文档介绍：IT信息外包服务管理程序
1 目的
为规范所有信息系统相关的外包服务管理,特制订本程序。
2 范围
本程序适用于对IT外包服务的管理。
3 相关文件
《物理访问控制程序》
《用户访问控制程序》
《变更管理控制程序》
4 职责
总经理负责外包服务项目的审批。
各相关岗位人员负责外包服务所涉及到的第三方的定期监控与评审。
指定的副总经理负责外包服务合同的签订与定期回顾。
5 程序
外包策略
涉及核心系统的任何服务不得长期外包给任何第三方,仅可与第三方签订必要的服务协议;其余系统的日常运行维护工作可以外包给具有服务资质或经过总经理审查的第三方。
外包事项的确定
符合外包策略要求的事项,符合IT业务发展需要的服务事项,可由相关系统管理人员起草《外包服务申请报告》提出申请,在申请报告中应说明需外包的事项、所涉及的信息系统、提出申请的理由、可能存在的风险及风险应对计划,报信息科技部总经理。
信息科技部总经理应组织部门信息安全管理委员会成员协同申请提出人,共同讨论外包事项是否符合IT业务发展的需要,必要时提请行领导决策,经审批后,进入采购流程。
第三方能力评定
各相关管理岗位需要将设备、网络、系统、软件和信息安全等事项外包时,应明确外包服务的内容和要求,对第三方提供服务的能力进行评定,必要时通过招投标,确定合格第三方。
应确保第三方保持充分的提供服务的能力,并且具备有效的工作计划,即使发生重大的服务故障或灾难也能保持服务的连贯性。
服务协议
任何外包服务供应商均应签订外包服务合同及保密协议,并在保密协议中体现信息安全风险金,服务合同及保密协议应通过IT法律事务部门的审核。
信息科技部须同外部服务供应商针对所涉及的外包服务事项签订服务等级协议,协议应至少包括以下内容:
a) 简单的服务描述;
b) 有效期或变更控制的机制;
c) 授权的细节;
d) 沟通的简单描述,包括服务报告;
e) 紧急事件、事件和问题纠正和恢复的应急计划,包括联系人的信息;
f) 服务时间;
g) 预定的和协商同意的服务中断;
h) 用户责任,例如:安全;
i) 信息科技部责任和义务,例如:安全;
j) 影响和优先级的指导方针;
k) 调整升级和通知的过程;
l) 投诉程序;
m) 服务的目标;
n) 工作量的限定,例如:服务范围用户数量;
o) 财务管理细节;
p) 服务中断事件所应采取的措施;
q) 供应商内部管理的相关程序;
r) 术语;
s) 支持的或相关的服务;
t) 任何针对服务等级协议条款的例外声明。
服务履行
服务提供过程中,仅限在外包服务供应商在服务等级协议中明确的已被授权的工作人员进入服务现场。
对外包服务供应商技术人员在现场处理需要设备入网时,应填写《市行机关办公楼、内外网络接入申请单》,经信息科技部总经理批准后方可入网,对系统的巡检和维护需有信息科技部专业人员陪同,按《物理访问控制程序》和《用户访问控制程序》进行。
服务履行中的,外包服务提供商所提出的任何