ICS35.240CCSL67T/CCUA中國計算機用戶協會團體標準T/CCUA003-2023代替T/CCUA003-2019金融信息科技外包風險管理能力成熟度模型與評估規范Riskmanagementcapabilitymaturitymodelandassessmentforoutsourcingoffinancialinformationtechnologyspecification2023–03–24發布 2023–04–24實施中國計算機用戶協會發布T/CCUA003-2023目 次前言 II范圍 1規性引文件 1術和定義 1能成熟模型 3概述 3發方能成熟型 3承方能成熟型 4能成熟評估 4發方能成熟估總體求 4承方能成熟估總體求 6被估方報 7確評估案 7提評估證 7評能力熟度級 7評結果析及進 7附錄A（資料）能框架 8附錄B（規范）能成熟度估規則 9附錄C（規范）能成熟度估表 20附錄D（料性評示例 24參考文獻 36IT/CCUA003-2023前 言GB/1.—21本文件替代T/CCUA003-2019T/CCUA003-2019相比，除結構調整和編輯性改動外，主要技術變化如下：——更改了標準名稱，具體修改為“金融信息科技外包風險管理能力成熟度模型與評估”；——增加了數據安全和個人信息保護的內容；（中國（（（））農）、陳鑫（中IIT/CCUA003-2023本文件及其所替代文件的歷次版本發布情況為：——2019年首次發布為T/CCUA003-2019，本次為第1次修訂。IIIT/CCUA003-2023金融信息科技外包風險管理能力成熟度模型與評估規范范圍本文件適用于金融行業信息科技外包活動行為主體(包含發包方和承包方)的外包風險管理能力成熟度評估。（GB/T22080-2016信息技術安全技術信息安全管理體系要求下列術語和定義適用于本文件。3.1金融息技包 informationtechnologyoutsourcinginfinancialindustry金融機構將原本由自身負責的信息科技活動委托給服務提供商進行處理的行為。包括：咨詢規劃類、開發測試類、運行維護類、安全服務類、業務支持類等。3.2金融息技包險 informationtechnologyoutsourcingriskinfinancialindustry3.3發包方outsourcingcontractee信息科技外包服務的需方。3.4 承包方outsourcingcontractor信息科技外包服務的提供商，簡稱服務提供商。3.51T/CCUA003-2023金融信息科技外包風險管理能力Riskmanagementcapabilityoffinancialinformationtechnologyoutsourcing金融機構為有效應對信息科技外包風險,保障組織戰略、管理、服務目標有效達成的能力。3.6能力構造constructionofcapability與金融信息科技外包風險管理能力有關的且存在結構聯系的概念，對組織信息科技外包風險管理的某一局部能力的認識和概括。[來源：T/CCUA012-2021，3.1.3]3.7能力域 capabilityarea一組相關能力項的集合。3.8能力項 capabilityitem一個單項能力。[來源：GB/T33136-2016，3.1.6]3.9管理能力成熟度managementcapabilitymaturity3.10管理能力成熟度評估對象managementcapabilitymaturityassessmentobject[來源：T/CCUA012-2021，3.1.5]3.11發包能成度 capabilitymaturityofthecontractee體現發包方對信息科技外包管理和風險控制能力程度的一種綜合指標。2T/CCUA003-20233.12 承包能成度 capabilitymaturityofthecontractor體現承包方的信息科技服務承包實現和風險控制能力程度的一種綜合指標。3.13服務理 servicemanagement：GB/T24405.1-2009，2.14]3.14業務續管理 businesscontinuitymanagement[來源：ISO22301-2019，3.4]概述個(D3/P2111-5（1（2（3級（4）（53T/CCUA003-2023圖1發包方能力成熟度模型3（D4/P1）/專利（D4/P2）（D4/P3）3個能11（1級（2級（3級、（4級（5級）2圖2承包方能力成熟度模型4T/CCUA003-20233圖3能力成熟度等級發包方能力成熟度等級對應不同的管理水平。起始級（1級）：發展級（2級）：（3優秀級（4級）：3（55T/CCUA003-2023發包方能力成熟度評估規則按附錄B表B1執行。3不同能力成熟度等級對應不同的金融信息科技外包服務水平。（1（2（3（4（5化等量化手段監測和持續改進工作效能，為應對可能發生的金融信息科技服務外包風險，在機制、6T/CCUA003-2023承包方能力成熟度評估規則按附錄B表B2的規定執行。發包方：申報方提出申請，申請的內容應包括申請評估的目標級別。），范圍內能力域及能力項的評估標準。評估方評定金融信息科技外包風險管理能力成熟度等級應包括：1（）2（）按照附錄B表B1（）或附錄B表B2（）D被評估方對評估結果進行差距分析及改進，明確組織未來的信息科技外包風險管理發展路徑。7T/CCUA003-2023附錄A（資料性）能力框架表A1能力框架（第1頁/共1頁）能力能力域能力項能力項類型發包方能力D1:規范性P1:組織原則性P2:制度原則性P3:流程非原則性P4:系統非原則性D2:風險控制P1:網絡安全和數據安全原則性P2:連續性原則性P3:產權非原則性P4:合規原則性D3:成效控制P1:成本非原則性P2:質量非原則性P3:效率非原則性承包方能力D4:專業技術能力P1:技術資質非原則性P2:軟件著作權/專利非原則性P3:人才結構非原則性D5:服務交付能力P1:（非原則性P2:服務案例非原則性P3:網絡安全和數據安全保障能力原則性P4:系統支持非原則性D6:企業經營能力P1:企業規模非原則性P2:財務狀況非原則性P3:經營方向非原則性P4:市場份額非原則性原則性能力項：指定的能力等級評估過程中，必須達到該能力等級的項。8T/CCUA003-2023附錄B（規范性）能力成熟度評估規則表B1發包方能力成熟度評估規則（第1頁/共4頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級（1）組織中建立了結（1）自上而下的外包管構層級、職責清晰的協（1）外包管理組織機構理組織架構，組織架構D1/P1組織原則性組織中設立了外包管理的崗位（可兼崗），有專門的組織職責，實施外包風險管控組織中設立了外包管理專職崗位，明確管理范圍和職責，其中外包風險管理設立了專職崗位同管理組織機構全生命周期管理應建立外包項目實現外包活動全生命周期管理和崗位建立了外包活動的量化數據收集機制，形基于外包量化數據可以快速調整、持續調優，不斷推進外包活動的精細化管理（2）良好的組織架構和組織調整制度促進組織/合同管理、外包風險成了數據基線外包管理能力成熟度的管理崗位提升（1）建立了比較完善（1）建立自上而下的量化指標庫，持續追蹤數據的變化，并基于數據分析的基礎上推進外包管理制度的不斷完善理、知識轉移管理、集中度管理制度的外包活動全生命周全面的外包管理體系，（1）形成定期更新制度期的管理規范、制從決策層的外包管理戰的機制，并隨著新技組織初步建立了總體度，并正式發文全部略目標、外包規劃，到術、新管理、科技戰略D1/P2制度原則性管理制度、規范。制項目遵照執行（2）應建立外包項目管理、外包人員管各部門/專崗的制度，括外包活動全生命周期持續優化（2）建立組織級優秀實踐庫度規范試行階段理、服務提供商管管理規范、指南、模板（3）應建立外包戰略、理、外包風險管控、（2）應建立外包分項目后評價、外包關系網絡安全和數據安全類、外包風險管控、外管理制度管理制度包業務連續性管理制度（1）應建立專業的外（1）應建立完善的外務發展、研發技術、管理模式的創新做出更新自動化流程，流程流轉高效，且流程流轉時效能夠進行度量，并不斷調優包活動流程，流程正包活動流程，流程可以（1）應建立基于量化過式發布并且所有項目高效的輔助外包項目管程控制的外包風險管理D1/P3流程非原則性組織初步建立外包活動流程，能確保項目完成遵照執行（2）應建立外包項目立項、結項流程，外理，流程要求已全部落實到流程中并不斷調優（2）應建立外包決策流程，并建立度量與分析機制，能夠推動流程的優化包駐場人員進場、離流程，外包風險、網絡（2）應建立外包成本估場流程，服務提供商安全和數據安全事件處算流程準入、退出流程理流程9T/CCUA003-2023表B1發包方能力成熟度評估規則（第2頁/共4頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級（1）系統能實現外包項周期全流程的管理，外包駐場人員的管理，服務提供商信息析、匯總功能，能提供數據用于外包管理的持續優化系統實現項目后評價（1）系統實現了外包項目生目生命周期全流程的管命周期全流程的管理，外包駐理，外包駐場人員的管系統實現了外包項場人員的管理，服務提供商信理，服務提供商信息D1/P4系統非原此級別不作要求目基本管理流程，外包人員的信息登息（2）應包括外包項目需求、（2）系統能提供數據統計、分析、匯總功能，記。立項審批、驗收、結項，外包能提供數據用于外包風人員進場、考勤、離場管理功險的監控。包括：服務能。提供商管理、統計報表、基線發布（1）建立了外包發布了外包網絡安全、計的機制合同包括安全物理環試；服務提供商保密協議（1）發布了外包網絡安網絡安全、數據安全、數據安全管理規（1）發布了外包網絡安全、數D2/P1網絡安全和數據安全原則性有基本的網絡安全、數據安全規定和管理措施全管理規范，落實到日常工作中，并實施檢查（2）合同包含網約定、消費者權益范，并將安全要求融入到外包活動的流程和操作規范中，形成了適用的監測指標用于日常監測，并建立了定期檢查、審計的機制據安全管理規范，并將安全要求融入到外包活動的流程和操作規范中，參與外包管理的員工養成了安全意識，并有定期檢查、審計、持續改進的機制（2）能定期提出外包網絡安保護約定、外包人（2）能定期提交外包網全、數據安全提升規劃員駐場安全規定絡安全、數據安全報告（1）通過了行業認可的（1）通過了行業認可的服務連服務連續性管理資質認續性管理資質認證，組織發布D2/P2連續性原則性建立基本的服務連續性管理機制，識別服務連續性風險組織發布服務連續性管理規范，在合同中有明確的服務連續性應急管理方案組織發布了服務連續性管理規范，落實到外包項目和服務提供商管理中。包括：合同中斷及變更約定、服務提供商服務中斷或服務水平嚴重下降應急預案、國際供應鏈風險管理證，組織發布了完善的服務連續性管理體系，落實到外包項目和服務提供商管理中（2）建立了適用的監測指標用于日常風險監了完善的服務連續性管理體提供商管理中（2）的定期監測和年度評估機制，并利用監測指標和評估結果進測，做到識別、跟蹤和一步優化服務連續性管理體系處置和機制10T/CCUA003-2023表B1發包方能力成熟度評估規則（第3頁/共4頁）號稱型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級（1）建立了針對知識產權（1）建立了針對知識產權的D2/P3產權非原則性外包活動中相關信息和知識產權歸屬權以及允許服務提供商使用內容及范圍有明確要求建立了知識產權管理規范，服務外包活動按照相關規定執行的確認、審批，以及侵權事件的處理的管理流程板的確認、審批，以及侵權事件的處理的管理流程（2）板和優秀實踐文檔庫，根據服務外包管理的量化數確認、審批，以及侵權事件的處理的管理流程（2）形成了完善的文檔模板和優秀實踐文檔庫，根據服務外包管理的量化數據來輔據來輔助管理助管理，并有持續優化機制（1）遵照法律法規和監管（1）遵照法律法規和監管要（1）遵照法律法規和監管要求建立了較完善的外包求建立了完備的外包活動合要求建立了外包活動合規活動合規要求識別、評估規要求識別、評估與處置、（1）服務外包活遵照法律法規和監要求識別、評估與處置、與處置、檢查與回顧的管檢查與回顧的管理制度與流動按照相關法律法管要求建立了比較檢查與回顧的管理制度與理制度與流程程D2/P4合規原則性規和監管要求執行（2）有基本的外完善的外包活動合規管理規定和措流程（2）形成了完善的文檔模（2）模板和優秀實踐文檔庫，（2）形成了完備的文檔模板和優秀實踐文檔庫，根據服包活動合規管理規施，服務外包活動板并有效落實根據服務外包管理的量化務外包管理的量化數據有效定和措施按照相關規定執行（3）1數據來輔助管理輔助管理，持續優化機制有部門及監管相關公開處罰（3）2效記錄部門及監管相關公開處罰（3）4記錄門及監管相關公開處罰記錄（1）建立了組織級項目估算量化體系，指導外包項（1）建立了完備的組織級項可根據項目經驗、市場詢目立項時進行工程造價的目估算量化體系，有效指導D3/P1成本非原則性此級別不作要求可根據項目經驗、市場詢價等方法進行項目成本估算價、功能點、測試案例等方法，進行項目成本估算，項目結項后有項目成成本估算，項目結項后，有成本核算機制（2）建立了人力成本基外包項目工程造價的成本估算（2）能夠根據市場變化持續本核算機制線、功能點/測試案例/其優化成本，成本核算機制有他成本基線、生產效率基效線11T/CCUA003-2023表B1發包方能力成熟度評估規則（第4頁/共4頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級（1）制定了完備的外包質量管全面理規范，包D3/P2質量非原則性初步制定外包項目質量管理流程和管控方法建立了外包質量管理規范，包含外包項目質量、人員質量、服務提供商質量的管控措施面管理規范，包含外包質量管控流程、措施、監測方法標、質量管控措施；外包人員資質要求、準入措施；服務提供商準入標準、準入控制措施、服務提供商/產品/解決方案選型機制、服務評價和退出機制包質量全面管理規范，包含外包質量管控流程、措施、監測方法標體系含量化外包質量管控流程、措施、監測方法體系，包括：缺陷密解決率、故障響應時員異動率、人員流失率、違規數據并改進的機制，組織級度量數據不斷調優，外包質量管理數據呈上升趨勢（1）建立了組織級不同類型項目的效率指標，作用于外包項目立項決（1）建立了全面外包效制定了與效率相關的管策，并對外包服務效率率監控指標體系D3/P3效率非原此級別不作要求對外包活動中的關鍵理規范，包含研發、測試、運維等方面的效率進行量化評價（2）建立了平均每人天（2）能定期回檢效率數據并改進的機制，組織的管理要求產出的功能點/用戶體驗級度量數據不斷調優，或其他可量化指標、代效率指標呈上升趨勢碼行、測試案例等分析數據共11項，評定級別至少須通過9項，且未通過項不能為原則性能力項，且未通過項達到目標級別的低一級要求。12T/CCUA003-2023表B2承包方能力成熟度評估規則（第1頁/共7頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級（1）高新企業認證，國家家高新技術企業證書，滿一年加要求要求軟件企業認證加要求CCRC業務支持類：無附加要求高新企業認證，國家三年要求求軟件企業認證要求安全類：附加要求CCRC證業務支持類：無附加要求（1）咨詢規劃類：或地方高新技術企業證書此級別不作要求（2）咨詢規劃類：無附加（2）開發測試類：要求軟件企業認證（3）開發測試類：附加要D4/P1技術資質非原則性此級別不作要求此級別不作要求安全類：CCRC求軟件企業認證（4）運行維護類：無附加要求信息安全服務資質（5）安全類：附加要求認證CCRC信息安全服務資質認（5）業務支持類：證無附加要求（6）業務支持類：無附加要求（1）在所申請類別相關專24以上實用新型專利8服務支撐知識庫體系入應不低于上一財年總15500（1）在所申請類別相關專（1）在所申請類別業技術領域獲得1個以上3相關專業技術領域發明型專利或3個以上實5D4/P2軟件著作權/專利非原則性2作權登記證書具有專利軟件著作權登記證4技術創新和研用新型專利6建立了完備的自身服務支撐知識庫體系型專利10建立了完備的自身服務支撐知識庫體系發投入不低于上一（4）技術創新和研發投入（4）技術創新和研發投入財年總收入的5%應不低于上一財年總收入應不低于上一財年總收入的的10%或大于250萬20%或大于800萬13T/CCUA003-2023表B2承包方能力成熟度評估規則（第2頁/共7頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級D4/P3人才結構非原則性本科及以上學6060%本科及以上學7060%整體人員異動20人員異動率不超過15%培訓機制本科及以上學歷員工80稱或具備中級職稱能力與565%整體人員異動率不超2015%工教育資質認證員工占比15的資質認證或學歷學位證明，信息科技方面的資質認證或學歷學位證明制咨詢規劃類：附加要求通過金融信息科技員工以上本科及以上學歷員85%以上，達到中力與經驗水平員工占比10%以上70%整體人員異動率不1510%通過金融信息科技30%以上，如金融從業教育、培訓機制運要點金融機構提供可持咨詢規劃類：附加50%以上本科及以上學歷員工90%以上，達到中級職15%以上75%。整體人員異動率不超155%通過金融信息科技員工教育資質認證員工占比50%以上，如金融從業方面的資質認證或學歷學位證證或學歷學位證明教育、培訓機制能持續有效運行，資源投入充務14T/CCUA003-2023表B2承包方能力成熟度評估規則（第3頁/共7頁）能力項編號項能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級（1）具有完善的質量管理體系，并通過業界公認較為權威（1）具備完善的質量管理的質量管理資質認證，例如質（1）具備服務質量管理體系，并通過業界公認較為量標準認證制度（1）具備較完善的質量權威的質量管理資質認證，ISO9001/ISO200003（2）符合信息科技風險管理體系，并通過業界公如質量標準認證級評估和審計管理要求認較為權威的質量管理資ISO9001/ISO20000、等級保（2）具有完善的系統運維服務（3）具有系統運維服務質認證，例如質量標準認護3級管理體系，并通過業界公認較管理制度證ISO9001/ISO20000、（2）具有完善的系統運維為權威的運行服務管理資質認（4）具有服務連續性相等級保護3級服務管理體系，并通過業界證服務關制度，對連續性管理（2）具備較完善的服務公認較為權威的運行服務管（3）具備完善的服務連續性管體系需求進行了初步評估，連續性管理體系，對連續理資質認證理體系，對連續性管理需求進（服制定了服務連續性計性管理需求進行了較為充（3）具備較完善的服務連行了充分的評估，制定了服務務能劃；具有充足的人力資分的評估，制定了服務連續性管理體系，對連續性管連續性計劃，內容要素完整且D5/P1力、服務改非原則性此等級對該項不作要求源開展相關工作，且初步明確了應急處置流程（5）通過其他資質認續性計劃，內容要素完開展相關工作，且明確了容要素完整且與業務影響分一致；具有充足的人力資源開進、證，如CMMI、敏捷、精各類服務中斷事件的應急析、風險評估、業務回復策展相關工作，且明確了各類服質量益等。參考以下標準：處置流程，建立了服務中略等工作成果完全一致；具務中斷事件的應急處置流程，管開發測試類：CMMI、敏斷事件原因調查與分析機有充足的人力資源開展相關全面涵蓋了事件的前期處置、理）捷、精益、ISTQB軟件制工作，且明確了各類服務中評估與報告、應急組織、決策測試資質認證等（3）具備較完善的系統斷事件的應急處置流程，涵與指揮、復原等環節，建立了運行維護類：運維服務管理體系，并通蓋了事件的前期處置、評估服務中斷事件原因調查與分析ISO20000、ITSS運維標過業界公認較為權威的運與報告、應急組織、決策與機制，能夠對事件原因進行深準（運維服務能力成熟行服務管理資質認證指揮、復原等環節，建立了入的調查和分析，并對相關問度模型）等（4）具備信息科技風險服務中斷事件原因調查與分題進行改進；制定了服務應急安全服務類：ISO27001評估和審計管理制度析機制，能夠對事件原因進計劃，定期更新、演練或測試等行深入的調查和分析，并對服務應急計劃，確保其充分性相關問題進行改進和可行性；并通過業界公認較為權威的服務連續性管理資質認證15T/CCUA003-2023表B2承包方能力成熟度評估規則（第4頁/共7頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級（5）通過其他資質認CMMI獲得行業相關資質的中級別認證。參考以下標準：開發測試類：CMMI、敏捷、精益、ISTQB軟件測試資質認證等運行維護類：ISO20000、ITSS準（運維服務能力成熟度模型）等安全服務類：ISO27001等并通過業界公認較為權（4）具備完善的信息科威的服務連續性管理資技風險評估和審計管理體質認證系（4）具備信息科技風（5）建立有效的服務管服務險評估和審計管理體系理體系和機制，并有效實體系（5）通過其他資質認施，同時有評估機制，持（服證，如CMMI四級，或續優化服務管理體系和機務能獲得行業相關資質的高制D5/P1力、服務改非原則性級別認證。參考以下標準：開發測試類：CMMI、敏（6）通過其他資質認CMMI得行業相關資質的最高級進、捷、精益、ISTQB軟件別認證。參考以下標準：質量測試資質認證等開發測試類：CMMI、敏管運行維護類：捷、精益、ISTQB軟件測理）ISO20000、ITSS運維試資質認證等標準（運維服務能力成運行維護類：ISO20000、熟度模型）等ITSS運維標準（運維服務安全服務類：ISO27001能力成熟度模型）等等安全服務類：ISO27001等（1）承包方近三承包方近三年內完成全國性金融機構省級分支行（或相當等級機構）12近三年客戶平均滿9（NPS-行）年內完成全國性金（1）承包方近三年內完（1）承包方近三年內融機構地市級分支成全國性金融機構地市完成全國性金融機構省行（或相當等級機級分支行（或相當等級級分支行（或相當等級D5/P2服務案例非原則性本級對服務案例不作要求構）服務外包項目2個以上（2）近三年客戶機構）服務外包項目5個以上（2）近三年客戶平均滿機構）服務外包項目8個以上（2）近三年客戶平均平均滿意度，達6意度，達7分以上（按滿意度，達8分以上分以上（NPS-照NPS-凈推薦值評估機（按照NPS-凈推薦值凈推薦值評估機制制執行）評估機制執行）執行）16T/CCUA003-2023表B2承包方能力成熟度評估規則（第5頁/共7頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級落實了知識產權相關制度、方法和流程，確保所提供的外包服務無知識產權侵權行為或產權糾紛外包服務活動遵循相關法律和規范。確保不損害發包方及監管機構和主管部門的監管效能承包方按照GB/T22080-2016全、數據安全管年度評估了知識產權管理制度、方法和流程，并為之提供了必要的資源投入，以確保所提供的外包服務無知識產權侵權行為或產權糾紛服務活動遵循有關法律、法規和規范，確保不損害發包方及監管機構和主管部門的監管效能的網絡安全、數據安全管理體系，并通過行業認可的網絡安全、數據安全管理資質認證。按GB/T22080-2016后續國家標準的要求對網絡安全、數據安全管理進行年度評估，并利用評估結果持續改進網絡安全、數據安全管理體系（1）承包方確保服務外包活動遵循相關法律和規范，（1）承包方制定并落（1）承包方制定并落實了確保不損害發包方及監管機實了有關知識產權的知識產權相關制度、方法構和主管部門的監管效能。管理措施，能夠確保和流程，確保所提供的外5承包服務無知識產權包服務無知識產權侵權行行業監管以及金融業客戶的侵權行為或產權糾紛為或產權糾紛相關公開處罰記錄網絡（2）承包方應確保外（2）承包方應確保外包服（2）承包方應具有完善的安全包服務活動遵循相關務活動遵循相關法律和規CCRC和數法律和規范。確保不范，確保不損害發包方及管理體系，并通過行業認可D5/P據安原則損害發包方及監管機監管機構和主管部門的監的CCRC信息安全服務資質3全保性構和主管部門的監管管效能認證障能效能（3）承包方應具有完善的（3）承包方按照GB/T力（3）承包方按照網絡安全、數據安全管理22080-2016GB/T22080-2016及體系，按照GB/T22080-的要求建立了網絡安全、數后續國家標準的要求2016及后續國家標準的要據安全管理體系，通過了相對參與信息科技外包求對網絡安全、數據安全關認證并有效實施一年以服務活動的人員進行管理進行年度評估，并利上。承包方建立了對網絡安了網絡安全、數據安用評估結果持續改進網絡全、數據安全管理的年度評全意識培訓安全、數據安全管理體系估機制，并利用評估結果進一步優化網絡安全、數據安全管理體系和機制在主營業務上，普及了具有D5/P4系統支持非原則性本級對系統支持不作要求具有匹配交付服務的線上系統管理工具具有匹配交付服務的線上系統管理工具，從合規和效率上提升交付服務效率和滿意度在主營業務上，普及了匹配交付服務的線上系統管理工具，從合規和效率上提升交付服務質量、效率和滿意度策層優化服務、改進企業管理17T/CCUA003-2023表B2承包方能力成熟度評估規則（第6頁/共7頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級供職員工規模，以社保繳存記錄為準D6/P1企業規模非原則性此級別不作要求供職員工規模，以社保繳存記錄為準咨詢規劃類：不少3050503050供職員工規模，以社保繳存記錄為準人人人人人供職員工規模，以社保繳存記錄為準100500250100250人人人人人D6/P2財務狀況非原則性況符合所提供的服務外包業務類型的要求利水平、現金流等財務狀況良好，支持組織可持續經營和發展（1）自身的財務型（2）資產負續經營和發展（3）前一年營業6003050%500成立時間應不少于3業務沒有出現虧損50005050請類別的收入占比不小40%2000注冊成立時間應不少31.530%50005潤同比保持穩定或上升330%，且所申請類別的收入占比不小于20%18T/CCUA003-2023表B2承包方能力成熟度評估規則（第7頁/共7頁）能力項編號能力項名稱能力項類型第1級第2級第3級第4級第5級起始級發展級穩健級優秀級卓越級2備以下任一特征：高精尖領域場需求量很大需求巨大企業主營業務近3年企業主營業務近1內無國家有關部門、企業主營業務近5年內無年內無國家有關部行業監管以及金融業國家有關部門、行業監管門、行業監管以及客戶的相關公開處罰以及金融業客戶的相關公金融業客戶的相關或不良信用記錄，且開處罰或不良信用記錄，公開處罰或不良信在市場上具備以下任且在市場上具備以下任一D6/P3經營方向非原則性此級別不作要求用記錄，且在市場上具備以下任一特一特征：a.高精尖領域，市場特征：a.高精尖領域，市場潛力征：潛力大大a.高精尖領域b.技術含量中等，但b.技術含量中等，但市場b.技術含量非高精市場需求量很大需求量很大尖，但市場需求量c.技術含量較低但競c.技術含量較低但競爭力大爭力強，市場需求巨強，市場需求巨大大所申請類別的服務分支行（融機構）5（同為準）市級分支行（等級金融機構）8以商務合同為準）中的全國性金融機所申請類別的服務中的全D6/P4市場份額非原則性此級別不作要求構地市級分支行（或相當等級金融機構）客戶數量，國性金融機構地市級分支行（或相當等級金融機構）客戶數量，大于等于2（以12（以商務合同為準商務合同為準）共11項，評定級別至少須通過9項，且未通過項不能為原則性能力項，且未通過項達到目標級別的低一級要求。19T/CCUA003-2023附錄C（）表C1發包方能力成熟度評估表（第1頁/共2頁）能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單評估結果（根據具體評估內容記錄評估所依據的事實及存在差距等）預評估等級評估人果D1/P1組織原則性-xxx-xxx-xxx-xxx-xxxxx制度，xx規范等5XXX5D1/P2制度原則性D1/P3流程非原則性D1/P4系統非原則性D2/P1網絡安全和數據安全原則性D2/P2連續性原則性D2/P3產權非原則性D2/P4合規原則性D3/P1成本非原則性D3/P2質量非原則性D3/P3效率非原則性20T/CCUA003-2023表C1發包方能力成熟度評估表（第2頁/共2頁）定級結果申報定級級別評估時間被評估單位審議時間定級結論XXX（發包方）XXX審議小組簽字日期1-5），21T/CCUA003-2023非原則性D4/P3非原則性軟件著作權/D4/P2非原則性D4/P1成熟度等級審議結果評估人預評估等級評估結果（等）評估證據清單評估記錄評估參考標準能力項類型能力項名稱能力項編號非原則性D6/P4非原則性D6/P3非原則性D6/P2非原則性D6/P1非原則性D5/P4原則性全保障能力D5/P3非原則性D5/P2非原則性（理）D5/P122T/CCUA003-2023表C2承包方能力成熟度評估表（第2頁/共2頁）定級結果申報定級級別 評估時間被評估單位審議時間定級結論經評估，XXXXXX（承包方）達到XXX級別。審議小組簽字日期1-5）23T/CCUA003-2023附錄D（資料性）評估示例表D1：發包方能力成熟度評估示例（第1頁/共6頁）成能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單評估結果（根據具體評估內容記錄評估所依據的事實及存在差距等）預評估等級評估人熟度等級審議結果3被評估方在組織中已建立結構層次、職責清晰的協同管理組織機構，有專職的外包風險管理團隊，專職的外包項目和人員管理團隊，專職的采購/合同管理團隊，兼職的服務提供商管理團隊，已初步構建了外包活動全生命周期管理，但未形成組織級的外包管理數據采集和發布機制。《**銀行外包風險管理辦法》、《**銀行工》、《**指引》34級要求。晰的協同管理組織機構，進行外包活動全生命周期管理。至少包括以下專職崗位：D1/P1組織原則性外包項目管理、外包人員管理、服務提供商管理、采購/合同管理、外包風險管理43XXX3動全生命周期管理的同時，設立了組織級機構和崗位，建立機制收集外包活動的量化數據，并形成數據基線。2級要求-建立了比較完善的外包活動全生被評估方在組織中已建立自上而下的全面的外包管理體系，外包管理各方面制度涵蓋外包項目管理、人員管理、服務提供商管理、外包風險管理、網絡安全和數據安全管理等方面，并在制度要求下制定了相應的操作流程，但制度較為陳舊，未能根據監管、市場等要素的變化及時進行調整和完善，可操作性不佳。2級要方面制度較完3級要求。命周期的管理規范、制度，并正式發文全部項目遵照執行。包括：外包項目管理、外包人員管理、服《**銀行外務提供商管理、外包風險管理、網絡安全包風險管理D1/P2制度原則性和數據安全管理3級要求-建立自上而下的全面的外包管理辦法》、《**銀行外2級XXX2體系，從決策層的外包管理戰略目標、外包管理過程包規劃，到各部門/專崗的制度，制度具有指引》可操作性，囊括外包活動全生命周期管理規范、指南、模板。包括：外包分類、外包風險管理、外包連續性管理24T/CCUA003-2023表D1：發包方能力成熟度評估示例（第2頁/共6頁）能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單評估結果（根據具體評估內容記錄評估所依據的事實及存在差距等）預評估等級評估人成熟度等級審議結果D1/P3流程非原則性3級要求-建立了完善的外包活動流程，流程可以高效的輔助外包項目管斷調優包括：外包決策流程，外包風4級要求-建立了基于量化過程控制的成本估算流程被評估方在組織中已建立完善的外包活動流程，覆蓋外包項目、外包人員、外包服務提供商管理過程，并在外包風險管理、網絡安全和數據安全時間處理上也進行了有力的支撐，但在流程優化上較為被動，評估周期內只因審計問題進行了一次優化，組織級的外包度量和分析機制欠缺《**銀行外包風險管理辦法》、《**銀行外包管理過程指引》、《**銀行外包人員管理指南》、《**銀行服務提供商管理指南》、《**銀行網絡安全和數據安全事件處理指南》3要方面流程較完4求3級XXX3D1/P4系統非原則性級要求-人員進場、考勤、離場級要求-統計報表、基線發布被評估方在組織中已基本實現外包流程電子化，但分布于各個職能系統中，比如外包項目在項目管理系統中進行流轉，流程與行內項目基本一致，加入了外包項目特有的合同驗收等環節，人員管理系統在HR系統中完成，與自有人員基本一致，服務提供商管理流程在采購系統中完成，缺少組織級的外包管理數據和流程的監控**銀行項目管理系統、**銀行人員管理系統、**銀行采購管理系統已滿足3級要求，已有相關系統對外包管理流程進行支持，但缺少組織級的外包管理數據和流程的監控，未能滿足4級要求3級XXX3級25T/CCUA003-2023表D1：發包方能力成熟度評估示例（第3頁/共6頁）能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單評估結果（根據具體評估內容記錄評估所依據的事實及存在差距等）預評估等級評估人成熟度等級審議結果D2/P1網絡安全和數據安全原則性級要求-組織發布了外包網絡安全和數據安全管理規范，落實到日常工作中，并有定期檢查、審計的機制。包括：1物理安全、數據安全，網絡安全、操作安；2、駐場服務安全培訓和考試3、服務提供商保密協議級要求-外包網絡安全和數據安全報告被評估方已根據自身實際情況組織發布了外包網絡安全和數據安全管理規范，并將安全要求融入到外包活動的流程和操作規范中，形成了適用的監測指標用于日常監測，并建立了合同包含網絡安全和數據安全約定、消費者權益保護約定、外包人員駐場安全規定；物理安全、數據安全，網絡安全、操作安全；駐場服務安全培訓和考試；服務提供商保密協議等《外包網絡安全和數據安全管理規人員駐場管同模板及歷史合同樣本3且相關外包網絡安全和數據安全管理規范已將安全要求融入到外包活動的流程和操作規范中，但4級要求3級XXX3級D2/P2連續性原則性5級要求-務連續性管理體系和機制ISO22301理的定期監測和年度評估機體系和機制《業務連續性管理體系認證(BCMS)同樣本務連續性管理規范》、《服務提供連續性監測報告》被評估方滿足第5級的所有要求5級XXX5級26T/CCUA003-2023表D1：發包方能力成熟度評估示例（第4頁/共6頁）能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單評估結果（根據具體評估內容記錄評估所依據的事實及存在差距等）預評估等級評估人成熟度等級審議結果D2/P3產權非原則性級要求-了完善的文檔模板和優秀實踐文檔庫，根據服務外包管理的量化數據來輔助管理級要求-了完善的文檔模板和優秀實踐文檔庫，根據服務外包管理的量化數據來輔助管理，并有持續優化機制被評估方建立了針對知識產權的確認、審批，以及侵權事件的處理的管理流程，形成了完善的文檔模板和優秀實踐文檔庫，根據服務外包管理的量化數據來輔助管理。《知識產權管理規范》及相關文檔統、服務外包管理相關數據報表被評估方已滿足4關的規范并沒有形成持續的優化機制4級XXX4級D2/P4合規原則性級要求-與回顧的管理制度與流程，形成了完善的1關部門及監管相關公開處罰記錄級要求-與回顧的管理制度與流程，形成了完善的文檔模板和優秀實踐文檔庫，根據服務外2無國家有關部門及監管相關公開處罰記錄被評估方遵照法律法規和監管要求建立了外包活動合規要求識別、評估與處4無國家有關部門及監管相關公開處罰記錄《IT服務外理文件及模板、近五年該機構的國家有關部門及監管相關公開處罰記錄調閱被評估方滿足3級要求，建立了相關的制度流程以及完善的文檔模板，且近四年內無國家有關部門及監管相關公開處罰記錄。但相關制度流程未形成優秀實踐文檔庫，因此未滿足4級要求3級XXX3級D3/P1成本非原則性級要求-能點、測試案例等方法，進行項目成本估算，項目結項后有項目成本核算機制。級要求-建立了組織級項目估算量化體系，指導外包項目立項時進行工程造價的/測試案例/其他成本基線、生產效率基線被評估方進行項目成本估算的工具主要有市場詢價、測試案例、過往經驗等。項目結項后有核算機制《外包項目流程管理辦xx年度項目回檢記錄》被評估方滿足3級要求3級XXX3級27T/CCUA003-2023表D1：發包方能力成熟度評估示例（第5頁/共6頁）能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單評估結果（根據具體評估內容記錄評估所依據的事實及存在差距等）預評估等級評估人成熟度等級審議結果D3/P2質量非原則性級要求-集并分析級要求-管理要求被評估方對外包活動中的關鍵數據有收集和分析的維等不同方面提出匹配的效率要求《外包項目流程管理辦項目質量管理辦法》、《xx年度項提供商績效與服務提升管理辦法》被評估方已滿足2化落實不同類型外包活動的管理指標2級XXX2級D3/P3效率非原則性級要求-制定了全面的外包質量管理規/產品/機制級要求-制定了全面的外包質量管理規測方法。建立外包質量指標體系。包括：（例數等被評估方指定了全面的外入退出機制和服務質量評價機制《外包項目流程管理辦項目質量管理辦法》、《xx年度項提供商績效與服務提升管理辦法》被評估方滿足3級要求3級XXX3級28T/CCUA003-2023表D1：發包方能力成熟度評估示例（第6頁/共6頁）定級結果申報定級級別3級評估時間2022/3/19被評估單位XXX機構審議時間2022/3/20定級結論XXX32兩項都不是原則性能力項，其他能力項評估結果均滿足3級相關要求。（3審議小組XXX綜合審議小組簽字日期2022/3/201-5）29T/CCUA003-2023表D2：承包方能力成熟度評估示例（第1頁/共6頁）評估結果能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單（的事實及存在差距預評估等級評估人議結果等）5級要求-被評估方已獲得國家高新技術企業證書，持續滿三年，且此次申請類別為開發測試類，已通過軟件企業認證《國家高新技術企業證業相關認證證明材料5申請類別為開發測試類，已通過國家相關部門的軟件企業認證并獲得國家高新技術企業持續滿三年書，持續滿三年咨詢規劃類：無附加要求D4/P1技術資質非原則性開發測試類：附加要求軟件企業認證運行維護類：無附加要求5級XXX5級安全服務類：附加要求CCRC信息安全服務資質認證業務支持類：無附加要求3級要求-在所申請類別相關專業技術領域獲行業相關軟件著作權證書、專利證書、近三年財務報表、《XXX系》得1個以上發明型專利或3個以上實用新型被評估方擁有行業相關軟件著作3D4/P2作權/非原則性收入的10%或大于250萬4級要求-在所申請類別相關專業技術領域獲得2個以上發明型專利或4個以上實用新型451建立起完備的知申請類別為開發測試類，發明專利未23級XXX3級級要求入900多萬收入的15%或大于500萬30T/CCUA003-2023表D2：承包方能力成熟度評估示例（第2頁/共6頁）評估結果（根據具能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單的事實及預評估等級評估人成熟度等級審議結果存在差距等）3級要求-本科及以上學歷員工占比80%65%。整體人員異動率不超過20%，關鍵人員異動率不超過15%。通過金融信息科技員工教育資質認證員工占比15%以上，如金融從業方面的資質認證或信息科技方面的資質認證已滿足3咨詢規劃類：附加要求通過金融信息被評估方本科及以上學歷員工占比級要求，科技員工教育資質認證員工占比30%90%以上，中級職稱以上員工占比但由于中D4/P3人才結構非原則性以上。4級要求-本科及以上學歷員工占比85%5%80%103%50%級職稱以上員工占比低于3級XXX3級70%科技相關學歷證書或接受過相關培10%整體人員異動率不超過15%，關鍵人訓教育并通過資質認證4員異動率不超過10%。通過金融信息要求科技員工教育資質認證員工占比30%以上，如金融從業方面的資質認證或信息科技方面的資質認證咨詢規劃類：附加要求通過金融信息科技員工教育資質認證員工占比50%以上。31T/CCUA003-2023表D2：承包方能力成熟度評估示例（第3頁/共6頁）能力項編號能力項名稱能力項類型評估參考標準評估記錄評估證據清單評估結果（存在差距等）預評估等級評估人成熟度等級審議結果D5/P1系（量管理）非原則性3級要求-具備較完善的質量管理體系，并通過業界公認較為權威的質量管理資質認證，例如質量標準認證ISO9001/ISO200003備較完善的業務服務連續性管理體系，對連續性管理需求進行了較為充容要素完整；具有充足的人力資源開展相關工作，且明確了各類服務中斷事件的應急處置流程，建立了服務中斷事件原因調查與分析機制。并具備較完善的系統運維服務管理體系，并通過業界公認較為權威的運行服務管理資質認證。具備信息科技風險評估和審計管理制度。CMMI行業相關資質的中級別認證。參考標準：開發測試類：CMMI、敏捷、精益、ISTQB軟件測試資質認證等運行維護類：ISO20000ITSS準（運維服務能力成熟度模型）等安全服務類：ISO27001等被評估方具備較完善的質量管理明確了各類服務中斷事件的應急業界公認較為權威的運行服務管ISOITSS認證《XXX質量《業務服務連續性管理運維服務管理體系》、ISO質量體系認證證書、ITSS認證證書、CMMI3認證證書3求3級XXX3級32T/CCUA003-2023表D2：承包方能力成熟度評估示例（第4頁/共6頁）評估結果號能力項名稱型評估參考標準評估記錄評估證據清單（的事實及存在差距級評估人議結果等）被評估方近三年D5/P2服務案例非原則性4級要求-承包方近三年內完成全國性金融機（或相當等級機構8分以上（NPS評估機