外包風(fēng)險(xiǎn)管理工作評估報(bào)告

信息科技外包風(fēng)險(xiǎn)管理評估報(bào)告XXXXXXXXXX局:根據(jù)指引的文件精神，XXXX有序開展了信息安全外包風(fēng)險(xiǎn)管理工作，XXXX領(lǐng)導(dǎo)對管理系統(tǒng)十分重視，采取相關(guān)措施防范信息科技外包風(fēng)險(xiǎn)，認(rèn)真落實(shí)有關(guān)領(lǐng)導(dǎo)對管理系統(tǒng)十分重視，采取相關(guān)措施防范信息科技外包風(fēng)險(xiǎn)，認(rèn)真落實(shí)有關(guān)規(guī)定。現(xiàn)就xxxx年度信息科技外包風(fēng)險(xiǎn)評估情況做如下總結(jié)：一、信息科技外包戰(zhàn)略執(zhí)行情況：（一）XXXX信息科技外包戰(zhàn)略:XXXX以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；保持外包風(fēng)險(xiǎn)、成本和效益的平衡；強(qiáng)調(diào)外包風(fēng)險(xiǎn)的事前控制，保持管控力度；根據(jù)外包管理及技術(shù)發(fā)展趨勢，持續(xù)改進(jìn)外包策略和措施為基本戰(zhàn)略通過學(xué)習(xí)銀監(jiān)會(huì)發(fā)布的各項(xiàng)制度，結(jié)合自身情況實(shí)施信息科技外包風(fēng)險(xiǎn)管理。在信息科技外包過程中充分利用評估、排查等手段，建立信息科技外包風(fēng)險(xiǎn)管理體制明確外包風(fēng)險(xiǎn)管理組織架構(gòu)以及具體的職責(zé)分工，推進(jìn)對重大信息安全和服務(wù)持續(xù)性等重點(diǎn)環(huán)節(jié)的監(jiān)督，促進(jìn)信息科技外包風(fēng)險(xiǎn)管理長效性的發(fā)展。（二）執(zhí)行情況：XXXX為防范信息科技外包風(fēng)險(xiǎn)計(jì)劃制定專門的信息科技外包風(fēng)險(xiǎn)管理方案。XXXX根據(jù)實(shí)際情況進(jìn)行分工，風(fēng)險(xiǎn)管理部負(fù)責(zé)風(fēng)險(xiǎn)辨識(shí)、協(xié)助自查、編寫制度、制作報(bào)告，信息部負(fù)責(zé)系統(tǒng)監(jiān)測、制度設(shè)定、以及系統(tǒng)數(shù)據(jù)評估和風(fēng)險(xiǎn)識(shí)別。針對信息科技外包風(fēng)險(xiǎn)管理面臨的風(fēng)險(xiǎn)，結(jié)合過往工作經(jīng)驗(yàn)，XXXX根據(jù)外包商的注冊資金、項(xiàng)目經(jīng)驗(yàn)、企業(yè)延續(xù)性、過往合作關(guān)系等相關(guān)資質(zhì)，在與外包商簽訂合作協(xié)議前對其風(fēng)險(xiǎn)等級(jí)進(jìn)行初步評估，具體評估標(biāo)準(zhǔn)如下：等級(jí)注冊資本VS合同金額項(xiàng)目經(jīng)驗(yàn)企業(yè)發(fā)展延續(xù)性合作關(guān)系（口碑評價(jià)）運(yùn)營情況制度設(shè)定資產(chǎn)報(bào)告嚴(yán)重注冊資本<合同金額無經(jīng)驗(yàn)不順暢不健全由集團(tuán)采購招標(biāo)組協(xié)助評估較差較大注冊資本二合同金額最近3年小于5個(gè)項(xiàng)目經(jīng)驗(yàn)基本順暢基本健全尚可中等合同金額<注冊資金<10億最近3年小于20個(gè)項(xiàng)目經(jīng)驗(yàn)健全順暢較好較小1億<注冊資金<10億最近3年大于50個(gè)項(xiàng)目經(jīng)驗(yàn)健全順暢良好很小10億<注冊資金市場份額大于30%健全順暢良好XXXX專門針對信息科技外包風(fēng)險(xiǎn)評估工作制定了《信息科技外包風(fēng)險(xiǎn)評級(jí)表》，根據(jù)外包商項(xiàng)目服務(wù)期間及后期驗(yàn)收的具體情況，結(jié)合自身信息科技專業(yè)知識(shí)，按季度對現(xiàn)有外包商進(jìn)行風(fēng)險(xiǎn)評估，并將評估結(jié)果記入該表。風(fēng)險(xiǎn)管理部根據(jù)法律法規(guī)對風(fēng)險(xiǎn)評級(jí)表結(jié)果進(jìn)行復(fù)核，撰寫《信息科技外包風(fēng)險(xiǎn)管理工作評估報(bào)告》，提出管理意見向XXXX管理層和北京銀監(jiān)局匯報(bào)。二、外包信息安全：（一）外包信息安全工作情況1?信息安全組織管理：XXXX任命信息部XXX為具體負(fù)責(zé)人，專職負(fù)責(zé)對外包商服務(wù)全過程進(jìn)行管理。日常信息安全管理：在人員管理上，認(rèn)真落實(shí)《XX集團(tuán)財(cái)務(wù)有限公司信息安全防護(hù)管理辦法》的相關(guān)職責(zé)，實(shí)行“預(yù)防為主、綜合治理”、“制度防范和技術(shù)防范相結(jié)合”的原則，制定了較為完善的檢查信息安全和保密責(zé)任制。外包商提供服務(wù)期間的監(jiān)督和管理工作由信息部負(fù)責(zé)，對于重要涉密電腦和設(shè)備，嚴(yán)禁非授權(quán)人員打開運(yùn)行。對于違反信息安全管理制度規(guī)定造成信息安全事件的認(rèn)真追究相關(guān)人員責(zé)任。信息安全防護(hù)管理：在辦公計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備安全防護(hù)上。采取集中安全管理措施，隨時(shí)更新計(jì)算機(jī)賬號(hào)口令設(shè)置。計(jì)算機(jī)互聯(lián)網(wǎng)實(shí)行了實(shí)名接入、對計(jì)算機(jī)IP和MAC地址進(jìn)行綁定、指定固定IP地址，并安裝防病毒防護(hù)軟件，定期進(jìn)行漏洞掃描、病毒木馬檢測。杜絕在非涉密和涉密信息系統(tǒng)間混用計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備,禁止使用了非涉密計(jì)算機(jī)處理涉密信息等。信息安全應(yīng)急管理。為加強(qiáng)信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行，我局制定了本部門信息安全應(yīng)急預(yù)案，認(rèn)真組織開展了相關(guān)培訓(xùn)。二）外包信息安全檢查等方面的工作情況XXXX開展信息安全檢查，重點(diǎn)是中心機(jī)房系統(tǒng)及網(wǎng)絡(luò)設(shè)備安全防護(hù)，按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則逐級(jí)落實(shí)部門與個(gè)人信息安全責(zé)任制。加強(qiáng)了信息系統(tǒng)安全運(yùn)行管理制度檢查，對現(xiàn)有的各項(xiàng)信息安全管理制度進(jìn)行適時(shí)修改和動(dòng)態(tài)的完善，確保了對相關(guān)人員的規(guī)范和約束。XXXX定期檢查中心機(jī)房和配套環(huán)境的規(guī)劃、建設(shè)、改造與驗(yàn)收都是否符合國家、行業(yè)的建設(shè)規(guī)范，符合管理機(jī)構(gòu)的相關(guān)要求，建立了《機(jī)房人員出入管理制度》、《機(jī)房設(shè)備管理辦法》等制度，并加強(qiáng)做好出入人員登記、機(jī)房巡查等各項(xiàng)管理,定期對機(jī)房設(shè)備保養(yǎng)維護(hù)，加大機(jī)房巡檢頻次。加強(qiáng)對網(wǎng)絡(luò)接入的檢查，只有通過相關(guān)部門申核，且符合防火墻、入侵檢測等安全專用產(chǎn)品要求的方可接入。對于中心機(jī)房業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)運(yùn)行都采取集中管理，建立了系統(tǒng)升級(jí)登記制度和文檔保管制度。（三）外包信息安全評估結(jié)果根據(jù)外包信息安全檢查等結(jié)果，XXXX第四季度對現(xiàn)有外包商進(jìn)行風(fēng)險(xiǎn)評估，及時(shí)調(diào)整外包風(fēng)險(xiǎn)評級(jí)，對于評級(jí)結(jié)果在中級(jí)以上的外包商加強(qiáng)監(jiān)管力度，及時(shí)匯報(bào)XXXX領(lǐng)導(dǎo)，并督促其進(jìn)行整改。綜合xxxx年外包信息安全等各項(xiàng)檢查結(jié)果，XXXX現(xiàn)有的11家外包商中并未發(fā)現(xiàn)存在外包信息安全風(fēng)險(xiǎn)，未就此情況對外包風(fēng)險(xiǎn)評級(jí)進(jìn)行調(diào)整。三、機(jī)構(gòu)集中度:當(dāng)前，XXXX在應(yīng)用系統(tǒng)托管、數(shù)據(jù)中心服務(wù)等某些領(lǐng)域形成了較高的外包服務(wù)集中度和行業(yè)依賴。針對上述行業(yè)特點(diǎn)，XXXX對備選外包商進(jìn)行初步篩選時(shí)，避免引入可能增加整體風(fēng)險(xiǎn)的外包商，強(qiáng)調(diào)分散信息科技外包風(fēng)險(xiǎn)的管理理念，降低機(jī)構(gòu)集中度，減少對單一外包商的依賴。截至xxxx年末，XXXX共與11家外包商簽訂總計(jì)11項(xiàng)外包服務(wù)合同，但不存在單一外包商或外包商集團(tuán)提供1個(gè)以上服務(wù)項(xiàng)目的情況，達(dá)到了銀監(jiān)會(huì)所發(fā)布相關(guān)規(guī)定的基本要求，嚴(yán)格落實(shí)了有關(guān)信息科技外包風(fēng)險(xiǎn)的管理制度。今后，XXXX將繼續(xù)保持現(xiàn)有外包商合作理念，將機(jī)構(gòu)集中度控制在合理范圍內(nèi)。四、服務(wù)連續(xù)性：在服務(wù)連續(xù)性方面，XXXX對外包商的要求是確保故障發(fā)生后有足夠的技術(shù)和服務(wù)設(shè)施（如技術(shù)支持、操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)倉庫、應(yīng)用程序）來保證業(yè)務(wù)在可接受的時(shí)間范圍內(nèi)重新運(yùn)作，保證業(yè)務(wù)的持續(xù)性。XXXX對于外包風(fēng)險(xiǎn)評級(jí)在中等以上的外包商，在今后項(xiàng)目招標(biāo)中將不予以考慮。XXXX為保證外包商達(dá)到上述要求，按季度對現(xiàn)有外包商的服務(wù)連續(xù)性實(shí)施檢查，根據(jù)結(jié)果進(jìn)行風(fēng)險(xiǎn)評估。（一）評估方法：根據(jù)合作類型將外包商分為：臨時(shí)和長期兩大類。臨時(shí)類：嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)進(jìn)行項(xiàng)目驗(yàn)收，發(fā)現(xiàn)問題立刻要求整改，根據(jù)具體情節(jié)調(diào)整該外包商的外包風(fēng)險(xiǎn)評級(jí)。長期類：根據(jù)以下內(nèi)容的處理結(jié)果調(diào)整外包風(fēng)險(xiǎn)評級(jí)。（1）外包商對于安裝、調(diào)試過程中出現(xiàn)的問題是否及時(shí)跟進(jìn)。（2）項(xiàng)目運(yùn)行后，外包商是否及時(shí)應(yīng)對XXXX業(yè)務(wù)部門反饋的情況，且始終保持良好合作關(guān)系。（3）XXXX信息部定期安排系統(tǒng)檢測，內(nèi)容包括監(jiān)控系統(tǒng)日志、檢查運(yùn)行報(bào)警等。（二）服務(wù)連續(xù)性評估結(jié)果XXXX對現(xiàn)有11家外包商進(jìn)行檢查，根據(jù)檢查結(jié)果對其中2家的外包風(fēng)險(xiǎn)評級(jí)進(jìn)行調(diào)整，具體情況如下：1.北京XXXX信息技術(shù)有限公司的服務(wù)內(nèi)容為弱電項(xiàng)目實(shí)施，屬于短期完成的采購與實(shí)施項(xiàng)目。項(xiàng)目招標(biāo)時(shí)XXXX考慮到該公司是集團(tuán)弱電項(xiàng)目實(shí)施方，在合作關(guān)系上具有一定優(yōu)勢，因此選擇其提供的外包服務(wù)。由于外包商的配件來源多為代采購，無法保障過保后設(shè)備的維護(hù)，可能造成維修困難等問題，因此將其外包風(fēng)險(xiǎn)評級(jí)由較小調(diào)整到中等。2.北京XXXX科技股份有限公司的服務(wù)內(nèi)容為系統(tǒng)集成，屬于短期完成的采購項(xiàng)目，且合同中有10%的質(zhì)押金。由于項(xiàng)目系統(tǒng)實(shí)際使用過程中出現(xiàn)大量問題，質(zhì)量無法達(dá)到規(guī)定標(biāo)準(zhǔn)，因此將其外包風(fēng)險(xiǎn)評級(jí)由中等調(diào)整為較大。五、服務(wù)質(zhì)量：（一）XXXX結(jié)合現(xiàn)有外包商的實(shí)際情況，從三個(gè)方面對其服務(wù)質(zhì)量進(jìn)行評估。1.項(xiàng)目服務(wù)時(shí)效外包商是否在指定時(shí)間內(nèi)完成計(jì)劃內(nèi)各項(xiàng)目進(jìn)度；外包商對XXXX相關(guān)人員提出的問題能否及時(shí)響應(yīng)。2.解決方式、途徑外包商是否對XXXX提供多通道支持，包括：現(xiàn)場'Web、QQ'Email等；外包商提供的通道支持是否暢通，效果如何。項(xiàng)目實(shí)施水平由XXXX信息部進(jìn)行項(xiàng)目驗(yàn)收，評估項(xiàng)目成果是否達(dá)到使用要求，存在的問題是否能夠在合同規(guī)定時(shí)間內(nèi)整改。（二）服務(wù)質(zhì)量評估結(jié)果：1.北京威達(dá)泰克信息技術(shù)有限公司由較小調(diào)整為中等。2.北京華勝天成科技股份有限公司由中等調(diào)整為較大。六、政策及市場變化對外包服務(wù)的影響分析：xxxx年政策及市場變化對外包服務(wù)的影響主要有以下二點(diǎn)：（一）國家政策，金融機(jī)構(gòu)和政府機(jī)關(guān)減少使用XX、XXX、XXX等外國品牌，提倡使用XX、XX等國內(nèi)自主品牌。受此影響，外國企業(yè)的市場份額不斷下降，被迫提高現(xiàn)有產(chǎn)品單價(jià)。XXXX建立初期使用的設(shè)備多采購自XX、XXX等廠商，造成原有設(shè)備升級(jí)、配件采購成本出現(xiàn)不同程度上漲。（二）2013年，銀監(jiān)會(huì)組織自愿承諾加強(qiáng)服務(wù)規(guī)范化、接受聯(lián)合工作平臺(tái)風(fēng)險(xiǎn)監(jiān)督的外包服務(wù)機(jī)構(gòu)，發(fā)起建立銀行業(yè)信息科技外包服務(wù)合作組織。XXXX為得到更多服務(wù)保障，招標(biāo)時(shí)會(huì)更傾向于選擇組織內(nèi)成員單位，減少了招標(biāo)工作中的相關(guān)風(fēng)險(xiǎn)。七'XXXX核心技術(shù)外包風(fēng)險(xiǎn)XXXX核心業(yè)務(wù)采用XXX_XX系統(tǒng)，該系統(tǒng)由XXX公司負(fù)責(zé)開發(fā)，但XXXX對該系統(tǒng)僅擁有永久使用權(quán)，而沒有任何知識(shí)產(chǎn)權(quán)。因此，XXXX根據(jù)自身業(yè)務(wù)需求分批次上線相關(guān)業(yè)務(wù)模塊時(shí)， 會(huì)受到核心業(yè)務(wù)系統(tǒng)知識(shí)產(chǎn)權(quán)他有的制約，無法要求XXX向XXXX提供核心業(yè)務(wù)系統(tǒng)源代碼，對后續(xù)開發(fā)和使用可能造成業(yè)務(wù)連續(xù)性無法保障（雙方合作關(guān)系發(fā)生變化），系統(tǒng)安全存在風(fēng)險(xiǎn)（惡意代碼植入）等問題。八'XXXX年度信息科技外包風(fēng)險(xiǎn)評級(jí)結(jié)果匯總:合作外包風(fēng)合作外包風(fēng)公司名稱評估理由類型險(xiǎn)評級(jí)公司名稱評估理由類型險(xiǎn)評級(jí)XXXXXX長期很小專線。大型國有壟斷企業(yè)，頭力雄厚，技術(shù)專業(yè)XXXXXX長期很小專線。大型國有壟斷企業(yè)，頭力雄厚，技術(shù)專業(yè)

XXXXXX長期很小專線。大型國有壟斷企業(yè)，頭力雄厚，技術(shù)專業(yè)XXXXXX長期很小專線。大型國有壟斷企業(yè)，頭力雄厚，技術(shù)專業(yè)xxxxxx長期很小核心業(yè)務(wù)系統(tǒng)。在全國XXXX核心系統(tǒng)領(lǐng)域市場份額超過50%，專業(yè)性強(qiáng)，經(jīng)驗(yàn)豐富xxxxxx臨時(shí)較小空調(diào)維保。制冷設(shè)備維護(hù)經(jīng)驗(yàn)豐富，同時(shí)也是集團(tuán)空調(diào)維保服務(wù)供應(yīng)商，項(xiàng)目金額較小xxxxxx臨時(shí)較小系統(tǒng)集成。屬于短期完成的采購項(xiàng)目，另外合同中有5%的質(zhì)押金。項(xiàng)目金額較小15萬內(nèi)。XXXXXX臨時(shí)中等團(tuán)弱電項(xiàng)目實(shí)施方，風(fēng)險(xiǎn)來自過保后設(shè)備的維護(hù)，很多是代XXXXXX臨時(shí)中等團(tuán)弱電項(xiàng)目實(shí)施方，風(fēng)險(xiǎn)來自過保后設(shè)備的維護(hù)，很多是代采購的，如果有問題維修困難。光纖線路。技術(shù)不復(fù)雜，維修簡單。屬于一次性采購。XXXXXX臨時(shí)較小XXXXXX臨時(shí)較小公司技術(shù)專業(yè)與技術(shù)頭力強(qiáng)XXXXXX臨時(shí)較小運(yùn)維軟件。一次性采購與實(shí)施?；緹o二次開發(fā)需求。XXXXXX臨時(shí)較小運(yùn)維軟件。一次性采購與實(shí)施?；緹o二次開發(fā)需求。系統(tǒng)集成。屬于短期完成的采購項(xiàng)目，另外合同中有XXXXXX臨時(shí)較大10%XXXXXX臨時(shí)較大10%的質(zhì)押金。但實(shí)際情況已經(jīng)出現(xiàn)很多問題，但依托信息部專業(yè)技術(shù)已經(jīng)處理完畢，或者達(dá)到可控范圍。硬件維保。企業(yè)資質(zhì)雖然平平，但是在XXXX存了大量XXXXXX臨時(shí)較小XXXXXX臨時(shí)較小的配件，可以作為保障。公司在合作方面很有誠意。XXXXXX臨時(shí)較小系統(tǒng)集成。屬于短期完成的采購項(xiàng)目，另外