国家标准 GB/33770.6一2021 信息技术服务外包第 6部分:服务需求方通用要求 Informationtechnologyservice一Outsoureing Part6:Generalrequirementsforserviceacguirer 2021-03-09发布 2021-10-01实施国家市场监督管理总局发布国家标涯花管理委员会国家标准
GB/T33770.6一2021 次目前言范围 2 规范性引用文件 3 术语和定义需方外包管理模型 5 外包策略 5.1概述 5.2环境分析 5.3价值管理 5.！范围管理 5.5策略制定外包实施 6.1概述 6.2外包计划 6.3提供方管理 6.！需求识别 6.5需求管理 6.6监督与控制 6.7绩效管理外包交付 7.1概述 7.2交付管理 7.3信息提供 7.交付控制 75 交付验收 7.6中断处理 7.7 服务终止能力要素 8.I概述 8人员》过 8.技术 8.5资源参考文献
GB;/T33770.6一2021 前言 GB/T33770《信息技术服务外包》已发布3个部分第1部分;服务提供方通用要求; 第2部分:数据保护要求; -第6部分服务需求方通用要求本部分为GB/T33770的第6部分本部分按照GB/T1.1一2009给出的规则起草本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口本部分起草单位;大连软件行业协会,大连华信计算机技术股份有限公司东软集团股份有限公司、金税信息技术服务股份有限公司、北京护航科技股份有限公司、电子技术标准化研究院、大连文思海辉信息技术有限公司、成都飞机工业集团有限责任公司、广州赛宝认证中心服务有限公司、北京赛迪认证中心有限公司、北京伟仕佳杰信息技术服务有限公司 1,两安翔迅科技有限责任公司、上海有季网络平安科技(深圳)有跟公司.北京蓝海武股份有限公司成都市大数据中心,江苏润和软件股份有限公司、通科技股份有限公司、北京趋势引领信息咨询有限公司、招银云创(深圳)信息技术有限公司、福建华通银行股份有限公司北京易通麦尔信息技术有限公司,北京德信永道信息技术服务有限公司本部分主要起草人;尹宏、刘宏、熊健淞、于浩、董雷、周翻翔、王世兵、白璐、梁晓雁、陈锡民、赵振文、马烈、王萌、,郑义、韩沫、高建芳、王进、岳素林、赵世宁、王野平、王琪峰、邵峰、但强、杜远、宋青林、唐龙侯大鹏、陈欣炜、丁宗安、王鑫、谭友吉、杨泉
GB;/T33770.6一2021 信息技术服务外包第6部分服务需求方通用要求范围 GB/T33770的本部分提出了信息技术服务外包服务需求方(以下简称需方)的外包管理模型,规定了用于外包服务需方对外包策略、外包实施、外包交付及能力要素的要求本部分适用于外包服务需方,提供方和第三方规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T190002016质量管理体系基础和术语 GB/T33770.1一2017 信息技术服务外包第1部分;服务提供方通用要求术语和定义 GB/T19000-2016,GB/T33770.1l一2017界定的以及下列术语和定义适用于本文件为了便于使用,以下重复列出了GB/T33770.1一2017中的某些术语和定义 3.1 服务需求方 serviceacquirer 从外部获取服务的组织注:也称为服务发包方或客户,本标准中简称为需方 [GB/T33770.l一2017,定义2.1] 3.2 服务提供方 servieeprovider 向服务需求方按约定提供服务的组织注:也称为服务接包方或服务供应商,本标准中简称为提供方 [GB/T33770.1一2017,定义2.2] 3.3 合格提供方 qualifiedserviceprovider 满足需方服务能力要求的提供方注:与需方签订外包合作框架协议的提供方 3.4 需求提供方designatedserviceproider 针对特定的外包需求提供服务的提供方注与需方签订项目合同的合格提供方需方外包管理模型为了有效实施信息技术服务外包,需方应对外包策略、外包实施与外包交付进行管理,以便对外包
GB/T33770.6一2021 交付过程、产品和服务进行监督与控制需方外包管理模型如图1 人员资源外包策略外包实施外但交付技术过程图1需方外包管理模型外包策略为需方有效实施服务外包提供管理框架利用外包实施过程中的信息,评价外包策略达成状况以及外包价值实现程度外包实施为外包需方确定提供方,进行外包需求管理,并对外包实施进行评价外包交付确保交付过醒与交付结果满足外包需求收集外包交付中信息,监控外包交付过程,评价外包交付结果,为提供方评价提供信息能力要素是影响服务外包的关键因素能力要素包括人员,过程,技术、资源外包策略对能力要素提出要求;外包实施确保需方和提供方的能力满足要求;外包交付是需方利用提供方的能力实现外包需求外包策略 5 5.1概述需方通过对外包环境分析确定外包策略,为有效实施服务外包提供管理框架 5.2环境分析需方应分析影响外包预期结果实现的各种外部和内部环境因素应满足如下要求分析组织外部环境,应包括国家法律法规对外包的要求、外部服务提供能力以及获得潜在外部 a 提供方可行性等; 分析组织内部控制对外包影响,应包括组织内部治理风险控制与信息安全等要求; b 分析组织业务对外包影响,应包括业务对服务要求的特点等; c 分析需方的外包潜在机会和收益,以及需方业务发展规划与技术策略对外包的影响 d 评估需方服务能力及其外包管理与外包交付的控制能力 e 5.3价值管理需方管理者应确保外包为需方和组织创造价值,并对其进行管理价值管理应请足如下要求 a 识别影响需方外包的潜在机会与约束,评估外包可能给需方和组织带来的价值; b)根据外包价值分析结果确定外包目标,并进行跟踪与监控;
GB;/T33770.6一2021 对外包价值进行评估,并将评估结果作为制定与调整外包策略的决策依据 5.4范围管理需方应明确外包范围和适用性外包范围管理应满足如下要求: 分析潜在外包服务内容涉及的管理职责、服务类别和技术领域以及组织的业务等,确定外包 a 范围 b)明确外包范围适用的条件、限制和判断准则; 评估外包范围适用性必要时,对外包范围进行调整 5.5策略制定外包策略制定应满足如下要求需方应制定外包策略,确保外包策略与组织业务目标相适应 a 明确外包目标,确保与需方和组织的业务发展目标相适应 b 确定外包管理方针应考虑如下内容 1) 有利于需方核心能力提升; 2 促进需方掌握关键技术; 合理平衡外包风险、成本和效益 3 确定外包控制要求应考虑如下内容: 对外包风险应事前控制,并持续管控; 外包策略应满足组织治理与内部控制要求外包策略内容应包括 d 1外包潜在风险与机会; 外包目标,方针,控制要求以及外包范围评价外包能力要素的准则 33 外包合格提供方和外包需求提供方选择准则 4 5 各类外包需求的交付过程控制准则对外包策略进行评审必要时,调整外包策略 e 外包策略可作为需方业务计划组成部分外包实施 6.1概述需方应根据外包策略制定外包计划,实施外包管理,对外包绩效进行评估,并持续改进 6.2外包计划需方应根据外包策略确定外包计划,以确保外包策略有效落实外包计划应满足如下要求: 根据组织和需方的业务计划,结合组织环境分析,明确外包实施目标; a b 分析潜在外包需求; 确定合格提供方的选择时机与条件,合格提供方的选择应定期实施; d 确定外包需求提供方选择周期与条件; 分析需方现有的外包能力与计划要求的能力差距,必要时,制定提升需方外包能力计划 fD 外包计划应得到相关方的评审,确保外包计划与其他计划协调外包计划可作为需方业务计划的组成部分 8
GB/T33770.6一2021 6.3提供方管理需方应建立和维护与提供方的外包合作关系提供方管理应满足如下要求根据外包范围与策略,确定合格提供方的能力评估内容与方法 a b)合格提供方的选择应考虑组织外部环境与内部环境影响因素 1 外部环境因素应包括:法律法规要求、政府相关政策,地区文化差异、潜在合格提供方数量、行业竟争程度等; 22 内部环境因素应包括组织的文化、核心竞争力、管理方式和组织架构、技术特性、服务内容及组织的决策机制与程序等 c 可与合格提供方签订外包合作框架协议,确保合格提供方能持续、稳定提供外包服务 d)定期对合格提供方的能力以及外包服务绩效进行评价评价结果可应用于调整提供方承担外包服务的规模; 1) 22 终止合格提供方资格的依据 3 作为提供方重新选择的依据 6.4需求识别需方应对服务需求进行分析,识别外包需求外包需求识别应满足如下要求对服务需求进行分析,确定外包范围 a) b)识别潜在外包需求,确保满足外包策略的要求将潜在外包需求进行分类组合,以便选择外包需求提供方分类组合方式包含但不限于 c 整体服务需求外包 1 将整体服务需求拆分后分别外包 2 将同类服务内容归集为一种职能,以便实施外包 3 明确外包需求交付控制与管理要求,形成外包项目，一个外包项目可包括多个外包需求 d 6.5需求管理需方应对外包需求进行管理外包需求管理应满足如下要求: 分析外包需求,选择适宜的外包方式,确保从合格提供方中选择适合的需求提供方外包方式 a 包括整体外包用于需求明确、边界清晰的外包需求 1 订单外包;用于需求明确、多批次的外包需求; 2 工作量外包;用于范围明确、规模不确定的外包需求 3 确定需求提供方,与需求提供方签订合同或订单,并明确分包要求 b 对外包需求状态进行跟踪与监控,对外包需求的变更,中断、终止进行管理 c 收集与分析相关方对外包需求交付结果的评价,并作为评价提供方的依据 d 评价结果应与提供方沟通,以便提供方改进 e 6.6监督与控制需方应对外包完成状态进行监督与控制应满足如下要求收集外包执行的信息,并形成报告; a b 对报告内容进行分析与判断,确定外包计划执行情况确保外包执行与需方其他业务计划的协调性; c d)识别存在问题与风险,并采取措施;
GB;/T33770.6一2021 对措施执行进行跟踪,确保问题得到解决、,风险降低到可接受的程度; e 外包执行监督与控制可作为需方业务计划监督与控制的组成部分 6.7绩效管理需方应对外包进行绩效管理绩效管理应满足如下要求根据外包策略与外包目标,确定外包绩效目标 a b 将外包绩效目标按照需方组织结构和职责进行分解,作为相关部门和工作岗位绩效目标的组成部分 c 监督外包交付过程,确保交付过程得到正确的执行; d 对外包交付结果进行评价,确保满足外包需求调查并分析组织内部与外部以及提供方对需方满意度; e f 根据外包策略与外包价值管理的要求,对外包服务绩效进行评价与改进外包交付 7.1概述需方应对外包交付进行管理与控制,以满足外包需求 7.2交付管理需方应对提供方的交付进行有效控制与管理外包交付管理应满足如下要求明确提供方建立外包交付项目的要求,确保与需方外包项目范围一致,以便进行控制与管理; a 明确提供方应建立与需方外包对应的外包交付体制 b 建立外包交付管理计划,并满足组织外包管理要求; c 明确交付过程控制要求及验收机制,制定量化的外包交付控制指标; d 建立外包交付管理的沟通与报告机制将外包交付管理的要求与提供方沟通,确保提供方交付管理满足要求; 收集并分析提供方外包交付的相关信息,对发现的间题及风险采取措施.必要时.对问题或风 g 险进行升级报告; h)分析外包交付项目与其他项目的关联关系,确保协调一致 D 当外包交付发生变更时,需方应及时与提供方进行沟通与协商; 对提供方的能力要素变化进行跟踪,提供方能力要素无法满足外包需求时应采取必要措施 ) 对外包交付进行绩效评价,并与提供方沟通 k 7.3信息提供需方应向提供方提供必要的信息信息提供应满足如下要求: 确保在与提供方沟通之前所确定的要求是充分和适宜的 aa b 与提供方沟通信息的内容应至少包括 1产品与服务的外包需求; 管理与过程控制要求; 2 33 交付能力,包括对能力要素的相关要求; 4 需方与提供方在交付中的交互活动及其要求 5 需方在提供方现场实施的验证或确认活动
GB/T33770.6一2021 确保提供方明确信息接受者及信息提供确认程序 c d 对信息提供活动进行策划与跟踪 e 评估信息提供中的风险,应考虑技术复杂性、数据和知识资产的可转移性等必要时,采取措施 7.4交付控制需方应对交付过程进行控制,确保交付过程满足需求交付控制应满足如下要求明确外包交付接口及交付内容; a b 确保提供方交付过程满足需方过程控制要求; 基于量化的外包交付控制指标对交付状况及能力要素变化进行监控 c d 根据外包交付管理计划对交付过程和阶段性交付成果进行检查对发现问题应采取措施,并对措施实施进行跟踪 7.5交付验收需方应对提供方交付的结果进行验证与确认，确保交付结果满足需求交付验收应满足如下要求确认交付结果及其要求,并明确对不符合要求的交付结果的控制要求; a) 交付结果作为产品的组成部分应进行确认,确保满是外包需求; b 提供方将产品与服务直接交付客户时,需方应对交付结果进行验证与确认,确保满足需方的服 c 务要求对交付验收中发现的不符合要求的交付结果进行处理,防止非预期交付 d 由授权人员确认交付验收证据,并与提供方及相关方沟通 e 7.6中断处理需方应策划交付中断处理方案当中断发生时,执行交付中断处理方案,确保外包交付的连续性交付中断处理应满足如下要求明确外包需求交付发生中断情况时的处理方案; a 对交付过程进行监视,识别交付中断风险,及时发现交付中断; b 分析交付中断的影响,并按照规定进行升级报告; c 按照交付中断处理方案进行处理,必要时,更换需求提供方: d 监控交付中断处理活动,并与相关方沟通; e f 确认交付中断的处理结果,确保交付中断得到解决 7.7服务终止需方应对服务终止进行处理,确保外包交付有序终止,保障服务能力服务终止应满足如下要求建立服务终止计划,并与提供方进行沟通 a 在服务终止过程中对提供方的交付活动进行监控,确保服务终止阶段的服务水平与能力 b) 需方应按服务终止计划释放服务能力,释放措施应至少包括 c 知识转移; 22 资源回收等 d 在服务终止后应明确告知提供方,以便提供方释放服务能力
GB;/T33770.6一2021 能力要素 8.1概述能力要素包括人员、过程、技术,资源人员利用资源、运用技术,通过规定的过程对服务外包进行管理与交付控制 8.2人员人员能力 8.2.1 应对需方人员能力进行管理,确保人员的外包管理与交付控制能力满足要求人员能力应满足如下要求明确外包管理组织结构与岗位职责,并满足外包策略与外包治理要求,岗位至少应包括提供 a 方管理者,外包需求管理者、项目经理、,过程与产品质量保证人员、工程技术人员等; 明确各岗位的外包管理与交付控制能力要求 b 识别外包中关键工作内容以及所需要的知识、技能与经验 c d)对外包相关人员进行培训,以达到人员能力的要求 8.2.2文化适应识别外包中的文化差异,采取有效措施,以实现文化适应文化适应应满足如下要求识别并尊重不同地区、宗教信仰,民族习惯的文化差异 a 识别需方与提供方企业文化方面的差异 b 识别影响交付的文化特征及其差异文化特征可包括 c 语言与文字; 1 视觉符号; 2 33) 节假日: 职业道德; 4 5 时差或工作时间; 社会和行为方面(如:禁忌的言行)等 6 d)分析文化差异对需方与提供方关系及交付的影响,并采取措施采取的措施可包括: 管理工作场所的布置,避免文化冲突 1) 22 对员工实施必要的培训,以避免员工的行为和语言习惯带来文化冲突对于不能适应的文化差异,实施双重文化环境管理,并符合外包交付环境所在地法律法规要求应考虑内容包括;不同的节假日、着装规范、加班惯例等 8.3过程 8.3.1沟通管理需方应确定与提供方沟通管理机制,确保沟通有效沟通管理应满足如下要求明确与提供方的沟通要求,应考虑沟通的内容,时机,对象、方式、实施者和企业文化以及地区 a 的差异等 b 确定各层级管理人员的沟通机制,应包括;高层管理者、中层管理者、项目管理层,交付执行层 c 收集提供方的意见和建议以及相关信息,可作为服务外包管理的信息来源 d 明确外包中沟通的内容和形式:
GB/T33770.6一2021 1 沟通内容应包括;外包需求交付进度和质量状况,交付能力变化情况、问题与风险、范围变更以及外包需求预测等; 22 沟通形式可考虑:例会制度、阶段报告,事件触发会议、非正式沟通等明确沟通内容中需要的量化指标,并对量化指标进行定义 e fD 沟通中发现的问题,应采取纠正措施对沟通效果进行评价及改进 8 8.3.2争议处理需方应确定与提供方的争议处理机制,确保争议得到及时有效解决争议处理机制应满足如下要求与提供方共同建立争议沟通机制; a b 明确争议处理准则,并得到提供方的确认; 对争议内容进行记录,并按照争议处理机制进行沟通与解决; c d 对无法解决的争议,教照争议沟道机制进行升级对已解决的争议,进行记录必要时,更新争议处理准则 8.3.3风险管理需方应识别外包中的风险,避免或降低风险造成的损失风险管理应满足如下要求制定风险管理方针,定义风险类型,确定风险分析方法、风险应对及风险跟踪和控制的策略 a) b) 主动识别、分析并控制外包中的风险,特别是需方与提供方交互活动中风险; 识别分析和平衡多个提供方带来的风险 c d 对风险进行处置与跟踪 8.3.4协同改进需方应确定与提供方的协同改进机制,确保改进措施有效实施协同改进机制应满足如下要求明确改进的输人,包括 a 需方或提供方的需求; 1 评价、审核和满意度调查结果等 22 识别改进机会并收集提供方改进建议,分析改进类型与影响的范围,并与相关方沟通 b c 当改进措施影响到提供方时,应与提供方协同改进策划协同改进时,考虑如下内容: 协同改进的参与人员及其关系; 1 需方,提供方相关人员承担的职责; 22 需方、提供方改进工作内容与进度要求; 33 对需方,提供方的业务影响等 44 与提供方共同实施改进措施,必要时,对相关能力要素进行变更 d 评估协同改进的效果,以及对需方与提供方的价值 e 与提供方共同分享协同改进结果 8.3.5信息安全需方应明确信息安全要求,保证外包交付中的信息安全应满足如下要求明确信息安全范围,应包括;需方交付环境、提供方交付环境以及传输网络等; a b 明确信息安全要求与措施; 确保非需方交付环境的安全可信度不低于需方交付环境的安全可信度 c
GB;/T33770.6一2021 d)在外包交付实施前,需方应对交付环境的信息安全措施进行确认， e 评估提供方的信息安全措施及满足安全要求程度,对发现的问题采取措施 8.4技术 8.4.1技术管理需方应对技术进行管理,确保需方技术在外包中的合理使用技术管理应满足如下要求明确核心技术与非核心技术; a b 对核心技术划分等级,明确在外包中提供方使用核心技术应具备的资质与条件明确对核心技术资料的使用范围与责任; c d 明确提供方使用核心技术需要承担的保密责任规定向提供方发放,回收核心技术资料流程; f 对提供方使用核心技术状况进行审计,发现问题,及时采取措施 8.4.2技术研发对外包需求交付中的技术问题,需方应组织技术研发,确保问题得到解决技术研发应满足如下要求: 需方组织分析外包需求交付中的问题,明确需要进行的技术研发要求、内容、范围与知识产权 a 归属; 评估需方与提供方的技术能力与特点,以便选择技术研发团队的组成方式,技术研发团队组成 b 方式包括;需方,提供方,双方联合对于需要研发技术内容,需方可转变成外包需求,由提供方技术研发团队进行研发，明确技术研发的结果要求和交付方式,确保技术研发成果,能够有效转移到需方 d 8.4.3技术协作需方应与提供方进行技术协作,技术协作应满足如下要求需方组织分析外包需求所需要的技术,评估提供方技术能力 aa 确保向提供方提供技术方面培训和支持 b) 应对提供方技术能力提升状态跟踪与评估.必要时采取措施; c d 学习与引进提供方具有优势的技术 8.4.4技术应用根据需方技术规划与策略,对提供方的技术应用进行管理,应满足如下要求: 向提供方说明技术路线和技术内容及应用范围和条件; a b 明确提供方技术应用的可选择范围; 对提供方采用的新技术,需方应组织评审,确保满足需方技术发展规划要求; c d 需方应明确需要掌握的技术,识别提供方在外包需求交付中采用的关键技术,并将其转变成需方的技术能力 8.5资源 8.5.1知识资产需方应建立知识资产在外包交付中的管理机制,确保知识资产的合理收集和使用,应满足如下要求
GB/T33770.6一2021 明确知识资产的使用管理机制,确定向提供方提供的内容与范围 a b 确保提供方能够使用所需的知识资产; c 对提供方知识资产的使用进行检查,发现问题,应采取纠正措施 d 明确提供方在外包服务中需要提交的知识资产; e 对提供方提交的知识资产组织评审,确保知识资产可用性; 对外包中产生的知识资产明确归属权 8.5.2工具管理需方应对采用的工具进行管理,提高外包交付的效率和质量工具管理应满足如下要求: a 与提供方共同识别外包服务中所需要工具; b确保提供方自主采用的工具安全可信,且符合相关法律法规要求 c 需方与提供方使用的工具应相互兼容 d 应明确在外包需求交付中研发的工具的使用权和归属权 8.5.3交付环境明确交付环境要求,确保满足外包需求交付及外包管理控制要求交付环境应满足如下要求根据外包策略和外包需求,需方与提供方共同分析交付环境需求,应考虑交付场地、设备、传输 a 网络等; 明确交付环境涉及地域范围,应考虑需方交付环境、提供方交付环境、第三方交付环境 b 明确交付环境要求,应考虑信息安全管理要求、外包需求交付特点和需方组织管理要求 c 在外包需求交付前,需方应对非需方交付环境进行确认; d 对交付环境进行检查,发现的问题采取措施 0
GB;/T33770.6一2021 参考文献 GB/T24405.1一2009信息技术服务管理第1部分;规范 Information Service Partl:Service [[2] 1sO/IEC20000-l:2018 technology management managementsystemrequirements nformationTechnologyInfrastruectureLibrary(ITL)version3

GB/T33770.6-2021：信息技术服务外包服务需求方通用要求

一、引言

信息技术服务外包已成为企业实现转型升级、提高效率的重要手段。然而，在选择服务供应商时，服务需求方常常存在一些困惑和难题，例如服务质量无法保障、合同条款不明确等问题。针对这些问题，中国标准化协会编制了《信息技术服务外包服务需求方通用要求》（以下简称本标准），旨在规范服务需求方对服务供应商的管理要求，增强服务质量的可控性，降低服务风险。

二、适用范围

本标准适用于在信息技术服务外包中作为服务需求方的组织或个人。本标准规定了服务需求方对服务供应商管理的要求，包括服务合同、服务质量、数据安全等内容。

三、服务合同

服务合同是服务需求方和服务供应商之间的重要法律文书，直接关系到双方的权利和义务。本标准对服务合同的要求主要包括以下几个方面：

明确合同双方的权利和义务；
约定服务内容及具体实施方式；
规定服务周期及计划；
明确变更管理流程；
约定服务质量评估方法。

四、服务质量

服务质量是服务需求方考核服务供应商工作成效的重要依据。本标准对服务质量的要求主要包括以下几个方面：

定义服务质量指标及其衡量方法；
约定服务水平协议（SLA）；
规定服务监管机制；
明确服务质量投诉处理流程。

五、数据安全

在信息技术服务外包过程中，数据安全问题一直备受关注。本标准对数据安全的要求主要包括以下几个方面：

明确信息资产分类及其安全等级；
规定信息安全管理制度和流程；
约定信息安全事件处置流程。

六、结论

GB/T33770.6-2021《信息技术服务外包服务需求方通用要求》为服务需求方与服务供应商之间的合作提供了基本依据，规范了双方在服务过程中的权利及义务，强化了服务质量的可控性和风险的可预测性。服务需求方可以参考该标准，在选择服务供应商时更具针对服务商的要求，增加企业外包服务的管理效率和风险控制能力。

总之，GB/T33770.6-2021《信息技术服务外包服务需求方通用要求》的发布标志着我国在信息技术服务外包领域规范化管理的迈出了坚实的步伐。作为专业人士，我们应该积极关注这一标准的实施情况，推动我国信息技术服务外包行业的健康发展。