数据中心对外包负最终管理责任,应推动和完善外包风险管理体系建设,确保商业银行有效应对外包风险。 1、范围 数据中心服务外包一般包括: (1)基础设施类:外包服务商向商业银行提供数据中心机房、配套设施或运行设备的服务。 (2)运营维护类:外包服务商向商业银行提供数据中心信息系统或基础设施的日常运行、维护等服务。 2、外包风险识别与评估 应确定外包服务所涉及的信息资产的关键性和敏感程度,审慎确定数据中心外包服务范围。充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和商管层审核。 3、外包管理 (1)建立管理制度与流程。数据中心应制定数据中心外包策略;应制定数据中心服务外包管理制度、流程,建立全面的风险控制机制。 (2)服务商选择。在选择数据中心外包服务商时,应充分审查、评估外包服务商的资质、专业能力和服务方案,对外包服务商进行风险评估,考查其服务能力是否足以承担相应的责任。 评估包括:外包服务商的企业信誉及财务稳定性,外包服务商的信息安全和信息科技服务管理体系,银行业服务经验等。提供数据中心基础设施外包服务的服务商,其运行环境应符合商业银行要求,并具有完备的安全管理规范。 (3)合同管理。数据中心应与外包服务商签订书面合同,在合同中明确重要事项,包括但不限于双方的权利和义务、外包服务水平、服务的可靠性、服务的可用性、信息安全控制、服务持续性计划、审计、合规性要求、保密协议、违约赔偿(必要时,外包服务商购买商业保险以保证其有足够的赔偿能力)等。 (4)服务管理。商业银行数据中心应加强外包服务活动的安全管理,包括但不限于:
(本文节选自《中国数据中心运维管理指针》,如需购买或转载请留下您的联系电话及邮箱发送留言至本公众号,将有工作人员与您联系) |
|