随着金融企业业务迅速发展和市场竞争的日益激烈,对科技支持能力的要求迅猛增长,但金融企业普遍存在信息科技人力资源匮乏、技术能力欠缺等问题,人员数量和质量均不能满足业务发展对科技的要求。因此,大部分金融企业都大量采用信息科技外包的方式,作为自身科技力量的补充。但凡事均有两面性,信息科技外包这把“双刃剑”,在给金融企业带来专业化能力、推动科技创新、提高科技效率、实现科技对业务快速支持的同时,也引发了一系列的外包风险。近年来金融行业陆续出现的外包风险事件,给金融企业和监管机构都敲响了警钟。外包信息安全管理,成为金融企业信息安全管理的重要组成部分,也成为金融行业监管的工作重点之一。
1.1 外包安全管理的必要性
根据中国银监会《银行业金融机构信息科技外包风险监管指引》,信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。其他类型的金融企业也可参考类似定义。
将信息科技工作外包给其他服务提供商承担,相较于金融企业自身的员工开展,存在着特殊的风险。因此,信息科技外包风险防控,已成为金融行业信息科技风险防范的主要任务之一,金融企业必须采取各种措施,加强信息科技外包安全管理。
1.1.1 外包管理是“刚需”,外包安全管理就是必须“支付”的对价
在金融企业所有的外包活动中,信息科技外包所占比重最大。金融企业信息科技外包的目的主要有两方面:
弥补自身人力资源的不足,将自身有限的资源投入至最重要的业务系统和最核心的技术掌控,其余资源通过外包方式补充;
充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势,实现对市场变化和业务需求的快速响应。
著名的管理学家彼得·德鲁克曾预言:“在10-15年之内,任何企业中仅作后台支持而不创造营业额的工作都应该外包出去,任何不提供向高级发展的机会和活动、业务也应该采用外包的形式”,可见外包既有理论层面的强有力支撑,又有实践层面的殷切需求。
既然信息科技外包已经是大势所趋和无法避免的选择,那么信息科技外包风险也就成了金融企业必须“支付”的对价,是必须且非常重要的工作。金融企业不能“一包了之”、“包治百病”,而应该承担起外包风险管理的责任,必须认识到外包风险,对外包风险进行分析评估,加强外包安全管理,采取风险缓释、转移、规避等措施,将外包风险控制到合理的、可接受的程度,避免信息技术及服务受制于人。可以说,不做好外包安全管理,就做不好信息系统管理,进而无法实现对金融企业系统和业务的保驾护航。
1.1.2 金融企业面临的外包风险形势严峻
近年来,金融企业信息科技外包发展势头迅猛,外包涉及的范围逐步扩大,已经涵盖了信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。如果外包商经营出现风险,外包商服务质量下降,或者外包商出现不当行为,都有可能对金融企业的信息系统稳定运行及业务服务的安全造成严重影响。
近年来金融企业由于外包问题引发的信息系统中断、敏感信息泄露等问题较多,外包风险作为金融企业信息科技风险的重要组成部分之一,必须加以认真对待。
1.1.3监管机构对信息科技外包的监管要求趋严趋紧
针对日益严峻的信息科技外包风险形势和层出不穷的外包风险事件,监管机构高度重视,监管要求逐步加强。
中国银监会于2010年出台了《银行业金融机构外包风险管理指引》,对外包的组织架构、风险评估、外包商尽职调查、合同协议约定等方面提出了具体要求;
中国银监会2013年印发了《银行业金融机构信息科技外包风险监管指引》,专门针对信息科技外包这一比重最大的外包领域提出了很多细化的安全管控要求,定义了信息科技外包的几种类型,规范了银行信息科技外包风险管理的组织架构和战略内容,细化了信息科技外包活动各阶段、各环节的风险控制及管理要求,并针对重要外包商、机构集中度外包商、跨境外包商、非驻场外包商、银行业重点外包服务机构等特殊类型的外包商提出了相应的管理要求,可以作为银行业信息科技外包工作的一个“纲领性”文件。监管要求中明确不得将信息科技管理责任外包,引导银行将信息科技外包管理纳入全面风险管理体系。
2017年中国证监会发出《证券基金经营机构信息技术管理办法》(征求意见稿),其中规定了对“信息技术服务机构”即外包机构的要求,包括“不得将重要信息系统的运行、维护或日常安全管理交由信息技术服务机构独立实施”的规定,以及审慎选择信息技术服务机构时应该关注的重点事项、合同约束要求、内部审查要求、部分服务机构的备案要求、应急处置机制、严禁行为等。
各类监管要求从战略规划的高度和战术执行的细度,为金融企业建立信息科技外包管理体系、战略方针和工作机制提供了规范性的要求,既是指导又是约束。金融企业必须遵循监管要求,在监管要求的框架下搭建自身的外包风险管控体系,解决基础性、体系性缺失的问题。
1.2 几个教训深刻的外包风险事件
近年来国内外爆发了多起金融企业相关的外包风险事件,其影响面广、危害程度大,给金融企业造成了较大的损失和声誉风险。
1.2.1外包公司违规收集银行数据事件
2012年5月,国家安全部发布对某外资公司存储产品的代理商北京某公司违规收集银行数据、危害我国金融信息安全的通告。通告公布他们窃取银行数据的四种手段:一是利用维护之便,使用专用工具;二是利用故障分析时提供的最高系统权限;三是利用进入银行要害区域的机会,通过偷拍等方式窃取网络拓扑图、技术方案等敏感信息;四是对回收的硬盘进行分析,非法窃取银行重要信息。
1.2.2韩国某银行外包人员误操作导致服务中断事件
2011年4月12日,韩国某银行因系统瘫痪导致金融服务受到严重影响,全国1154个分支行的服务中断,影响持续时间长达一周。据调查,故障发生的原因是由于外包团队人员掌握了该银行核心系统的超级管理员权限用户,4月12日该人员错误执行了删除命令,导致服务器中的所有文件被删除。外包管理缺位,系统用户权限控制混乱,外包人员权限过大,是导致问题发生的主要原因。
1.2.3某通公司解散影响多个金融企业外包服务
某通公司是一家金融IT综合服务提供商,为银行、保险、基金、证券等金融行业、大型企业财务公司提供整体解决方案和软件产品,业务范围涵盖了规划咨询、软件开发实施、技术服务、IT外包与运营服务、系统集成及系统维护服务等,是中国金融行业客户重要的IT服务提供商和战略合作伙伴。某通于2007年在美国IPO,曾有“第一家在纽交所上市的国内软件企业”之誉,但在2012年8月31日,因涉嫌财务造假,某通宣布解散。
某通事件对国内多家金融企业的IT外包服务项目造成了影响。从2011年开始,某通公司已出现资金紧张、项目人员大量流失等情况,2011年8-9月,某通公司给各金融企业出具公函,告知部分项目建设无法执行,建议金融企业寻求第三方公司继续执行某通公司承建的项目。各金融企业在2011年底至2012年初纷纷全面梳理合同,临时将某通公司未履行完毕的责任义务全部转移给第三方公司承担,由于团队变动、人员流动、技术转移等原因,在过渡期内,给各金融企业的系统开发质量、进度和运行稳定性造成了较大的影响。
1.2.4多媒体查询机供应商某克突然停业事件
2011年2月,多家银行突然收到多媒体查询机供应商和维护商深圳某克科技有限公司的通知,公司因自身原因从2011年1月31日停止业务经营,从2011年2月1日起将无法提供后续服务,建议用户利用该司预留的售后服务保证金及时聘请其他服务商接替后续服务,但未就后续相关工作安排做出任何说明。受此影响,各银行当时所使用的多媒体查询机突然得不到相应的维护保修服务,给该类设备的稳定运行造成了较大的影响。
1.3外包管理中的常见问题
金融企业将大量的信息科技工作外包,虽然解决了银行自身资源不足的问题,但也暴露了一些风险隐患。
第一,金融企业对信息科技外包的依赖度大。中小型金融企业对信息科技外包依赖程度普遍较高,大型金融企业中的信息科技外包也已占相当比例,信息科技外包已成为金融企业信息科技体系中的一个重要组成部分。由于金融企业自身科技人员数量、知识和能力储备不足,外包人数是金融企业内部员工人数5-10倍甚至更多的情况屡见不鲜,而且在可以预见的未来这一比例还有增大趋势。大量外包导致企业内部员工的自主掌控能力变弱,对信息系统的熟悉了解程度降低,自主解决问题的效能下降,核心技术受制于人。信息系统开发的交付质量和运维保障水平,很大程度上取决于外包人员的技能水平和责任心,外包商的经营状况、外包商的人员流动、外包商与金融企业的合作关系,都可能对金融企业的信息科技对业务的支持能力、交付效率和信息系统运行稳定性产生重大影响。
第二,金融企业的外包商集中度较高。从单个企业看,部分金融企业将信息科技外包服务集中交给少量服务提供商承接;从整个行业看,部分外包商承接了多个金融企业的信息科技工作,在金融行业中服务机构多、市场份额大。集中度较高导致金融企业对于单一外包商的依赖过大,对系统的控制能力和议价能力下降,一旦外包商自身经营出现风险,或者跟金融企业的合作发生问题,就可能造成影响面较大的服务中断或者质量下降,严重情况下还将导致系统性、区域性的信息科技风险。
第三,外包商经营风险事件日益增多。无论是宏观层面的国际贸易关系、国内外经济形势、行业环境和发展趋势,还是微观层面的股东关系、公司治理架构、管理层水平等,都可能影响到外包商的经营情况和服务水平。外包商自身经营状况不佳导致产品质量出现问题、团队不稳定,或者在开发、实施、运维等方面的服务不及时,都可能造成金融企业的服务中断或者服务质量下降,进而直接影响对业务发展的支持能力和信息系统运行的稳定性。
第四,外包商员工管理相比金融企业员工管理难度更大。将信息科技活动委托给外部人员处理,相比金融企业内部员工自行处理而言,面临风险更大,管理难度更高,管理要求更难落实到位。因为外包人员的归属感、责任感相对不强,往往会认为自己不需要对最终结果负责,只需要对过程负责,仅对当前阶段性的成果负责,不对长期结果负责,相对而言会更注重短期收益,所以外包人员的责任心、主动性、纪律性得不到保证,再加上人员流动性较大,知识技能往往难以有效传承,从而难以保证长期持续的高效率和高质量。
第五,外包商或其员工可能发生主动或被动的不当行为。外包商提供的信息科技服务,有机会接触、存储大量的敏感信息,例如客户资料、交易数据等,但外包商的风险管理能力、风险控制体系和风险意识水平相比金融企业的要求来说还有差距。如果外包商或其员工发生主动或被动的不当行为,例如有意识地收集和倒卖敏感数据,操作失误删除数据或执行错误指令等,可能导致数据损坏、丢失、泄露或系统服务中断,造成直接或间接经济损失。
第六,外包商不受监管直接约束,信息安全管控水平整体偏低。信息科技外包商不受监管部门的直接约束,游离于金融企业的监管体系之外,其服务对象和服务结果却又必须遵从金融企业的监管要求。外包商的信息安全管理体系建设相对滞后,外包人员的风险意识不足,都可能造成金融企业的信息安全风险。
鉴于上述因素,可能导致金融企业面临以下直接风险,并可能进一步导致银行业金融企业的战略、声誉、合规风险(摘自《银行业金融机构信息科技外包风险监管指引》):
科技能力丧失:金融企业过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展;
业务中断:支持业务运营的外包服务无法持续提供导致业务中断;
信息泄露:包含客户信息在内的金融企业非公开数据被服务提供商非法获得或泄露;
服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得金融企业信息科技服务水平下降。
针对上述问题,由于信息科技外包带来的风险较高,金融企业需要制定有效的外包安全管控目标,建立外包安全防控体系。
在战略层,应当建立适合本企业的信息科技外包战略,确定信息科技外包管理的目标,明确外包的总体原则,建立企业层面的信息科技外包安全防控架构,完善外包管理组织体系和制度体系。
在战术层,应该按照外包类型分类管理,针对不同类型的外包,建立全生命周期管理的机制,以及外包安全管理效果衡量机制。
1.4 外包战略体系
1.4.1 制定外包战略
金融企业在科技发展水平、科技规模实力、科技资源投入、科技管理模式等方面存在差异,需要根据本企业的实际情况,综合考虑信息科技战略、外包市场环境、自身风险控制能力,制定合适的外包战略。
外包战略通常由几个部分组成:
外包管理目标。外包管理的目标通常是降低信息科技成本,缩短新产品开发周期,提高新技术应用效率和专业性,集中行内优势资源掌握核心关键技术,提高自主掌控能力,主动防范外包风险。
外包管理方针。通常由8-16个字组成,基本原则是要重点突出、方向明确、朗朗上口、易于记忆。例如“自主掌控、适度外包”、“自主外包相结合,自主优先”、“自主外包相结合,外包为主”等。
外包组织架构。明确董事会、高管层、外包风险管理部门、外包审计部门、外包执行部门的职责分工,确定部门归属,强化权限的相互制约。
外包的选择策略。明确哪些科技职能严禁外包、哪些严格控制外包、哪些适度外包、哪些优先外包等。例如,涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包,科技管理责任不得外包,某些关键核心技术或保密技术不得外包;企业级架构设计、重要信息系统的需求分析和设计、涉及敏感信息分析或处理的工作严格控制外包;非重要信息系统的分析设计和重要信息系统的编码适度外包;系统软件和电子设备维保、第三方安全服务等优先外包。
核心能力建设方案:制定金融企业自身的资源和能力建设方案,确定必须自主掌控的核心能力所属领域和关键环节,并制定配套的人员补充、技能提升、知识转移方案,有针对性地获取或提升关键的管理及技术能力,降低对外包商的依赖。例如明确将自有人员重点投入到重要信息系统的需求分析、架构设计等开发职能,以及网络、数据库等关键的运维职能,并提供相应的人员数量、质量、技能提升、知识转移计划等配套保障。
外包商关系管理策略:根据金融企业自身的业务需求、科技规模、市场地位等,确定外包商依赖度、集中度管理的目标,制定外包商引入的流程、外包商准入标准、外包商退出机制、外包商风险评估指标、外包商服务评价体系、外包商分级管理和差异化管理策略等。
1.4.2 明确组织架构
构建合理的信息科技外包管理组织架构,明确职责分工,是外包战略得以有效执行的重要保障。外包管理组织架构包括三个层级:
董事会和高管层。董事会及高级管理层对信息科技外包负最终管理责任,主要职责包括明确各部门在外包管理方面的职责分工,设计必要的监督和控制机制,审批外包战略、制度和流程,审批重大项目外包决策、推动和完善外包风险管理体系建设,督促各部门履行职责以确保实现外包管理效果等。
信息科技外包管理相关部门。包括信息科技外包管理及外包风险管理的主管部门、执行部门和监督部门,各部门间应建立工作汇报及沟通交流机制。主管部门通常可以由风险或合规部门担任,主要负责识别、监测、评估外包风险,向董事会及高管层报告风险评估结果,督促外包管理工作持续改善;外包执行部门通常由外包管理相关的预算、采购、合同签订、执行、外包商管理等相关部门担任,负责外包管理相关制度制定、外包活动的具体执行落实、外包商日常管理,并向主管部门报告外包活动情况;监督部门通常由稽核审计部门担任,主要职责是开展定期或专项的信息科技外包管理审计工作。
信息科技部门内部科室。在信息科技部门内部也要进行专业化分工和岗位制衡。例如安排科技管理职能科室,负责牵头组织外包商准入、评价、退出管理,以及负责预算申请、商务采购、合同签订和执行等相关职能;安排开发、运维等职能科室,按照“谁使用,谁负责”的原则,负责外包商的日常管理;安排信息安全职能科室,负责检查和监督外包管理机制的有效落实,识别风险并推动风险整改。
1.4.3 强化制度约束
信息科技外包管理制度体系是外包工作有效开展的准绳,必须遵循监管指引,并根据行内的组织架构和制度体系建设,以规范和指导外包工作的落地执行。制度包括三个层级:
政策级制度。包括外包管理总纲、政策等,信息科技外包管理政策通常整个金融企业只有一份,纳入整体信息科技管理纲领性制度,作为一个独立章节出现,提出对应的管理要求。主要是定义信息科技外包管理的目标、范围,解决管理“什么”及“为什么”需要管理的问题。
办法级制度。通常根据各部门职责分工可以有多个关于外包管理的办法,例如风险或合规部门的外包风险管理办法,信息科技部门的信息科技外包管理办法,稽核审计部门的外包审计管理办法,以及其他部门的外包商管理办法、预算管理办法、采购管理办法等。管理办法通常定义信息科技外包管理相关各部门的职责分工、工作流程和管理要求,解决由“谁”来管理以及“如何”管理的问题。
规程级制度。通常在部门内部发布,是办法级制度的支持性文档,例如信息科技外包商采购管理细则、信息科技外包合同签订和执行细则、外包商现场管理工作细则、外包商考核评价管理细则、外包商风险监测和评估细则等,重点在于定义部门内部各科室的职责分工、工作流程、详细操作步骤、具体实施方法、操作检查列表等,直接指导相关岗位的操作。
1.4.4 规划核心能力建设
要掌控和化解信息科技外包风险,最关键的环节和最大的挑战在于金融企业自身的核心能力建设。任何信息科技外包工作,都必须以不妨碍核心能力建设、自主掌控关键技术为导向,否则一旦核心技术受制于人,金融企业就丧失了主动权和议价权,大大弱化了对系统的控制权和对风险的掌控力,金融企业的核心能力建设要量体裁衣、量力而行,不能急于求成,没有统一准则,“适合的才是最好的”。
大型金融企业通常自身科技力量雄厚,信息系统建设和日常运维以内部资源为主,自主研发能力和自主掌控能力较强,外包资源主要作为人力的补充,投入到非关键系统或者非关键环节。大型金融企业自主掌控能力加强,核心能力建设目标较为清晰,执行比较到位。
中小型金融企业自身科技力量普遍不足,但信息化建设高速发展,信息系统规模日趋庞大,因此经常将科技规划、应用开发、基础设施建设及网络运维等工作外包,利用外包商的专业能力和快速交付能力,提升科技支持水平。中小型金融企业自主掌控能力受到更大的挑战,亟需加强自身核心能力建设。
加强核心能力建设,需要分三步走:
第一步,必须明确目标,要掌控哪些科技职能、哪些环节的核心能力;
第二步,确定核心能力建设相关环节的资源投入方案;
第三步,制定核心能力建设效果评估的方法并执行、反馈、调整。
1.4.4.1 明确核心能力建设目标
不同类型的信息科技外包,金融企业需要掌握的核心能力不一样。因此要用分级分类的理念,细分本企业所有的外包类型和特点,针对每种类型给出对应的核心能力建设目标。
对于规划咨询类外包,主要目的是利用外包人员丰富的知识、行业经验、体系化的思维框架,帮助金融企业制定规划,例如科技规划、数据中心建设规划、数据治理规划等。这一类外包,金融企业核心能力建设的重点是理解规划制定全过程的逻辑和推导的过程,后续能落地执行规划,并具备能力自主滚动制定和调整规划。金融企业应该安排核心骨干人员全程参与规划制定的过程,在外包人员撤场前必须完成知识转移,在外包人员撤场后能很好地承接规划的执行和更新。
对于应用研发类外包,主要目的是利用外包商对前沿技术的掌控和研发能力以及丰富的人力资源,帮助金融企业解决快速响应业务需求的问题。这一类外包,金融企业核心能力建设的重点是掌握应用系统的技术架构,具备需求分析和系统设计的能力,能全面把握应用系统建设过程中的质量控制和风险管理,随时可以应对外包商更替、外包商经营状况变化及人员流失的风险。
对于系统运维类外包,主要目的是利用原厂商或者第三方代理公司提供的设备、规划设计方案、软件安装配置方案等,完成机房风火水电、网络、服务器、存储等基础设施项目实施,或者操作系统、数据库、中间件等系统软件的安装配置;利用外包资源完成日常运维工作,帮助金融企业快速完成部署和解决故障。这一类外包,金融企业核心能力建设的重点是掌握设备和系统软件运行调优方案、常见故障及解决方法,掌握设备运行效果的主要监测指标及监控方法,具备快速定位和解决问题的能力。
对于安全服务类外包,主要目的是利用安全厂商对信息安全趋势的了解、对安全态势和安全漏洞的深入钻研,帮助金融企业完成安全技术平台部署实施、安全漏洞发现和防范以及安全运营工作,补充人员数量和安全专业能力的不足。这一类外包,金融企业核心能力建设的重点是对安全技术架构的全局掌控,对安全规范的自主建立,对安全漏洞原理和防范技术的深度理解,以及对安全运营机制流程的建立等。
1.4.4.2 核心能力建设的资源投入方案
不管是哪一类外包,目标确定后,配套的资源安排到位方可真正达成核心能力建设目标。针对各种外包服务活动,都需要安排技术人员深度参与,在过程中学习掌握外包商的架构、方法、思维模式以及具体技术成果,保障外包成果交付和知识转移的效果。
以下是资源投入方案和计划示例,金融企业应根据自身实际情况设计方案:
外包 领域 | 核心能力 建设目标 | 资源投入方案 |
规划咨询类 | 1.规划制定和调整; 2.规划理解和落地执行。 | 建立专职的规划咨询团队,以及兼职的分领域的配合团队: 1. 规划咨询团队负责全过程参与规划咨询; 2. 规划咨询团队自主开展阶段性报告和交付成果报告; 3. 组织专项的培训,针对各个领域对相关配合团队开展专项的知识转移。 |
应用研发类 | 1. 企业级架构设计; 2. 需求分析和设计; 3. 项目管理和风险管理。 | 建立架构设计团队和开发团队: 1. 架构团队自主开展企业级架构设计; 2. 对于重要信息系统,开发团队自主需求分析和设计,编码和测试适度外包;对于非重要信息系统,开发团队自主架构设计,需求分析、设计、编码、测试方面适度外包; 3. 开发团队负责自主的项目管理和风险管理,掌控项目进度以及风险评估和规避措施; 4. 针对开发和后续运维团队,组织专项应用开发和运维知识转移培训。 |
系统运维类 | 1. 项目规划设计; 2. 软硬件运行调优; 3. 故障快速响应和解决。 | 建立系统类项目实施团队,以及日常运维和监控团队: 1. 在项目规划阶段,参与项目规划设计,深入理解逻辑原理,掌握整体架构; 2. 在项目建设阶段,参与项目实施过程,确保项目建设符合规划架构; 3. 在项目交付前,完成知识转移,掌握安装、配置方法,常见问题及解决方案,监控指标及监控方法等; 4. 在项目运维阶段,通过日常的安装、升级、监控、巡检、应急处置等,积累故障快速响应和解决的能力。 |
安全服务类 | 1. 安全架构设计; 2. 安全规范制定; 3. 安全工具维护和策略调优; 4. 安全运营机制流程建立。 | 建立安全技术和安全运营团队: 1. 安全技术团队自主负责安全技术架构规划设计和安全规范制定; 2. 全程参与安全技术平台的实施过程,掌握相关软硬件的安装、维护等方法,以及防护策略的制定和调优方式。 3. 在项目交付前,完成知识转移,掌握常见问题及解决方案、监控指标含义及监控方法等; 4. 安全运营团队组织日常安全监控、事件处理等机制流程的建立,在日常运营过程中积累故障快速响应和解决的能力。 |
1.4.4.3 核心能力建设的效果评估
核心能力建设方案制定后,需要通过建立监测指标,来评估、检验实施的效果,并根据执行效果的跟踪反馈结果,动态调整建设方案,形成螺旋上升的闭环。可以设计如下的监测指标:
序号 | KPI指标名 | 具体解释 |
1 | 规划咨询参与度 | 自主投入咨询项目的工作量/(自主投入咨询项目的工作量+外包咨询项目的工作量) |
2 | 重要信息系统自主研发率 | 重要信息系统自主投入研发的工作量或系统数/(重要信息系统自主投入研发的工作量或系统数+外包研发的工作量或系统数) |
3 | 应用研发外包依赖度 | 外包研发的工作量/(外包研发的工作量+自主投入研发的工作量) |
4 | 系统软件故障自主解决率 | 自主解决的系统软件故障数量/系统软件故障总数量 |
5 | 基础设施类故障自主解决率 | 自主解决的基础设施类故障数量/基础设施类故障总数量 |
6 | 安全漏洞自主发现率 | 自主发现的安全漏洞数量/(自主发现的安全漏洞数量+外部发现的安全漏洞数量) |
1.5 全生命周期的外包安全管理
要加强外包安全管理,对外包风险进行有效的控制,重点是要形成外包全生命周期管理的良性循环,建立“事前预防、事中控制、事后处置”的工作机制,要按照“级差准入、持续评价、合作竞争、能上能下”的原则,对外包商实行差别化的准入、遴选、维护、退出管理。
1.5.1 事前预防
在事前预防阶段,风险控制的重点是要开展外包项目风险评估,设立外包商准入标准,开展外包商考察,同时通过合同形成法律约束。目的是及早发现各种外包风险的前兆,并立即予以纠正或防范,把风险消灭在萌芽状态,避免错误处理造成风险事件。
1.5.1.1 外包项目风险评估
外包项目的立项阶段,一方面需要开展外包战略符合度分析,评估外包商选择策略和核心能力建设方案是否符合外包战略要求;另一方面需要开展外包项目风险评估,根据信息科技外包项目的背景、目的、范围、性质,分析是否存在科技能力丧失、业务中断、信息泄露等风险,并采取相应的风险处置措施,不因外包活动的引入而增加整体剩余风险。
在外包项目立项阶段的可行性研究报告中,可以增加专门的风险评估章节,具体内容可以参见下表:
外包商风险评估表 | ||||
外包类型: □规划咨询类外包 □应用研发类外包 □系统运维类外包 □安全服务类外包 | ||||
外包风险评估项 | 内容 | 现状描述 | 剩余风险级别 | 风险控制措施 |
外包战略符合度 | 外包类型(严禁外包、严格控制外包、适度外包、优先外包) | 示例:非重要信息系统的编码和测试外包,属于优先外包的类别,风险可控。 | □高□中■低 | 无 |
核心能力建设方案是否完整 | 示例:本项目相关系统为非重要信息系统,需求分析、设计以及项目管理和风险控制由企业内部员工主导,编码和测试外包。已安排好自主参与的方案。 | □高□中■低 | 详见项目资源计划。 | |
外包风险影响 | 科技能力丧失风险:是否存在过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展的风险 | 本项目相关系统为非重要信息系统,仅编码及测试阶段外包,核心能力自主掌控。 | □高□中■低 | 无 |
业务中断风险:是否存在因支持业务运营的外包服务无法持续提供导致业务中断的风险 | 本项目为非重要信息系统的编码和测试外包,外包商没有直接参与运营工作,企业内部员工具备运营支持能力。 | □高□中■低 | 无 | |
信息泄露风险:是否存在因包含客户信息在内的本行非公开数据被服务提供商非法获得或泄露的风险 | 本项目为非重要信息系统的编码和测试外包,所有生产数据经过脱敏后方可用于开发测试环境,外包商无法接触敏感信息。 | □高□中■低 | 外包商开发全部采用企业配备的、安装了准入控制的电脑。 | |
综合结论 | 风险整体水平 :□高□中■低 是否接受剩余风险:■是 □否 |
外包项目立项完毕后,需要甄选合格的外包商开展合作,可遵循以下步骤:
首先针对不同类型的外包商,制定外包商准入的最低标准,并要求外包商围绕准入标准提供详尽的证明材料;
其次审查外包商的技术能力、专业经验、业务规模、业务策略及风险控制能力,评估可能存在的法律风险、合规风险、操作风险等,必要时对外包商开展现场考察或尽职调查;
第三,建立外包商库,确定备选外包商名单;
最后通过商务采购流程,确定中选外包商并签订合同。
1.5.1.2 外包商准入和审查
不同类型的外包采购,有不同的准入标准,以下是一些共通性的标准,可以根据需要适当裁剪使用。外包商需要根据标准,提供完备有效的证明材料。
外包商准入标准 | ||
资质内容 | 最低标准 | 检查方法 |
基本资质 | 1.中华人民共和国境内依法注册,具有独立法人资格,提供有效公司证件。 | 公司提供证明材料 |
2.无重大不良社会影响的经营记录,无违法、违规经营事件。 | 公司提供盖章说明、公开信息检索 | |
3.注册资本不低于300万人民币。 | 营业执照 | |
4.成立至少5年,且上年度经营状况良好,经第三方审计上年度盈利。 | 公司提供第三方审计报告 | |
5.采购代理资质(如涉及)。 | 公司提供资质证明材料 | |
同业案例 | 近三年内有至少2家金融行业同类服务的合作案例,且无不良合作记录。 | 公司提供盖章的合同节选 |
人员管理 | 1.软件开发或技术服务人员占比不低于50%,每年流动率小于30%。 | 公司提供盖章说明 |
2.金融企业总部所在城市本地服务人员数量不少于5人。 | 公司提供盖章说明和人员名单 | |
3.有对外包服务人员进行背景调查和无犯罪记录调查的机制。 | 公司提供盖章说明 | |
4.外包服务人员调岗或辞职前,有提前通知服务单位,办理工作交接。 | 公司提供盖章的有关制度和执行记录 | |
信息安全管控 | 1.有针对源代码及其他敏感信息的保密措施,包括信息访问授权审批、保存、销毁等管理流程。 | 公司提供盖章的有关制度和执行记录 |
2.过去三年没有发生过信息泄密事件。 | 公司提供盖章说明、公开信息检索 | |
3.与员工签订保密协议,且保密责任不因员工离职而解除。 | 公司协议模板和执行记录 | |
知识产权 | 1.外包商提供的服务不涉及侵犯其他公司的知识产权;如涉及其他产品,能提供相关产品著作权的证明材料。 | 公司提供材料 |
质量保证 | 1.有质量保证相关的标准和制度。 | 公司提供盖章的有关制度和执行记录 |
2.有CMMI3或同等级以上的专业认证资质 | 公司提供资质证明材料 | |
1.5.1.3 重要外包商尽职调查
对于通过了初步资料审查,满足最低准入条件的外包商,纳入进一步考察的范围。对于重要外包服务的外包商,必要时需开展尽职调查。
尽职调查以现场考察的方式开展,可以由外包执行部门、外包管理部门、采购主管部门以及风险管理等部门安排人员组成尽职调查小组,赴外包商所在地,通过现场勘查、访谈、资料调阅、穿行测试等方式,深入调查评估外包商的从业时间、股东关系、组织架构、发展战略、财务稳健性、经营声誉、企业文化、行业经验、市场地位及发展趋势、过往合作口碑、管理能力、技术实力、制度体系、员工情况、突发事件应急处置能力、风险控制能力等,综合评价外包服务商的发展前景、资质、能力、信誉、意愿,以确定是否纳入候选外包商名单。
尽职调查前,应制定详细的尽职调查方案和计划,明确尽职调查事项、小组成员分工、时间安排、资料调阅清单、外包商配合工作要求等,提前发给每个小组成员,以做好准备。
外包商尽职调查表可以参考如下样例:
外包商尽职调查表 调查人: 年 月 日 | |||||||
外包商基本资料 外包商编号: | |||||||
名称 | 法人代表: | ||||||
地址: | 邮编: | ||||||
电话: | 联系人: | 传真: | 经营性质: | ||||
主营产品: | |||||||
尽职调查指标 | |||||||
公司概况 | 序号 | 调查内容 | 结果 | 备注 | |||
1 | 注册资本 | ||||||
2 | 主要股东 | ||||||
3 | 企业文化(使命、愿景、文化) | ||||||
4 | 从业时间 | ||||||
5 | 近三年销售额 | ||||||
6 | 近三年净利润 | ||||||
7 | 经营声誉 | ||||||
8 | 发展战略 | ||||||
市场情况 | 序号 | 调查内容 | 结果 | 备注 | |||
1 | 市场份额 | ||||||
2 | 行业案例 | ||||||
3 | 业内口碑 | ||||||
4 | 未来三年业务重点 | ||||||
技术能力 | 序号 | 调查内容 | 结果 | 备注 | |||
1 | 与主营产品厂家的关系(代理/经销/总代…)及资质 | ||||||
2 | 主要技术人员数量及资质情况 | ||||||
3 | 资质认证(ISO27001、CMMI等) | ||||||
管理水平 | 序号 | 调查内容 | 结果 | 备注 | |||
1 | 组织架构 | ||||||
2 | 制度流程完备性 | ||||||
3 | 信息安全管控情况 | ||||||
4 | 风险控制能力 | ||||||
5 | 突发事件应急处置能力 | ||||||
综合评价 | 序号 | 调查内容 | 结果 | 备注 | |||
1 | 发展前景 | ||||||
2 | 资质 | ||||||
3 | 能力 | ||||||
4 | 信誉 | ||||||
5 | 意愿 | ||||||
结论 | □是 □否考察通过 |
1.5.1.4 外包商入库管理
对于审查和尽职调查通过后的外包商,全部纳入备选外包商库管理,记录外包商的基本信息、法人、商务联系人、技术联系人等,并把外包商提供的资料、尽职调查收集材料和表格等,统一归档管理。
1.5.1.5 采购和商务谈判
按照内部的外包商管理和采购制度完成采购和商务谈判流程后,金融企业将与外包商签订采购合同,约定双方的权利和义务以及违约责任等。
合同签订流程主要包括起草、服务商确认、法律部门审查、正式签署等环节。为了避免合同条款遗漏、约定内容不清晰等无法保障金融企业正当权益的风险,同时提供合同条款拟定的效率,金融企业一般会要求外包商接受自己的合同条款。针对咨询、开发、测试、系统软件维护、硬件维护等不同的IT服务领域,拟定不同的合同模板,规范服务水平条款和关键绩效指标。
为了防控外包服务中的风险,,合同中必须至少包含以下内容(摘自《银行业金融机构信息科技外包风险监管指引》,但同样适用于其他金融企业):
服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
合规与内控要求,对法律法规及金融企业内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
服务连续性要求,服务提供商的服务连续性管理目标应当满足金融企业业务连续性目标要求;
金融企业监控和检查的权利、频率,服务提供商配合其内、外部审计机构检查,及配合金融业监管机构检查的责任;
政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排;
外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
服务要求或服务水平条款,至少应当包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等;
争端解决机制、违约及赔偿条款,至少包括如下内容:服务质量违约、安全违约、知识产权违约等,及在各种违约情况下的赔偿以及外包争端的解决机制;
报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
1.5.1.6 外包商依赖度和集中度风险控制
在外包商准入阶段,要特别注意控制外包依赖度和集中度风险。
控制外包依赖度风险。外包依赖度越高,意味着外包商的转换成本越高,受到外包商的服务水平影响和约束越大,因此需要通过金融企业核心科技能力建设,提高自主掌控力度,降低对外包商的依赖,做到任何外包商的人员流失或退出,科技服务水平不受到显著影响。外包项目立项阶段,应该测算单个项目、单个系统、同类项目以及科技整体的外包依赖程度,如果单个或某类外包依赖度超出期望水平,都应该考虑如何提升自身知识和能力储备,提高自主掌控水平,降低外包风险。
控制外包集中度风险。不管是金融企业自身对某个单一外包商的集中度比例大,还是外包商在整个金融行业中市场份额大导致的行业集中度大,都可能导致风险过度集中和依赖于单家外包商的经营状况和服务水平。金融企业应合理管控服务提供商的数量,定期对现有外包服务的结构进行分析,将合同金额、驻场外包人员数量、金融行业市场占有率排列靠前的外包服务商,列入外包集中度风险关注名单,并积极采取后续管控措施:一是在新增项目的外包商选择前,对于在关注列表中的外包商,重点分析选择的必要性和对应的风险分散措施;二是应当特别加强对关注列表中外包商的持续监测,定期开展现场检查,及时发现和掌握风险事件的苗头,防患于未然;三是根据统计排名结果,制定外包服务商替代方案,做好应急预案并开展应急演练,演练内容包括但不限于外包服务突然中断时关于合同履行、服务交接、敏感信息处置等。
1.5.2 事中控制
事中控制阶段是外包管理的核心环节,重点是做好外包项目建设以及服务实施的计划与控制,形成科学、高效的外包商关系管理体系,及时发现问题、反馈问题、了解原因、解决问题,确保实现信息科技外包目标。主要包括以下几方面的工作:
外包商分级管理
外包商日常管理
外包商信息安全管理
外包商考核评价
外包商现场检查
外包商服务监测
突发事件应急处置
1.5.2.1外包商分级管理
外包商分级管理是指通过对外包商库内的外包商进行等级划分,对不同等级外包商实行差异化的等级管理政策。通过分级管理,奖励先进、处罚落后,充分发挥激励机制,促进外包商提高产品或服务质量,促使供求双方走向合作共赢。
外包商的分级需要综合考虑市场整体情况、外包商综合实力、外包商的经营管理动态、外包商服务的重要程度、外包商服务质量等,对于处在不同等级的外包商,针对性地采用不同的管理模式和管理方法。
某金融企业的外包商分级管理模式如下:
根据外包商市场竞争情况、外包商的实力和经营情况,以及与金融企业的项目合作情况,某金融企业将外包商分为战略外包商、瓶颈外包商、普通外包商和重点外包商四个等级。
1. 战略外包商:是指综合实力较强,并与金融企业为战略合作伙伴关系的外包商。该类外包商一般与金融企业有密切的业务往来关系,有利于金融企业业务的发展。同时满足以下条件的外包商划分为战略外包商
(1)外包商在规模、声誉、技术或服务等方面处于所在行业领先水平,掌握金融企业所需产品(服务)的关键技术和核心资源,并且重视与金融企业的合作关系。
(2)外包商与金融企业签订了战略合作协议。
对于战略外包商,该金融企业采取建立长期合作伙伴关系的策略,基本原则是实现“双赢”。合作过程中必须保持密切和通畅的沟通渠道,并开展定期双向交流,但必须防止向战略外包商的不合理倾斜,以减少外包商的垄断牵制。具体措施包括:
(1)建立与战略外包商的定期互访、信息通报机制,加强了解与互信;
(2)建立联系人制度,及时沟通与释疑;
(3)一方面在外包商后续选择流程中优先考虑,另一方面要开展后评价,做好监督。
(4)要求外包商保证产品质量、价格等信息公开透明。
2. 瓶颈外包商:是指能满足金融企业采购需求的,但所处行业市场竞争不充分的外包商。该类外包商通常数量不多,更换难度较大。同时满足以下条件的外包商可划分为瓶颈外包商:
(1)符合下列情形之一:所在行业受到国家严格管控,具有行业垄断地位的外包商;具有独有技术、独特资源、特殊授权或权威认证的外包商;其产品或服务在同类市场上难以找到替代品的外包商等。
(2)市场上能满足金融企业采购需求和外包商入库资质标准的外包商数量有限,一般不足三家。
对于瓶颈外包商,采用灵活多样的管理策略。积极与其建立稳定的合作关系,关注其独有技术、独家授权、行业垄断的市场地位,尽可能开发和寻找替代产品或服务,以避免受到瓶颈外包商的过度制约。具体措施包括:
(1)定期关注独有技术和独家授权的市场变化;
(2)相关部门一旦发现瓶颈外包商的市场变化情况必须及时采取措施并报告外包商管理部门。
3.普通外包商:是指能满足金融企业采购需求,同时所处行业市场竞争比较充分的外包商。该类外包商的更换难度和成本较低。满足以下条件的外包商划分为普通外包商:外包商市场竞争比较充分,满足同类要求的外包商数量在三家以上(含)。
对于普通外包商,应尽可能维持充足的数量,为采购项目提供更多的比较和选择。通过分级管理的奖惩措施,激励普通外包商提供更优质的产品和服务。具体措施包括:
(1)相关部门必须及时向外包商管理部门反馈普通外包商的产品质量和服务状况,外包商管理部门及时督促其改进和完善;
(2)对于效果不满意的普通外包商进行及时替换;
(3)加强对不同级别外包商管理政策的宣传,刺激普通外包商提高服务水平,增强其成为重点外包商的意愿。
4.重点外包商是指与金融企业有比较深入的合作,提供的产品或服务水平较高,在后评价中获得较高评价的外包商。重点外包商的划分主要依据后评价情况开展。后评价结果为优秀的外包商可划分为重点外包商。
对于重点外包商,要加强管理和维护力度。一方面引导其了解金融企业对重点外包商的优选政策,提高外包商合作积极性;另一方面,要大力宣传“能上能下”的分级管理制度,促使外包商持续提供优质服务。具体措施包括:
(1)对重点外包商开展定期后评价工作,关注外包商的持续服务情况。
(2)相关部门必须及时反馈重点外包商的产品质量和服务状况,外包商管理部门及时向外包商提出需求和建议,并要求外包商持续改进服务水平。
1.5.2.2 外包商日常管理
外包商日常管理包括外包人员入场和离场管理、外包人员考核和考勤管理、外包环境管理等工作。
外包人员入场管理:一是对入场外包人员资质进行严格审核,对专业水平进行现场笔试和面试;二是要求外包商提供主要外包服务人员的背景调查结果和无犯罪记录证明;三是建立外包人员信息台账,强化对外包人员信息档案的更新与管理;四是要求外包人员入场前签署保密协议及服务承诺书;五是参加信息安全培训和规章制度培训,考试合格后方可按照入场流程办理相关手续。
外包人员日常管理:一是通过工作任务单、项目计划表等方式,安排工作任务和计划,充分提高外包资源使用效率;二是建立外包资源使用台账,方便工作量结算和成本节约;三是建立外包人员考核机制,对外包人员的服务质量、工作态度、工作纪律等进行考核,考核结果与付款挂钩;四是统一外包人员考勤和工作纪律管理,不允许迟到、早退、旷工,严禁工作时间从事炒股、游戏等无关活动,否则进行严肃处罚;五是做好办公场所访问控制,不允许无关人员进入外包环境。
服务协调机制:一是定期组织召开外包商工作会议,针对外包商的服务质量、日常管理等方面的问题进行通报、点评和处罚,并从质量控制、风险防控等方面提出具体工作要求;二是建立外包服务周报、月报机制,定期向金融企业报告工作进度和问题;三是建立月度专题会议、季度沟通会议、年度管理会议等例会机制,必要时请外包商高层领导参加,通报现场服务的问题,协调解决。
外包人员离场管理:一是外包服务人员提前提出离场申请以及做好后续人员安排,完成审批后退场;二是遵循有关保密要求,清理其设备、文档中遗留的金融企业数据;三是完成工作交接、用户权限清理、电子设备或其他物品交接等。
1.5.2.3 外包商信息安全管理
外包商信息安全管理包括两部分,管理要求和技术措施:
管理要求方面,通过规章制度的建立与培训,形成“软约束”:一是制定外包人员管理细则,约束外包人员现场工作纪律和信息安全要求;二是由外包人员签署保密承诺书,承诺保密义务与责任;三是在入场时或者定期组织信息安全培训和考试,确保外包人员熟知和执行信息安全工作要求;四是日常检查安全要求落实情况,采用专项检查和随机抽查相结合的模式,对于违规者严厉问责。
技术措施方面,充分应用技术手段,实现风险的“硬控制”:一是通过环境物理隔离、用户权限管理、敏感信息脱敏等手段避免外包人员接触敏感信息;二是建立独立的终端开发环境,必须使用金融企业统一配置的终端,安装统一的防病毒软件及终端安全管理软件,禁用U盘等移动存储介质,不允许外包人员自带设备接入金融企业的网络;三是实施网络隔离,外包人员使用的终端部署在独立的安全域内,与其他安全域进行逻辑隔离,避免外包人员向开发测试服务器或开发测试终端拷入、拷出程序,同时禁止互联网的访问;四是遵循“必需知道”和“最小授权”的原则,开放外包人员的网络访问权限和用户权限;五是严格控制外包人员操作金融企业生产系统;六是针对故障硬盘、磁带等存储设备,进行物理破坏和销磁后入库,严禁返厂维修。
1.5.2.4 外包商考核评价
外包商考核评价的目的是通过对外包商的有效激励,加强其与金融企业的合作关系,提升服务质量。外包商的考评应该针对不同类型的外包商制定不同的考评指标,定期组织考核评价,并对考核评价结果开展定期的分析,将评价综合结果和评价指标得分反馈给外包商,促使其取长补短,持续改进。
按外包商考评周期和考核对象,分为两类:一是外包项目或工作结束后对外包项目或人员进行考核;二是每年对外包服务商进行服务水平和服务质量的总体考核评价。
按外包类型,分为四类:规划咨询类外包,重点考核规划结果的合理性和适用性、规划咨询人员的经验水平等;应用研发类外包,重点考核项目进度、交付质量、业务需求符合度等;系统运维类外包,重点考核交付及时性、运行稳定性、故障出现几率及故障处理及时性等;安全服务类外包,重点考核安全服务人员技术水平、安全防范措施的有效性、安全漏洞发现率等。
按外包采购模式,分为两类:一是对于项目类外包,主要从项目交付进度、项目提交件完整性及质量、测试发现缺陷情况、项目投产后的故障情况等方面,在项目结束后进行考核;二是对于人力资源购置类的外包,制定外包人员的定性和定量考核指标,每季度对相关人员进行考核。综合后形成对服务商的考评结果。
1.5.2.5 外包商现场检查
对于重要的外包商,应当定期开展现场检查,每半年或每年进行一次。对供应商的现场检查内容应按照服务类型有所区分,但可以参考以下基本的检查内容:
目的 | 检查要点 | 具体检查要求 | 检查方法 |
考察外包商基本情况和战略,是否具有持久发展潜力 | 查看外包商的硬件情况,如是否有固定资产、所处地理位置、周边环境及周边公司情况 | 1.所处地段位置(CBD或是高新区等,地理位置的选择也侧面反映外包商发展策略) 2.外包商的办公场所或者相关生产场所是否属于自有物业。 | 1.现场查看办公场地周围环境 2.询问外包商有关责任人员。 |
整体组织结构,管理层变动情况,包括但不限于股东、股权的变化情况 | 1.管理层/股东的变动情况 2.组织架构图的变化 3.收购或被收购的情况 | 1.查看披露文件的管理层变动情况 2.查看组织架构文件 3. 访谈外包商负责人 | |
关联公司情况 | 了解外包商与其关联公司的关系:主要包括: 1.股东关系 2.业务关系 3.人员关系 | 访谈外包商责任人 | |
近三年来营业收入的整体情况,及重点收入来源的情况 | 营业收入情况,其主营业务或产品的投入、收支情况 | 提交证明材料(财务报表或合同等) | |
市场占有率、市场评价 | 1.外包商各产品、各领域市场占有率 2.外部公司对其进行的评级、表彰、宣传等 | 提交自己评估或者第三方评估材料 | |
外包商主营业务及业务导向的变化,以及针对该变化所作的调整情况(包括组织架构、技术产品等变化) | 1.主营业务的情况,包括涉及领域、范围、投入情况 2.主导技术产品的变化 | 1.查看披露文件中业务变化情况 2.访谈外包商负责人 | |
外包商合作领域相关范围的变化情况,如战略合作商的变化及竞争对手的变化情况 | 1.目前战略合作商情况 2.主要竞争对手的数量、涉及领域变化情况 | 访谈外包商责任人 | |
外包商现有重点客户及变化情况,如重点客户是否单一,是否依附于某一家机构业务,重点客户的数量、规模和业务领域的变化 | 客户合作情况(包括客户名、合作领域、范围、金额) | 外包商提交客户合作情况,尽可能提供相关证明材料 | |
外包商的从业经验、资金安全性 | 1.外包商所涉及领域的业务开展时间 2.资金安全性、股权的来源情况 | 访谈外包商责任人 | |
考察外包商资质和人员情况,是否有持续的、高质量的服务能力 | 外包商相关资质证明(ISO、原厂、信息安全等资质)是否具备且在有效期限内 | 1.查看资质清单及证书 2.核查资质的有效性 | 1.要求现场提供原件或复印件 2.对应早期提供的资质清单及证明材料核查资质是否相符,是否在有效期内 |
知识产权的情况 | 1.对于知识产权的管理办法 2.产品知识产权的清单,以及工具知识产权 | 提交知识产权相关清单和材料 | |
定期安全自评估或第三方评估情况 | 1.ISO每年认证的情况 2.内部控制自评估情况 3.第三方审计或评估情况 | 1.提交认证材料 2.提交内部控制自评估结果 | |
服务团队人员资质 | 1.了解服务金融企业技术人员的资质情况(主要看高级人员情况) 2.整体技术人员的资质情况(梯队分布、组织架构等) | 1.现场提交人员清单、简历等材料 2.访谈人力资源负责人或技术团队责任人 | |
外包商整体人员的变化情况 | 1.相关管理层人员的变化 2.相关技术骨干人员的变化 3.其他领域管理和技术人员的变化 4.人员薪酬的变化情况 | 访谈外包商责任人 | |
考察制度建设情况,是否有各方面的制度来保证正常运行和管理 | 是否有明确的内部控制机制和管理流程的完善程度(含信息安全、人员权限等管理制度和技术工具等) | 1.所有的制度清单 2.(抽查个别制度)技术工具(如源代码管理),内控机制(风险评估、分析和整改机制) 3.上述制度的执行记录 | 提交材料、访谈 |
对于开发、测试、质量保证等工作的日常管理是否有明确的工作制度和流程进行管理 | 1.所有的制度清单 2.(抽查个别制度)技术工具(如源代码管理),内控机制(风险评估、分析和整改机制) 3.上述制度的执行记录 | 提交材料、访谈 | |
是否定期开展人员信息安全培训及检查工作 | 1.对人员信息安全培训和检查的流程和方法 2.检查相应检查及整改情况 | 1.提交制度/流程 2.提交相应检查整改证明材料 | |
是否与人员签订保密协议 | 1.服务人员的保密协议签订情况 2.是否有约束对于服务客户的信息保密及离职或特殊时期的保密责任 | 1.提交证明材料 2.访谈外包商责任人 | |
是否对人员进行审查,是否会做无犯罪记录的调查 | 1.查看服务人员的无犯罪记录 2.是否会对新入人员有该方面的要求 | 1.提交证明材料 2.访谈外包商责任人 | |
是否出现分包、转包等情况,如果金融企业同意分包,是否有完善的管理办法对分包商进行管理 | 1.对转包和分包的管理办法 2.对上述外包管理的执行记录 | 提交证明材料 | |
1.分包、转包情况 2.调阅外包合同(不一定要求合同全部内容) | 1.提交证明材料 2.访谈外包商责任人 | ||
考察外包商是否有明确的制度和流程来保障合同执行 | 外包商人员变动是否有相应机制保障服务的连续性 | 1.查看服务人员备份机制 2.人员工作交接管理办法 3.外包商人员变化应急策略及执行情况 | 1.提交证明材料 2.访谈外包商责任人 |
对于服务人员是否进行相应的培训 | 1.查看培训计划,应该包含技能、意识培训 2.查看服务人员的培训记录 | 提交证明材料 | |
对于服务人员是否宣贯提供服务时应该注意的要求 | 查看宣贯记录或文档等材料 | 提交证明材料 | |
对岗位的设置是否有相应的备份机制,关键岗位是否有明确人员备份 | 1.调查人员备份情况 2.备份人员目前的情况(备份人员是否能立即接替关键岗位工作) | 1.提交证明材料 2.访谈外包商责任人 | |
日常服务情况是否进行相应的登记记录 | 现场查看服务记录 | 提交证明材料 | |
对于服务由于外界或不可抗力因素导致的中断,是否制定相应的应急处理制度和流程 | 1.应急处理制度、流程或方案 2.应急演练的记录 | 1.提交证明材料 2.访谈外包商责任人 | |
对应合同的服务要求,外包商有相应的保障制度和措施 | 1.对应合同要求查看服务流程和制度 2.查看服务记录 | 1.提交证明材料 2.访谈外包商责任人 | |
外包商服务中是否按照合同内容或金融企业要求执行 | 外包商服务人员是否对金融企业相关的日常制度和流程了解 | 针对外包服务类型,技术人员对金融企业的服务要求的了解情况 | 一线技术人员现场访谈 |
外包商服务人员是否按照金融企业相关制度和流程提供相应服务 | 技术人员按照制度和流程提供服务的证明材料 | 1.一线技术人员现场访谈 2.服务记录材料现场查看 | |
外包商服务人员是否对服务合同要求和内容了解 | 外包服务人员对合同内容或工作要求的了解情况 | 一线技术人员现场访谈 | |
外包商服务人员是否按照服务合同要求和内容按时按质按量的提供相关的服务 | 查看外包商的同服务证明材料 | 1.一线技术人员现场访谈 2.服务记录材料现场查看 |
1.5.2.6 外包商服务监测
要建立常态化的外包服务监测制度,及时发现外包商的风险隐患苗头,防患于未然。监测内容主要包括:
持续监测异常事件。通过公开信息检索、外包商服务报告等方式,监测、收集服务商的最新经营情况、法律诉讼事件、重大财务事件、信息泄露风险事件等信息,一旦监控到异常情况,立即督促服务提供商采取纠正措施并限期整改,及时发现和化解服务商潜在风险。
日常监测合同履行情况。根据合同条款中规定的各个阶段性目标的达成情况、服务水平指标达成率等衡量外包服务质量。例如对于应用研发类外包,监测投产计划达成率、业务需求满足度、应用系统故障次数、故障应急响应时间、故障及时解决率、人员流失率等服务质量监控指标。对于外包商不履行合同条款、服务水平不达标等情况,纳入外包商合作事件记录表,作为外包商考核依据及后续合作参考。
定期开展外包服务的风险评估。针对各类信息科技外包活动存在的固有风险,分析外包管理措施的执行情况和风险控制措施的有效性,评估剩余风险的可接受程度,并针对发现的风险和不足,制定改进措施和计划并落实整改。
1.5.2.7 突发事件应急处置
外包合作过程中可能出现外包风险事件,如外包商经营出现风险、人员流失等,金融企业需要具备应对突发事件的能力,确保外包商的服务不影响金融企业自身正常运营。
建立信息科技外包风险应急管理机制,制定专门的外包风险应急预案及操作规程,重点针对外包服务商出现重大资源损失、重大财务损失、重要人员变动以及外包协议意外终止等异常退出情况明确应对要求。
建立技术部门、业务部门、管理部门(包括法律、财务、风险等部门)、外包服务商多方应急联动机制,将上述关联方均纳入常规应急演练工作中,提升对突发事件的联动响应能力。
每年组织企业内部有关部门,联合重要外包商开展桌面模拟演练,验证外包风险应急预案及操作规程的有效性和可行性,防范因外包服务意外中断或终止而带来的损失和风险。
对于重要外包服务商,应要求其制定业务连续性计划,通过合同等形式明确要求外包商提前做好准备,承诺紧急情况下优先向金融企业提供资源,并要求外包商根据应急处理预案定期进行演练并向金融企业提交报告,实现对外包商业务连续性管理的持续监控。
1.5.3 事后处置
事后处置,是指外包项目结束,或者外包服务中断与终止后,妥善合规地完成外包商后评价、外包商退出处置和外包人员离场检查等工作。
1.5.3.1 外包商后评价
外包商后评价是根据外包商提供产品或服务的执行情况和执行效果,对合作外包商进行全面评价,以发现外包商在合同期内存在的问题。
外包商后评价通常在外包服务结束后半年完成,根据外包项目或外包服务的具体情况采用电话咨询、问卷调查、访谈以及现场考察等方式开展。
外包商后评价内容包括但不限于以下方面,可根据采购内容的特点和合同约定等信息,拟定后评价的各项评价指标、评分权重:
外包商提供产品或服务的质量和性能;
业务需求满足程度和客户体验效果;
外包商的项目管理过程和项目管理能力;
外包商售后服务质量;
外包商商务配合情况
合同履行的其他情况;
依外包项目本身特点而拟定的其他评价因素。
外包商后评价的结果直接影响到下一次服务的合作可能性,作为外包服务商准入的重要参考依据,选优汰劣,促进外包服务商不断提高服务质量和效率。对于违反合同约束的外包服务商,可以按照合同约定启动相关罚则,严重者可以做退出处理。
1.5.3.2 外包商退出处置
外包商退出分为自然退出和强制退出两种。
外包商的自然退出,是指外包服务结束、外包合同终止,外包商按照合同约定停止在金融企业的服务内容。按照金融企业的外包商退出机制,办理退出手续即可。
外包商的强制退出是指取消外包商在金融企业的服务资格,并纳入黑名单管理。当外包商出现以下情况时,应该执行退出流程:
外包商的经营状况、商业信誉或商品质量出现严重的问题,对金融企业的服务造成重大影响或严重风险隐患;
外包商存在严重的违法违规行为;
外包商在合同执行期间出现严重的违约行为,对服务造成重大影响;
外包商后评价未达标;
外包商提供虚假信息或伪造资料;
外包商存在商业贿赂、串标、围标、严重不应标、恶意中伤竞争对手等扰乱正常采购秩序的行为;
供应商存在导致金融企业直接或间接损失的其他行为。
对于强制退出的外包商,信息科技部门需要联合业务部门、法律部门、财务部门等共同讨论解决方案,商议合法合规的处置流程,做好风险分析和应对措施,收集外包商违约或风险事件的证据材料,避免给金融企业造成财务损失和法律风险。
1.5.3.3 外包人员离场检查
外包服务结束后,金融企业应组织外包人员退出前的检查工作,检查结果作为合同结束的参考依据,以防范因外包服务终止而产生的信息泄露风险。
具体检查内容包括:
清理外包人员电脑(如果仍然存在外包人员自带电脑的情况)中,属于金融企业的程序和数据,并由外包服务商提供关于数据已全部清理和后续保密约定仍然有效的书面承诺。
确认用户权限清理完毕,包括所有用户的注销或删除;门禁卡物理介质归还及权限清理;指纹、指静脉、人脸识别等身份鉴别方式及记录的删除或禁用等。
退还金融企业提供的电脑、开发测试用的其他电子设备、文档资料等物品。
1.6 金融科技时代的外包安全管理
金融科技时代,随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,金融企业与外包商的合作模式和合作关系也发生了变化,有新的机遇,也意味着新的风险。
除了上述传统外包安全管理手段外,还需要结合新时代的特点,做好外包商合作关系管理和风险管理。
1.6.1 金融科技合作的几种外包模式
在人工智能、区块链、云计算、大数据、物联网等新技术大量运用的当今时代,涌现了大量的金融科技公司,他们的服务范围已经不再局限于提供规划咨询、应用研发、系统运维、安全服务等传统的、纯科技的外包服务,而是寻求与金融企业的深度合作,将业务合作、消费场景、科技能力等向金融企业输出,嵌入到双方合作内容中。
金融企业与金融科技公司的合作,主要有三种外包模式:
第一种是与“互联网系”的金融科技公司合作,进入互联网企业“生态圈”。在互联网公司的平台和科技能力输出的基础上,开展双方系统平台的技术对接,利用互联网企业的大量用户、流量、消费场景等优势,在技术和业务方面同步开展合作。
第二种是与“金融系”的金融科技公司合作,建设银行、兴业银行、招商银行、民生银行、南京银行等大中型银行机构纷纷成立了金融科技公司或者提供开放的金融平台,为其他中小金融企业提供服务。
第三种是与中小型金融科技企业合作,充分利用金融科技企业的技术,整合双方资源,将金融科技企业融入银行自身的生态圈中。
不管是哪种合作模式,在信息科技外包风险管控方面有共同的特点,金融企业对于外包业务环节中的金融风险仍须承担风险管控的主体责任,需要分析这一类新的外包模式带来的新风险和可能产生的影响,适时采取必要的应对措施。
1.6.2 金融科技合作中外包模式的风险分析
金融企业与金融科技公司的合作,通常会包含数据共享、业务流程整合等方面的合作内容,而且金融科技相关应用中的分布式账户、大数据、云计算、客户身份认证等技术应用,经常采用外包模式实现,因此存在一些新的风险。
首先是个人信息保护方面。金融科技的广泛应用带来了关于客户信息保护的新的挑战,需要特别关注数据的保密性、完整性和可用性问题:一是由于业务合作可能涉及到金融企业的客户信息的共享,或者金融企业需要通过金融科技公司的平台和场景作为引流方式,难以确保客户信息的绝对安全;二是客户信息有没有经过信息主体的授权,有没有泄露隐私,哪些信息可以获取哪些不可以,目前在法律法规和监管要求层面都缺乏可落地的细则,客户信息的来源和使用的合法合规性没有统一标准;三是客户信息的采集、处理、存储、传输、销毁等全生命周期的管理环节中存在各种不可预知的风险,需要避免数据丢失、损坏、被篡改,以及确保不可用的数据正常销毁。
其次是业务连续性方面。由于对社会公众服务的实时性要求极高,金融企业的业务连续性要求通常非常高。与金融科技公司开展业务合作,业务连续性将部分依赖于金融科技公司管理有效性、基础设施和软硬件系统建设水平、团队责任心等,对金融科技的服务能力提出了巨大的挑战。当发生系统故障时,如何快速应急处置,保证数据和业务的快速恢复,是对金融科技公司的巨大考验。
第三是信息安全方面。由于用户、信息资源的高度集中、获利性提高,金融科技平台遭受黑客攻击的可能性上升,DDOS攻击、数据库拖库等攻击而导致的服务不可用或者敏感信息泄露的可能性上升,其破坏后果和严重程度会明显超过传统的单家金融企业遭受攻击。
1.6.3 金融科技合作中外包模式的管理要求
选择金融科技合作模式,必须要接受其固有风险。但同时,也需要做好以下风险控制措施,以尽可能将剩余风险降低到可以接受的程度:
金融科技规划必须同步考虑风险防控规划,将包含外包风险在内的风险防控的管理和技术手段,与金融科技的应用同步规划、同步设计、同步实施,方能保障新技术上线的同时,新的安全防控措施也实施到位。风险防范规划同样需要从用户体验出发,围绕客户资产和信息安全开展风险分析和防控。
金融企业必须承担外包风险管理的主体责任。一方面传统的外包安全管理要求同样适用于金融科技公司,另一方面须严格要求金融科技公司遵守金融行业监管要求,例如账户实名、客户身份验证、产品宣传销售、投资者适当性管理等方面的技术要求,保护金融客户的合法权益。
在合作协议上必须明确规定客户信息保护、业务连续性管理、信息安全管理方面的要求、监控指标和对应的违约责任,约束金融科技公司的行为。
要求金融科技公司也制定详细的运行维护和信息安全管理制度和流程,以确保数据备份的有效性、加强数据访问的授权控制、杜绝数据被恶意篡改、确保退役数据的妥善保管或销毁等。
通过技术手段防范风险,一方面做好与金融科技公司之间数据传输过程中的加密、防篡改和完整性校验、不同企业间数据安全隔离等;另一方面要求金融科技公司做好安全防控,包括网络安全区域划分和网络隔离,防攻击、防病毒、防篡改的安全措施,安全技术防控工具部署,安全审计系统部署,应用安全漏洞防范等,确保能提供与金融行业同样高安全等级的服务。
信息科技外包风险管理将是商业银行面临的一项重要的长期任务,特别是新时代的新型外包管理模式,更是有着不同于传统管理模式的特点,需要一边思考研究、一边实践应用,方可形成一套适合金融企业的外包管理体系。
声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
