8月29日，央行发布《金融网络安全 信息科技外包评价指标数据元》（JR/T 0254-2022）金融行业标准（下称“标准”）。

标准从基本情况、协议履行、服务质量、安全保障等方面提出信息科技外包服务评价指标，并给出评价指标数据元定义，为金融机构信息科技外包服务评价工作提供指导。

标准介绍，数据元即由一组属性规定其定义、标识、表示和允许值的数据单元。

根据服务用途，标准建立了金融业信息科技外包服务分类体系。具体地看，其将信息科技外包服务分为5个一级子类，并在每个一级子类下划分多个二级子类。

将信息科技外包服务分为5大类、21小类

标准指出，信息科技外包服务共包括咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类共5个一级子类。

其中，咨询规划类信息科技外包服务可分为管理类咨询规划和技术类咨询规划2个二级子类。

开发测试类信息科技外包服务可分为软硬件开发、测试2个二级子类。

运行维护类信息科技外包服务可分为数据中心（机房）物理环境运行维护、软硬件基础设施运行维护、应用系统运行维护、电子机具运行维护、终端等办公设备运行维护5个二级子类。

安全服务类信息科技外包服务可分为安全运营服务、移动安全加固服务、安全测试评估服务、安全设备运行维护、安全日志处理与分析、数据安全服务6个二级子类。

业务支持类信息科技外包服务可分为市场拓展、业务运营（集中作业、呼叫中心等）、企业管理、资产处置、数据处理、数据利用6个二级子类。

提出信息科技外包服务评价指标数据元体系

在信息科技外包服务分类体系之后，标准随后介绍了信息科技外包服务评价指标数据元体系，并基于该体系对信息科技外包服务进行评价。

标准指出，金融业信息科技外包服务评价指标数据元体系由基本情况、协议履行、服务质量、安全保障4个一级维度构成，每个维度可分为若干二级维度，二级维度中定义了若干评价指标，每个评价指标即为服务评价数据元的一个属性。

值得注意的是，各一级维度和二级维度中定义的通用指标，为各类别信息科技外包服务评价数据元均适用和包含的属性。在一级维度或二级维度中的特定信息科技外包服务子类，可进一步定义仅该子类适用的专用指标，即特定信息科技外包服务子类对应的服务评价数据元除继承其父类服务评价数据元中全部指标外，还新增该子类适用的全部专用指标。

其中，在企业能力方面，开发测试类专用指标包括软件能力成熟度模型集成能力、测试成熟度模型集成等；运行维护类专用指标信息技术服务管理能力；安全服务类专用指标包括信息安全管理能力、信息安全服务能力。

点击下载《金融网络安全 信息科技外包评价指标数据元》