外包风险管理工作评估报告x

1、信息科技外包风险管理评估报告局:根据指引的文件精神， XXXX 有序开展了信息安全外包风险管理工作，XXXX 领导对管理系统十分重视， 采取相关措施防范信息科技外包风险，认真落实有关规定。现就 xxxx 年度信息科技外包风险评估情况做如下总结：一、信息科技外包战略执行情况：（一）XXXX 信息科技外包战略： XXXX 以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的事前控制， 保持管控力度；根据外包管理及技术发展趋势，持续改进外包策略和措施为基本战略， 通过学习银监会发布的各项制度，结合自身情况实施信息科技外包风险管理。 在信息科技外包过程中充分利用

2、评估、排查等手段，建立信息科技外包风险管理体制，明确外包风险管理组织架构以及具体的职责分工， 推进对重大信息安全和服务持续性等重点环节的监督， 促进信息科技外包风险管理长效性的发展。（二）执行情况：1.XXXX 为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。 XXXX 根据实际情况进行分工， 风险管理部负责风险辨识、协助自查、编写制度、制作报告，信息部负责系统监测、制度设定、以及系统数据评估和风险识别。针对信息科技外包风险管理面临的风险，结合过往工作经验， XXXX 根据外包商的注册资金、项目经验、企业延续性、过往合作关系等相关资质，在与外包商签订合作协议前对其风险等级进行初步

3、评估，具体评估标准如下：等级注册资本 VS 合同金额项目经验企业发展延续性合作关系运营情况制度设定资产报告（口碑评价）严重注册资本 合同金额无经验不顺畅不健全较差较大注册资本 =合同金额最近 3年小于 5 个项目经验基本顺畅基本健全尚可合同金额 注册资金 由集团采中等最近 3年小于 20 个项目经验健全顺畅购招标组较好10 亿协助评估较小1亿 注册资金 10亿最近 3年大于 50 个项目经验健全顺畅良好很小10 亿 注册资金市场份额大于 30%健全顺畅良好XXXX 专门针对信息科技外包风险评估工作制定了 信息科技外包风险评级表，根据外包商项目服务期间及后期验收的具体情况，结合自身信息科技专业知

4、识， 按季度对现有外包商进行风险评估， 并将评估结果记入该表。 风险管理部根据法律法规对风险评级表结果进行复核，撰写信息科技外包风险管理工作评估报告，提出管理意见向 XXXX 管理层和北京银监局汇报。二、外包信息安全 ：（一）外包信息安全工作情况信息安全组织管理： XXXX 任命信息部 XXX为具体负责人，专职负责对外包商服务全过程进行管理。2. 日常信息安全管理：在人员管理上，认真落实XX 集团财务有限公司信息安全防护管理办法的相关职责，实行“预防为主、综合治理”、“制度防范和技术防范相结合”的原则，制定了较为完善的检查信息安全和保密责任制。外包商提供服务期间的监督和管理工作由信息部负责，

5、对于重要涉密电脑和设备， 严禁非授权人员打开运行。 对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。信息安全防护管理： 在办公计算机和移动存储设备安全防护上。采取集中安全管理措施， 随时更新计算机账号口令设置。 计算机互联网实行了实名接入、对计算机 IP 和 MAC 地址进行绑定、指定固定 IP 地址，并安装防病毒防护软件，定期进行漏洞扫描、病毒木马检测。杜绝在非涉密和涉密信息系统间混用计算机和移动存储设备, 禁止使用了非涉密计算机处理涉密信息等。信息安全应急管理。为加强信息系统和网络安全运行，我局制定了本部门信息安全应急预案，认真组织开展了相关培训。（二）外包信息安全检查

6、等方面的工作情况1.XXXX 开展信息安全检查，重点是中心机房系统及网络设备安全防护，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任制。2.加强了信息系统安全运行管理制度检查， 对现有的各项信息安全管理制度进行适时修改和动态的完善， 确保了对相关人员的规范和约束。3.XXXX 定期检查中心机房和配套环境的规划、建设、改造与验收都是否符合国家、行业的建设规范，符合管理机构的相关要求，建立了机房人员出入管理制度 、机房设备管理办法等制度，并加强做好出入人员登记、机房巡查等各项管理,定期对机房设备保养维护，加大机房巡检频次。4.加强对网络接入的检查，只有通过相

7、关部门申核，且符合防火墙、入侵检测等安全专用产品要求的方可接入。 对于中心机房业务系统和网络运行都采取集中管理， 建立了系统升级登记制度和文档保管制度。（三）外包信息安全评估结果根据外包信息安全检查等结果， XXXX 第四季度对现有外包商进行风险评估，及时调整外包风险评级， 对于评级结果在中级以上的外包商加强监管力度，及时汇报 XXXX 领导，并督促其进行整改。综合 xxxx 年外包信息安全等各项检查结果， XXXX 现有的 11 家外包商中并未发现存在外包信息安全风险， 未就此情况对外包风险评级进行调整。三、机构集中度 :当前， XXXX 在应用系统托管、数据中心服务等某些领域形成了较高的外

8、包服务集中度和行业依赖。针对上述行业特点， XXXX 对备选外包商进行初步筛选时，避免引入可能增加整体风险的外包商， 强调分散信息科技外包风险的管理理念，降低机构集中度，减少对单一外包商的依赖。截至 xxxx 年末， XXXX 共与 11 家外包商签订总计 11 项外包服务合同，但不存在单一外包商或外包商集团提供 1 个以上服务项目的情况，达到了银监会所发布相关规定的基本要求， 严格落实了有关信息科技外包风险的管理制度。 今后，XXXX 将继续保持现有外包商合作理念，将机构集中度控制在合理范围内。四、服务连续性 ：在服务连续性方面， XXXX 对外包商的要求是确保故障发生后有足够的技术和服务设

9、施(如技术支持、操作系统、网络、数据仓库、应用程序 )来保证业务在可接受的时间范围内重新运作，保证业务的持续性。 XXXX 对于外包风险评级在中等以上的外包商，在今后项目招标中将不予以考虑。为保证外包商达到上述要求， 按季度对现有外包商的服务连续性实施检查，根据结果进行风险评估。（一）评估方法：根据合作类型将外包商分为：临时和长期两大类。临时类：严格按照相关标准进行项目验收，发现问题立刻要求整改，根据具体情节调整该外包商的外包风险评级。长期类：根据以下内容的处理结果调整外包风险评级。1）外包商对于安装、调试过程中出现的问题是否及时跟进。2）项目运行后，外包商是否及时应对 XXXX 业务部门反馈

10、的情况，且始终保持良好合作关系。3）XXXX 信息部定期安排系统检测， 内容包括监控系统日志、检查运行报警等。（二）服务连续性评估结果XXXX 对现有 11 家外包商进行检查，根据检查结果对其中2 家的外包风险评级进行调整，具体情况如下：北京 XXXX 信息技术有限公司的服务内容为弱电项目实施， 属于短期完成的采购与实施项目。项目招标时 XXXX 考虑到该公司是集团弱电项目实施方， 在合作关系上具有一定优势， 因此选择其提供的外包服务。 由于外包商的配件来源多为代采购， 无法保障过保后设备的维护， 可能造成维修困难等问题，因此将其外包风险评级由较小调整到中等。北京 XXXX 科技股份有限公司的

11、服务内容为系统集成， 属于短期完成的采购项目，且合同中有 10% 的质押金。由于项目系统实际使用过程中出现大量问题， 质量无法达到规定标准， 因此将其外包风险评级由中等调整为较大。五、服务质量 ：（一） XXXX 结合现有外包商的实际情况，从三个方面对其服务质量进行评估。项目服务时效外包商是否在指定时间内完成计划内各项目进度；外包商对相关人员提出的问题能否及时响应。解决方式、途径外包商是否对XXXX 提供多通道支持， 包括：现场、Web 、QQ 、Email 等；外包商提供的通道支持是否畅通，效果如何。项目实施水平由 XXXX 信息部进行项目验收，评估项目成果是否达到使用要求，存在的问题是否能

12、够在合同规定时间内整改。（二）服务质量评估结果：北京威达泰克信息技术有限公司由较小调整为中等。北京华胜天成科技股份有限公司由中等调整为较大。六、政策及市场变化对外包服务的影响分析 ：年政策及市场变化对外包服务的影响主要有以下二点：（一）国家政策，金融机构和政府机关减少使用 XX、XXX 、XXX等外国品牌，提倡使用 XX、XX 等国内自主品牌。受此影响，外国企业的市场份额不断下降， 被迫提高现有产品单价。 XXXX 建立初期使用的设备多采购自 XX、XXX 等厂商，造成原有设备升级、配件采购成本出现不同程度上涨。（二） 2013 年，银监会组织自愿承诺加强服务规范化、接受联合工作平台风险监督的

13、外包服务机构， 发起建立银行业信息科技外包服务合作组织。 XXXX 为得到更多服务保障， 招标时会更倾向于选择组织内成员单位，减少了招标工作中的相关风险。七、 XXXX 核心技术外包风险核心业务采用 XXX_XX 系统，该系统由 xxx 公司负责开发，但 XXXX 对该系统仅拥有永久使用权，而没有任何知识产权。因此，XXXX 根据自身业务需求分批次上线相关业务模块时， 会受到核心业务系统知识产权他有的制约，无法要求xxx 向 XXXX 提供核心业务系统源代码， 对后续开发和使用可能造成业务连续性无法保障（双方合作关系发生变化） ，系统安全存在风险（恶意代码植入）等问题。八、 xxxx 年度信息

14、科技外包风险评级结果汇总：合作外包风公司名称评估理由类型险评级XXXXXX长期很小专线。大型国有垄断企业，实力雄厚，技术专业XXXXXX长期很小专线。大型国有垄断企业，实力雄厚，技术专业核心业务系统。 在全国 XXXX 核心系统领域市场份额超XXXXXX长期很小过 50% ，专业性强，经验丰富空调维保。制冷设备维护经验丰富，同时也是集团空调XXXXXX临时较小维保服务供应商，项目金额较小系统集成。属于短期完成的采购项目， 另外合同中有 5%XXXXXX临时较小的质押金。项目金额较小 15 万内。弱电项目实施。属于短期完成的采购与实施项目。同时XXXXXX临时中等是集团弱电项目实施方，风险来自过

15、保后设备的维护，很多是代采购的，如果有问题维修困难。光纤线路。技术不复杂，维修简单。属于一次性采购。XXXXXX临时较小公司技术专业与技术实力强XXXXXX临时较小运维软件。一次性采购与实施。基本无二次开发需求。XXXXXX临时XXXXXX临时XXXXXX临时系统集成。属于短期完成的采购项目，另外合同中有较大10% 的质押金。但实际情况已经出现很多问题，但依托信息部专业技术已经处理完毕，或者达到可控范围。硬件维保。企业资质虽然平平，但是在XXXX 存了大量较小的配件，可以作为保障。公司在合作方面很有诚意。系统集成。属于短期完成的采购项目，另外合同中有5%较小的质押金。项目金额较小15 万内。综

16、上， XXXX 创建以来， 始终保持对信息科技外包风险管理工作的重视。外包商提供服务时，XXXX坚持“必须知道”和“最小授权”的客户信息保护原则， 监督外包商遵守保密协议， 并建立风险等级评估机制，实施相应等级的风险防范措施。随着信息科技外包风险管理体系的不断完善，XXXX 计划于明年上会通过后执行适应XXXX 实际情况的具体战略，使信息科技管理水平再上新台阶。风险管理部xxxx 年 12 月XXXX项目可行性研究报告报告日期XXXX年XXXX月XXXX日目录第一节项目概况一、项目背景二、投资方简介三、目标公司简介第二节拟投资行业及市场概况第三节项目实施的必要性与可行性一、项目实施的必要性二、

17、目标公司市场分析三、项目实施的可行性第四节项目内容及实施方案第五节项目效益分析一、经营收入估算二、经营总成本估算三、经营利润与财务评价第六节项目风险分析及对策一、市场风险及对策二、技术风险及对策三、财务风险及对策第七节投资方案一、收购定价二、预计投资总额三、资金来源与支付四、 后续发展方案第六节报告结论第一节项目概况一、项目背景说明项目提出的背景、投资理由、拟投资国家的投资环境、在可行性研究前已经进行的工作情况及其成果、 重要问题的决策和决策过程等情况。二、投资方简介1、投资方基本情况及经营情况包括目标公司基本工商注册信息、产业布局、主要产品及用途、员工情况、股权结构及控股方信息、行业地位、历

18、史沿革等。2、投资方实力和优势分析三、目标公司简介1、基本信息包括目标公司基本工商注册信息、产业布局、主要产品及用途、员工情况、股权结构及控股方信息、行业地位、历史沿革等。2、经营情况（ 1）经营情况公司的产品在市场上进行销售、 服务的发展现状，包括历年产量、销售收入等。2）资产负债情况公司主要财务指标，要求能够反映公司盈利能力、经营能力、偿债能力等。第二节 拟投资行业及市场概况1、国内相关行业及市场概况2、国际相关行业及市场概况第三节 项目实施的必要性与可行性一、项目实施的必要性主要围绕公司战略目标， 根据公司产业资源协同发展的需要以及产品规划，结合产业政策等有关因素的支持与制约， 论证项目

19、投资的必要性。二、目标公司市场分析运用统计分析原理， 分析目标公司产品销售变化及市场发展趋势。1、市场规模研究目标公司产品及行业的整体规模，具体包括目标公司产品及行业在指定时间的产量、销售收入等。2、行业分析主要包括行业内主要品牌市场占有率、行业总销售量年增长率、行业发展方向、市场发展方向等。3、竞争格局包括主要竞争企业基本资料、 主要品牌经营策略、 竞争品牌近三年发展情况、行业竞争态势未来发展预测等。三、项目实施的可行性主要表现在以下方面：技术可行性。主要分析目标企业产品技术现状与规划是否符合公司战略，技术部门对目标公司实施的技术在行业内进行比选和评价，合理评估其技术先进性。经济可行性。 主要从企业理财的角度进行资本预算， 评价项目的财务盈利能力，预测项目投资回收期、净现值等财务指标。社会影响。主要从资源配置的角度衡量项目的价值， 评价项目在