银行年度外包风险评估报告模板模版.docx

年度IT外包风险评估报告 一. 本年度信息科技外包项目整体情形 1.1 信息科技外包项目总体开展情形 本年度延续运营的外包项目数量 本年度新开展的外包项目数量 本年度结项的外包项目数量 1.2 信息科技外包项目业务领域分布情形 开发 运维 测试 咨询 产品采购 人力外包 自助设备运维 其他 1.3 年度重要外包项目 1.3.1 重要外包项目 评估标准：承担集中存贮客户数据的业务交易系统外包服务；或承担**银行客户资料文件资料、交易数据等敏感信息的批量分析或处理服务；或承担**银行数据中心、灾备中心机房及基础设备外包服务；且上述服务均为非驻场外包服务 重要外包项目列表及进度情形： 项目名称 项目概述 供应商 项目进度 参加评估的项目分布情形 开发 运维 测试 咨询 产品采购 人力外包 自助设备运维 其他 1.3.2 重要外包项目的外包事件 列出在被识别为重要外包项目下发生的外包事件,如有 二. 本年度外包风险评估工作开展情形 2.1 评估工作开展形式 内容包括评估工作的组织形式、评估人员、评估范围、涉及处室及业务条线、开展频率等，例: 本次评估工作组织包括评估工作管理小组(以下简称管理小组）以及评估实施小组(以下简称实施小组）。 管理小组人员包括:(注：管理小组负责本次评估工作的总体组织与沟通协调，评估方案的编写、评估工作的监督检查、评估报告的汇总、评估工作底稿的归档整理,以及评估工作的总结与报告。 实施小组人员包括：（注:实施小组负责依照工作小组的要求,详细贯彻职责范围内的安全自评估工作。实施小组依据有关管理小组下发的自查评估方案及自评估要点的要求,细化，编制本外包项目管理职责范围内的自查提纲及自查评估工作计划,组织开展所有详细自评及监控优化工作,并将关于自评估结果、监控优化方案及实施结果上报管理小组。) 涉及业务条线： 涉及外包项目: 评估项目起止时间: 2.2 风险评估内容 1. 2. 2.1. 2.2. 2.2.1. 风险评估的范围 风险评估范围应包括银监会提出的风险领域： - 信息科技外包战略执行情形- -　外包信息安全 -　机构集中度 - 服务连续性 -　服务质量 －　政策及*场变化对外包服务的影响分析 详细的风险评估方法参见《IT外包风险管理建议》及附件：外包风险管理监控矩阵内容包括： 　 - IT外包组织环境管理 　- IT外包采购管理 　- IT外包项目管理 　　　 　－ 交付管理 - 财务管理 　 　 - 安全管理 - 日常管理 在描述风险评估范围时，以银监会提出的风险领域为准，须结合实际评估情形时银监会要求与实际监控矩阵的对应关系大致如下： － 信息科技外包战略执行情形-à ＩT外包组织环境管理 - 外包信息安全 à安全管理 - 机构集中度 à　IT外包采购管理、IT外包项目管理 -　服务连续性 à日常管理 - 服务质量 à交付管理 - 政策及*场变化对外包服务的影响分析 à　IT外包组织环境管理 2.2.2. 风险评估结果 概述评估工作中发现的风险总数,风险计量方式以及低、中、高风险的数量及分布(参考外包风险管理办法中的剩余风险计量方式） 描述以下领域发现的高等级的剩余风险或重要外包项目的剩余风险 (至少应包括当年已经上报过的重大事件。) 其中，对于服务质量，依据有关银监会外包风险管理指引,常见指标包括： (一）ﻩ信息系统和设备及基础设备的可用率、设备的开机率; (二）ﻩ故障次数、故障解决率、故障的响应时间； （三）ﻩ服务的次数、客户满意度； （四)ﻩ各阶段业务需求的及时履行率、程序的缺陷数、需求变更率； （五）ﻩ外包人职工或员工作饱和率、外包人员的考核合格率。 风险领域 风险描述 风险等级 2.3 风险整改计划 依据有关上述剩余风险的情形,提出剩余风险的短期的风险处置手段和长期的风险整改计划