TCCUA 003-2023 金融信息科技外包风险管理能力成熟度模型与评估规范

ICS35.240CCSL67T/CCUA中国计算机用户协会团体标准T/CCUA003-2023代替T/CCUA003-2019金融信息科技外包风险管理能力成熟度模型与评估规范Riskmanagementcapabilitymaturitymodelandassessmentforoutsourcingoffinancialinformationtechnologyspecification2023–03–24发布2023–04–24实施中国计算机用户协会发布全国团体标准信息平台全国团体标准信息平台T/CCUA003-2023I目次前言..............................................................................................................................................................II1范围...........................................................................................................................................................12规范性引用文件.......................................................................................................................................13术语和定义...............................................................................................................................................14能力成熟度模型.......................................................................................................................................34.1概述...................................................................................................................................................34.2发包方能力成熟度模型....................................................................................................................34.3承包方能力成熟度模型....................................................................................................................45能力成熟度评估.......................................................................................................................................45.1发包方能力成熟度评估总体要求....................................................................................................45.2承包方能力成熟度评估总体要求....................................................................................................65.3被评估方申报....................................................................................................................................75.4确定评估方案....................................................................................................................................75.5提供评估实证....................................................................................................................................75.6评定能力成熟度等级........................................................................................................................75.7评估结果分析及改进........................................................................................................................7附录A（资料性）能力框架.....................................................................................................................8附录B（规范性）能力成熟度评估规则.................................................................................................9附录C（规范性）能力成熟度评估表...................................................................................................20附录D（资料性）评估示例...................................................................................................................24参考文献...........................................................................................................................................36全国团体标准信息平台T/CCUA003-2023II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件替代T/CCUA003-2019《金融信息科技服务外包风险管理成熟度评估规范》，与T/CCUA003-2019相比，除结构调整和编辑性改动外，主要技术变化如下：——更改了标准名称，具体修改为“金融信息科技外包风险管理能力成熟度模型与评估”；——增加了外包的分类分级管理，包括外包类别、特殊要求外包分类和重要性级别，增加外包服务提供商风险管理能力成熟度等级的应用方法；——增加了数据安全和个人信息保护的内容；——增加了业务连续性管理相关内容，主要增加了影响业务连续性管理的风险点，包括全球供应链风险、公共卫生突发事件风险、自然灾害等；请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中国计算机用户协会提出并修改归口管理。本文件起草单位：中国计算机用户协会信息科技审计分会、招商银行股份有限公司、华夏银行股份有限公司、中治研（北京）国际信息技术研究院、中国农业发展银行、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、交通银行股份有限公司、中国邮政储蓄银行股份有限公司、上海浦东发展银行股份有限公司、渤海银行股份有限公司、赣州银行股份有限公司、洛阳银行股份有限公司、九江银行股份有限公司、广州银行股份有限公司、泰安银行股份有限公司、深圳前海微众银行股份有限公司、江西裕民银行股份有限公司、开泰银行（中国）有限公司、北京农村商业银行股份有限公司、广东省农村信用社联合社、贵州省农村信用社联合社、福建省农村信用社联合社、中国人寿（集团）股份有限公司、中国人寿财产保险股份有限公司、中国银河证券股份有限公司、太平金融稽核服务（深圳）有限公司、山东重工集团财务有限公司、山东省城市商业银行合作联盟有限公司、软通动力信息技术（集团）股份有限公司、中科软科技股份有限公司、中电科技（北京）有限公司、国家电子计算机质量检验检测中心、上海市锦天城（北京）律师事务所、北京昱正会计师事务所（普通合伙）。本文件主要起草人：李印波、韩建国、林创、孙卫东、姜健、车忠良、张正、王琰、杨晓平、刘松林、陈勤、刘剑锋、于伟琳、刘园、毛咏梅、何乃煜、李徽翡、陈致祥、戴文静、程建国、韩继炀、李鹏、颜涵、袁晟、丁伟、李海涛、刘超、罗志伟、刘天亮、班翊坤、钟锋、方立雄、尹君、伯军友、刘玲、郑良、林炳灵、何启翱、陈鑫（农）、陈鑫（中）、董俏、蔡炫楠、关竞楠、郝秀丽、邱俊、张海波、黄烜峰、全国团体标准信息平台T/CCUA003-2023III崔玉玺、黄先伟、李城漳、罗曦、王庆久、杨方、尹雪、陈群林、李海龙、魏东、陈星、陈晟、王颖、张荣、陈文超、于亚男。本文件及其所替代文件的历次版本发布情况为：——2019年首次发布为T/CCUA003-2019，本次为第1次修订。全国团体标准信息平台T/CCUA003-20231金融信息科技外包风险管理能力成熟度模型与评估规范1范围本文件确立了金融业信息科技外包风险管理能力成熟度模型，规定了发包方和承包方能力成熟度评估的总体要求，并给出了对发包方和承包方进行外包风险管理能力成熟度评估的方法。本文件适用于金融行业信息科技外包活动行为主体(包含发包方和承包方)的外包风险管理能力成熟度评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22080-2016信息技术安全技术信息安全管理体系要求3术语和定义下列术语和定义适用于本文件。3.1金融信息科技外包informationtechnologyoutsourcinginfinancialindustry金融机构将原本由自身负责的信息科技活动委托给服务提供商进行处理的行为。包括：咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等。3.2金融信息科技外包风险informationtechnologyoutsourcingriskinfinancialindustry金融机构在信息科技外包过程中的诸多不确定性可能导致的战略、声誉、合规等风险，包括但不限于：科技能力丧失、业务中断、数据泄露、丢失和篡改、资金损失、服务水平下降等影响。3.3发包方out