《金融信息科技外包风险管理能力成熟度模型与评估》征求意见稿_编制说明.pdf

中国计算机用户协会团体标准《金融信息科技外包风险管理

能力成熟度模型与评估》（征求意见稿）编制说明

一、标准编制的背景

2019年4月19日中国计算机用户协会批准发布《金融信息科技服务外包风

险管理能力成熟度评估规范》团体标准公告，并于2019年5月19日起实施。该

标准规定了金融信息科技服务外包管理体系总体要求，定义了发包方和承包方成

熟度分级和评估的基本原则和流程。该标准发布以来，对规范金融信息科技外包

活动，提高外包活动治理水平，防范外包活动风险发挥了积极作用。

该标准草案完成后的两三年时间，国际国内环境发生深刻变化，外包领域新

内容新模式新风险不断出现。2020年10月银保监会发布新的外包管理制度征求

意见稿，并于2021年12月30日正式发布，原标准未包括相关方面的内容。同

时，标准发布以来，会员单位在标准实施中提出进一步制定实施细则，提高可操

作性的具体要求，需要对原标准进行相应补充。中国计算机用户协会信息科技审

计分会经过认真研究，拟对标准进行修订。

二、任务来源

本标准由中国计算机用户协会提出并归口。2020年12月29日正式通过中

国计算机用户协会立项审核，计划号为T/CCUALX005-2020。该标准由信息科技

审计分会牵头并联合招商银行股份有限公司、华夏银行股份有限公司、中国农业

发展银行、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行

股份有限公司、交通银行股份有限公司、中国邮政储蓄银行股份有限公司、上海

浦东发展银行股份有限公司、广州银行股份有限公司、赣州银行股份有限公司、

九江银行股份有限公司、洛阳银行股份有限公司、泰安银行股份有限公司、江西

裕民银行股份有限公司、北京农村商业银行股份有限公司、广东省农村信用社联

合社、贵州省农村信用社联合社、中国人寿财产保险股份有限公司、中国银河证

券股份有限公司、山东重工集团财务有限公司、山东省城市商业银行合作联盟有

限公司、太平金融稽核服务（深圳）有限公司、中治研（北京）国际信息技术研

究院、国家电子计算机质量监督检验中心、上海市锦天城（北京）律师事务所、深圳

正一会计师事务所（特殊普通合）等单位共同编制。

三、编制过程

本标准编制主要经过以下几个阶段：

1.2020年11月分会提交《金融信息科技服务外包风险管理能力成熟度评估

规范》制修订申报书，中国计算机用户协会标准委会于2020年12月29日组织

专家评审对分会提交的申报书进行立项论证并通过，修改标准名称为《金融信息

科技外包风险管理能力成熟度模型与评估》。

2.2020年12月，分会下发《关于开展金融信息科技外包风险管理调研活动

的通知》，本次问卷调研活动结合中国银保监会《银行保险机构信息科技外包风

险监管办法（征求意见稿）》和2019年中国计算机用户协会《金融信息科技服

务外包风险管理能力成熟度评估规范》的相关内容开展，主要涉及总体情况、外

包治理、外包分类分级、外包准入、监控评价、风险管理、工作建议等方面共计

38个问题。调研问卷发布后，两周内收到了来自银行、保险、证券、金融科技

企业、第三方咨询机构等领域的83份单位会员的反馈答卷，经组织专家对调研

结果进行整理分析，形成了《2020-2021年金融行业信息科技外包风险管理调研

报告》，为《金融信息科技服务外包风险管理能力成熟度评估规范》标准修订提

供了较充实的参考依据。

3.2021年3月信息科技审计分会召集招商银行股份有限公司、华夏银行股

份有限公司、中国农业发展银行、中治研（北京）国际信息技术研究院等单位标

准专家，正式启动《金融信息科技外包风险管理能力成熟度模型与评估》编制项

目，并组成由银行业和产业界相关专家组成的标准编制小组。

4.2021年4月，标准编制小组发布《关于标准起草分工情况的通知》，将

标准起草划分为总体部分、发包方部分、承包方部分和评估部分四个小组，分别

制定起草专家和负责人。

5.2021年6月，四个小组经过内部讨论，形成各部分标准草稿。同年9月，

标准编制小组形成《金融信息科技外包风险管理能力成熟度模型与评估》草稿。

6.2021年12月，因疫情原因向中国计算机用户协会标准委会提交了《金融

信息科技外包风险管理能力成熟度模型与评估》团体标准项目延期说明并得到了

回复。

7.2022年5月，分会邀请标准化、金融科技、第三方机构等方面的专家共

同对《金融信息科技外包风险管理能力成熟度模型与评估》草稿进行了评审，根

据评审意见