外包风险管理工作评估报告.docxVIP

信息科技外包风险管理评估报告 XXXXXXXXXX 局: 根据指引的文件精神，XXXX 有序开展了信息安全外包风险管理工作，XXXX 领导对管理系统十分重视，采取相关措施防范信息科技外包风险，认真落实有关规定。现就 xxxx 年度信息科技外包风险评估情况做如下总结： 一、信息科技外包战略执行情况： （一）XXXX 信息科技外包战略：XXXX 以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的事前控制，保持管控力度；根据外包管理及技术发展趋势， 持续改进外包策略和措施为基本战略，通过学习银监会发布的各项制度，结合自身情况实施信息科技外包风险管理。在信息科技外包过程中充分利用评估、排查等手段，建立信息科技外包风险管理体制，明确外包风险管理组织架构以及具体的职责分工，推进对重大信息安全和服务持续性等重点环节的监督，促进信息科技外包风险管理长效性的发展。 （二）执行情况： 1.XXXX 为防范信息科技外包风险计划制定专门的信息科技外包风险管理方案。XXXX 根据实际情况进行分工，风险管理部负责风险辨识、协助自查、编写制度、制作报告，信息部负责系统监测、制度设定、以及系统数据评估和风险识别。 针对信息科技外包风险管理面临的风险，结合过往工作经验， 企业发展延续性合作关系等级注册资本 企业发展延续性 合作关系 等级 注册资本 VS 合同金额 项目经验 运营情况 制度设定 资产报告 （口碑评价） 严重 注册资本 合同金额 无经验 不顺畅 不健全 较差 较大 注册资本 = 合同金额 最近 3 年小于 5 个项目经验 基本顺畅 基本健全 尚可 由集团采 合同金额 注册资金 中等 最近 3 年小于 20 个项目经验 健全 顺畅 购招标组 较好 10 亿 协助评估 较小 1 亿 注册资金 10 亿 最近 3 年大于 50 个项目经验 健全 顺畅 良好 很小 10 亿 注册资金 市场份额大于 30% 健全 顺畅 良好 XXXX 专门针对信息科技外包风险评估工作制定了《信息科技外包风险评级表》，根据外包商项目服务期间及后期验收的具体情况， 结合自身信息科技专业知识，按季度对现有外包商进行风险评估，并将评估结果记入该表。风险管理部根据法律法规对风险评级表结果进行复核，撰写《信息科技外包风险管理工作评估报告》，提出管理意见向 XXXX 管理层和北京银监局汇报。 二、外包信息安全： （一）外包信息安全工作情况 信息安全组织管理：XXXX 任命信息部 XXX 为具体负责人，专职负责对外包商服务全过程进行管理。 日常信息安全管理：在人员管理上，认真落实《XX 集团财务有限公司信息安全防护管理办法》的相关职责，实行“预防为主、综 合治理”、“制度防范和技术防范相结合”的原则，制定了较为完善的 检查信息安全和必威体育官网网址责任制。 外包商提供服务期间的监督和管理工作由信息部负责，对于重要涉密电脑和设备，严禁非授权人员打开运行。对于违反信息安全管理制度规定造成信息安全事件的认真追究相关人员责任。 信息安全防护管理：在办公计算机和移动存储设备安全防护上。采取集中安全管理措施，随时更新计算机账号口令设置。计算机互联 网实行了实名接入、对计算机 IP 和 MAC 地址进行绑定、指定固定IP 地址，并安装防病毒防护软件，定期进行漏洞扫描、病毒木马检测。杜绝在非涉密和涉密信息系统间混用计算机和移动存储设备 , 禁 止 使用了非涉密计算机处理涉密信息等。 信息安全应急管理。为加强信息系统和网络安全运行，我局制定了本部门信息安全应急预案，认真组织开展了相关培训。 （二）外包信息安全检查等方面的工作情况 1.XXXX 开展信息安全检查，重点是中心机房系统及网络设备安全防护，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任制。 2.加强了信息系统安全运行管理制度检查，对现有的各项信息安全管理制度进行适时修改和动态的完善，确保了对相关人员的规范和约束。 3.XXXX 定期检查中心机房和配套环境的规划、建设、改造与验 收都是否符合国家、行业的建设规范，符合管理机构的相关要求，建 立了《机房人员出入管理制度》、《机房设备管理办法》等制度，并加 强做好出入人员登记、机房巡查等各项管理,定期对机房设备保养维护，加大机房巡检频次。 4.加强对网络接入的检查，只有通过相关部门申核，且符合防火墙、入侵检测等安全专用产品要求的方可接入。对于中心机房业务系统和网络运行都采取集中管理，建立了系统升级登记制度和文档保管制度。 （三）外包信息安全评估结果 根据外包信息安全检查等结果，XXXX 第四季度对现有外包商进行风险评估，及时调整外包风险评级，对于评级结果在中级以上的外包商加强监管力度，及时汇报 XXXX 领导，并督促其进行