外包风险管理工作评估报告

1、信息科技外包风险管理评估报告XXXXXXXXXB:根据指引的文件精神，XXXX有序开展了信息安全外包风险管理 工作，XXXX领导对管理系统十分重视，采取相关措施防范信息科技 外包风险，认真落实有关规定。现就 XXXX年度信息科技外包风险评 估情况做如下总结：一、信息科技外包战略执行情况：（一）XXXX信息科技外包战略：XXXX以不妨碍核心能力建设、 积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调 外包风险的事前控制，保持管控力度；根据外包管理及技术发展趋势， 持续改进外包策略和措施为基本战略，通过学习银监会发布的各项制 度，结合自身情况实施信息科技外包风险管理。 在信息科技外包过

2、程 中充分利用评估、排查等手段，建立信息科技外包风险管理体制，明 确外包风险管理组织架构以及具体的职责分工，推进对重大信息安全 和服务持续性等重点环节的监督，促进信息科技外包风险管理长效性 的发展。（二）执行情况：1. XXXX为防范信息科技外包风险计划制定专门的信息科技外包 风险管理方案。XXXX根据实际情况进行分工，风险管理部负责风险 辨识、协助自查、编写制度、制作报告，信息部负责系统监测、制度 设定、以及系统数据评估和风险识别。2. 针对信息科技外包风险管理面临的风险，结合过往工作经验， XXXX根据外包商的注册资金、项目经验、企业延续性、过往合作关 系等相关资质，在与外包商签订合作协议

3、前对其风险等级进行初步评 估，具体评估标准如下：等级注册资本VS合同金额项目经验企业发展延续性合作关系（口碑评价）运营情况制度设定资产报告严重注册资本 < 合同金额无经验不顺畅不健全由集团采 购招标组 协助评估较差较大注册资本=合同金额最近3年小于5个项目经验基本顺畅基本健全尚可中等合同金额 < 注册资金<10亿最近3年小于20个项目经验健全顺畅较好较小1亿 < 注册资金< 10亿最近3年大于50个项目经验健全顺畅良好很小10亿 < 注册资金市场份额大于30%健全顺畅良好3. XXXX专门针对信息科技外包风险评估工作制定了信息科技外包风险评级表，根据外包商项

4、目服务期间及后期验收的具体情况,结合自身信息科技专业知识，按季度对现有外包商进行风险评估， 并 将评估结果记入该表。风险管理部根据法律法规对风险评级表结果进 行复核，撰写信息科技外包风险管理工作评估报告，提出管理意 见向XXXXf理层和北京银监局汇报。二、外包信息安全：（一）外包信息安全工作情况1. 信息安全组织管理：XXXXS命信息部XXX为具体负责人，专职负责对外包商服务全过程进行管理。2. 日常信息安全管理：在人员管理上，认真落实 XX集团财务 有限公司信息安全防护管理办法的相关职责，实行“预防为主、综合治理”、“制度防范和技术防范相结合”的原则，制定了较为完善的检查信息安全和保密责任制

5、。外包商提供服务期间的监督和管理工作由信息部负责， 对于重要 涉密电脑和设备，严禁非授权人员打开运行。对于违反信息安全管理 制度规定造成信息安全事件的认真追究相关人员责任。3. 信息安全防护管理：在办公计算机和移动存储设备安全防护上。采取集中安全管理措施，随时更新计算机账号口令设置。计算机互联网实行了实名接入、对计算机IP和MACfe址进行绑定、指定固 定IP地址，并安装防病毒防护软件，定期进行漏洞扫描、病毒木马 检测。杜绝在非涉密和涉密信息系统间混用计算机和移动存储设备，禁止使用了非涉密计算机处理涉密信息等。4. 信息安全应急管理。为加强信息系统和网络安全运行，我局制 定了本部门信息安全应急

6、预案，认真组织开展了相关培训。（二）外包信息安全检查等方面的工作情况1. XXXX开展信息安全检查，重点是中心机房系统及网络设备安 全防护，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原 则，逐级落实部门与个人信息安全责任制。2. 加强了信息系统安全运行管理制度检查，对现有的各项信息安 全管理制度进行适时修改和动态的完善，确保了对相关人员的规范和 约束。3. XXXX定期检查中心机房和配套环境的规划、建设、改造与验 收都是否符合国家、行业的建设规范，符合管理机构的相关要求，建 立了机房人员出入管理制度、机房设备管理办法等制度，并加 强做好出入人员登记、机房巡查等各项管理，定期对机房设备保

7、养维 护，加大机房巡检频次。4. 加强对网络接入的检查，只有通过相关部门申核，且符合防火 墙、入侵检测等安全专用产品要求的方可接入。 对于中心机房业务系 统和网络运行都采取集中管理，建立了系统升级登记制度和文档保管 制度。（三）外包信息安全评估结果根据外包信息安全检查等结果，XXXX第四季度对现有外包商进 行风险评估，及时调整外包风险评级，对于评级结果在中级以上的外 包商加强监管力度，及时汇报 XXXX领导，并督促其进行整改。综合XXXX年外包信息安全等各项检查结果，XXXX现有的11家 外包商中并未发现存在外包信息安全风险， 未就此情况对外包风险评 级进行调整。三、机构集中度：当前，XXXX

8、在应用系统托管、数据中心服务等某些领域形成了 较高的外包服务集中度和行业依赖。针对上述行业特点，XXXX对备选外包商进行初步筛选时，避免 引入可能增加整体风险的外包商，强调分散信息科技外包风险的管理 理念，降低机构集中度，减少对单一外包商的依赖。截至XXXX年末，XXXX共与11家外包商签订总计11项外包服务 合同，但不存在单一外包商或外包商集团提供 1个以上服务项目的情 况，达到了银监会所发布相关规定的基本要求， 严格落实了有关信息科技外包风险的管理制度。今后，XXXX将继续保持现有外包商合作 理念，将机构集中度控制在合理范围内。四、服务连续性：在服务连续性方面，XXXX对外包商的要求是确保

9、故障发生后有 足够的技术和服务设施（如技术支持、操作系统、网络、数据仓库、 应用程序）来保证业务在可接受的时间范围内重新运作，保证业务的 持续性。XXXX对于外包风险评级在中等以上的外包商，在今后项目 招标中将不予以考虑。XXXX为保证外包商达到上述要求，按季度对现有外包商的服务 连续性实施检查，根据结果进行风险评估。（一）评估方法：根据合作类型将外包商分为：临时和长期两大类。1临时类：严格按照相关标准进行项目验收， 发现问题立刻要求 整改，根据具体情节调整该外包商的外包风险评级。2. 长期类：根据以下内容的处理结果调整外包风险评级。（1）外包商对于安装、调试过程中出现的问题是否及时跟进。（2

10、）项目运行后，外包商是否及时应对XXX）业务部门反馈的情 况，且始终保持良好合作关系。（3）XXXX言息部定期安排系统检测，内容包括监控系统日志、 检查运行报警等。（二）服务连续性评估结果XXXX寸现有11家外包商进行检查，根据检查结果对其中 2家的 外包风险评级进行调整，具体情况如下：1. 北京XXXX信息技术有限公司的服务内容为弱电项目实施，属 于短期完成的采购与实施项目。项目招标时XXXX考虑到该公司是集团弱电项目实施方，在合作关系上具有一定优势，因此选择其提供的外包服务。由于外包商的配 件来源多为代采购，无法保障过保后设备的维护，可能造成维修困难 等问题，因此将其外包风险评级由较小调整

11、到中等。2. 北京XXXX科技股份有限公司的服务内容为系统集成，属于短期完成的采购项目，且合同中有10%勺质押金。由于项目系统实际使 用过程中出现大量问题，质量无法达到规定标准，因此将其外包风险 评级由中等调整为较大。五、服务质量：（一） XXXX结合现有外包商的实际情况，从三个方面对其服务质量进行评估。1. 项目服务时效外包商是否在指定时间内完成计划内各项目进度； 外包商对XXXX相关人员提出的问题能否及时响应。2. 解决方式、途径外包商是否对XXXX提供多通道支持，包括：现场、Web QQ Email 等；外包商提供的通道支持是否畅通，效果如何。3. 项目实施水平由XXXX信息部进行项目验

12、收，评估项目成果是否达到使用要求，存在的问题是否能够在合同规定时间内整改（二）服务质量评估结果：1. 北京威达泰克信息技术有限公司由较小调整为中等。2. 北京华胜天成科技股份有限公司由中等调整为较大。六、政策及市场变化对外包服务的影响分析 ：XXXX年政策及市场变化对外包服务的影响主要有以下二点：（一）国家政策，金融机构和政府机关减少使用XX XXX XXX等外国品牌，提倡使用XX、XX等国内自主品牌。受此影响，外国企业的市场份额不断下降，被迫提咼现有产品单价。XXXX建立初期使用的设备多采购自XX XXX等厂商，造成原有设备升级、配件采购成 本出现不同程度上涨。（二）2013年，银监会组织自

13、愿承诺加强服务规范化、接受联 合工作平台风险监督的外包服务机构，发起建立银行业信息科技外包 服务合作组织。XXXX为得到更多服务保障，招标时会更倾向于选择 组织内成员单位，减少了招标工作中的相关风险。七、XXXX核心技术外包风险XXXX核心业务采用XXX_X廉统，该系统由XXX公司负责开发， 但XXXX对该系统仅拥有永久使用权，而没有任何知识产权。因此， XXXX根据自身业务需求分批次上线相关业务模块时，会受到核心业 务系统知识产权他有的制约，无法要求 XXX向XXXX提供核心业务系 统源代码，对后续开发和使用可能造成业务连续性无法保障（双方合 作关系发生变化），系统安全存在风险（恶意代码植入

14、）等问题。八、XXXX年度信息科技外包风险评级结果汇总:公司名称合作类型外包风险评级评估理由XXXXXX长期很小专线。大型国有垄断企业，头力雄厚，技术专业XXXXXX长期很小专线。大型国有垄断企业，头力雄厚，技术专业XXXXXX长期很小核心业务系统。在全国 XXXX核心系统领域市场份额超 过50%专业性强，经验丰富XXXXXX临时较小空调维保。制冷设备维护经验丰富，同时也是集团空调 维保服务供应商，项目金额较小XXXXXX临时较小系统集成。属于短期完成的米购项目，另外合同中有5% 的质押金。项目金额较小15万内。XXXXXX临时中等弱电项目实施。属于短期完成的采购与实施项目。同时 是集团弱电项目实施方，风险来自过保后设备的维护， 很多是代采购的，如果有问题维修困难。XXXXXX临时较小光纤线路。技术不复杂，维修简单。属于一次性米购。 公司技术专业与技术头力强XXXXXX临时较小运维软件。一次性采购与实施。基本无二次开发需求。XXXXXX临时较大系统集成。属于短期完成的采购项目，另外合同中有10% 的质押金。但实际情况已经出现很多问题，但依托信息 部专业技术已经处理完毕，或者达到可控范围。XXXXXX临时较小硬件维保。企业资质虽然平平，但是在XXXX存了大量的配件，可以作为保障。公司在合作方面很有诚意。XXXXXX临时较小系