外包风险管理工作评估报告

1、信息科技外包风险管理评估报告XXXXXXXXXX 局:根据指引的文件精神， XXXX 有序开展了信息安全外包风险管理工作， XXXX 领导对管理系统十分重视，采取相关措施防范信息科技外包风险，认 真落实有关规定。现就 xxxx 年度信息科技外包风险评估情况做如下总结：一、信息科技外包战略执行情况 ：（一）XXXX 信息科技外包战略： XXXX 以不妨碍核心能力建设、积极 掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的 事前控制，保持管控力度；根据外包管理及技术发展趋势，持续改进外包策 略和措施为基本战略，通过学习银监会发布的各项制度，结合自身情况实施 信息科技外包风险管理。

2、 在信息科技外包过程中充分利用评估、 排查等手段， 建立信息科技外包风险管理体制， 明确外包风险管理组织架构以及具体的职 责分工，推进对重大信息安全和服务持续性等重点环节的监督，促进信息科 技外包风险管理长效性的发展。（二）执行情况：1. XXXX 为防范信息科技外包风险计划制定专门的信息科技外包风险管 理方案。 XXXX 根据实际情况进行分工，风险管理部负责风险辨识、协助自 查、编写制度、制作报告，信息部负责系统监测、制度设定、以及系统数据 评估和风险识别。2. 针对信息科技外包风险管理面临的风险，结合过往工作经验， XXXX 根据外包商的注册资金、 项目经验、企业延续性、过往合作关系等相关

3、资质， 在与外包商签订合作协议前对其风险等级进行初步评估， 具体评估标准如下：等级注册资本VS合同金额项目经验企业发展延续性合作关系（口碑评价）运营情况制度设定资产报告严重注册资本 合同金额无经验不顺畅不健全由集团采 购招标组 协助评估较差较大注册资本=合同金额最近3年小于5个项目经验基本顺畅基本健全尚可中等合同金额 注册资金10亿最近3年小于20个项目经验健全顺畅较好较小1亿 注册资金 10亿最近3年大于50个项目经验健全顺畅良好很小10亿 注册资金市场份额大于30%健全顺畅良好3. XXXX专门针对信息科技外包风险评估工作制定了信息科技外包风 险评级表，根据外包商项目服务期间及后期验收的具

4、体情况，结合自身信 息科技专业知识，按季度对现有外包商进行风险评估，并将评估结果记入该 表。风险管理部根据法律法规对风险评级表结果进行复核，撰写信息科技 外包风险管理工作评估报告，提出管理意见向XXXX管理层和北京银监局 汇报。二、外包信息安全：（一）外包信息安全工作情况1. 信息安全组织管理：XXXX任命信息部XXX为具体负责人，专职负责对外包商服务全过程进行管理。2. 日常信息安全管理：在人员管理上，认真落实 XX集团财务有限公 司信息安全防护管理办法的相关职责，实行“预防为主、综合治理” 、“制 度防范和技术防范相结合”的原则，制定了较为完善的检查信息安全和保密责任制。外包商提供服务期间

5、的监督和管理工作由信息部负责，对于重要涉密电脑和设备，严禁非授权人员打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。3. 信息安全防护管理：在办公计算机和移动存储设备安全防护上。采取 集中安全管理措施，随时更新计算机账号口令设置。计算机互联网实行了实 名接入、对计算机 IP 和 MAC 地址进行绑定、指定固定 IP 地址，并安装防 病毒防护软件，定期进行漏洞扫描、病毒木马检测。杜绝在非涉密和涉密信 息系统间混用计算机和移动存储设备 , 禁止使用了非涉密计算机处理涉密信 息等。4. 信息安全应急管理。为加强信息系统和网络安全运行，我局制定了本 部门信息安全应急预案，

6、认真组织开展了相关培训。（二）外包信息安全检查等方面的工作情况1. XXXX 开展信息安全检查， 重点是中心机房系统及网络设备安全防护， 按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部 门与个人信息安全责任制。2. 加强了信息系统安全运行管理制度检查，对现有的各项信息安全管理 制度进行适时修改和动态的完善，确保了对相关人员的规范和约束。3. XXXX 定期检查中心机房和配套环境的规划、建设、改造与验收都是 否符合国家、行业的建设规范，符合管理机构的相关要求，建立了机房人 员出入管理制度、机房设备管理办法 等制度，并加强做好出入人员登记、 机房巡查等各项管理 ,定期对机房设备

7、保养维护，加大机房巡检频次。4. 加强对网络接入的检查，只有通过相关部门申核，且符合防火墙、入 侵检测等安全专用产品要求的方可接入。 对于中心机房业务系统和网络运行 都采取集中管理，建立了系统升级登记制度和文档保管制度。（三）外包信息安全评估结果根据外包信息安全检查等结果， XXXX 第四季度对现有外包商进行风险 评估，及时调整外包风险评级，对于评级结果在中级以上的外包商加强监管 力度，及时汇报 XXXX 领导，并督促其进行整改。综合 xxxx 年外包信息安全等各项检查结果， XXXX 现有的 11 家外包商 中并未发现存在外包信息安全风险，未就此情况对外包风险评级进行调整。三、机构集中度 :

8、当前， XXXX 在应用系统托管、数据中心服务等某些领域形成了较高的 外包服务集中度和行业依赖。针对上述行业特点， XXXX 对备选外包商进行初步筛选时，避免引入可 能增加整体风险的外包商，强调分散信息科技外包风险的管理理念，降低机 构集中度，减少对单一外包商的依赖。截至xxxx年末，XXXX共与11家外包商签订总计11项外包服务合同， 但不存在单一外包商或外包商集团提供 1 个以上服务项目的情况， 达到了银 监会所发布相关规定的基本要求， 严格落实了有关信息科技外包风险的管理 制度。今后， XXXX 将继续保持现有外包商合作理念，将机构集中度控制在 合理范围内。四、服务连续性 ：在服务连续性

9、方面， XXXX 对外包商的要求是确保故障发生后有足够的 技术和服务设施 （如技术支持、操作系统、网络、数据仓库、应用程序）来保证业务在可接受的时间范围内重新运作，保证业务的持续性。 XXXX 对于外 包风险评级在中等以上的外包商，在今后项目招标中将不予以考虑。XXXX 为保证外包商达到上述要求，按季度对现有外包商的服务连续性实施检查，根据结果进行风险评估。（一）评估方法：根据合作类型将外包商分为：临时和长期两大类。1. 临时类：严格按照相关标准进行项目验收，发现问题立刻要求整改， 根据具体情节调整该外包商的外包风险评级。2. 长期类：根据以下内容的处理结果调整外包风险评级。（1）外包商对于安

10、装、调试过程中出现的问题是否及时跟进。（2）项目运行后，外包商是否及时应对 XXXX 业务部门反馈的情况， 且始终保持良好合作关系。（ 3） XXXX 信息部定期安排系统检测，内容包括监控系统日志、检查 运行报警等。（二）服务连续性评估结果XXXX 对现有 11 家外包商进行检查，根据检查结果对其中 2 家的外包 风险评级进行调整，具体情况如下：1.北京 XXXX 信息技术有限公司的服务内容为弱电项目实施，属于短期 完成的采购与实施项目。项目招标时 XXXX 考虑到该公司是集团弱电项目实施方， 在合作关系上 具有一定优势，因此选择其提供的外包服务。由于外包商的配件来源多为代 采购，无法保障过保

11、后设备的维护，可能造成维修困难等问题，因此将其外 包风险评级由较小调整到中等。2.北京 XXXX 科技股份有限公司的服务内容为系统集成，属于短期完成 的采购项目，且合同中有 10% 的质押金。由于项目系统实际使用过程中出 现大量问题，质量无法达到规定标准，因此将其外包风险评级由中等调整为 较大。五、服务质量 ：（一） XXXX 结合现有外包商的实际情况，从三个方面对其服务质量进 行评估。1.项目服务时效 外包商是否在指定时间内完成计划内各项目进度； 外包商对 XXXX 相关 人员提出的问题能否及时响应。2.解决方式、途径外包商是否对XXXX提供多通道支持，包括：现场、Web、QQ、Email等

12、；外包商提供的通道支持是否畅通，效果如何。3. 项目实施水平由 XXXX 信息部进行项目验收， 评估项目成果是否达到使用要求， 存在 的问题是否能够在合同规定时间内整改。（二）服务质量评估结果：1.北京威达泰克信息技术有限公司由较小调整为中等。2.北京华胜天成科技股份有限公司由中等调整为较大。六、政策及市场变化对外包服务的影响分析 ： xxxx 年政策及市场变化对外包服务的影响主要有以下二点： （一）国家政策，金融机构和政府机关减少使用XX、 XXX、 XXX 等外国品牌，提倡使用 XX、 XX 等国内自主品牌。受此影响，外国企业的市场份额不断下降，被迫提高现有产品单价。 XXXX建立初期使用

13、的设备多采购自XX、XXX等厂商，造成原有设备升级、配件采购成本出现不同程度上涨。（二） 2013年，银监会组织自愿承诺加强服务规范化、接受联合工作 平台风险监督的外包服务机构，发起建立银行业信息科技外包服务合作组织。 XXXX为得到更多服务保障，招标时会更倾向于选择组织内成员单位，减少 了招标工作中的相关风险。七、XXXX核心技术外包风险XXXX核心业务采用XXX_XX系统，该系统由XXX公司负责开发，但XXXX对该系统仅拥有永久使用权，而没有任何知识产权。因此，XXXX根据自身业务需求分批次上线相关业务模块时， 会受到核心业务系统知识产权 他有的制约，无法要求XXX向XXXX提供核心业务系

14、统源代码，对后续开发 和使用可能造成业务连续性无法保障（双方合作关系发生变化），系统安全存在风险（恶意代码植入）等问题。八、XXXX年度信息科技外包风险评级结果汇总:公司名称合作类型外包风险评级评估理由XXXXXX长期很小专线。大型国有垄断企业，头力雄厚，技术专业XXXXXX长期很小专线。大型国有垄断企业，头力雄厚，技术专业XXXXXX长期很小核心业务系统。在全国XXXX核心系统领域市场份额超过50%，专业性强，经验丰富XXXXXX临时较小空调维保。制冷设备维护经验丰富，同时也是集团空调维保服务供应商，项目金额较小XXXXXX临时较小系统集成。属于短期完成的采购项目，另外合同中有5%的质押金。

15、项目金额较小 15万内。XXXXXX临时中等弱电项目实施。属于短期完成的采购与实施项目。同时 是集团弱电项目实施方，风险来自过保后设备的维护， 很多是代采购的，如果有问题维修困难。XXXXXX临时较小光纤线路。技术不复杂，维修简单。属于一次性采购。公司技术专业与技术头力强XXXXXX临时较小运维软件。一次性采购与实施。基本无二次开发需求。XXXXXX临时较大系统集成。属于短期完成的采购项目，另外合同中有10%的质押金。但实际情况已经出现很多问题，但依托信息部专业技术已经处理完毕，或者达到可控范围。XXXXXX临时较小硬件维保。企业资质虽然平平，但是在 XXXX存了大量的配件，可以作为保障。公司在合作方面很有诚意。XXXXXX临时