注册 | 个人登录 | 团体登录
标准解读 当前位置:首页 > 标准解读
中国计算机用户协会团体标准《金融信息科技服务外包风险管理能力成熟度评估规范》编制说明
发布人:中国计算机用户协会 发布时间:2019-06-06

一、标准编制的背景

近半个世纪以来,我国金融科技从无到有,经历了电子化、信息化、网络化和数字化等阶段,现在已进入全球先进行列,为实现普惠金融和金融现代化奠定了扎实基础。与此相伴,金融科技服务外包产业也逐步形成,并发展壮大,对促进我国金融现代化建设发挥了重要作用。随着金融对信息科技依赖度的不断提高,信息科技外包服务质量和水平对现代金融服务质量和水平的影响越来越大。同时,信息科技服务外包行为不规范所导致的金融机构服务风险日趋严峻,甚至形成行业风险,已引起金融机构和监管部门的高度重视。

本标准的建立是希望通过标准化工作,有效促进金融行业信息科技服务外包质量和管理水平提升,规范和有效控制金融机构信息科技服务外包风险,为规范承包机构承包行为和第三方评估机构开展评估提供标准依照。为行业组织开展行业自律,对推进落实金融风险管控和监管目标实现提供行业性、系统性支撑,对促进金融科技服务外包行业健康合规发展和良好生态形成发挥建设性作用。

本标准借鉴了国外成熟经验并结合国内产业实际情况,规定了金融信息科技服务外包活动中行为各方的管理成熟度模型、评估方法及原则,用于规范服务外包各方行为,形成各方对不同种类的服务外包所需的风险控制能力要求及评估方法上达成一致,以满足金融行业信息科技服务外包规范化发展的需求。

二、任务来源

根据中国计算机用户协会下达的2018年第一批团体标准制修订计划,信息科技审计分会筹建了标准起草组,承担《金融信息科技服务外包风险管理规范》标准的研制任务。该标准项目计划号为T/CCUA 003-2019,技术归口单位为中国计算机用户协会标准化工作委员会。

三、编制过程

在中国计算机用户协会下达立项号前,信息科技审计分会已开展了大量的研究工作。

2016年,在筹备信息科技审计分会过程中,根据发起单位和监管部门的意见,把编制《金融信息科技服务外包风险管理能力成熟度评估规范》作为分会的一项重要工作推进,并组织人员进行调研。

2017年,分会组织召开金融信息科技外包风险管理研讨会,就组织编制《金融信息科技服务外包风险管理能力成熟度评估规范》达成共识,并于2017年9月成立编制委员会和工作组,工作组由行业用户、研究机构、外包商和评估机构等24家机构29名从事信息科技外包研究和实践的专家学者组成。华夏银行副总经理、分会副理事长李印波担任编写工作组组长,中治研(北京)国际信息技术研究院IT审计研究中心主任苟海儒担任编写工作组副组长,并报总会备案。

2017年12月28日编写工作组召开外包规范编制工作组第一次会议,审议并通过了编制工作组成员名单及编制工作计划,明确了外包规范编制工作的指导思想和工作目标。针对范建设目的、需求和建议,采用调研问卷形式,在信息科技审计分会会员范围内,广泛向金融机构和外包商征集规范需求和意见。本次问卷调研一共回收了21份有效答卷。

2018年1月17日编写工作组召开了编制工作组第二次工作会议,会议总结汇报了对分会会员单位的调研问卷的反馈情况及近期对规范修订意见汇总情况,讨论了规范评价体系框架以及需要予以规范的重点内容。

2018年2月~2018年5月,编制组工作组根据调研结果以及前期对外包规范内容的反馈意见,形成了标准初稿,初稿包括基本要求、金融机构分册、外包商分册和第三方评估机构分册四个部分。

2018年6月6日,编制工作组召开第三次工作组会议,针对部分银行成立科技公司、银行业和保险业监管合并等新情况和新趋势,讨论了相应的内容。

2018年6月20日,编写工作组向全体会员单位发送初稿征求意见。各成员就规范的具体内容进行深入讨论,并提出修订意见。

2018年8月3日总会下达立项号后,编写组采纳评审专家提出的建议对初稿进行了修订。10月17日组内评审专家包括标准化专家、金融科技公司、金融机构用户、第三方机构专家共同对初稿进行了评审,形成了征求意见稿。

2018年11月29日,编制工作组邀请专家对征求意见稿进行了内部审议。12月3日根据专家提出的意见对征求意见稿进行了修订。

2018年12月31日,按照《中国计算机用户协会团体标准管理办法(试行)》的有关要求,标准征求意见稿对外公开征求意见。

2019年3月4日根据中国计算机用户协会秘书处收集到的意见反馈,对征求意见稿再次进行了修订,并提交中国计算机用户协会信息科技审计分会“金融信息科技风险审计规范”编制委员会主任金磐石、副主任陈天晴等进行了审定,形成了送审稿。

2019年3月31日,中国计算机用户协会秘书处邀请专家召开标准评审会议,对标准送审稿进行了审定,编写组根据专家的审定意见,对送审稿进行了进一步的修订和完善。

2019年4月5-10日,经编写组对送审稿审查意见的研究讨论、修改,形成报批稿。

四、编制原则

标准的用语、格式按照GB/T1.1-2009给出的规则起草。

标准内容的编制坚持以下原则:

1、急用先行,先易后难

首先将银行业信息技术服务外包中急需的,同时又容易在银行业达成一定共识的指导性要求纳入该标准,对于仍存在不确定性、或很难达成共识的,选择恰当的时机在标准后续的修订过程中逐步纳入。

2、实用性和可行性

本标准是在充分研究当前金融信息科技服务外包业具体实践的基础上进行编制的,标准编制过程中,充分考虑了当前的服务外包现状,重点对常用的及基本的要求作了规定,以期对服务外包发包方及承包方建立服务外包标准体系及评级奠定基础。在标准编制中,务求在满足当前金融行业复杂多样的环境的同时,保证标准的实用性、可操作性。

3、可扩展性

考虑到银行业信息技术服务外包状况的不断发展,为一方面能及时规范成熟业务,另一方面不限制业务创新,制定的标准内容具备较好的扩展性。

4、先进性和前瞻性

本标准在编制时,既考虑到目前银行业信息技术服务外包工作的实际应用现状,也考虑到将来的发展需要,使系列标准在较长时间内,具有一定的先进性和前瞻性。

5、简洁性

为使系列标准内容简洁、重点突出,其他国家标准或者行业标准中已规定的内容只作引用,不再重复描述。

五、标准主要内容

本标准规定了金融业信息科技服务外包风险管理能力成熟度评价体系以及对发包方和承包方的总体要求,分别对发包方、承包方的外包风险管理能力成熟度进行了分级定义,并且规定了对发包方和承包方进行风险管理能力成熟度评估的基本原则和流程。

本标准适用于金融行业信息科技服务外包活动中的发包方、承包方和第三方评估机构。

六、有关技术的说明

有关本标准起草过程中的一些技术问题说明如下:

1、在本标准起草过程中,针对编写组成员普遍关注的“信息科技服务外包的定义”问题,经过组内多次讨论以及金融机构的问卷调研和访谈,综合各方面意见,决定去掉监管机构对信息科技外包定义中的“组织将原本由自身完成的”内容。

2、为了能够使得标准能帮助金融机构符合监管有关外包风险合规要求,同时,又能够让金融机构有限的管理资源得到充分和有效的利用,避免过度管理。经过标准编写组成员的反复讨论,决定:改变前期的涵盖外包全生命周期的“大而全”的内容框架体系,聚焦于建立外包风险管理能力成熟度模型,并运用该模型对发包方和承包方进行等级评定上。如此,使得标准更有针对性、可操作性,也更能帮助金融机构对外包实施分类监管和差别化管理。

 

参考的主要标准:

GB/T 22080-2016  信息技术 安全技术 信息安全管理体系 要求

GB/T 24405.1-2009  信息技术 服务管理 1部分:规范

GB/T 30146-2013  公共安全 业务连续性管理体系 要求

七、关于标准的性质

鉴于本标准的内容,建议主管部门将该标准作为推荐性团体标准发布。

八、有关专利的说明

本标准不涉及专利问题。