外包风险管理工作评估报告

信息科技外包风险管理评估报告

XXXXXXXXXB:

根据指引的文件精神，XXXX有序开展了信息安全外包风险管理工作，XXXX 领导对管理系统十分重视，采取相关措施防范信息科技外包风险，认真落实有关规定。现就XXXX年度信息科技外包风险评估情况做如下总结：

一、信息科技外包战略执行情况：

（一）XXXX信息科技外包战略：XXXX以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的事前控制，保持管控力度；根据外包管理及技术发展趋势，持续改进外包策略和措施为基本战略，通过学习银监会发布的各项制度，结合自身情况实施信息科技外包风险管理。在信息科技外包过程中充分利用评估、排查等手段，建立信息科技外包风险管理体制，明确外包风险管理组织架构以及具体的职责分工，推进对重大信息安全和服务持续性等重点环节的监督，促进信息科技外包风险管理长效性的发展。

（二）执行情况：

1.XXXX为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。XXXX根据实际情况进行分工，风险管理部负责风险辨识、协助自查、编写制度、制作报告，信息部负责系统监测、制度设定、以及系统数据评估和风险识别。

2.针对信息科技外包风险管理面临的风险，结合过往工作经验，XXXX根据外包商的注册资金、项目经验、企业延续性、过往合作关系等相关资质，在与外

包商签订合作协议前对其风险等级进行初步评估，具体评估标准如下：

3.XXXX专门针对信息科技外包风险评估工作制定了《信息科技

外包风险评级表》，根据外包商项目服务期间及后期验收的具体情况,

结合自身信息科技专业知识，按季度对现有外包商进行风险评估，并将评估结果记入该表。风险管理部根据法律法规对风险评级表结果进行复核，撰写《信息科技外包风险管理工作评估报告》，提出管理意见向XXXX f理层和北京银监局汇报。

二、外包信息安全：

（一）外包信息安全工作情况

1.信息安全组织管理：XXXXS命信息部XXX

为具体负责人，专职负责对外包商服务全过程进行管理。

2.日常信息安全管理：在人员管理上，认真落实《XX集团财务有限公司信息安全防护管理办法》的相关职责，实行“预防为主、综

合治理”、“制度防范和技术防范相结合”的原则，制定了较为完善的

检查信息安全和保密责任制。

外包商提供服务期间的监督和管理工作由信息部负责，对于重要涉密电脑

和设备，严禁非授权人员打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。

3.信息安全防护管理：在办公计算机和移动存储设备安全防护

上。采取集中安全管理措施，随时更新计算机账号口令设置。计算机

互联网实行了实名接入、对计算机IP和MAC fe址进行绑定、指定固定IP地址，并安装防病毒防护软件，定期进行漏洞扫描、病毒木马检测。杜绝在非涉密和涉密信息系统间混用计算机和移动存储设备，

禁止使用了非涉密计算机处理涉密信息等。

4.信息安全应急管理。为加强信息系统和网络安全运行，我局制定了本部门信息安全应急预案，认真组织开展了相关培训。

（二）外包信息安全检查等方面的工作情况

1.XXXX开展信息安全检查，重点是中心机房系统及网络设备安全防护，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任制。

2.加强了信息系统安全运行管理制度检查，对现有的各项信息安全管理制度进行适时修改和动态的完善，确保了对相关人员的规范和约束。

3.XXXX定期检查中心机房和配套环境的规划、建设、改造与验收都是否符合国家、行业的建设规范，符合管理机构的相关要求，建立了《机房人员出入管理制度》、《机房设备管理办法》等制度，并加强做好出入人员登记、机房巡查等各项管理，定期对机房设备保养维护，加大机房巡检频次。

4.加强对网络接入的检查，只有通过相关部门申核，且符合防火墙、入侵检测等安全专用产品要求的方可接入。对于中心机房业务系统和网络运行都采取集中管理，建立了系统升级登记制度和文档保管制度。

（三）外包信息安全评估结果

根据外包信息安全检查等结果，XXXX第四季度对现有外包商进行风险评估，及时调整外包风险评级，对于评级结果在中级以上的外包商加强监管力度，及时汇报XXXX领导，并督促其进行整改。

综合XXXX年外包信息安全等各项检查结果，XXXX现有的11家外包商中并未发现存在外包信息安全风险，未就此情况对外包风险评级进行调整。

三、机构集中度：

当前，XXXX在应用系统托管、数据中心服务等某些领域形成了较高的外包服务集中度和行业依赖。

针对上述行业特点，XXXX对备选外包商进行初步筛选时，避免引入可能增加整体风险的外包商，强调分散信息科技外包风险的管理理念，降低机构集中度，减少对单一外包商的依赖。

截至XXXX年末，XXXX共与11家外包商签订总计11项外包服务合同，但不存在单一外包商或外包商集团提供1个以上服务项目的情况，达到了银监会所发

布相关规定的基本要求，严格落实了有关信息

科技外包风险的管理制度。今后，XXXX将继续保持现有外包商合作理念，将机构集中度控制在合理范围内。

四、服务连续性：

在服务连续性方面，XXXX对外包商的要求是确保故障发生后有足够的技术和服务设施（如技术支持、操作系统、网络、数据仓库、应用程序）来保证业务在可接受的时间范围内重新运作，保证业务的持续性。XXXX对于外包风险评级在中等以上的外包商，在今后项目招标中将不予以考虑。

XXXX为保证外包商达到上述要求，按季度对现有外包商的服务连续性实施检

查，根据结果进行风险评估。

（一）评估方法：

根据合作类型将外包商分为：临时和长期两大类。

1•临时类：严格按照相关标准进行项目验收，发现问题立刻要求整改，根据具体情节调整该外包商的外包风险评级。

2.长期类：根据以下内容的处理结果调整外包风险评级。

（1）外包商对于安装、调试过程中出现的问题是否及时跟进。

（2）项目运行后，外包商是否及时应对XXX）业务部门反馈的情况，且始终保持良好合作关系。

（3）XXXX言息部定期安排系统检测，内容包括监控系统日志、检查运行报警等。

（二）服务连续性评估结果

XXXX寸现有11家外包商进行检查，根据检查结果对其中2家的外包风险评级进行调整，具体情况如下：

1.北京XXXX信息技术有限公司的服务内容为弱电项目实施，属于短期完成的采购与实施项目。

项目招标时XXXX考虑到该公司是集团弱电项目实施方，在合作

关系上具有一定优势，因此选择其提供的外包服务。由于外包商的配件来源多为代采购，无法保障过保后设备的维护，可能造成维修困难等问题，因此将其外包风险评级由较小调整到中等。

2.北京XXXX科技股份有限公司的服务内容为系统集成，属于短

期完成的采购项目，且合同中有10%勺质押金。由于项目系统实际使用过程中出