信息科技外包风险管理评估报告
XXXXXXXXXX局:
根据指引的文件精神,XXXX有序开展了信息安全外包风险管理工作,XXXX领导对管理系统十分重视,采取相关措施防范信息科技外包风险,认真落实有关规定。
现就xxxx年度信息科技外包风险评估情况做如下总结:
一、信息科技外包战略执行情况:
(一)XXXX信息科技外包战略:XXXX以不妨碍核心能力建设、积极掌握关键技术为导向;保持外包风险、成本和效益的平衡;强调外包风险的事前控制,保持管控力度;根据外包管理及技术发展趋势,持续改进外包策略和措施为基本战略,通过学习银监会发布的各项制度,结合自身情况实施信息科技外包风险管理。
在信息科技外包过程中充分利用评估、排查等手段,建立信息科技外包风险管理体制,明确外包风险管理组织架构以及具体的职责分工,推进对重大信息安全和服务持续性等重点环节的监督,促进信息科技外包风险管理长效性的发展。
(二)执行情况:
1.XXXX为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。
XXXX根据实际情况进行分工,风险管理部负责风险辨识、协助自查、编写制度、制作报告,信息部负责系统监测、制度
设定、以及系统数据评估和风险识别。
2.针对信息科技外包风险管理面临的风险,结合过往工作经验,XXXX根据外包商的注册资金、项目经验、企业延续性、过往合作关系等相关资质,在与外包商签订合作协议前对其风险等级进行初步评估,具体评估标准如下:
3. XXXX专门针对信息科技外包风险评估工作制定了《信息科技外包风险评级表》,根据外包商项目服务期间及后期验收的具体情况,结合自身信息科技专业知识,按季度对现有外包商进行风险评估,并将评估结果记入该表。
风险管理部根据法律法规对风险评级表结果进行复核,撰写《信息科技外包风险管理工作评估报告》,提出管理意见向XXXX管理层和北京银监局汇报。
二、外包信息安全:
(一)外包信息安全工作情况
1.信息安全组织管理:XXXX任命信息部XXX
为具体负责人,专职负责对外包商服务全过程进行管理。
2.日常信息安全管理:在人员管理上,认真落实《XX集团财务有限公司信息安全防护管理办法》的相关职责,实行“预防为主、综合治理”、“制度防范和技术防范相结合”的原则,制定了较为完善的检查信息安全和保密责任制。
外包商提供服务期间的监督和管理工作由信息部负责,对于重要涉密电脑和设备,严禁非授权人员打开运行。
对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。
3.信息安全防护管理:在办公计算机和移动存储设备安全防护上。
采取集中安全管理措施,随时更新计算机账号口令设置。
计算机互联网实行了实名接入、对计算机IP和MAC地址进行绑定、指定固定IP地址,并安装防病毒防护软件,定期进行漏洞扫描、病毒木马检测。
杜绝在非涉密和涉密信息系统间混用计算机和移动存储设备, 禁止使用了非涉密计算机处理涉密信息等。
4.信息安全应急管理。
为加强信息系统和网络安全运行,我局制定了本部门信息安全应急预案,认真组织开展了相关培训。
(二)外包信息安全检查等方面的工作情况
1.XXXX开展信息安全检查,重点是中心机房系统及网络设备安全防护,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,
逐级落实部门与个人信息安全责任制。
2.加强了信息系统安全运行管理制度检查,对现有的各项信息安全管理制度进行适时修改和动态的完善,确保了对相关人员的规范和约束。
3.XXXX定期检查中心机房和配套环境的规划、建设、改造与验收都是否符合国家、行业的建设规范,符合管理机构的相关要求,建立了《机房人员出入管理制度》、《机房设备管理办法》等制度,并加强做好出入人员登记、机房巡查等各项管理,定期对机房设备保养维护,加大机房巡检频次。
4.加强对网络接入的检查,只有通过相关部门申核,且符合防火墙、入侵检测等安全专用产品要求的方可接入。
对于中心机房业务系统和网络运行都采取集中管理,建立了系统升级登记制度和文档保管制度。
(三)外包信息安全评估结果
根据外包信息安全检查等结果,XXXX第四季度对现有外包商进行风险评估,及时调整外包风险评级,对于评级结果在中级以上的外包商加强监管力度,及时汇报XXXX领导,并督促其进行整改。
综合xxxx年外包信息安全等各项检查结果,XXXX现有的11家外包商中并未发现存在外包信息安全风险,未就此情况对外包风险评级进行调整。
三、机构集中度:
当前,XXXX在应用系统托管、数据中心服务等某些领域形成了较高的外包服务集中度和行业依赖。
针对上述行业特点,XXXX对备选外包商进行初步筛选时,避免引入可能增加整体风险的外包商,强调分散信息科技外包风险的管理理念,降低机构集中度,减少对单一外包商的依赖。
截至xxxx年末,XXXX共与11家外包商签订总计11项外包服务合同,但不存在单一外包商或外包商集团提供1个以上服务项目的情况,达到了银监会所发布相关规定的基本要求,严格落实了有关信息科技外包风险的管理制度。
今后,XXXX将继续保持现有外包商合作理念,将机构集中度控制在合理范围内。
四、服务连续性:
在服务连续性方面,XXXX对外包商的要求是确保故障发生后有足够的技术和服务设施(如技术支持、操作系统、网络、数据仓库、应用程序)来保证业务在可接受的时间范围内重新运作,保证业务的持续性。
XXXX对于外包风险评级在中等以上的外包商,在今后项目招标中将不予以考虑。
XXXX为保证外包商达到上述要求,按季度对现有外包商的服务连续性实施检查,根据结果进行风险评估。
(一)评估方法:
根据合作类型将外包商分为:临时和长期两大类。
1.临时类:严格按照相关标准进行项目验收,发现问题立刻要求
整改,根据具体情节调整该外包商的外包风险评级。
2.长期类:根据以下内容的处理结果调整外包风险评级。
(1)外包商对于安装、调试过程中出现的问题是否及时跟进。
(2)项目运行后,外包商是否及时应对XXXX业务部门反馈的情况,且始终保持良好合作关系。
(3)XXXX信息部定期安排系统检测,内容包括监控系统日志、检查运行报警等。
(二)服务连续性评估结果
XXXX对现有11家外包商进行检查,根据检查结果对其中2家的外包风险评级进行调整,具体情况如下:
1.北京XXXX信息技术有限公司的服务内容为弱电项目实施,属于短期完成的采购与实施项目。
项目招标时XXXX考虑到该公司是集团弱电项目实施方,在合作关系上具有一定优势,因此选择其提供的外包服务。
由于外包商的配件来源多为代采购,无法保障过保后设备的维护,可能造成维修困难等问题,因此将其外包风险评级由较小调整到中等。
2.北京XXXX科技股份有限公司的服务内容为系统集成,属于短期完成的采购项目,且合同中有10%的质押金。
由于项目系统实际使用过程中出现大量问题,质量无法达到规定标准,因此将其外包风险评级由中等调整为较大。
五、服务质量:
(一)XXXX结合现有外包商的实际情况,从三个方面对其服务
质量进行评估。
1.项目服务时效
外包商是否在指定时间内完成计划内各项目进度;外包商对XXXX相关人员提出的问题能否及时响应。
2.解决方式、途径
外包商是否对XXXX提供多通道支持,包括:现场、Web、QQ、Email等;外包商提供的通道支持是否畅通,效果如何。
3.项目实施水平
由XXXX信息部进行项目验收,评估项目成果是否达到使用要求,存在的问题是否能够在合同规定时间内整改。
(二)服务质量评估结果:
1.北京威达泰克信息技术有限公司由较小调整为中等。
2.北京华胜天成科技股份有限公司由中等调整为较大。
六、政策及市场变化对外包服务的影响分析:
xxxx年政策及市场变化对外包服务的影响主要有以下二点:
(一)国家政策,金融机构和政府机关减少使用XX、XXX、XXX 等外国品牌,提倡使用XX、XX等国内自主品牌。
受此影响,外国企业的市场份额不断下降,被迫提高现有产品单价。
XXXX建立初期使用的设备多采购自XX、XXX等厂商,造成原有设备升级、配件采购成本出现不同程度上涨。
(二)2013年,银监会组织自愿承诺加强服务规范化、接受联合工作平台风险监督的外包服务机构,发起建立银行业信息科技外包
服务合作组织。
XXXX为得到更多服务保障,招标时会更倾向于选择组织内成员单位,减少了招标工作中的相关风险。
七、XXXX核心技术外包风险
XXXX核心业务采用XXX_XX系统,该系统由xxx公司负责开发,但XXXX对该系统仅拥有永久使用权,而没有任何知识产权。
因此,XXXX根据自身业务需求分批次上线相关业务模块时,会受到核心业务系统知识产权他有的制约,无法要求xxx向XXXX提供核心业务系统源代码,对后续开发和使用可能造成业务连续性无法保障(双方合作关系发生变化),系统安全存在风险(恶意代码植入)等问题。
八、xxxx年度信息科技外包风险评级结果汇总:
综上,XXXX创建以来,始终保持对信息科技外包风险管理工作的重视。
外包商提供服务时,XXXX坚持“必须知道”和“最小授权”的客户信息保护原则,监督外包商遵守保密协议,并建立风险等级评估机制,实施相应等级的风险防范措施。
随着信息科技外包风险管理体系的不断完善,XXXX计划于明年上会通过后执行适应XXXX实际情况的具体战略,使信息科技管理水平再上新台阶。
风险管理部
xxxx年12月。
