外包风险管理工作评估报告.pdfVIP

外包风险管理工作评估报告

XXX:

根据指引的文件精神，XXXX有序开展了信息安全外包

风险管理工作，XXXX领导对管理系统十分重视，采取相关

措施防范信息科技外包风险，认真落实有关规定。现就xxxx

年度信息科技外包风险评估情况做如下总结：

一、信息科技外包战略执行情况：

一）XXXX信息科技外包战略：XXXX以不妨碍核心能

力建设、积极掌握关键技术为导向；保持外包风险、成本和效

益的平衡；强调外包风险的事前控制，保持管控力度；根据外

包管理及技术发展趋势，持续改进外包策略和措施为基本战略，

通过研究XXX发布的各项制度，结合自身情况实施信息科技

外包风险管理。在信息科技外包过程中充分利用评估、排查等

手段，建立信息科技外包风险管理体制，明确外包风险管理组

织架构以及具体的职责分工，推进对重大信息安全和服务持续

性等重点环节的监督，促进信息科技外包风险管理长效性的发

展。

二）执行情况：

1.XXXX为防范信息科技外包风险打算制定特地的信息科

技外包风险管理方案。XXXX按照实际情况进行分工，风险

管理部负责风险辨识、协助自查、编写制度、制作报告，信息

部负责系统监测、制度设定、以及系统数据评估和风险识别。

2.针对信息科技外包风险管理面临的风险，结合过往工作

经验，XXXX根据外包商的注册资金、项目经验、企业延续

性、过往合作关系等相关资质，在与外包商签订合作协议前对

其风险等级进行初步评估，具体评估标准如下：

等级

严重

较大

中等

注册资本VS合同金额

注册资本条约金额

注册资本=条约金额

条约金额注册资金

10亿

无经验

最近3年小于5个项目经验

最近3年小于20个项目经验

项目经验

企业发展延续性

运营情况

不顺畅

基本顺畅

健全

健全

健全

制度设定

不健全

根本健全

由集团采

顺畅

顺畅

顺畅

购招标组

协助评估

良好

良好

较好

资产报告

合作关系

口碑评价）

较差

尚可较小1亿注册资金10亿最近3年大于50个项目经

验

很小10亿注册资金市场份额大于30%

3.XXXX特地针对信息科技外包风险评估工作制定了《信

息科技外包风险评级表》，按照外包商项目服务期间及后期验

收的具体情况，结合本身信息科技专业知识，按季度对现有外

包商进行风险评估，并将评估结果记入该表。风险管理部按照

法律法规对风险评级表结果进行复核，撰写《信息科技外包风

险管理工作评估报告》，提出管理意见向XXXX管理层和

XXX汇报。

二、外包信息安全：

一）外包信息平安工作情况

1.信息安全组织管理：XXXX任命信息部XXX

为具体负责人，专职负责对外包商服务全过程进行管理。

2.日常信息平安管理：在人员管理上，认真落实《XXX

信息平安防护管理办法》的相关职责，实行“预防为主、综合

治理”、“制度防范和技术防范相结合”的准绳，制定了较为完

善的检查信息平安和保密义务制。

外包商提供服务期间的监督和管理工作由信息部负责，对

于重要涉密电脑和设备，严禁非授权人员打开运行。对于违反

信息安全管理制度规定造成信息安全事件的认真追究相关人员

责任。

3.信息平安防护管理：在办公计较机和挪动存储设备平安

防护上。采取集中平安管理措施，随时更新计较机账号口令设

置。计较机互联网实行了实名接入、对计较机IP和MAC地

址进行绑定、指定固定IP地址，并装置防病毒防护软件，定

期进行毛病扫描、病毒木马检测。杜绝在非涉密和涉密信息系

统间混用计较机和挪动存储设备,禁止使用了非涉密计较机处

置惩罚涉密信息等。

4.信息安全应急管理。为加强信息系统和网络安全运行，

我局制定了本部门信息安全应急预案，认真组织开展了相关培

训。

二）外包信息安全检查等方面的工作情况