估 6.3服務方案的設計. 6.4服務方案的評審和報備 7托管服務的建立 7.1服務協議/合同的簽署 7.2服務資源的準備. 7.3服務人員的準備 7.4服務管理的準備.. 7.5服務方案的測試驗證 7.6服務方案的交付 11 8托管服務的持續保障.. 11 8.1服務過程管理 11 8.2操作管理 8.3應用管理 8.4信息系統安全的保障和管理 8.5業務連續性的保障和管理 8.6服務的持續監督和改善. ·李· 9托管服務的變更和退出 20 RT01402017 9.1托管服務變更管理.. 9.2托管服務退出管理 21 10托管服務的監督管理.. 10.1內部審計 10.2委托方審計 10.3獨立第三方審計. 10.4監管 參考文執 II JRT01402017 木標準按照GB/T1.1-2009給出的規則起草 本標準由興業銀行股份有限公司提出。 本標準由全國金融標準化技術委員會(SAC/TC180)歸口。 本標準負責起草單位:興業銀行股份有限公司。 本標準參加起草蘭位:萬國數據服務有限公司、上海翰緯信息科技有限公司。 本標準主要起草人:李堅寶、柯明通、李山河、詹志輝、徐光、姚昱全、左天祖、何政、陳宏峰、 高勇、許志恒、江南春、唐宗、楊旭輝、歐陽捷、魏猛、姜克、李旳飛、馬濤、劉世濤、張丿強、饒祖 IIL RT01402017 引言 中小銀行經過長期發展己經成為我國金融領域內重要的組成部分,如何在保證安全穩定的前提卜, 提高其資本使用效率,有效降低管理成本成為中小銀行共同面臨的難題。中小銀行在信息系統的建設、 使用和管理過程中旾遍存在缺乏專業人員、管理體系不健全、系統建設不規范、系統功能不完備、系統 史新不及時等問題,已經嚴重制約許多中小銀行的發展。然而,中小銀行獨立建設功能全面的信息系統 和管理規范的IT服務團隊,存在建設成本高、周期長、效果不理想的難題。 銀行信息系統承載了銀行關鍵業務功能和敏感運營數據,信息系統的安全與穩定不但關系銀行業金 融杋構的業務安全,同時也直接關系社公民牛穩定和整個金融體系的安全。所以需要全面提升中小銀行 信息系統服務能力和水平,以確保銀行信息系統的安全和穩定 行業相關服務機構在建立專業共亨資源、提供專業化服務方面己經積累了可資借鑒的服務產品和服 務經驗,可以向中小銀行尤其是村鎮銀行提供包括基礎設施托管服務、基礎架構托管服務和應用系統托 管服務在內的專業第三方托管維護服務。在可以預見的將來,隨著中小銀行的高速發展,信息系統托管 維護服務必將在更大范圍內普及和發展 在信息系統托管維護服務快速發展的同時,如何安全、規范、有效的使用托管服務,做好服務過程 的管珄、服務質量的控訇、降低信息安全風險成為各方面臨的共同問題。為規范信息系統托管維護服務, 持續改進服務水平,提高中小銀行信息系統運行的安全性、穩定性,降低中小銀行信息系統運行風險, 滿足中小銀行的業務發展需求,特制定本標準。 IV JRT01402017 中小銀行信息系統托管維護服務規范 1范圍 木標準規定了中小銀行信息系統托管維護服務生命周期各階段的管理要求,包括托管前的準備、托 管服務的建立、托管服務的持續保障、托管服務的變更和退岀,以及托管服務的監督管理,規范了委托 機構和受托機構雙方應具備的資源準備、托管服務運行保障能力、托管流程以及管理機制,明確了信息 系統托管服務的委托機構和受托機構雙方的職責以及服務范圍。 標準適用于中小銀行信息系統的托管維護服務。 2規范性引用文件 卜列文件對于木文件的應用是必不可少的。凡是注日期的引用文件,僅所注日期的版木適用」木文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。 GB/20988—2007信息安全技術信息系統災難恢復規沱 GB50174—2008電子信息系統機房設計規范 3術語和定義 下列術語和定義適用于本文件。 中小銀行smal| and med i um bank 依法設立的股份制商業銀行、城市商業銀行、農村商業銀行、農村合作銀行、村鎮銀行等,其中股 份制商業銀行不包括國有大型股份制商業銀行。 信息系統 information system 由計算機系統、網終系統軟硬件及其相關的設備、設施和應用軟件等構成的,按照一定的應用目標 和規則對信息進行采集、加工、存儲、傳輸和檢索等處理的人機系統。 信息系統托管維護服務 i nformat i on system host i ng ma intenance service 托管服務 hosting maintenance service 采用專業服務機構的基礎設施環境,在此基礎上將部分或全部信息系統服務(應用、數據、基 礎架構的優化、維護服務)委托給專業服務機杓代為提供非駐場服務,以支持其自身的業務處理 RT01402017 委托機構 client 托管服務的委托方和使用方 注:本標準中委托機構限定于3.1中所述的中小銀行。 受托機構 service prov ider 依法設立的信息系統托管維護服務的提供方。 注:受托機杓包括村鎮銀行主發起行、銀行業金融機構、專業服務提供商 3.6 重點受托機構 high-grade service provider 具有較高的集中度風險,其托管服務失敗可能導致銀行業大面積數據損毀、丟失、泄露或信息系統 服務中斷,嚴重損害公眾利益或造成銀行業重大經濟損失的機構 注:重點受托機構提供的托管服務同時兵備以下特點: )承擔集中存貯客戶數據的業務交易系統托管服務;或承擔銀行業僉融機構客戶資料、交易數據等敘感信息 的批量分析或處瑪服務:或承擔銀行業金融機構生產中心、災備中心機房及基礎設施托管服務。 b)重點受托機構服務的法人銀行業僉融機構數量、服務合同金額占有本服務領域市場份額的三分之一以上; 或服務的國有、股份制法人銀行業金融機構數量達到3家或以上:或服務的其他類型法人銀行業金融機構數量 達到10家或以上。 生產中心 production center 委托機構對其業務、客戶和管理等重要信息進行集中存儲、處理和維護,只備專用場所,為業務運 營及管理提供信息科技支撐服務的組織。 3.8 災備中心 backup center for disaster recover y 委托杋構為保障其業竻連續性,在生產中心故障、停頓或癱瘓后,能夠接替生產中心運行,具備專 用場所,進行數據處理和支持重要業務持續運行的組織。 3.9 同城災備中心 regional backup center for disaster recover y 與生產中心位于同一地理區域,一般距離數|公里,可防范火災、建筑物破壞、電力或通信系統中 斷等事件的災備中心 3.10 異地災備中心 non-reg ional backup center for disaster recover y 與生產中心處于不同地理區域,一般距離在數百公里以上,不會同時面臨同類區域性災難風險,如 地震、臺風和洪水等的災備中心。 3.11 數據中心 data center JRT01402017 包括牛產中心和災備中心。 3.12 重要業務 critica bus iness 面向客戶、涉及賬務處理、時效性要求較高的銀行業務,其運營服務中斷會對委托機構產生較大經 濟損失或聲譽景響,或對公民、法人和其他組織的權益、社會秩序和公共利益、國家安全造成嚴重影響 的業務。 3.13 重要信息系統 critical information system 支撐重要業務,其信息安全和服務質量關系公民、法人和組織的權益,或關系社會秩序、公共利益 乃至國家安全的信息系統。 注:木標準中的信息系統指的面向客戶、涉及賬務處理且時效性要求較高的業務處理類、渠道類和涉及客戶風險管 理等業務的管理類信息系統,以及攴撐系統運行的機房和網絡等基礎設施。 3.14 T基礎設施 it faci l ity 包含機房空間、動力、環境控制等I?設備及應用運行所必需的基礎環境 3.15 T基礎架構 iT infrastructure 包含服務器、存儲、網絡、操作系統、中間件和數據庫等IT應用運行所必需的基礎硬件及軟件環境。 4綜述 4.1基本原則 信息系統托管維護服務的基本原則如下: a)權責明晰:委托機枃和受托機構應清晰界定雙方的職責分工、資產歸屬,明確交付內容和審査 標準,并設立評審檢査機制,明確違約責仼和態罰、賠償原則。委托札構法定代表人是委托機 構信息科技風險管理的第一責任人,委托機構不應將其信息科技管理責仼外包。受托機構應建 立配套的風險管理機制,配合完成委托機構的風險管理要求,以桷保委托機構的利益和安全 b)信息安全:信息安仝是開展信息系統托管維護服務的前提和基礎,委托機構應眀確托管服務的 范圍和安全等級要求,并針對不同安全等級明確信息安全策略。受托機構應針對委托機構的信 息安仝要求制定信息安全保障措施,并切實加強信息安全管理工作,確保委托機構的客戶資料 等敏感信息的安全。 業務連續:信息系統托管維護服務應考慮意外事件可能導致的托管服務缺失對委托機構業務連 續運營要求的影響,并設法將該影響減至最低。委托杋構應眀確本杋構對托管服務業務連續性 保障的目標要求,受托機構應建立恰當的應急措施和備用資源應對可能的風險。委托機構和受 托機構都應建立完備的業務連續性計劃,明確緊急狀況下雙方的分工和合作機訇,并定期聯合 開展災難恢復和業務連續性演練。 RT01402017 d)資源共享:應統籌規劃、適度集中、節約髙效、合理利用信息科技資源。委托機構可采用發起 行托管、同業共建或社會資源共享等方式獲取信息系統維護服務資源,在選擇共享方式時應綜 合考慮責任界定、信息安仝和服務級別要求、區域集中風險和損失擴散等因素。 4.2托管維護服務范圍和類型 委托機構可將除IT管理責任之外的其他∏T服務,包括:基礎設施、基礎架構、應用系統和數據等有 選擇地托管于受托機構的物理場所。托管維護服務根據托管服務內容的不同主要可分為以下三種類型 a)基礎設施級托管:受托杋枃提供數據中心基礎設施運維服務,I?基礎架構、應用系統和數據 的運維都由委托機構負責。 υ)基礎架構級托管:受托杋構提供數據中心基礎設施和I'基礎架構的運維服務,應用系統和藪 據的運維都由委托機構負責 c)應用系統級托管:受托機構提供數據中心基礎設施、II基礎架構、應用系統和數據的運維服 務 托管維護服務的范圍和類型如圖1所示: 業務/組織 委托機構 受托機構 交付 反饋 IT管理 服務 持 應用系統級托管 應用程序 數據/信息 托管服務 使用 架構繳托 基礎架構 中間件 數據庫 托管 基礎設施級扦管 服務器 存儲 網絡 基礎設施 信息系統及服務 空間/動力/環境保障 管對象 物理場所 圖1托管維護服務范圍和類型的示意圖 4.3信息系統托管維護服務生命周期 信息系統托管維護服務應包括以下幾個階段 托管前的準備:托管前委托方首先應對當前信息系統服務需求進行袢估,明確必要的資源、服 務內容和服務級別,明確雙方對于當前信息系統所涉及的軟件及數據知識產權使用情況,評估 可能的資源獲取方式和可能面臨的風險、收益。根據確定的需求明確托管服務的服務項目和資 源要求,審慎評估備選受托杋構的資質、資格、資源保障能力、服務能力和服務經驗,并與受 托機構共同評什、規劃、設計技術和服務方案。方案明確后將委托機構的基本情況、托管內容 和范圍、受托機構的基木情況、相關技術和服務方案等報送上級主管部門評審備案。 b)托管服務的實現:委托機構與受托機構達成服務意向后簽署正式的服務協議/合同,內容應明 確服務內容、服務級別、雙方權利、責任界定和發生合同偏離時進行處置的辦法;受托機構按 照簽署的協議進行技術和服務方案的實施準備,并與委托機構共同完成受托系統和服務的建設