外包管理方案:信息设备外包管理规定.docx
信息设备外包管理规定
一、 总则
第一条 为有效防范信息系统外包过程中产生的风险,促进信息系统安全、持续、稳健运行,根据国家信息安全相关要求和有关信息系统外包管理的法律法规,制定本规定。
第二条 本规定所称信息设备外包,是指将部分IT工作外包给专业性公司完成的模式。目的是通过整合、利用适当的外部专业化IT资源,达到降低成本、提高效率、增强核心竞争力、提高应变能力。范围包括将信息设备的规划、研发、建设、运行、维护、服务等委托给业务合作伙伴或第三方(以下统称为外包服务商)承担的活动。
第三条 各部门应当按照本办法的规定开展信息设备外包活动。
二、 外包内容管理
第四条 应根据业务发展的实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险。
第五条 严禁外包涉及机密数据管理与传递和IT信息战略相关的业务和服务。
第六条 PC日常管理服务:与PC及PC周边产品有关的系统支持、数据恢复、系统重建等服务,包括电脑配件购买、硬件维修与安装、电脑软件(操作系统、办公软件、客户端程序、防病毒软件等)安装等相关工作。
第七条 IT系统基础设施服务:网络、主机、服务器、存储、安全、机房设施等IT系统基础设施的硬件保障与维护、运行监控与维护、系统管理等服务。IT系统基础设施方案设计、项目实施、软硬件安装与配置等服务。
第八条 应用系统开发和技术支持服务:根据业务要求,全部或部分承担计算机应用系统开发、变更工作,向提交满足业务要求的应用系统的服务。为满足业务需求,保障系统运行稳定、促进计算机应用系统功能的正常发挥而向提供的应用系统技术支持服务。
第九条 应用系统运行保障服务:为使计算机应用系统安全、可靠、持续运行、有效支持业务运作而提供的技术服务。
第一十条 信息设备租用服务:根据业务需要,租用外部信息设备,由信息设备提供商提供信息处理能力和业务功能,支持业务运作的服务方式。
第一十一条 IT咨询服务:包括IT治理和信息安全咨询服务,IT发展规划咨询,以及其他专项IT咨询服务。
三、 职责和流程
第一十二条 网络中心为IT外包服务管理工作的执行机构,各分支机构和业务部门参与配合实施。网络中心职责:
● 制定IT外包服务管理规章制度和管理流程,规范IT外包服务执行过程。
● 按照图书馆有关规定参与IT外包服务商评选。
● 制定IT外包服务商的考核指标。
● 评估、管理与监控IT外包服务水平,保证其对服务要求的符合性。
● 协调最终用户和IT外包服务商关系,促进图书馆工作开展。
● 负责图书馆IT外包服务的监控与管理。
三、 外包服务商管理
第一十三条 管理部门应当建立健全外包服务方评估机制,充分审查、评估服务商的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。
第一十四条 签订外包服务合同时,应当明确双方的权利、义务,规定外包服务商应当承担的安全、保密、知识产权方面的义务和责任。
第一十五条 外包合同中应当详细地明确服务商必须提供的最低服务水平、详细的服务范围和标准、发生故障时的服务级别及相应时间等,以防范服务商综合状况及业务需求变化所可能产生的风险。
四、 外包风险管理
第一十六条 管理部门应建立完整的外包监测程序,审慎监测和管理外包实施过程中可能产生的风险。
第一十七条 充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第一十八条 信息系统的设计开发外包应当进行缺陷风险管理,包括代码检查、文档管理和技术转移。
第一十九条 信息系统外包风险管理应当符合风险管理标准和策略,并建立针对外包风险的应急计划。
第二十条 应与外包服务商建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现服务方的顺利变更,保证外包服务不间断的应急预案。
五、 附则
第二十一条 本办法由管理部门、网络中心负责解释。
第二十二条 本办法自发文之日起施行。
发表评论 取消回复