信息科技外包風(fēng)險(xiǎn)檢查表

上傳人：1*** IP屬地：廣西上傳時(shí)間：2023-09-09 格式：XLSX 頁數(shù)：6 大?。?7.71KB 積分：15 舉報(bào) 版權(quán)申訴

已閱讀5頁，還剩1頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息科技風(fēng)險(xiǎn)管理檢查指標(biāo)體系－－外包管理部分,,,,,,,,,

類別,序號(hào),指標(biāo),檢查要求,檢查方法,指標(biāo)依據(jù),現(xiàn)狀描述,符合性分析,風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)級(jí)別

1、外包管理制度及原則,OM.01,外包管理制度及原則,銀行應(yīng)當(dāng)按照銀監(jiān)會(huì)《指引》中關(guān)于信息科技外包的風(fēng)險(xiǎn)控制要求，制定相關(guān)的信息科技外包管理制度，防范外包產(chǎn)生的風(fēng)險(xiǎn)。,1、調(diào)閱信息科技外包管理制度，查看可以外包的服務(wù)范圍和外包商的資格要求；,銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第十條、第十一條,,,,

,,,,2、查看對(duì)于重要項(xiàng)目外包進(jìn)行了風(fēng)險(xiǎn)評(píng)估；（重要項(xiàng)目外包風(fēng)險(xiǎn)評(píng)估）,,,,,

,,,,3、訪談分管人員對(duì)于重要外包，是否通知了銀監(jiān)會(huì)（通知銀監(jiān)會(huì)的記錄）,,,,,

2、外包服務(wù)的管理,OM.02,外包管理體系,銀行應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系，建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系，控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)。,1、調(diào)閱信息科技外包管理制度，查看外包管理目標(biāo)、相關(guān)部門職責(zé)分工、配套流程；,銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第八條,,,,

,,,,2、調(diào)閱信息科技外包合同、協(xié)議清單（外包項(xiàng)目清單、管理記錄等）,,,,,

3、組織架構(gòu)與職責(zé)落實(shí),OM.03,明確并落實(shí)董（理）事會(huì)管理職責(zé),1、通過正式發(fā)布制度文件，明確董（理）事會(huì)對(duì)信息科技外包所承擔(dān)的管理職責(zé),1、調(diào)閱信息科技外包管理制度，查看對(duì)于董（理）事會(huì)管理職責(zé)的規(guī)定,銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第十三條,,,,

,,,2、董（理）事會(huì)應(yīng)履行的信息科技外包管理職責(zé)包括建立信息科技外包組織架構(gòu)、指定主管部門、組織制訂和審議批準(zhǔn)信息科技外包戰(zhàn)略、以及聽取信息科技外包管理年度匯報(bào)等,2、訪談董（理）事會(huì)成員，了解其對(duì)自身管理職責(zé)的理解和執(zhí)行情況,,,,,

,OM.04,明確信息科技外包風(fēng)險(xiǎn)管理主管部門,1、通過正式發(fā)布的制度文件，明確信息科技外包風(fēng)險(xiǎn)的主管部門，及其所應(yīng)承擔(dān)的管理職責(zé),1、調(diào)閱信息科技外包管理制度，查看對(duì)于主管部門及其管理職責(zé)的規(guī)定,銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第十四條,,,,

,,,2、應(yīng)當(dāng)由風(fēng)險(xiǎn)管理部門設(shè)置信息科技風(fēng)險(xiǎn)管理崗位，承擔(dān)信息科技外包風(fēng)險(xiǎn)管理的主管職責(zé),2、訪談信息科技風(fēng)險(xiǎn)管理崗位人員，了解其對(duì)自身管理職責(zé)的理解和執(zhí)行情況,,,,,

,,,3、信息科技風(fēng)險(xiǎn)管理崗位承擔(dān)的信息科技外包風(fēng)險(xiǎn)管理職責(zé)包括指導(dǎo)和監(jiān)督信息科技外包工作、監(jiān)控信息科技外包風(fēng)險(xiǎn)、定期向信息科技管理委員會(huì)報(bào)告信息科技風(fēng)險(xiǎn)管理工作等,/,,,,,

,OM.05,明確并落實(shí)信息科技外包執(zhí)行團(tuán)隊(duì)職責(zé),1、通過正式發(fā)布的制度文件，明確信息科技部門及其它涉及信息科技外包活動(dòng)部門的執(zhí)行職責(zé),1、調(diào)閱信息科技外包管理制度，查看對(duì)于執(zhí)行部門及其管理職責(zé)的規(guī)定,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第十五條,,,,

,,,2、信息科技部門及其它涉及信息科技外包活動(dòng)部門建立執(zhí)行團(tuán)隊(duì)，執(zhí)行團(tuán)隊(duì)包括內(nèi)控管理崗位、信息科技外包項(xiàng)目經(jīng)理、信息安全管理崗位等,2、訪談信息科技部門執(zhí)行團(tuán)隊(duì)成員，了解其對(duì)自身管理職責(zé)的理解和執(zhí)行情況,,,,,

,,,3、執(zhí)行團(tuán)隊(duì)?wèi)?yīng)承擔(dān)職責(zé)包括：制訂和維護(hù)信息科技外包管理制度（涉及供應(yīng)商管理、外包項(xiàng)目管理等）；按照制度完成外包管理工作；配合主管部門完成信息科技外包風(fēng)險(xiǎn)持續(xù)監(jiān)控,/,,,,,

4、信息科技外包戰(zhàn)略與風(fēng)險(xiǎn)管理,OM.06,制定并維護(hù)信息科技外包戰(zhàn)略,1、由信息科技外包風(fēng)險(xiǎn)主管部門牽頭，以信息科技部門為主的各執(zhí)行部門共同制訂信息科技外包戰(zhàn)略,1、訪談風(fēng)險(xiǎn)管理部信息科技風(fēng)險(xiǎn)管理崗位人員，了解信息科技外包戰(zhàn)略的制訂和維護(hù)情況,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第十六條至第二十條,,,,

,,,2、信息科技外包風(fēng)險(xiǎn)主管部門負(fù)責(zé)信息科技外包戰(zhàn)略的修訂,2、調(diào)閱信息科技外包戰(zhàn)略文件,2、銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》第五十五條,,,,

,,,3、信息科技外包戰(zhàn)略得到信息科技管理委員會(huì)及董（理）事會(huì)的審議批準(zhǔn),3、調(diào)閱信息科技外包戰(zhàn)略文件制訂、修訂、審議、批準(zhǔn)的過程記錄,,,,,

,OM.07,制定并維護(hù)信息科技外包執(zhí)行管理制度,1、以信息科技部門為主的信息科技外包執(zhí)行部門，由內(nèi)控管理崗位人員牽頭組織制訂信息科技外包管理制度,1、訪談信息科技部門內(nèi)控管理崗位人員，了解信息科技外包制度的建立和維護(hù)情況,銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第十五條、第五十二條至第五十九條、第六十七條至第七十一條、第七十二條至第七十五條、,,,,

,,,2、信息科技外包管理制度包括供應(yīng)商管理、外包項(xiàng)目管理（合同協(xié)議管理、安全管理、服務(wù)水平監(jiān)控、應(yīng)急處置、以及知識(shí)移交）等內(nèi)容,2、調(diào)閱信息科技外包管理制度文件，及修訂維護(hù)的過程記錄,,,,,

,,,3、管理制度應(yīng)全面覆蓋具備集中度特征外包、重要外包、關(guān)聯(lián)外包、非駐場(chǎng)外包等不同類別外包和不同級(jí)別外包商管理要求,/,,,,,

,,,4、每年度對(duì)信息科技外包管理制度進(jìn)行修訂維護(hù),/,,,,,

,OM.08,信息科技外包風(fēng)險(xiǎn)管理,信息科技外包風(fēng)險(xiǎn)管理部門應(yīng)當(dāng)至少每年開展一次全面的外包風(fēng)險(xiǎn)管理評(píng)估，保持評(píng)估的獨(dú)立性，并向高級(jí)管理層提交評(píng)估報(bào)告,1、調(diào)閱外包服務(wù)風(fēng)險(xiǎn)評(píng)估報(bào)告；,銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第二十二條,,,,

,,,,2、調(diào)閱提交高管層記錄；,,,,,

,,,銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)部門應(yīng)當(dāng)定期開展信息科技外包風(fēng)險(xiǎn)管理審計(jì)工作，至少每三年對(duì)重要的外包服務(wù)活動(dòng)進(jìn)行一次全面審計(jì)。發(fā)生外包風(fēng)險(xiǎn)事件后應(yīng)當(dāng)及時(shí)開展專項(xiàng)審計(jì)。,1、調(diào)閱外包服務(wù)風(fēng)險(xiǎn)審計(jì)報(bào)告；,銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第二十四條,,,,

,,,,2、調(diào)閱提交高管層記錄；,,,,,

,,,,3、調(diào)研外包風(fēng)險(xiǎn)事件審計(jì)報(bào)告,,,,,

,,,對(duì)非駐場(chǎng)集中式外包服務(wù)商（尤其對(duì)社會(huì)類機(jī)構(gòu)和提供外包服務(wù)未滿3年的銀行類機(jī)構(gòu)）開展全面、深入的盡職調(diào)查。,1、調(diào)閱外包服務(wù)風(fēng)險(xiǎn)評(píng)估報(bào)告；,《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包風(fēng)險(xiǎn)管理的通知》（銀監(jiān)辦發(fā)[2014]187號(hào)）第二條,,,,

,,,（一）外包服務(wù)商對(duì)本機(jī)構(gòu)與其他機(jī)構(gòu)的設(shè)施、系統(tǒng)和數(shù)據(jù)是否有明確、清晰的邊界；,2、向監(jiān)管機(jī)構(gòu)上報(bào)的報(bào)告；,,,,,

,,,（二）外包服務(wù)商是否有管理制度和技術(shù)措施保障本機(jī)構(gòu)數(shù)據(jù)的完整性和保密性；,,,,,,

,,,（三）外包服務(wù)商對(duì)涉及本機(jī)構(gòu)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件等軟硬件基礎(chǔ)設(shè)施是否具有最高訪問權(quán)限；,,,,,,

,,,（四）外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限，外包服務(wù)商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的訪問權(quán)限，是否能夠?yàn)g覽、獲取客戶敏感信息；,,,,,,

,,,（五）外包服務(wù)商是否有完善的災(zāi)難恢復(fù)設(shè)施和應(yīng)急管理體系，對(duì)關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)運(yùn)行是否有業(yè)務(wù)連續(xù)性安排；,,,,,,

,,,（六）外包服務(wù)商是否知曉并遵從了銀行業(yè)相關(guān)監(jiān)管法規(guī)要求。,,,,,,

5、信息科技外包服務(wù)提供商管理,OM.09,信息科技外包服務(wù),1、建立信息科技外包服務(wù)提供商準(zhǔn)入標(biāo)準(zhǔn),1、調(diào)閱外包服務(wù)提供商準(zhǔn)入標(biāo)準(zhǔn)及維護(hù)過程記錄,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第二十六條,,,,

,,提供商準(zhǔn)入,2、對(duì)備選服務(wù)提供商進(jìn)行篩選,2、調(diào)閱依據(jù)準(zhǔn)入標(biāo)準(zhǔn)對(duì)備選服務(wù)提供商進(jìn)行篩選的過程記錄,,,,,

,,,3、每年度對(duì)服務(wù)提供商準(zhǔn)入標(biāo)準(zhǔn)進(jìn)行修訂維護(hù),/,,,,,

,OM.10,信息科技外包服務(wù),1、建立信息科技外包服務(wù)提供商評(píng)價(jià)標(biāo)準(zhǔn)，并每年度進(jìn)行修訂維護(hù),1、調(diào)閱提供商評(píng)價(jià)標(biāo)準(zhǔn)及修訂維護(hù)記錄,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第二十三條,,,,

,,提供商評(píng)價(jià),2、每3年對(duì)已有信息科技外包服務(wù)提供商進(jìn)行評(píng)價(jià),2、調(diào)閱提供商評(píng)價(jià)記錄,,,,,

,,,3、信息科技外包服務(wù)提供商評(píng)價(jià)結(jié)果作為提供商分級(jí)管理和提供商退出的依據(jù),/,,,,,

6、信息科技外包項(xiàng)目管理,OM.11,信息科技外包服務(wù),1、所有信息科技外包項(xiàng)目立項(xiàng)前，實(shí)施風(fēng)險(xiǎn)評(píng)估,1、調(diào)閱信息科技外包項(xiàng)目立項(xiàng)過程記錄，查看項(xiàng)目立項(xiàng)風(fēng)險(xiǎn)評(píng)估的執(zhí)行落實(shí)情況,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第二十五條,,,,

,,項(xiàng)目立項(xiàng)管理,,,,,,,

,OM.12,外包服務(wù)提供商,1、對(duì)于重大信息科技外包項(xiàng)目選定的外包服務(wù)提供商，在簽訂外包協(xié)議前，實(shí)施服務(wù)提供商盡職調(diào)查2、盡職調(diào)查關(guān)注范圍包括技術(shù)水平和行業(yè)經(jīng)驗(yàn)、內(nèi)控管理能力、持續(xù)經(jīng)營(yíng)狀況等,1、調(diào)閱外包服務(wù)提供商盡職調(diào)查過程記錄,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第二十八條至第三十一條,,,,

,,盡職調(diào)查,,,,,,,

,OM.13,信息科技外包服務(wù),1、與外包服務(wù)提供商簽訂外包協(xié)議，其中應(yīng)當(dāng)包括服務(wù)水平、及安全保密條款,1、調(diào)閱信息科技外包項(xiàng)目的合同或協(xié)議，查看其中內(nèi)容的全面性,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第三十四條至第三十八條,,,,

,,合同或協(xié)議,,,2、銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》第五十八條、第五十九條、第六十二條,,,,

,OM.14,信息科技外包服務(wù),1、建立并實(shí)施針對(duì)外包服務(wù)提供商的安全管控措施,1、調(diào)閱信息科技外包管理制度對(duì)于信息安全管控的規(guī)定,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第三十八條至第四十條,,,,

,,項(xiàng)目安全控制,,2、訪談信息科技外包執(zhí)行團(tuán)隊(duì)人員，了解信息安全管控措施的執(zhí)行情況,2、銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》第六十條,,,,

,,（安全管理）,,3、調(diào)閱外包項(xiàng)目信息安全管控的執(zhí)行記錄,,,,,

,OM.15,信息科技外包服務(wù),1、在外包實(shí)施過程中，依據(jù)服務(wù)水平設(shè)定的目標(biāo)，對(duì)外包服務(wù)提供商的服務(wù)水平進(jìn)行持續(xù)監(jiān)控，監(jiān)控?cái)?shù)據(jù)至少保留1年,1、抽樣調(diào)閱外包項(xiàng)目的服務(wù)水平監(jiān)控指標(biāo)和過程記錄,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第四十一條至第四十六條,,,,

,,水平監(jiān)控與評(píng)價(jià),2、監(jiān)控中發(fā)現(xiàn)問題，要求外包服務(wù)提供商及時(shí)進(jìn)行糾正整改,2、調(diào)閱服務(wù)水平監(jiān)控發(fā)現(xiàn)問題的糾正和整改記錄,,,,,

,,,3、外包項(xiàng)目結(jié)束時(shí)，對(duì)服務(wù)提供商服務(wù)水平進(jìn)行總結(jié)評(píng)價(jià),3、抽樣調(diào)閱外包項(xiàng)目服務(wù)水平監(jiān)控的總結(jié)評(píng)價(jià)結(jié)果,,,,,

,OM.16,信息科技外包服務(wù),1、針對(duì)重要外包服務(wù)中斷情況，要求提供商制訂急處置預(yù)案，同時(shí)自身也制訂應(yīng)急處置預(yù)案，并進(jìn)行演練,1、調(diào)閱外包服務(wù)中斷事件的應(yīng)急預(yù)案文件,1、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第四十八條至第五十一條,,,,

,,連續(xù)性管理,2、建立針對(duì)無法滿足服務(wù)要求的服務(wù)終止和服務(wù)提供商退出管理機(jī)制,2、查看信息科技外包管理制度文件關(guān)于服務(wù)終止和外包商退出的管理機(jī)制,,,,,

,,,3、對(duì)可能影響重要業(yè)務(wù)連續(xù)性的信息科技外包服務(wù)，建立風(fēng)險(xiǎn)控制機(jī)制,3、訪談信息科技外包執(zhí)行團(tuán)隊(duì)成員，了解信息科技外包過程中的業(yè)務(wù)連續(xù)性保障控制措施實(shí)施情況,,,,,

,OM.17,信息科技外包服務(wù),1、在外包實(shí)施過程中，適當(dāng)配置內(nèi)部人員，掌握必要技能,/,1、銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》第五十七條,,,,

,,項(xiàng)目知識(shí)承接,2、外包項(xiàng)目結(jié)束時(shí)，建立知識(shí)承接管理機(jī)制，不因外包服務(wù)終止導(dǎo)致信息科技風(fēng)險(xiǎn)上升,,2、銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》第五十九條,,,,

,OM.18,信息科技外包服務(wù),1、信息科技外包項(xiàng)目實(shí)施過程中規(guī)范化產(chǎn)生和維護(hù)輸出文檔和過程記錄,1、查看外包項(xiàng)目文檔歸檔記錄,,,,,

,,項(xiàng)目文檔歸檔,2、信息科技外包項(xiàng)目終止后，執(zhí)行團(tuán)隊(duì)將相關(guān)文檔及記錄整理報(bào)送執(zhí)行部門綜合管理崗位進(jìn)行歸檔,,,,,,

7、監(jiān)管報(bào)告,OM.19,信息科技外包風(fēng)險(xiǎn),1、信息科技外包風(fēng)險(xiǎn)主管部門每年度編寫管理評(píng)估報(bào)告，提交信息科

人人文庫> 全部分類> 專業(yè)文獻(xiàn) > 通信電子

溫馨提示

1. 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽，若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請(qǐng)與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

信息科技外包風(fēng)險(xiǎn)檢查表

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論