金融信息科技服务外包风险管理的范围

本标准规定了金融业信息科技服务外包风险管理能力成熟度评估体系以及对发包方和承包方的总体要求，分别对发包方、承包方的服务外包风险管理能力成熟度进行了分级定义，并规定了对发包方和承包方进行服务外包风险管理能力成熟度评估的基本原则和流程。
本标准适用于金融行业信息科技服务外包活动中各行为主体(包含发包方和承包方)
服务外包风险管理能力成熟度的评估

金融信息科技服务外包风险管理 常用术语

信息科技服务 information technology service

组织为了实现组织目标所开展的一系列获取所需信息科技能力的活动。常见的服务内容有信息科技咨询服务、信息安全管理与服务、设计与开发服务、测试与评估服务、信息系统集成服务、数据处理与云服务、运营与维护服务、人力资源服务等。

信息科技服务外包 information technology service outsourcing

组织将部分或全部信息科技服务委托给其他组织完成，以提高效率，降低成本，优化产业链，提升组织的核心竞争力的管理模式或商业行为。

信息科技服务外包风险 information technology service outsourcing risk

信息科技服务外包过程中，诸多不确定性对组织目标产生的影响。

外包风险管理 outsourcing risk management

对信息科技服务外包风险进行有效控制的组织措施和机制。

金融监管机构 financial regulator

对金融风险实施行业监管的国家有关部门

外包管理系统 outsourcing management system

是指组织利用信息技术，实现信息科技服务外包管理活动的自动化，并建立了信息科技服务外包信息的收集、管理、分析和利用的系统，帮助组织控制信息科技服务外包风险，提高组织信息科技服务外包绩效

金融信息科技服务外包风险管理 目标

本标准的目标是帮助金融业建立信息科技服务外包风险管理能力成熟度评估体系，包括发包方和承包方外包风险管理能力要素和能力成熟度级别定义，以及评估的基本原则和流程。宗旨是促进金融行业服务外包过程中各行为主体和要素相互积极作用，形成良好的信息科技服务外包生态场景。相关组织应在信息科技服务外包活动中按PDCA建立、实施、运行、监视、评审、保持和持续改进信息科技服务外包风险管理能力。

能力成熟度级别规则

能力成熟度级别可以看作是反映组织管理过程质量的等级水平。信息科技服务外包风险管理能力成熟度等级分为5级，由I级到V级递增，数字越大，成熟度级别越高，标志着信息科技服务外包风险管理能力的不断提升。
组织信息科技外包风险管理能力成熟度等级是从低到高逐步递进的，不能放弃比较低的等级直接进入比较高的等级。为了达到特定的成熟度级别，一个组织必须满足该成熟度级别及低成熟度级别的所有要求。

金融科技服务管理

服务管理包括但不限于以下内容：
a) 需求管理：定义、分析、评审和确认服务需求，以及管理服务需求状态和优先级；
b) 服务级别管理：定义、协商、记录并管理服务级别协议（SLA）；
c) 服务交付物管理：根据合同要求，确定服务交付物的内容、版本、验收标准等；
d) 沟通管理：确保信息及时、准确、适当地传递给相关方，持续改善组织沟通能力；
e) 可用性和容量管理：对所提供服务的连续性、可用性和容量进行管理的规范；
f) 服务满意度评价：对所提供服务满意度的评价；
g) 知识转移：在服务过程中，为发包方提供相关培训等知识和经验辅导活动。

参考材料

T-CCUA 003—2019 金融信息科技服务外包风险管理能力成熟度评估规范