IT外包风险管理建议（信息技术部＊年）总则为深化信息技术部对IT外包风险的管理，建立规范的IT外包风险管理体系，实现对IT外包风险的识别、计量、处置、监测与监控，提升IＴ外包风险管理能力，结合科技部外包管理有关规定，特拟定本管理建议。本管理建议适用于信息技术部内负责外包项目承接、管理与监督的各部室。本管理建议所称ＩT外包是指信息技术部将原本由自身负责处理的信息科技活动委托给供应商进行处理的行为,包括（但不限于）开发、测试、运维、咨询、产品采购、人力外包、自助设备维护等领域。本管理建议所称IT外包风险是指在ＩT外包的执行与管理过程中,因自然因素、人为因素、技术漏洞和管理缺陷所致使的科技能力丧失、业务中断、信息泄露、服务水平下降等风险,主要分布在组织环境层面、外包流程层面、操作管理层面及各领域的专有流程层面,并可能致使战略、声誉、合规等风险。有关方及职责本管理建议中的外包风险管理方包括信息技术部高管层、安全内控室、外包管理室、运行调度室、系统支持室、安全管理室等,外包项目承办方主要为所有目实施团队。外包风险管理方及外包项目承办方应当严格贯彻IT外包风险管理的有关职责。外包风险管理方主要职责包括:拟定IＴ外包风险管理策略;拟定并审议IT外包管理流程及制度；牵头对外包风险进行识别、评估与风险提示;监督、评估外包管理工作,并督促外包风险管理的处置与延续改善；向高级管理层定时报告IT外包服务开展有关风险管理情形。外包项目承办方主要职责包括:执行ＩT外包风险管理策略；执行外包风险的识别、评估与处置工作，监督与推进外包服务执行的合规性；对外包服务的风险管理进行分析，定时向外包风险管理方报告外包服务情形。IT外包风险管理IＴ外包风险管理包括风险识别、风险分析与评估、风险处置、风险监控及风险报告的全生命周期管理。应贯穿于信息科技日常管理工作中,长期管控外包风险。风险识别应对IT外包服务的流程及日常操作管理,进行充份的IT外包风险识别。在外包管理流程发生较大变化或外包项目发生重大变更时,应及时识别变化所带来的新风险。对于IT外包风险事件影响程度较大或发生频率上升较快的外包项目，应及时进行IT外包风险的再识别。ＩＴ外包风险的识别包括以下来源:国际通用或行业认可的信息科技监控标准及认证体系(如COBIＴ、ISO270０1、CMMI-ACＱ等)以及行业最佳实践；国内外银行业监管指引的要求；行业过往信息科技安全事件及风险提示；信息技术部所面临的内部因素(如战略目标、人力资源、组织架构、业务流程等)和外部环境因素(如技术进步、法律法规变化、*场结构调整、行业变化等）。风险分析与评估将不考虑内部监控结构前提下而存在的外包风险定义为固有风险。依照IT外包风险所属流程对固有风险进行归类,形成ＩT外包风险监控矩阵（见附件0１）中的风险信息,并对固有风险发生的可能性、风险的影响程度进行分析与评估，得出固有风险等级(见附件0２）。对“高集中度供应商”、“行业重点供应商”以及“重要非驻场供应商”等特殊属性的风险,应在外包风险监控矩阵中单独作为一个流程进行风险监控。风险处置建立ＩT外包管理制度及所有细化的管理办法，规范外包服务的管理流程，明确各室组对外包服务管理的角色与职责。建立《IT供应商合规手册》,将手册在供应商第一次进场时进行发放，并对其进行安全培训,确保供应商知晓其应当履行的在IT外包风险管理中的义务。在供应商在外包服务过程中,针对其可能出现的信息科技风险，进行流程管理和日常行为的规范。结合外包管理办法及IT供应商合规手册中的相应监控措施,针对外包风险实施有关系统安全加固工作。风险监控建立供应商风险考核机制，监督供应商义务的履行情形:对供应商的合规情形和违规整改情形的检查工作,以定时自查上报(见附件0４)及不定时抽查等形式开展，对供应商违反《ＩT供应商合规手册》的行为进行记录与汇总;建立供应商风险考核评分机制，对违规行为进行计量与扣分，并指定专人对供应商的得分进行维护与更新；建立供应商风险考核应用体系，针对供应商违规扣分的情形，明确相应的处罚机制及培训机制。建立关键风险指标日常监控机制,定时监控风险状况及变化趋势:依照各关键风险指标的统计频率，收集用于指标计算的基础数据后计算指标值(见附件05），并依据有关已设定的阈值标准判定指标所属区域(容忍区、预警区、干预区);建立关键风险指标报告机制，上报关键风险指标计算及判定结果,并针对落在预警区和干预区中的指标提出详细应对方案；贯彻应对方案，并对其效果进行跟踪、报告。依据供应商风险考核的结果及关键风险指标的监控情形,判定IT外包风险监控的执行情形,计入IT外包风险监控矩阵(见附件0１）的评估结论部分。将经过监控后的风险定义为剩余风险，计算剩余风险级别（见附件03），并延续进行同比或环比的跟踪。风险报告建立IT外包风险的报告