T/CCUA 003-2023 金融信息科技外包风险管理能力成熟度模型与评估规范

ICS35.240

CCSL67

T/CCUA

中国计算机用户协会团体标准

T/CCUA003-2023

代替T/CCUA003-2019

金融信息科技外包风险管理能力

成熟度模型与评估规范

Riskmanagementcapabilitymaturitymodelandassessmentforoutsourcingof

financialinformationtechnologyspecification

2023–03–24发布2023–04–24实施

中国计算机用户协会发布

T/CCUA003-2023

目次

前言..............................................................................................................................................................II

1范围...........................................................................................................................................................1

2规范性引用文件.......................................................................................................................................1

3术语和定义...............................................................................................................................................1

4能力成熟度模型.......................................................................................................................................3

4.1概述...................................................................................................................................................3

4.2发包方能力成熟度模型....................................................................................................................3

4.3承包方能力成熟度模型....................................................................................................................4

5能力成熟度评估.......................................................................................................................................4

5.1发包方能力成熟度评估总体要求....................................................................................................4

5.2承包方能力成熟度评估总体要求....................................................................................................6

5.3被评估方申报....................................................................................................................................7

5.4确定评估方案....................................................................................................................................7

5.5提供评估实证....................................................................................................................................7

5.6评定能力成熟度等级........................................................................................................................7

5.7评估结果分析及改进........................................................................................................................7

附录A（资料性）能力框架.....................................................................................................................8

附录B（规范性）能力成熟度评估规则.................................................................................................9

附录C（规范性）能力成熟度评估表...................................................................................................20

附录D（资料性）评估示例...................................................................................................................24

参考文献...........................................................................................................................................36

I

T/CCUA003-2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件替代T/CCUA003-2019《金融信息科技服务外包风险管理成熟度评估规范》，与T/CCUA003-

2019相比，除结构调整和编辑性改动外，主要技术变化如下：

——更改了标准名称，具体修改为“金融信息科技外包风险管理能力成熟度模型与评估”；

——增加了外包的分类分级管理，包括外包类别、特殊要求外包分类和重要性级别，增加外包服务提

供商风险管理能力成熟度等级的应用方法；

——增加了数据安全和个人信息保护的内容；

——增加了业务连续性管理相关内容，主要增加了影响业务连续性管理的风险点，包括全球供应链风

险、公共卫生突发事件风险、自然灾害等；

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国计算机用户协会提出并修改归口管理。

本文件起草单位：中国计算机用户协会信息科技审计分会、招商银行股份有限公司、华夏银行股份有

限公司、中治研（北京）国际信息技术研究院、中国农业发展银行、中国农业银行股份有限公司、中国银

行股份有限公司、中国建设银行股份有限公司、交通银行股份有限公司、中国邮政储蓄银行股份有限公司、

上海浦东发展银行股份有限公司、渤海银行股份有限公司、赣州银行股份有限公司、洛阳银行股份有限公

司、九江银行股份有限公司、广州银行股份有限公司、泰安银行股份有限公司、深圳前海微众银行股份有

限公司、江西裕民银行股份有限公司、开泰银行（中国）有限公司、北京农村商业银行股份有限公司、广

东省农村信用社联合社、贵州省农村信用社联合社、福建省农村信用社联合社、中国人寿（集团）股份有

限公司、中国人寿财产保险股份有限公司、中国银河证券股份有限公司、太平金融稽核服务（深圳）有限

公司、山东重工集团财务有限公司、山东省城市商业银行合作联盟有限公司、软通动力信息技术（集团）

股份有限公司、中科软科技股份有限公司、中电科技（北京）有限公司、国家电子计算机质量检验检测中

心、上海市锦天城（北京）律师事务所、北京昱正会计师事务所（普通合伙）。

本文件主要起草人：李印波、韩建国、林创、孙卫东、姜健、车忠良、张正、王琰、杨晓平、刘松林、

陈勤、刘剑锋、于伟琳、刘园、毛咏梅、何乃煜、李徽翡、陈致祥、戴文静、程建国、韩继炀、李鹏、颜

涵、袁晟、丁伟、李海涛、刘超、罗志伟、刘天亮、班翊坤、钟锋、方立雄、尹君、伯军友、刘玲、郑良、

林炳灵、何启翱、陈鑫（农）、陈鑫（中）、董俏、蔡炫楠、关竞楠、郝秀丽、邱俊、张海波、黄烜峰、

II

T/CCUA003-2023

崔玉玺、黄先伟、李城漳、罗曦、王庆久、杨方、尹雪、陈群林、李海龙、魏东、陈星、陈晟、王颖、张

荣、陈文超、于亚男。

本文件及其所替代文件的历次版本发布情况为：

——2019年首次发布为T/CCUA003-2019，本次为第1次修订。

III

T/CCUA003-2023

金融信息科技外包风险管理能力成熟度模型与评估规范

1范围

本文件确立了金融业信息科技外包风险管理能力成熟度模型，规定了发包方和承包方能力成熟度评估

的总体要求，并给出了对发包方和承包方进行外包风险管理能力成熟度评估的方法。

本文件适用于金融行业信息科技外包活动行为主体(包含发包方和承包方)的外包风险管理能力成熟

度评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文

件。

GB/T22080-2016信息技术安全技术信息安全管理体系要求

3术语和定义

下列术语和定义适用于本文件。

3.1

金融信息科技外包informationtechnologyoutsourcinginfinancialindustry

金融机构将原本由自身负责的信息科技活动委托给服务提供商进行处理的行为。包括：咨询规划类、

开发测试类、运行维护类、安全服务类、业务支持类等。

3.2

金融信息科技外包风险informationtechnologyoutsourcingriskinfinancialindustry

金融机构在信息科技外包过程中的诸多不确定性可能导致的战略、声誉、合规等风险，包括但不限于：

科技能力丧失、业务中断、数据泄露、丢失和篡改、资金损失、服务水平下降等影响。

3.3

发包方outsourcingcontractee

信息科技外包服务的需方。

3.4

承包方outsourcingcontractor

信息科技外包服务的提供商，简称服务提供商。

3.5

1

T/CCUA003-2023

金融信息科技外包风险管理能力Riskmanagementcapabilityoffinancialinformationtechnology

outsourcing

金融机构为有效应对信息科技外包风险,保障组织战略、管理、服务目标有效达成的能力。

3.6

能力构造constructionofcapability

与金融信息科技外包风险管理能力有关的且存在结构联系的概念，对组织信息科技外包风险管理的

某一局部能力的认识和概括。

[来源：T/CCUA012-2021，3.1.3]

3.7

能力域capabilityarea

一组相关能力项的集合。

3.8

能力项capabilityitem

一个单项能力。

[来源：GB/T33136-2016，3.1.6]

3.9

管理能力成熟度managementcapabilitymaturity

金融机构针对信息科技外包风险管理开展的相关的管理活动及其体现的成熟度。本文件中以能力项涵

盖了能力建设、能力检验、能力维持、能力优化等表现及评价，以成熟度等级反映金融机构的外包风险管

理能力。

3.10

管理能力成熟度评估对象managementcapabilitymaturityassessmentobject

管理能力成熟度评估采用能力成熟度模型及能力项进行评估定级，具体的评估对象主要包括金融机构

信息科技外包风险管理活动相关的发包方、承包方主体管理制度、流程和结果记录等。

[来源：T/CCUA012-2021，3.1.5]

3.11

发包方能力成熟度capabilitymaturityofthecontractee

体现发包方对信息科技外包管理和风险控制能力程度的一种综合指标。

2

T/CCUA003-2023

3.12

承包方能力成熟度capabilitymaturityofthecontractor

体现承包方的信息科技服务承包实现和风险控制能力程度的一种综合指标。

3.13

服务管理servicemanagement

为满足业务需求对服务进行的管理。

[来源：GB/T24405.1-2009，2.14]

3.14

业务连续性管理businesscontinuitymanagement

识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程

为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值

的活动。

[来源：ISO22301-2019，3.4]

4能力成熟度模型

4.1概述

金融信息科技外包风险管理能力成熟度模型包含发包方能力成熟度模型和承包方能力成熟度模型。能

力构成见附录A。

4.2发包方能力成熟度模型

发包方能力可分解为外包管理的规范性、风险控制和成效控制三个方面，即3个能力域。其中规范性

能力域（D1）包含组织（D1/P1）、制度（D1/P2）、流程（D1/P3）、系统（D1/P4）4个能力项，风险控制

能力域（D2）包含网络安全和数据安全（D2/P1）、连续性（D2/P2）、产权（D2/P3）、合规(D2/P4）4个

能力项、成效控制能力域（D3）包含成本（D3/P1）、质量(D3/P2)、效率(D3/P3）3个能力项，共11个能力

项。每个能力项分为1-5个成熟度等级：起始级（1级）、发展级（2级）、稳健级（3级）、优秀级（4级）

和卓越级（5级），如图1所示：

3

T/CCUA003-2023

图1发包方能力成熟度模型

4.3承包方能力成熟度模型

承包方能力可分解为专业技术能力、服务交付能力和企业经营能力三个方面，即3个能力域。其中专

业技术能力域（D4）包含技术资质（D4/P1）、软件著作权/专利（D4/P2）、人才结构（D4/P3）3个能力

项，服务交付能力域（D5）包含服务体系（服务能力、服务改进、质量管理、连续性管理）（D5/P1）、服

务案例（D5/P2）、网络安全和数据安全保障能力（D5/P3）、系统支持（D5/P4）4个能力项，企业经营能

力域（D6）包含企业规模（D6/P1）、财务状况（D6/P2）、经营方向（D6/P3）、市场份额（D6/P4）4个能

力项，共11个能力项。每个能力项都分为5个成熟度等级：起始级（1级）、发展级（2级）、稳健级（3级）、

优秀级（4级）和卓越级（5级），如图2所示：

图2承包方能力成熟度模型

5能力成熟度评估

5.1发包方能力成熟度评估总体要求

4

T/CCUA003-2023

5.1.1发包方能力成熟度等级

发包方能力成熟度划分为5个等级，见图3。发包方能力成熟度等级表示发包方外包风险管理能力所达

到的水平，高级别的能力成熟度等级要求覆盖低级别等级的全部要求。

图3能力成熟度等级

发包方能力成熟度等级对应不同的管理水平。

a）起始级（1级）：具有基本的金融信息科技外包风险管理制度。对外包风险的管控主要依赖自身

当前拥有的资源和手段、相关人员的个人能力。

b）发展级（2级）：建立了较完善的组织职能、制度和流程体系。外包风险管理能力在机制、资源、

手段及人员能力方面已具有常态化运作性。

c）稳健级（3级）：已建立了较完善的制度流程和评价机制。组织具有完整的金融信息科技外包风险

管理相关制度和规划，基本满足监管、国家标准规范要求。常态化的手段和机制保障相关措施落

实，为应对可能发生的金融信息科技外包风险，在机制、资源、手段及人员能力方面具有充分的

准备和管理活动记录。

d）优秀级（4级）：在第3级基础上，通过量化数据来执行或辅助管理。组织具备完善的金融信息科

技外包风险管理体系，满足监管、国家标准规范要求。实现书面化管理，借助审查、考核等有效

措施，确保相关工作的严格执行，为应对可能发生的金融信息科技外包风险，在机制、资源、手

段及人员能力方面具有充分的准备和管理活动记录，建立了演练、记录评审等评估评价机制，通

过模型化、指标化等量化手段监测和持续改进工作效能。

e）卓越级（5级）：基于持续改进的结果及外部组织的外包风险管理能力成熟度模型，工作流程已被

优化为行业优秀实践。组织具有完备有效并能够持续优化的金融信息科技外包风险管理体系，充

5

T/CCUA003-2023

分满足相关监管、国家标准规范要求，形成了较高的机构自有标准或规范。实现了系统化管理和

考核确保相关措施及时执行，应用模型化、指标化等量化手段监测和持续改进工作效能，为应对

可能发生的金融信息科技外包风险，在机制、资源、手段及人员能力方面具有完备的措施，具有

持续改进以追求更佳的应急处置成效，建立了有效的风险控制机制。

5.1.2发包方能力成熟度评估规则

发包方能力成熟度评估规则按附录B表B1执行。

5.2承包方能力成熟度评估总体要求

5.2.1承包方能力成熟度的等级

承包方的金融信息科技外包服务能力成熟度划分为5个等级，见图3。每个成熟度等级表明当前组织金

融信息科技外包服务能力所达到的水平，高级别的服务能力成熟度等级要求覆盖低级别成熟度的全部要求。

不同能力成熟度等级对应不同的金融信息科技外包服务水平。

a）起始级（1级）：承包方已初步具备提供服务外包活动的能力，在组织发生金融信息科技服务外包

风险时，相关服务的维持或恢复以及风险应对，主要取决于自身当前拥有的资源和手段、相关人

员的个人能力。

b）发展级（2级）：承包方在某些领域具备提供服务的能力。为应对可能发生的金融信息科技服务外

包风险，在机制、资源、手段及人员能力方面具有基础性准备。

c）稳健级（3级）：承包方具有一定的信誉和服务能力。组织具有完整的金融信息科技外包服务相关

制度和规划，基本满足监管、国家标准规范要求。通过书面化等手段和机制保障相关措施落实，

为应对可能发生的金融信息科技服务外包风险，在机制、资源、手段及人员能力方面具有充分的

准备和管理活动记录。

d）优秀级（4级）：承包方已具备较好的信誉和综合服务能力。组织具备完善的金融信息科技外包服

务体系，满足监管、国家标准规范要求。实现了书面化、审查、考核等有效措施确保相关工作严

格执行，为应对可能发生的金融信息科技服务外包风险，在机制、资源、手段及人员能力方面具

有充分的准备和管理活动记录，建立了演练、记录评审等评估评价机制，通过模型化、指标化等

量化手段监测和持续改进工作效能。

e）卓越级（5级）：承包方已具备与发包方持续融合优势互补的全面合作能力。组织具有完备有效并

能够持续优化的金融信息科技外包服务体系，充分满足相关监管、国家标准规范要求，形成了较

高的机构自有标准或规范。实现了系统化管理和考核确保相关措施及时执行，应用模型化、指标

化等量化手段监测和持续改进工作效能，为应对可能发生的金融信息科技服务外包风险，在机制、

6

T/CCUA003-2023

资源、手段及人员能力方面具有完备的措施，具有持续改进以追求更佳的应急处置成效，建立了

有效的风险控制机制。

5.2.2承包方能力成熟度评估规则

承包方能力成熟度评估规则按附录B表B2的规定执行。

5.3被评估方申报

发包方：申报方提出申请，申请的内容应包括申请评估的目标级别。

承包方：申报方提出申请，申请内容包括所申报的目标类型（咨询规划类、开发测试类、运行维护类、

安全服务类、业务支持类），申请评估的目标级别。

5.4确定评估方案

评估方由本标准的主要编制单位——中国计算机用户协会信息科技审计分会组建，并可吸纳相关第三

方合格评定机构共同参与，负责组织开展金融信息科技外包风险管理能力成熟度评估的具体实施工作。

评估方应首先确定能力成熟度评估方案，其要素包括：能力成熟度评估对象、评估目标、范围、评估

范围内能力域及能力项的评估标准。

评估工作应依据评估目标确定评估范围，评估范围应包含一个或多个完整的能力域，细化映射到主要

的评估能力项。

5.5提供评估实证

评估方应在能力成熟度评估范围内制定调研问卷及调阅提纲，被评估方回答问卷内容，并提供佐证资

料；评估方通过调阅相关记录文档、角色访谈、演练观察、实地考察等方式核实相关内容形成评估实证。

5.6评定能力成熟度等级

评估方评定金融信息科技外包风险管理能力成熟度等级应包括：

a）将被评估方的评估实证映射至图1（发包方）或图2（承包方）对应的能力项；

b）按照附录B表B1（发包方）或附录B表B2（承包方）能力评估细则对能力项进行评定，并确定组织

能力成熟度等级，将评估实证说明材料按照附录C进行记录。

评估结果应根据评估对象所申报定级级别，按照本标准相应级别的要求确定最终的能力成熟度等级，

具体示例见附录D。

5.7评估结果分析及改进

被评估方对评估结果进行差距分析及改进，明确组织未来的信息科技外包风险管理发展路径。

7

T/CCUA003-2023

附录A

（资料性）

能力框架

表A1能力框架（第1页/共1页）

能力能力域能力项能力项类型

P1:组织原则性

P2:制度原则性

D1:规范性

P3:流程非原则性

P4:系统非原则性

P1:网络安全和数据安全原则性

发包方能力P2:连续性原则性

D2:风险控制

P3:产权非原则性

P4:合规原则性

P1:成本非原则性

D3:成效控制P2:质量非原则性

P3:效率非原则性

P1:技术资质非原则性

D4:专业技术能力P2:软件著作权/专利非原则性

P3:人才结构非原则性

P1:服务体系（服务能力、服务非原则性

改进、质量管理、连续性管理）

P2:服务案例非原则性

承包方能力D5:服务交付能力

P3:网络安全和数据安全保障

原则性

能力

P4:系统支持非原则性

P1:企业规模非原则性

P2:财务状况非原则性

D6:企业经营能力

P3:经营方向非原则性

P4:市场份额非原则性

原则性能力项：指定的能力等级评估过程中，必须达到该能力等级的项。

非原则性能力项：指定的能力等级评估过程中，应达到该能力等级的评估项。在整体评估中允许有两个

非原则性能力项达不到目标等级，但必须达到目标等级-1。

8

T/CCUA003-2023

附录B

（规范性）

能力成熟度评估规则

表B1发包方能力成熟度评估规则（第1页/共4页）

能力能力能力第1级第2级第3级第4级第5级

项编项名项类

号称型

起始级发展级稳健级优秀级卓越级

（1）组织中建立了结（1）自上而下的外包管

构层级、职责清晰的协（1）外包管理组织机构理组织架构，组织架构

同管理组织机构实现外包活动全生命周基于外包量化数据可以

组织中设立了外包管组织中设立了外包管

（2）建立了外包活动期管理快速调整、持续调优，

理的岗位（可兼理专职岗位，明确管

原则全生命周期管理（2）设立了组织级机构不断推进外包活动的精

D1/P1组织岗），有专门的组织理范围和职责，其中

性（3）应建立外包项目和岗位细化管理

职责，实施外包风险外包风险管理设立了

管理、外包人员管理、（3）建立了外包活动的（2）良好的组织架构和

管控专职岗位

服务提供商管理、采购量化数据收集机制，形组织调整制度促进组织

/合同管理、外包风险成了数据基线外包管理能力成熟度的

管理岗位提升

（1）建立了比较完善（1）建立自上而下的

的外包活动全生命周全面的外包管理体系，（1）形成定期更新制度

（1）建立外包管理数据

期的管理规范、制从决策层的外包管理战的机制，并随着新技

量化指标库，持续追踪

组织初步建立了总体度，并正式发文全部略目标、外包规划，到术、新管理、科技战略

数据的变化，并基于数

的外包战略和风险策项目遵照执行各部门/专岗的制度，持续优化

原则据分析的基础上推进外

D1/P2制度略，并制定了相应的（2）应建立外包项目制度具有可操作性，囊（2）建立组织级优秀实

性包管理制度的不断完善

管理制度、规范。制管理、外包人员管括外包活动全生命周期践库

（2）应建立知识产权管

度规范试行阶段理、服务提供商管管理规范、指南、模板（3）应建立外包战略、

理、知识转移管理、集

理、外包风险管控、（2）应建立外包分项目后评价、外包关系

中度管理制度

网络安全和数据安全类、外包风险管控、外管理制度

管理制度包业务连续性管理制度

（1）应建立专业的外（1）应建立完善的外

（1）流程应随组织的业

包活动流程，流程正包活动流程，流程可以（1）应建立基于量化过

务发展、研发技术、管

式发布并且所有项目高效的辅助外包项目管程控制的外包风险管理

理模式的创新做出更新

组织初步建立外包活遵照执行理，流程要求已全部落流程，并建立度量与分

D1/P3非原