DB37T 1363-2009信息技术外包服务 风险控制指南.pdf

1CS 03. 080. 99A 10DB37山东省地方标准DB37/T1363—2009信息技术外包服务风险控制指南2009-XX-XX发布2009-XX-XX实施山东省质量技术监督局发布 DB37/T言本标准由山东省服务标准化技术委员会归口。本标准起草单位：山东省标准化研究院、华中科技大学、浙江工商大学、中国科学院。本标准主要起草人：玉凯、曲发川、朱瑞虹、张媛、陈涛、丛国栋、于本海。 DB37/T 1363—2009信息技术外包服务风险控制指南1范围本标准规定了信息技术外包服务风险类别和风险控制方式。本标准适用于采购外包服务的组织，用以指导组织有效规避并控制外包服务产生的风险。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的弓用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的用文件，其最新版本适用于本标准。GB/T19000-2000术语和定义DB37/TAAAA-2009信息技术外包服务术语和服务分类3术语和定义3. 1外包outsourcing指组织将价值链中原本由自身提供的具有基础性的、共性的、非核心的信息技术业务和基于信息技术的业务流程离出来后，交给服务提供方来完成的活动。3.2信息技术外包（ITO）information technology outsourcing (ITO)指组织委托服务提供方向其提供部分或全部信息技术服务的活动。3.3项目project由一组有起始日期、相互协调的受控活动组成的独特过程，该过程达到符合包括时间、成本和资源的约束条件在内的规定要求的目标。注：(B/T19000-2000，术语和定义3.4.4（不包括注本标准中指外包服务项目。3.4风险 risk某种或几种因素对目标造成不良后果的可能性。3.5服务提供方（接包方）serviceprovider向一个或多个客户提供服务的组织。3. 6服务需求方（发包方、客户）buyer购买服务的组织。3.7分包subcontracting服务提供方将外包项目中整体或部分业务外包给其他服务提供方的过程。4风险类别 DB37/T 136320094.1技术因素因服务提供方技术能力不能满足项目要求而给项目带米的风险。服务提供方的技术能力主要包括：提供必要服务的能力、关键人员的技术能力、当前及未来所需的支持技术、在未来运行环境中提供服务的经验、业务连续性能力。4.2资金因素由于服务提供方没有足够的资金作为支持，无法及时购买先进的信息技术和聘用有能力的信息技术人员，无法保证项目的正常运作，以及由于突发事件，造成服务提供方倒闭或者破产，使外包服务项目无法继续。4.3信息安全服务提供方有意泄露组织的有关策略信息给竞争对手，从而获得额外的高额收益，或由于技术间沟通和外界因素的原因，无意泄露组织的业务信息和个人信息。这些信息通常包括：生产的特有技术、产品设计、客户信息等。4.4客户关系客户与服务提供方之间的关系，会影响项目。尤其是对于定制开发项目，客户关系存在问题会影响对用户需求的理解。4.5法律因素外包服务过程中，尤其在离岸外包服务过程中，由于缺少对客户国家法律的了解而产生的对外包服务业务的影响。4.6政治因素服务提供方国家或地区的政治形势变化对外包业务造成的影响，如：政变、政策。4.7文化因素服务提供方的文化与客户存在差异，工作人员适应文化能力较差带来项目风险。如：风俗习惯、宗教信仰。4.8经济因素经济因素对外包项目成本顶算产生影响。如：经济危机、汇率波动。5风险控制方式5.1选择服务提供方5.1.1技术和经验评估对服务提供方技术和经验的评估应包括：a）评估提供必要服务和当前及未米技术支持的能力：b）评估相关领域需补充专业知识，如：法律、语言：c）评估用于协助外包服务业务所使用的第三方合作者：d）评估过去运营环境中的服务提供经验：e）分析是否需要其他必要的附加系统、数据传递以及工作：f）评估业务连续性能力：g）联系服务提供方前期客户，以了解其信誉：h）开展业务的关键服务提供者能力：1）进行实地调研服务提供方的运营和服务支持情况。5.1.2运营与管理评估应对服务提供方内部管理和运作情况进行评估，评估内容应包括：a)确定服务提供方是否有完善的规范和制度，这些规范和制度包括：内部控制和设随管理（如：准入条件，共享设施等）、安全（如：系统，数据，设备等）、隐私保护、文档的维护、业务恢复应急计划、服务过程相关文档（如系统开发和维护记录）、员工档案资料：2 DB37/T1363—2009b）确定服务提供方提供了充足的信息安全防范措施，这些措施包括：防火墙、加密、用户身份认证、入侵检测与响应、移动设备管理（如笔记本