外包风险评估报告.pdfVIP

XX银行服务外包

风险评估及应对措施

注意：风险评估内容应包括但不限于下列内容，根据外包活

动不同各机构应详细识别外包活动中相应风险并提出应对

措施，最后在风险防范措施中进行总结性归纳。

一、服务外包概况

。。。。。。。

二、服务外包风险识别分析与评估

下面对使用服务可能产生的风险进行识别分析和评估。

（一）战略风险的识别、分析

技术战略的失误导致技术开发失败。

针对上述风险，有如下应对措施：

建立和运行《质量目标管理程序》并定期检讨战略实

施情况,及时采取战略调整计划;

综上，战略风险是可控的。

（二）依赖性风险的识别、分析

技术对人员的依赖风险

针对上述风险，有如下应对措施：

公司做好技术人员培养，并且制定对应的薪酬管理制

度留住核心技术人员。

综上，依赖性风险是可控的。

（三）合规风险的识别、分析

公司劳动合同或规章制度违反《中华人民共和国劳动

法》,导致罢置、监管部门重大经济处罚等后果。

针对上述风险，有如下应对措施：

1.建立和完善公司规章制度;

2.努力提高员工待遇;

3.由公司法律顾问对规章制度进行合规性评审;

综上，合规性风险是可控的。

（四）成本与收益风险的识别、分析

因产品价格客户不能接受导致客户无法合作，或者因产

品价格过低导致项目失败。

针对上述风险，有如下应对措施：

与客户充分沟通,采取价值工程分析法,与客户共同采

取措施以降低成本。同时，应该保持价格在合理的区间，

否则价格过低会导致公司成本无法维持。

综上，成本与收益风险是可控的。

（五）知识和技能风险的识别、分析

因新员工或转岗人员的能力不够,导致产品不合格。

针对上述风险，有如下应对措施：

1.建立和运行《生产提供控制程序》与《人力资源管

理程序》、《不合格输出控制程序》,确保员工经考核合

格后方可上岗;

2.增加不合格品展示板和制作“岗位技能培训教材”

综上，知识和技能风险是可控的。

（六）业务连续性的风险识别、分析

1.线路故障

采用主备线路双线通讯，如果有线路故障会启动紧急预

案，快速响应，解决线路问题。

2.底层云硬件设施故障

在云端建立热备份和异地灾备机制，能够保证业务不因

为底层云硬件故障而停止。

3.功能更新失败

建立更新监测机制，对功能进行定时更新。对于更新失

败的情况，恢复可用版本，建立失败报告和日志查询，并且

派遣维护工程师进行手动更新。

4.网络攻击

增加网络安全设备，如防火墙、网闸等等，并建立安全

可靠的网络访问机制，防止网络攻击。

综上，业务连续性风险是可控的。

（七）产生信息泄露的风险识别、分析

1.平台安全缺陷

平台的安全缺陷，主要通过系统补丁、安全设置、软件

的补丁等技术手段来处理，增加平台的系统健壮性。

2.恶意攻击

恶意攻击主要来源于网络，因此，需要增加额外的网络

安全设备，设置合理的网络安全规则，来防范恶意攻击的风

险。

3.员工违规操作

对于员工，需要建立一套合理有效的安全管理机制，包

括访问时间、访问权限等操作方面的控制，需要根据不同的

员工级别，设置不同的安全级别，以避免员工违规操作的风

险。

综上，信息泄露风险是可控的。

（八）产生数据丢失的风险识别、分析

1.硬件故障

硬件故障有可能会产生数据丢失的风险，通过数据的定

时备份，服务器的整机备份，双机热备和异地灾备等措施来

保障数据安全。

2.恶意攻击

恶意攻击主要来源于网络，会造成数据泄露、数据丢失

等信息安全风险。因此，需