金融資訊科技服務外包風險管理能力成熟度評估規範 學習筆記 附錄下載下傳位址

金融資訊科技服務外包風險管理的範圍

本标準規定了金融業資訊科技服務外包風險管理能力成熟度評估體系以及對發包方和承包方的總體要求，分别對發包方、承包方的服務外包風險管理能力成熟度進行了分級定義，并規定了對發包方和承包方進行服務外包風險管理能力成熟度評估的基本原則和流程。

本标準适用于金融行業資訊科技服務外包活動中各行為主體(包含發包方和承包方)

服務外包風險管理能力成熟度的評估

金融資訊科技服務外包風險管理 常用術語

資訊科技服務 information technology service

組織為了實作組織目标所開展的一系列擷取所需資訊科技能力的活動。常見的服務内容有資訊科技咨詢服務、資訊安全管理與服務、設計與開發服務、測試與評估服務、資訊系統內建服務、資料處理與雲服務、營運與維護服務、人力資源服務等。

資訊科技服務外包 information technology service outsourcing

組織将部分或全部資訊科技服務委托給其他組織完成，以提高效率，降低成本，優化産業鍊，提升組織的核心競争力的管理模式或商業行為。

資訊科技服務外包風險 information technology service outsourcing risk

資訊科技服務外包過程中，諸多不确定性對組織目标産生的影響。

外包風險管理 outsourcing risk management

對資訊科技服務外包風險進行有效控制的組織措施和機制。

金融監管機構 financial regulator

對金融風險實施行業監管的國家有關部門

外包管理系統 outsourcing management system

是指組織利用資訊技術，實作資訊科技服務外包管理活動的自動化，并建立了資訊科技服務外包資訊的收集、管理、分析和利用的系統，幫助組織控制資訊科技服務外包風險，提高組織資訊科技服務外包績效

金融資訊科技服務外包風險管理 目标

本标準的目标是幫助金融業建立資訊科技服務外包風險管理能力成熟度評估體系，包括發包方和承包方外包風險管理能力要素和能力成熟度級别定義，以及評估的基本原則和流程。宗旨是促進金融行業服務外包過程中各行為主體和要素互相積極作用，形成良好的資訊科技服務外包生态場景。相關組織應在資訊科技服務外包活動中按PDCA建立、實施、運作、監視、評審、保持和持續改進資訊科技服務外包風險管理能力。

能力成熟度級别規則

能力成熟度級别可以看作是反映組織管理過程品質的等級水準。資訊科技服務外包風險管理能力成熟度等級分為5級，由I級到V級遞增，數字越大，成熟度級别越高，标志着資訊科技服務外包風險管理能力的不斷提升。

組織資訊科技外包風險管理能力成熟度等級是從低到高逐漸遞進的，不能放棄比較低的等級直接進入比較高的等級。為了達到特定的成熟度級别，一個組織必須滿足該成熟度級别及低成熟度級别的所有要求。

金融科技服務管理

服務管理包括但不限于以下内容：

a) 需求管理：定義、分析、評審和确認服務需求，以及管理服務需求狀态和優先級；

b) 服務級别管理：定義、協商、記錄并管理服務級别協定（SLA）；

c) 服務傳遞物管理：根據合同要求，确定服務傳遞物的内容、版本、驗收标準等；

d) 溝通管理：確定資訊及時、準确、适當地傳遞給相關方，持續改善組織溝通能力；

e) 可用性和容量管理：對所提供服務的連續性、可用性和容量進行管理的規範；

f) 服務滿意度評價：對所提供服務滿意度的評價；

g) 知識轉移：在服務過程中，為發包方提供相關教育訓練等知識和經驗輔導活動。

參考材料

T-CCUA 003—2019 金融資訊科技服務外包風險管理能力成熟度評估規範