外包风险管理工作评估报告

信息技术外包风险管理评估报告Xxxxxxxx国：根据指导方针的文档精神，XXXX依次展开了信息安全外包风险管理工作，XXXX领导非常重视管理系统，采取措施防止信息技术外包风险，认真执行相关法规。Xxxx年的it外包风险评估概括如下：一、执行信息技术外包战略：(a) XXXX it外包战略：XXXX侧重于积极确定核心技术，而不阻碍核心能力的增强。保持外包风险、成本和利益的平衡强调和控制外包风险的事前控制。根据外包管理和技术发展趋势，继续改进外包战略和措施是其基本战略，还将学习CBRC发布的各种系统，以便根据自己的情况实施it外包风险管理。在信息技术外包过程中充分利用评估、调查等手段构建信息技术外包风险管理系统，明确外包风险管理组织结构和特定责任分担，促进关键信息安全和服务持续性等关键环节的监督，促进信息技术外包风险管理的长期发展。(b)实施：1.制定专业信息技术外包风险管理计划，以防止XXXX信息技术外包风险计划。XXXX根据风险管理部门的实际情况分担工作，风险管理部门负责系统监控、系统设置、系统数据评估和风险识别。XXXX根据外包商在注册资金、项目经验、企业连续性、过去合作关系等方面的资格，在与外包商签订合同之前，将信息技术外包风险管理风险评估为：等级注册资本与合同金额项目经验企业发展的连续性合作关系(口碑评价)运营情况制图设定资产报告严重注册资本协议金额没有经验不顺利不健康集团采购投标团队支持评估恶劣比较大注册资本=合同金额近3年不到5个项目的经验基本是光滑的基本健全还可以中间合同金额注册资金10亿韩元近3年不到20个项目经验健全性渗透顺畅更好小尺寸1亿注册资金10亿最近3年比50个项目经验还多健全性渗透顺畅良好很小10亿注册资金市场份额超过30%健全性渗透顺畅良好3.XXXX专门为信息技术外包风险评估工作开发了信息科技外包风险评级表，根据外包商项目服务期限和验收后的具体情况结合自己的信息技术专业知识，按季度对现有外包商进行风险评估，并将评估结果填写在此表中。风险管理部门将根据法律规定审查风险评级表结果，填写信息科技外包风险管理工作评估报告，并向XXXX管理层和北京CBRC提供管理意见。二、外包信息安全：(a)外包信息安全工作1.信息安全组织管理：XXXX信息部门任命XXX为专职负责人，负责管理外国承包商的服务全过程。2.日常信息安全管理：在人事管理中认真履行与XX集团财务有限公司信息安全防护管理办法相关的责任，实施了“预防为主、综合管理”、“系统预防与技术预防相结合”的原则，制定了更加完善的信息安全和保密责任制。在外包商提供服务的过程中监督管理是信息部的责任，对于重要的机密计算机和设备，禁止未经授权的人员操作。有关人士对违反信息安全管理制度规定导致信息安全事态的问责也受到了严厉的质疑。3.信息安全保护管理：办公计算机和移动存储设备安全。采取集中安全管理措施，随时更新计算机帐户密码设置。计算机internet实现了实名访问、绑定计算机IP和MAC地址、固定IP地址、安装防病毒软件、定期漏洞扫描和病毒木马检测等功能。消除了在非公开和机密信息系统之间混合使用计算机和移动存储设备，并禁止使用非公开计算机处理机密信息等。4.信息安全应急管理。我们电视台为了加强信息系统和网络安全运行，制定了本部门的信息安全应急计划，认真组织了相关教育。(b)外包信息安全检查和其他工作1.XXXX执行信息安全检查，重点是中央机房系统和网络设备安全。按照“谁负责负责谁经营，谁使用负责人，谁负责”的原则，逐级实施部门和个人信息安全责任制。2.加强信息系统安全运行管理系统的检查，及时修改和动态完善现有的各种信息安全管理系统，确保对相关人员的规范和约束。3.XXXX定期对中心室和支持环境的规划、建设、改造和验收，遵守国家、行业的建设规范，遵守监管机构的相关要求，建立机房人员出入管理制度、机房设备管理办法等系统，加强出入境登记、机房检查等各种管理，对机房设备进行定期维护，提高机房检查频率。4.只有加强网络访问检查，通过相关部门的新核，满足防火墙、入侵检测等安全专用产品要求，才能访问。为了对中央机房业务系统和网络运行进行集中管理，建立了系统升级登记制度和文件存档制度。(c)外包信息安全评估结果根据外包信息安全检查等结果，XXXX在第4季度对现有外包商进行了风险评估，及时调整了外包风险等级，加强了对等级结果中等以上的外包商的监管，并敦促对XXXX领导能力进行适当的报告和纠正。xxxx年集成了外包信息安全等检查结果的XXXX现有11家外包商中没有发现外包信息安全风险，并且没有调整外包风险等级。三、机构集中：目前，XXXX在应用程序系统托管、数据中心服务等某些领域形成了高外包服务集中度和行业依赖性。XXXX考虑到这一行业特征，在最初筛选替代外包商时，避免引入可能增加整体风险的外包商，强调分散信息技术外包风险的管理理念，降低机构集中度，减少对单个外包商的依赖。截至xxxx年底，XXXX与11家外包公司共签订了11项外包服务合同，但没有单一外包商或外包商组提供超过一个服务项目，符合CBRC发布相关法规的基本要求，并严格执行了信息技术外包风险的管理系统。今后，XXXX将继续保持现有的外包商合作理念，同时合理地控制机构集中。四、服务连续性：服务连续性方面，XXXX外部承包商的要求是确保其业务在出现故障后可接受的时间内重新运行，并具有足够的技术和服务设施(例如技术支持、操作系统、网络、数据仓库、应用程序)，以确保业务持续性。XXXX外包风险等级在中等以上的外包商在以后的项目投标中不予考虑。XXXX对现有外包商的服务连续性进行季度检查，以确保外包商符合上述要求，并根据结果进行风险评估。(a)评价方法：外包企业根据合作类型分为临时和长期两类。1.暂定类别：项目验收严格按照相关标准进行，发现问题时立即要求纠正，并根据特定情况调整相应外包商的外包风险等级。2.长期类别：根据下列项目的处理结果调整外包风险等级：(1)外包企业是否及时跟进安装、调试过程中出现的问题。(2)项目执行后，外包商是否及时响应XXXX业务部门的反馈，并始终保持良好的合作关系。(3)XXXX信息部定期安排系统测试，例如监视系统日志、确认运行警报等。(b)服务连续性评估结果XXXX面向11家现有外包商，根据检查结果调整其中2家外包风险等级，如下所示：1.北京XXXX信息技术有限公司的服务内容是弱电项目实施，属于短期内完成的采购和实施项目。项目投标时，XXXX选择提供的外包服务，考虑到该公司是集团弱电项目实施商，在合作关系方面有一些优势。外包商将外包风险等级从小到中调整，因为多代购买无法保证维护后设备的维护，并会出现维护困难等问题。2.北京XXXX技术有限公司的服务内容属于系统集成，短期内完成的采购项目，合同中有10%的质押金。项目系统实际使用过程中出现了很多问题，质量不符合规定标准，外包风险等级从中间大幅调整。五、服务质量：(a) XXXX结合现有外包商的实际情况，从三个方面评估服务质量。1.项目服务限制外包商是否在指定时间内完成了计划的项目进度？外包商是否能及时响应XXXX相关人员提出的问题。2.解决方案，方法外包商是否为XXXX提供多渠道支持(包括现场、web、QQ、电子邮件等)？外包商提供的渠道支持是否顺畅，效果如何。3.项目实施水平XXXX信息部门执行项目批准，以评估项目结果是否符合使用要求，以及问题是否能在合同期限内得到纠正。(b)服务质量评估结果：1.北京威达泰克信息技术有限公司由小到中调整。2.北京华胜天成技术有限公司在中等地进行了大规模调整。六、分析政策和市场变化对外包服务的影响：Xxxx年政策和市场变化对外包服务的主要影响有两个：(a)国家政策、金融机构和政府机关减少使用XX、XXX、XXX等外国品牌，提倡使用XX、XX等国内自有品牌。因此，外国企业的市场份额不断下降，只能提高现有产品单价。XXXX将从XX、XXX和其他供应商那里购买入门设备，从而升级现有设备，并增加部件购买成本。(b) 2013年，CBRC承诺自愿加强服务标准化，通过接受协作平台风险监督的外包服务机构建立银行信息技术外包服务合作组织。XXXX在投标以保护更多服务时更倾向于选择组织内的成员单位，减少了与投标业务相关的风险。七、XXXX核心技术外包风险XXXX核心业务使用XXX_XX系统，该系统由XXX公司开发，但XXXX仅具有该系统的永久许可证，不具有知识产权。因此，根据自己的业务要求成批部署相关业务模块时，XXXX将受到核心业务系统知识产权的限制，不能要求XXX提供核心业务系统源代码给XXXX，不能保证后续开发和使用的业务连续性(相互合作关系发生变化)，或者系统安全可能存在风险(恶意代码移植)。Viii .xxxx信息技术外包风险评级结果摘要：公司名称合作类型外包风险等级评价原因xxxxxxx长期很小专线。大型国有独资企业，实力雄厚，技术专业xxxxxxx长期很小专线。大型国有独资企业，实力雄厚，技术专业xxxxxxx长期很小核心业务系统。在全国XXXX核心系统领域，市场份额超过50%，专业性强，经验丰富xxxxxxx临时小尺寸空调噩耗。拥有丰富的制冷设备维护经验，同时是集团空调非宝服务供应商，项目金额少xxxxxxx临时小尺寸系统整合。属于短期内完成的采购项目，另一份合同有5%的质押金。项目金额低于15万件。xxxxxxx临时中间实施弱电项目。属于短期完成采购和实施项目。同时，集团弱电项目实施者，风险来自保修后设备维护，很多部分是代购的，有问题的话很难维修。xxxxxxx临时小尺寸光纤线路。技术不复杂，维护简单。属于一次性购买。公司的技术专业和技术力量很强xxxxxxx临时小尺寸操作和维护软件。一次性采购和实施。基本上没有二次开发要求。xxxxxxx临时比较大系统整合。属于短期内完成的采购项目，另一份合同有10%的质押金。但是实际情况已经产生了很多问题，但是根据信息部专门技术已经达到了处理或控制的范围。xxxxxxx临时小尺寸硬件维护。企业素质一般，但XXXX中存储了很多附件，是保证。公司对合作很有诚意。xxxxxxx临时小尺寸系统整合。属于短