信息科技外包风险管理
1、外包治理
1.1治理体系
1.1.1治理组织架构及职责
(1)董事会及专业委员会:信息科技外包战略,重大外包决策审批;
(2)外包风险管理部门:信息科技外包风险策略,风险管理,应急管理,监督评价,董事会汇报;
(3)信息科技外包执行团队:按照公司信息科技外包策略,执行外包业务,准入准出,外包质量管理。
1.2分类分级
对信息科技外包进行分类分级。制定外包退出策略。
1.3重要外包
(1)整体外包;
(2)数据中心外包;
(3)信息技术架构变化外包;
(4)核心系统开发测试和运维外包;
(5)信息科技战略规划咨询外包;
(6)实时服务、账务准确性重要信息系统外包
(7)其他重要影响外包。
1.2外包原则
(1)责任不外包;
(2)掌握信息科技方向;
(3)网络和信息安全,保护重要数据和客户信息;
(4)收益平衡;
(5)事前控制事中监督;
(6)持续改进。
1.3不得外包
明确不能外包的业务。
2、外包准入
2.1制定外包战略
外包战略与信息科技战略一致性。
2.2外包准入标准
制定外包准入策略。
2.3外包准入尽调
(1)服务能力,人员能力,外包经验;
(2)外包机构合规、内控、风险管理;
(3)网络、信息系统安全保障能力;
(4)持续经营能力;
(5)尊法情况;
(6)配合机构对其进行审计、评估等监督情况;
(7)关联性。
2.4重要外包商尽调
(1)数据隔离情况;
(2)基础设施类、数据库、应用系统资产的最高权限;
(3)数据完整性、保密性;
(4)敏感数据权限;
(5)灾备、应急管理体系;
(6)不正当竞争等。
2.5跨境外包
政治、经济、法律、文化。
2.6关联外包同业外包
利益冲突和利益输送。
2.7外包合同
(1)服务范围、服务要求、交付物规定等;
(2)合规、风险管理要求;
(3)连续性服务要求;
(4)公司对外包商检查条款;
(5)合同终止、变更启动;
(6)资源保障;
(7)知识产权;
(8)保密条款;
(9)争议解决;
(10)异常报告。
2.8转包分包规定
不得转包,分包规定
3、监控评价
3.1持续监控
3.2规定SLA,评价
3.3质量评价指标
(1)设备等可用率;
(2)故障及处理情况,故障次数、RPO、RTO
(3)满意度;
(4)完成度;
(5)外包人员考核;
(6)网络安全、信息安全指标,连续性指标
3.4外包商运营监控
财务、合并、解散,人员流失。
3.5外包商异常整改
3.6关联外包重大事故问责机制
3.7外包商评价
外包服务到期前的评价,到期后的评估,终止外包的退出计划。
4、风险管理
4.1风险识别
(1)信息科技能力丧失;
(2)信息技术服务能力下降;
(3)信息科技服务中断
(4)数据泄露;
(5)资金损失;
(6)导致的其他风险,如声誉风险。
4.2风险控制、风险缓释
(1)风险控制方案;
(2)风险控制措施、方法;
(3)外包应急计划;
(4)外包应急演练,外包商参加银行演练;
(5)银行人员储备、技术能力;
4.3银行安全管理措施
(1)外包人员教培、保密协议;
(2)交付物的安全扫描;
(3)信息资产的权限管理“必需”“最小”;
(4)代码、敏感数据监测;
(4)模型、算法管理;
(3)定期对外包活动的网络和信息安全评估。
4.4重要外包商检查
3年现场检查全覆盖。
4.5信息科技外包风险评估
每年1评估,报告董事会。
4.6信息科技外包审计
每3年全覆盖审计,可内审、母公司集团审计、外审。
5、监督管理
5.·1外包前20天向监管报备
5.2外包出现异常、风险发生及时报备
(1)数据泄露;
(2)业务中断;
(3)外包商运营问题;
(4)服务中断、终止、非正常退出;
(5)网络安全导致银行损失;
(6)违法违规;
(7)重大事件;
信息安全,数据泄露是结果,根源上外包商内部管理、内控、风险管理出现了问题,持续经营出现了问题,导致财务状况出现问题。
扫一扫
269
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
