T/CCUA 003-2023 金融信息科技外包风险管理能力成熟度模型与评估规范

内容简介

本文件确立了金融业信息科技外包风险管理能力成熟度模型，规定了发包方和承包方能力成熟度评估的总体要求，并给出了对发包方和承包方进行外包风险管理能力成熟度评估的方法
本文件适用于金融行业信息科技外包活动行为主体(包含发包方和承包方)的外包风险管理能力成熟度评估
1、发包方能力模型，将发包方能力分解为外包管理的规范性、风险控制和成效控制三个方面，即3个能力域。其中规范性能力域（D1）包含组织（D1/P1）、制度（D1/P2）、流程（D1/P3）、系统（D1/P4）4个能力项，风险控制能力域（D2）包含网络安全和数据安全（D2/P1）、连续性（D2/P2）、产权（D2/P3）、合规(D2/P4）4个能力项、成效控制能力域（D3）包含成本（D3/P1）、质量(D3/P2)、效率(D3/P3）3个能力项，共11个能力项。每个能力项分为1-5个成熟度等级：起始级（1级）、发展级（2级）、稳健级（3级）、优秀级（4级）和卓越级（5级）2、承包方能力模型，将承包方能力分解为专业技术能力、服务交付能力和企业经营能力三个方面，即3个能力域。其中专业技术能力域（D4）包含技术资质（D4/P1）、软件著作权/专利（D4/P2）、人才结构（D4/P3）3个能力项，服务交付能力域（D5）包含服务体系（服务能力、服务改进、质量管理、连续性管理）（D5/P1）、服务案例（D5/P2）、网络安全和数据安全保障能力（D5/P3）、系统支持（D5/P4）4个能力项，企业经营能力域（D6）包含企业规模（D6/P1）、财务状况（D6/P2）、经营方向（D6/P3）、市场份额（D6/P4）4个能力项，共11个能力项。每个能力项都分为5个成熟度等级：起始级（1级）、发展级（2级）、稳健级（3级）、优秀级（4级）和卓越级（5级）