外包风险管理工作评估报告.docx

外包风险管理工作评估报告

信息科技外包风险管理评估报告

XXXXXXXXXX局:

根据指引的文件精神，XXXX有序开展了信息安全外包风险管理工作，XXXX领导对管理系统十分重视，采取相关措施防范信息科技外包风险，认真落实有关规定。现就xxxx年度信息科技外包风险评估情况做如下总结：

一、信息科技外包战略执行情况：

（一）XXXX信息科技外包战略：XXXX以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的事前控制，保持管控力度；根据外包管理及技术发展趋势，持续改进外包策略和措施为基本战略，通过学习银监会发布的各项制度，结合自身情况实施信息科技外包风险管理。在信息科技外包过程中充分利用评估、排查等手段，建立信息科技外包风险管理体制，明确外包风险管理组织架构以及具体的职责分工，推进对重大信息安全和服务持续性等重点环节的监督，促进信息科技外包风险管理长效性的发展。

（二）执行情况：

1.XXXX为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。XXXX根据实际情况进行分工，风险管理部负责风险辨识、协助自查、编写制度、制作报告，信息部负责系统监测、制度设定、以及系统数据评估和风险识别。

立了《机房人员出入管理制度》、《机房设备管理办法》等制度，并加强做好出入人员登记、机房巡查等各项管理,定期对机房设备保养维护，加大机房巡检频次。

4.加强对网络接入的检查，只有通过相关部门申核，且符合防火墙、入侵检测等安全专用产品要求的方可接入。对于中心机房业务系统和网络运行都采取集中管理，建立了系统升级登记制度和文档保管制度。

（三）外包信息安全评估结果

根据外包信息安全检查等结果，XXXX第四季度对现有外包商进行风险评估，及时调整外包风险评级，对于评级结果在中级以上的外包商加强监管力度，及时汇报XXXX领导，并督促其进行整改。

综合xxxx年外包信息安全等各项检查结果，XXXX现有的11家外包商中并未发现存在外包信息安全风险，未就此情况对外包风险评级进行调整。

三、机构集中度:

当前，XXXX在应用系统托管、数据中心服务等某些领域形成了较高的外包服务集中度和行业依赖。

针对上述行业特点，XXXX对备选外包商进行初步筛选时，避免引入可能增加整体风险的外包商，强调分散信息科技外包风险的管理理念，降低机构集中度，减少对单一外包商的依赖。

截至xxxx年末，XXXX共与11家外包商签订总计11项外包服务合同，但不存在单一外包商或外包商集团提供1个以上服务项目的情况，达到了银监会所发布相关规定的基本要求，严格落实了有关信息科技外包风险的管理制度。今后，XXXX将继续保持现有外包商合作理念，将机构集中度控制在合理范围内。

四、服务连续性：

在服务连续性方面，XXXX对外包商的要求是确保故障发生后有足够的技术和服务设施(如技术支持、操作系统、网络、数据仓库、应用程序)来保证业务在可接受的时间范围内重新运作，保证业务的持续性。XXXX对于外包风险评级在中等以上的外包商，在今后项目招标中将不予以考虑。

XXXX为保证外包商达到上述要求，按季度对现有外包商的服务连续性实施检查，根据结果进行风险评估。

（一）评估方法：

根据合作类型将外包商分为：临时和长期两大类。

1.临时类：严格按照相关标准进行项目验收，发现问题立刻要求整改，根据具体情节调整该外包商的外包风险评级。

2.长期类：根据以下内容的处理结果调整外包风险评级。

（1）外包商对于安装、调试过程中出现的问题是否及时跟进。

（2）项目运行后，外包商是否及时应对XXXX业务部门反馈的情况，且始终保持良好合作关系。

（3）XXXX信息部定期安排系统检测，内容包括监控系统日志、检查运行报警等。

（二）服务连续性评估结果

XXXX对现有11家外包商进行检查，根据检查结果对其中2家的外包风险评级进行调整，具体情况如下：

1.北京XXXX信息技术有限公司的服务内容为弱电项目实施，属于短期完成的采购与实施项目。

项目招标时XXXX考虑到该公司是集团弱电项目实施方，在合作关系上具有一定优势，因此选择其提供的外包服务。由于外包商的配件来源多为代采购，无法保障过保后设备的维护，可能造成维修困难等问题，因此将其外包风险评级由较小调整到中等。

2.北京XXXX科技股份有限公司的服务内容为系统集成，属于短期完成的采购项目，且合同中有10%的质押金。由于项目系统实际使用过程中出现大量问题，质量无法达到规定标准，因此将其外包风险评级由中等调整为较大。

五、服务质量：

（一）XXXX结合现有外包商的实际情况，从三个方面对其服务质量进行评估。

1.项目服务时效

外包商是否在指定时间内完成计划内各项目进度；外包商对XXXX相关人员提出的问题能否及时响应。

2.解决方式、途径

外包商是否对X