JRT 0140—2017中小银行信息系统托管维护服务规范

中小银行经过长期发展已经成为我国金融领域内重要的组成部分，如何在保证安全稳定的前提下， 提高其资本使用效率，有效降低管理成本成为中小银行共同面临的难题。中小银行在信息系统的建设、 使用和管理过程中普遍存在缺乏专业人员、管理体系不健全、系统建设不规范、系统功能不完备、系统 更新不及时等问题，已经严重制约许多中小银行的发展。然而，中小银行独立建设功能全面的信息系统 和管理规范的IT服务团队，存在建设成本高、周期长、效果不理想的难题。 银行信息系统承载了银行关键业务功能和敏感运营数据，信息系统的安全与稳定不但关系银行业金 融机构的业务安全，同时也直接关系社会民生稳定和整个金融体系的安全。所以需要全面
JRT01402017 目次 前 III 引言 范围 2规范性引用文件 3术语和定义 4综述 4.1基本原则 4.2托管维护服务范围和类型 4.3信息系统托管维护服务生命周期 5组织管理 5.1委托机构的组织 5.2受托机构的组织 5.3受托机构的资质和能力要求. 6托管服务的准备 ,鲁 6.1委托机杓选择受托机构的基本原则. 鲁 6.2服务需求的评估 6.3服务方案的设计. 6.4服务方案的评审和报备 7托管服务的建立 7.1服务协议/合同的签署 7.2服务资源的准备. 7.3服务人员的准备 7.4服务管理的准备.. 7.5服务方案的测试验证 7.6服务方案的交付 11 8托管服务的持续保障.. 11 8.1服务过程管理 11 8.2操作管理 8.3应用管理 8.4信息系统安全的保障和管理 8.5业务连续性的保障和管理 8.6服务的持续监督和改善. ·李· 9托管服务的变更和退出 20 RT01402017 9.1托管服务变更管理.. 9.2托管服务退出管理 21 10托管服务的监督管理.. 10.1内部审计 10.2委托方审计 10.3独立第三方审计. 10.4监管 参考文執 II JRT01402017 木标准按照GB/T1.1-2009给出的规则起草 本标准由兴业银行股份有限公司提出。 本标准由全国金融标准化技术委员会(SAC/TC180)归口。 本标准负责起草单位:兴业银行股份有限公司。 本标准参加起草兰位:万国数据服务有限公司、上海翰纬信息科技有限公司。 本标准主要起草人:李坚宝、柯明通、李山河、詹志辉、徐光、姚昱全、左天祖、何政、陈宏峰、 高勇、许志恒、江南春、唐宗、杨旭辉、欧阳捷、魏猛、姜克、李旳飞、马涛、刘世涛、张丿强、饶祖 IIL RT01402017 引言 中小银行经过长期发展己经成为我国金融领域内重要的组成部分,如何在保证安全稳定的前提卜, 提高其资本使用效率,有效降低管理成本成为中小银行共同面临的难题。中小银行在信息系统的建设、 使用和管理过程中旾遍存在缺乏专业人员、管理体系不健全、系统建设不规范、系统功能不完备、系统 史新不及时等问题,已经严重制约许多中小银行的发展。然而,中小银行独立建设功能全面的信息系统 和管理规范的IT服务团队,存在建设成本高、周期长、效果不理想的难题。 银行信息系统承载了银行关键业务功能和敏感运营数据,信息系统的安全与稳定不但关系银行业金 融杋构的业务安全,同时也直接关系社公民牛稳定和整个金融体系的安全。所以需要全面提升中小银行 信息系统服务能力和水平,以确保银行信息系统的安全和稳定 行业相关服务机构在建立专业共亨资源、提供专业化服务方面己经积累了可资借鉴的服务产品和服 务经验,可以向中小银行尤其是村镇银行提供包括基础设施托管服务、基础架构托管服务和应用系统托 管服务在内的专业第三方托管维护服务。在可以预见的将来,随着中小银行的高速发展,信息系统托管 维护服务必将在更大范围内普及和发展 在信息系统托管维护服务快速发展的同时,如何安全、规范、有效的使用托管服务,做好服务过程 的管珄、服务质量的控訇、降低信息安全风险成为各方面临的共同问题。为规范信息系统托管维护服务, 持续改进服务水平,提高中小银行信息系统运行的安全性、稳定性,降低中小银行信息系统运行风险, 满足中小银行的业务发展需求,特制定本标准。 IV JRT01402017 中小银行信息系统托管维护服务规范 1范围 木标准规定了中小银行信息系统托管维护服务生命周期各阶段的管理要求,包括托管前的准备、托 管服务的建立、托管服务的持续保障、托管服务的变更和退岀,以及托管服务的监督管理,规范了委托 机构和受托机构双方应具备的资源准备、托管服务运行保障能力、托管流程以及管理机制,明确了信息 系统托管服务的委托机构和受托机构双方的职责以及服务范围。 标准适用于中小银行信息系统的托管维护服务。 2规范性引用文件 卜列文件对于木文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版木适用」木文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/20988—2007信息安全技术信息系统灾难恢复规沱 GB50174—2008电子信息系统机房设计规范 3术语和定义 下列术语和定义适用于本文件。 中小银行smal| and med i um bank 依法设立的股份制商业银行、城市商业银行、农村商业银行、农村合作银行、村镇银行等,其中股 份制商业银行不包括国有大型股份制商业银行。 信息系统 information system 由计算机系统、网终系统软硬件及其相关的设备、设施和应用软件等构成的,按照一定的应用目标 和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。 信息系统托管维护服务 i nformat i on system host i ng ma intenance service 托管服务 hosting maintenance service 采用专业服务机构的基础设施环境,在此基础上将部分或全部信息系统服务(应用、数据、基 础架构的优化、维护服务)委托给专业服务机杓代为提供非驻场服务,以支持其自身的业务处理 RT01402017 委托机构 client 托管服务的委托方和使用方 注:本标准中委托机构限定于3.1中所述的中小银行。 受托机构 service prov ider 依法设立的信息系统托管维护服务的提供方。 注:受托机杓包括村镇银行主发起行、银行业金融机构、专业服务提供商 3.6 重点受托机构 high-grade service provider 具有较高的集中度风险,其托管服务失败可能导致银行业大面积数据损毁、丢失、泄露或信息系统 服务中断,严重损害公众利益或造成银行业重大经济损失的机构 注:重点受托机构提供的托管服务同时兵备以下特点: )承担集中存贮客户数据的业务交易系统托管服务;或承担银行业佥融机构客户资料、交易数据等敘感信息 的批量分析或处玛服务:或承担银行业金融机构生产中心、灾备中心机房及基础设施托管服务。 b)重点受托机构服务的法人银行业佥融机构数量、服务合同金额占有本服务领域市场份额的三分之一以上; 或服务的国有、股份制法人银行业金融机构数量达到3家或以上:或服务的其他类型法人银行业金融机构数量 达到10家或以上。 生产中心 production center 委托机构对其业务、客户和管理等重要信息进行集中存储、处理和维护,只备专用场所,为业务运 营及管理提供信息科技支撑服务的组织。 3.8 灾备中心 backup center for disaster recover y 委托杋构为保障其业竻连续性,在生产中心故障、停顿或瘫痪后,能够接替生产中心运行,具备专 用场所,进行数据处理和支持重要业务持续运行的组织。 3.9 同城灾备中心 regional backup center for disaster recover y 与生产中心位于同一地理区域,一般距离数|公里,可防范火灾、建筑物破坏、电力或通信系统中 断等事件的灾备中心 3.10 异地灾备中心 non-reg ional backup center for disaster recover y 与生产中心处于不同地理区域,一般距离在数百公里以上,不会同时面临同类区域性灾难风险,如 地震、台风和洪水等的灾备中心。 3.11 数据中心 data center JRT01402017 包括牛产中心和灾备中心。 3.12 重要业务 critica bus iness 面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对委托机构产生较大经 济损失或声誉景响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响 的业务。 3.13 重要信息系统 critical information system 支撑重要业务,其信息安全和服务质量关系公民、法人和组织的权益,或关系社会秩序、公共利益 乃至国家安全的信息系统。 注:木标准中的信息系统指的面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管 理等业务的管理类信息系统,以及攴撑系统运行的机房和网络等基础设施。 3.14 T基础设施 it faci l ity 包含机房空间、动力、环境控制等Iˆ设备及应用运行所必需的基础环境 3.15 T基础架构 iT infrastructure 包含服务器、存储、网络、操作系统、中间件和数据库等IT应用运行所必需的基础硬件及软件环境。 4综述 4.1基本原则 信息系统托管维护服务的基本原则如下: a)权责明晰:委托机枃和受托机构应清晰界定双方的职责分工、资产归属,明确交付内容和审査 标准,并设立评审检査机制,明确违约责仼和態罚、赔偿原则。委托札构法定代表人是委托机 构信息科技风险管理的第一责任人,委托机构不应将其信息科技管理责仼外包。受托机构应建 立配套的风险管理机制,配合完成委托机构的风险管理要求,以桷保委托机构的利益和安全 b)信息安全:信息安仝是开展信息系统托管维护服务的前提和基础,委托机构应眀确托管服务的 范围和安全等级要求,并针对不同安全等级明确信息安全策略。受托机构应针对委托机构的信 息安仝要求制定信息安全保障措施,并切实加强信息安全管理工作,确保委托机构的客户资料 等敏感信息的安全。 业务连续:信息系统托管维护服务应考虑意外事件可能导致的托管服务缺失对委托机构业务连 续运营要求的影响,并设法将该影响减至最低。委托杋构应眀确本杋构对托管服务业务连续性 保障的目标要求,受托机构应建立恰当的应急措施和备用資源应对可能的风险。委托机构和受 托机构都应建立完备的业务连续性计划,明确紧急状况下双方的分工和合作机訇,并定期联合 开展灾难恢复和业务连续性演练。 RT01402017 d)资源共享:应统筹规划、适度集中、节约髙效、合理利用信息科技资源。委托机构可采用发起 行托管、同业共建或社会资源共享等方式获取信息系统维护服务资源,在选择共享方式时应综 合考虑责任界定、信息安仝和服务级别要求、区域集中风险和损失扩散等因素。 4.2托管维护服务范围和类型 委托机构可将除IT管理责任之外的其他∏T服务,包括:基础设施、基础架构、应用系统和数据等有 选择地托管于受托机构的物理场所。托管维护服务根据托管服务内容的不同主要可分为以下三种类型 a)基础设施级托管:受托杋枃提供数据中心基础设施运维服务,Iˆ基础架构、应用系统和数据 的运维都由委托机构负责。 υ)基础架构级托管:受托杋构提供数据中心基础设施和I'基础架构的运维服务,应用系统和薮 据的运维都由委托机构负责 c)应用系统级托管:受托机构提供数据中心基础设施、II基础架构、应用系统和数据的运维服 务 托管维护服务的范围和类型如图1所示: 业务/组织 委托机构 受托机构 交付 反馈 IT管理 服务 持 应用系统级托管 应用程序 数据/信息 托管服务 使用 架构缴托 基础架构 中间件 数据库 托管 基础设施级扦管 服务器 存储 网络 基础设施 信息系统及服务 空间/动力/环境保障 管对象 物理场所 图1托管维护服务范围和类型的示意图 4.3信息系统托管维护服务生命周期 信息系统托管维护服务应包括以下几个阶段 托管前的准备:托管前委托方首先应对当前信息系统服务需求进行袢估,明确必要的资源、服 务内容和服务级别,明确双方对于当前信息系统所涉及的软件及数据知识产权使用情况,评估 可能的资源获取方式和可能面临的风险、收益。根据确定的需求明确托管服务的服务项目和资 源要求,审慎评估备选受托杋构的资质、资格、资源保障能力、服务能力和服务经验,并与受 托机构共同评什、规划、设计技术和服务方案。方案明确后将委托机构的基本情況、托管内容 和范围、受托机构的基木情况、相关技术和服务方案等报送上级主管部门评审备案。 b)托管服务的实现:委托机构与受托机构达成服务意向后签署正式的服务协议/合同,内容应明 确服务内容、服务级别、双方权利、责任界定和发生合同偏离时进行处置的办法;受托机构按 照签署的协议进行技术和服务方案的实施准备,并与委托机构共同完成受托系统和服务的建设