外包風(fēng)險(xiǎn)管理工作評價(jià)報(bào)告x

1、信息科技外包風(fēng)險(xiǎn)管理評估報(bào)告XXXXXXXXXX 局:根據(jù)指引的文件精神， XXXX 有序開展了信息安全外包風(fēng)險(xiǎn)管理 工作， XXXX 領(lǐng)導(dǎo)對管理系統(tǒng)十分重視，采取相關(guān)措施防范信息科技 外包風(fēng)險(xiǎn)，認(rèn)真落實(shí)有關(guān)規(guī)定?，F(xiàn)就 xxxx 年度信息科技外包風(fēng)險(xiǎn)評 估情況做如下總結(jié)：一、信息科技外包戰(zhàn)略執(zhí)行情況 ：（一）XXXX信息科技外包戰(zhàn)略：XXXX以不妨礙核心能力建設(shè)、 積極掌握關(guān)鍵技術(shù)為導(dǎo)向；保持外包風(fēng)險(xiǎn)、成本和效益的平衡；強(qiáng)調(diào) 外包風(fēng)險(xiǎn)的事前控制， 保持管控力度；根據(jù)外包管理及技術(shù)發(fā)展趨勢， 持續(xù)改進(jìn)外包策略和措施為基本戰(zhàn)略， 通過學(xué)習(xí)銀監(jiān)會(huì)發(fā)布的各項(xiàng)制 度，結(jié)合自身情況實(shí)施信息科技外包風(fēng)險(xiǎn)管理

2、。 在信息科技外包過程 中充分利用評估、排查等手段，建立信息科技外包風(fēng)險(xiǎn)管理體制，明 確外包風(fēng)險(xiǎn)管理組織架構(gòu)以及具體的職責(zé)分工， 推進(jìn)對重大信息安全 和服務(wù)持續(xù)性等重點(diǎn)環(huán)節(jié)的監(jiān)督， 促進(jìn)信息科技外包風(fēng)險(xiǎn)管理長效性 的發(fā)展。（二）執(zhí)行情況：1. XXXX 為防范信息科技外包風(fēng)險(xiǎn)計(jì)劃制定專門的信息科技外包 風(fēng)險(xiǎn)管理方案。 XXXX 根據(jù)實(shí)際情況進(jìn)行分工，風(fēng)險(xiǎn)管理部負(fù)責(zé)風(fēng)險(xiǎn) 辨識(shí)、協(xié)助自查、編寫制度、制作報(bào)告，信息部負(fù)責(zé)系統(tǒng)監(jiān)測、制度 設(shè)定、以及系統(tǒng)數(shù)據(jù)評估和風(fēng)險(xiǎn)識(shí)別。2. 針對信息科技外包風(fēng)險(xiǎn)管理面臨的風(fēng)險(xiǎn)，結(jié)合過往工作經(jīng)驗(yàn)，XXXX根據(jù)外包商的注冊資金、項(xiàng)目經(jīng)驗(yàn)、企業(yè)延續(xù)性、過往合作關(guān) 系等相關(guān)

3、資質(zhì)，在與外包商簽訂合作協(xié)議前對其風(fēng)險(xiǎn)等級(jí)進(jìn)行初步評 估，具體評估標(biāo)準(zhǔn)如下：等級(jí)注冊資本VS合同金額項(xiàng)目經(jīng)驗(yàn)企業(yè)發(fā)展延續(xù)性合作關(guān)系（口碑評價(jià)）運(yùn)營情況制度設(shè)定資產(chǎn)報(bào)告嚴(yán)重注冊資本 < 合同金額無經(jīng)驗(yàn)不順暢不健全由集團(tuán)采 購招標(biāo)組 協(xié)助評估較差較大注冊資本=合同金額最近3年小于5個(gè)項(xiàng)目經(jīng)驗(yàn)基本順暢基本健全尚可中等合同金額 < 注冊資金<10億最近3年小于20個(gè)項(xiàng)目經(jīng)驗(yàn)健全順暢較好較小1億 < 注冊資金< 10億最近3年大于50個(gè)項(xiàng)目經(jīng)驗(yàn)健全順暢良好很小10億 < 注冊資金市場份額大于30%健全順暢良好3. XXXX專門針對信息科技外包風(fēng)險(xiǎn)評估工作制定了信息科技

4、外包風(fēng)險(xiǎn)評級(jí)表，根據(jù)外包商項(xiàng)目服務(wù)期間及后期驗(yàn)收的具體情況， 結(jié)合自身信息科技專業(yè)知識(shí)，按季度對現(xiàn)有外包商進(jìn)行風(fēng)險(xiǎn)評估， 并 將評估結(jié)果記入該表。風(fēng)險(xiǎn)管理部根據(jù)法律法規(guī)對風(fēng)險(xiǎn)評級(jí)表結(jié)果進(jìn) 行復(fù)核，撰寫信息科技外包風(fēng)險(xiǎn)管理工作評估報(bào)告，提出管理意 見向XXXX管理層和北京銀監(jiān)局匯報(bào)。二、外包信息安全：（一）外包信息安全工作情況1. 信息安全組織管理：XXXX任命信息部XXX為具體負(fù)責(zé)人，專職負(fù)責(zé)對外包商服務(wù)全過程進(jìn)行管理。2. 日常信息安全管理：在人員管理上，認(rèn)真落實(shí) XX集團(tuán)財(cái)務(wù)有限公司信息安全防護(hù)管理辦法的相關(guān)職責(zé)，實(shí)行“預(yù)防為主、綜 合治理”、“制度防范和技術(shù)防范相結(jié)合”的原則，制定了較為

5、完善的 檢查信息安全和保密責(zé)任制。外包商提供服務(wù)期間的監(jiān)督和管理工作由信息部負(fù)責(zé)， 對于重要 涉密電腦和設(shè)備， 嚴(yán)禁非授權(quán)人員打開運(yùn)行。 對于違反信息安全管理 制度規(guī)定造成信息安全事件的認(rèn)真追究相關(guān)人員責(zé)任。3. 信息安全防護(hù)管理： 在辦公計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備安全防護(hù)上。 采取集中安全管理措施， 隨時(shí)更新計(jì)算機(jī)賬號(hào)口令設(shè)置。 計(jì)算機(jī)互聯(lián) 網(wǎng)實(shí)行了實(shí)名接入、對計(jì)算機(jī) IP 和 MAC 地址進(jìn)行綁定、指定固定 IP 地址，并安裝防病毒防護(hù)軟件， 定期進(jìn)行漏洞掃描、 病毒木馬檢測。 杜絕在非涉密和涉密信息系統(tǒng)間混用計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備 , 禁止 使用了非涉密計(jì)算機(jī)處理涉密信息等。4. 信息安全應(yīng)急管

6、理。為加強(qiáng)信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行，我局制 定了本部門信息安全應(yīng)急預(yù)案，認(rèn)真組織開展了相關(guān)培訓(xùn)。（二）外包信息安全檢查等方面的工作情況1. XXXX 開展信息安全檢查，重點(diǎn)是中心機(jī)房系統(tǒng)及網(wǎng)絡(luò)設(shè)備安 全防護(hù)，按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原 則，逐級(jí)落實(shí)部門與個(gè)人信息安全責(zé)任制。2. 加強(qiáng)了信息系統(tǒng)安全運(yùn)行管理制度檢查， 對現(xiàn)有的各項(xiàng)信息安 全管理制度進(jìn)行適時(shí)修改和動(dòng)態(tài)的完善， 確保了對相關(guān)人員的規(guī)范和 約束。3. XXXX 定期檢查中心機(jī)房和配套環(huán)境的規(guī)劃、建設(shè)、改造與驗(yàn)收都是否符合國家、行業(yè)的建設(shè)規(guī)范，符合管理機(jī)構(gòu)的相關(guān)要求，建 立了機(jī)房人員出入管理制度 、機(jī)房設(shè)備管理辦

7、法等制度，并加 強(qiáng)做好出入人員登記、機(jī)房巡查等各項(xiàng)管理 ,定期對機(jī)房設(shè)備保養(yǎng)維 護(hù)，加大機(jī)房巡檢頻次。4. 加強(qiáng)對網(wǎng)絡(luò)接入的檢查，只有通過相關(guān)部門申核，且符合防火 墻、入侵檢測等安全專用產(chǎn)品要求的方可接入。 對于中心機(jī)房業(yè)務(wù)系 統(tǒng)和網(wǎng)絡(luò)運(yùn)行都采取集中管理， 建立了系統(tǒng)升級(jí)登記制度和文檔保管 制度。（三）外包信息安全評估結(jié)果根據(jù)外包信息安全檢查等結(jié)果， XXXX 第四季度對現(xiàn)有外包商進(jìn) 行風(fēng)險(xiǎn)評估， 及時(shí)調(diào)整外包風(fēng)險(xiǎn)評級(jí)， 對于評級(jí)結(jié)果在中級(jí)以上的外 包商加強(qiáng)監(jiān)管力度，及時(shí)匯報(bào) XXXX 領(lǐng)導(dǎo)，并督促其進(jìn)行整改。綜合 xxxx 年外包信息安全等各項(xiàng)檢查結(jié)果， XXXX 現(xiàn)有的 11 家 外包商中

8、并未發(fā)現(xiàn)存在外包信息安全風(fēng)險(xiǎn)， 未就此情況對外包風(fēng)險(xiǎn)評 級(jí)進(jìn)行調(diào)整。三、機(jī)構(gòu)集中度 :當(dāng)前， XXXX 在應(yīng)用系統(tǒng)托管、數(shù)據(jù)中心服務(wù)等某些領(lǐng)域形成了 較高的外包服務(wù)集中度和行業(yè)依賴。針對上述行業(yè)特點(diǎn)， XXXX 對備選外包商進(jìn)行初步篩選時(shí)，避免 引入可能增加整體風(fēng)險(xiǎn)的外包商， 強(qiáng)調(diào)分散信息科技外包風(fēng)險(xiǎn)的管理 理念，降低機(jī)構(gòu)集中度，減少對單一外包商的依賴。截至xxxx年末，XXXX共與11家外包商簽訂總計(jì)11項(xiàng)外包服務(wù)合同，但不存在單一外包商或外包商集團(tuán)提供 1 個(gè)以上服務(wù)項(xiàng)目的 情況，達(dá)到了銀監(jiān)會(huì)所發(fā)布相關(guān)規(guī)定的基本要求， 嚴(yán)格落實(shí)了有關(guān)信 息科技外包風(fēng)險(xiǎn)的管理制度。今后， XXXX 將繼續(xù)保

9、持現(xiàn)有外包商合 作理念，將機(jī)構(gòu)集中度控制在合理范圍內(nèi)。四、服務(wù)連續(xù)性 ：在服務(wù)連續(xù)性方面， XXXX 對外包商的要求是確保故障發(fā)生后有 足夠的技術(shù)和服務(wù)設(shè)施 （如技術(shù)支持、操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)倉庫、 應(yīng)用程序 ）來保證業(yè)務(wù)在可接受的時(shí)間范圍內(nèi)重新運(yùn)作，保證業(yè)務(wù)的 持續(xù)性。 XXXX 對于外包風(fēng)險(xiǎn)評級(jí)在中等以上的外包商，在今后項(xiàng)目 招標(biāo)中將不予以考慮。XXXX 為保證外包商達(dá)到上述要求， 按季度對現(xiàn)有外包商的服務(wù) 連續(xù)性實(shí)施檢查，根據(jù)結(jié)果進(jìn)行風(fēng)險(xiǎn)評估。（一）評估方法： 根據(jù)合作類型將外包商分為：臨時(shí)和長期兩大類。1. 臨時(shí)類：嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)進(jìn)行項(xiàng)目驗(yàn)收，發(fā)現(xiàn)問題立刻要求 整改，根據(jù)具體情節(jié)調(diào)整

10、該外包商的外包風(fēng)險(xiǎn)評級(jí)。2. 長期類：根據(jù)以下內(nèi)容的處理結(jié)果調(diào)整外包風(fēng)險(xiǎn)評級(jí)。 （1）外包商對于安裝、調(diào)試過程中出現(xiàn)的問題是否及時(shí)跟進(jìn)。（2 ）項(xiàng)目運(yùn)行后，外包商是否及時(shí)應(yīng)對 XXXX 業(yè)務(wù)部門反饋的 情況，且始終保持良好合作關(guān)系。（3 ）XXXX 信息部定期安排系統(tǒng)檢測， 內(nèi)容包括監(jiān)控系統(tǒng)日志、 檢查運(yùn)行報(bào)警等。（二）服務(wù)連續(xù)性評估結(jié)果XXXX 對現(xiàn)有 11 家外包商進(jìn)行檢查，根據(jù)檢查結(jié)果對其中 2 家的外包風(fēng)險(xiǎn)評級(jí)進(jìn)行調(diào)整，具體情況如下：1. 北京 XXXX 信息技術(shù)有限公司的服務(wù)內(nèi)容為弱電項(xiàng)目實(shí)施， 屬 于短期完成的采購與實(shí)施項(xiàng)目。項(xiàng)目招標(biāo)時(shí) XXXX 考慮到該公司是集團(tuán)弱電項(xiàng)目實(shí)施方，

11、 在合作 關(guān)系上具有一定優(yōu)勢， 因此選擇其提供的外包服務(wù)。 由于外包商的配 件來源多為代采購， 無法保障過保后設(shè)備的維護(hù)， 可能造成維修困難 等問題，因此將其外包風(fēng)險(xiǎn)評級(jí)由較小調(diào)整到中等。2. 北京 XXXX 科技股份有限公司的服務(wù)內(nèi)容為系統(tǒng)集成， 屬于短 期完成的采購項(xiàng)目，且合同中有 10% 的質(zhì)押金。由于項(xiàng)目系統(tǒng)實(shí)際 使用過程中出現(xiàn)大量問題， 質(zhì)量無法達(dá)到規(guī)定標(biāo)準(zhǔn)， 因此將其外包風(fēng) 險(xiǎn)評級(jí)由中等調(diào)整為較大。五、服務(wù)質(zhì)量 ：（一） XXXX 結(jié)合現(xiàn)有外包商的實(shí)際情況，從三個(gè)方面對其服務(wù) 質(zhì)量進(jìn)行評估。1.項(xiàng)目服務(wù)時(shí)效 外包商是否在指定時(shí)間內(nèi)完成計(jì)劃內(nèi)各項(xiàng)目進(jìn)度；外包商對XXXX 相關(guān)人員提出

12、的問題能否及時(shí)響應(yīng)。2.解決方式、途徑外包商是否對XXXX提供多通道支持，包括：現(xiàn)場、Web、QQ、Email 等；外包商提供的通道支持是否暢通，效果如何。3. 項(xiàng)目實(shí)施水平由 XXXX 信息部進(jìn)行項(xiàng)目驗(yàn)收， 評估項(xiàng)目成果是否達(dá)到使用要求， 存在的問題是否能夠在合同規(guī)定時(shí)間內(nèi)整改。（二）服務(wù)質(zhì)量評估結(jié)果：1.北京威達(dá)泰克信息技術(shù)有限公司由較小調(diào)整為中等。2.北京華勝天成科技股份有限公司由中等調(diào)整為較大。六、政策及市場變化對外包服務(wù)的影響分析 ： xxxx 年政策及市場變化對外包服務(wù)的影響主要有以下二點(diǎn)： （一）國家政策， 金融機(jī)構(gòu)和政府機(jī)關(guān)減少使用 XX、XXX、XXX 等外國品牌，提倡使用

13、XX、XX 等國內(nèi)自主品牌。受此影響，外國企 業(yè)的市場份額不斷下降，被迫提高現(xiàn)有產(chǎn)品單價(jià)。 XXXX 建立初期使 用的設(shè)備多采購自 XX、XXX 等廠商，造成原有設(shè)備升級(jí)、配件采購 成本出現(xiàn)不同程度上漲。（二） 2013 年，銀監(jiān)會(huì)組織自愿承諾加強(qiáng)服務(wù)規(guī)范化、接受聯(lián) 合工作平臺(tái)風(fēng)險(xiǎn)監(jiān)督的外包服務(wù)機(jī)構(gòu)， 發(fā)起建立銀行業(yè)信息科技外包 服務(wù)合作組織。 XXXX 為得到更多服務(wù)保障，招標(biāo)時(shí)會(huì)更傾向于選擇 組織內(nèi)成員單位，減少了招標(biāo)工作中的相關(guān)風(fēng)險(xiǎn)。七、XXXX 核心技術(shù)外包風(fēng)險(xiǎn)XXXX核心業(yè)務(wù)采用XXX_XX系統(tǒng)，該系統(tǒng)由XXX公司負(fù)責(zé)開發(fā)， 但 XXXX 對該系統(tǒng)僅擁有永久使用權(quán)，而沒有任何知識(shí)產(chǎn)權(quán)

14、。因此， XXXX 根據(jù)自身業(yè)務(wù)需求分批次上線相關(guān)業(yè)務(wù)模塊時(shí)， 會(huì)受到核心業(yè) 務(wù)系統(tǒng)知識(shí)產(chǎn)權(quán)他有的制約， 無法要求 XXX 向 XXXX 提供核心業(yè)務(wù)系 統(tǒng)源代碼，對后續(xù)開發(fā)和使用可能造成業(yè)務(wù)連續(xù)性無法保障 （雙方合作關(guān)系發(fā)生變化），系統(tǒng)安全存在風(fēng)險(xiǎn)（惡意代碼植入）等問題。八、XXXX年度信息科技外包風(fēng)險(xiǎn)評級(jí)結(jié)果匯總：公司名稱合作類型外包風(fēng)險(xiǎn)評級(jí)評估理由XXXXXX長期很小專線。大型國有壟斷企業(yè)，頭力雄厚，技術(shù)專業(yè)XXXXXX長期很小專線。大型國有壟斷企業(yè)，頭力雄厚，技術(shù)專業(yè)XXXXXX長期很小核心業(yè)務(wù)系統(tǒng)。在全國XXXX核心系統(tǒng)領(lǐng)域市場份額超過50%，專業(yè)性強(qiáng)，經(jīng)驗(yàn)豐富XXXXXX臨時(shí)較小空

15、調(diào)維保。制冷設(shè)備維護(hù)經(jīng)驗(yàn)豐富，同時(shí)也是集團(tuán)空調(diào)維保服務(wù)供應(yīng)商，項(xiàng)目金額較小XXXXXX臨時(shí)較小系統(tǒng)集成。屬于短期完成的采購項(xiàng)目，另外合同中有5% 的質(zhì)押金。項(xiàng)目金額較小15萬內(nèi)。弱電項(xiàng)目實(shí)施。屬于短期完成的采購與實(shí)施項(xiàng)目。同時(shí)XXXXXX臨時(shí)中等是集團(tuán)弱電項(xiàng)目實(shí)施方，風(fēng)險(xiǎn)來自過保后設(shè)備的維護(hù)，很多是代采購的，如果有問題維修困難。XXXXXX臨時(shí)較小光纖線路。技術(shù)不復(fù)雜，維修簡單。屬于一次性采購。公司技術(shù)專業(yè)與技術(shù)頭力強(qiáng)XXXXXX臨時(shí)較小運(yùn)維軟件。一次性采購與實(shí)施。基本無二次開發(fā)需求。系統(tǒng)集成。屬于短期完成的采購項(xiàng)目，另外合同中有XXXXXX臨時(shí)較大10%的質(zhì)押金。但實(shí)際情況已經(jīng)出現(xiàn)很多問題，但依托信息部專業(yè)技術(shù)已經(jīng)處理完畢，或者達(dá)到可控范圍。XXXXXX臨時(shí)較小硬件維保。企業(yè)資質(zhì)雖然平平，但是在 XXXX存了大量的配件，可以作為保障。公司在合作方面很有誠意。XXXXXX臨