关于信息科技外包风险管控的探索与研究

作者

中国邮政储蓄银行软件研发中心高级信息技术专家 潘华

中国邮政储蓄银行软件研发中心 王齐峰 魏苗苗 王峻 姜珂

高级信息技术专家潘华 中国邮政储蓄银行软件研发中心

近年来，伴随数智化转型的持续推进，金融机构在不断加大科技创新投入力度、提升服务水平的同时，对信息科技外包服务的需求也逐步增加。然而，信息科技外包服务是一把“双刃剑”，虽然能快速解决自有科技资源不足等问题，提升企业竞争力，但也同样易引发业务中断、敏感信息泄露等安全风险事件。2024年5月，国家金融监督管理总局发布的《关于银行业保险业做好金融“五篇大文章”的指导意见》指出，要聚焦效能和安全促进数字金融发展，加强数据安全、网络安全、科技外包等风险管理，防范新技术应用带来的风险，提高运营韧性。为贯彻落实上述目标要求，邮储银行结合工作实际，在总结梳理各类外包风险与挑战的基础上，积极探索可行的信息科技外包风险管控策略。

一、金融业信息科技外包风险简析

当前，金融机构虽然可借助信息科技外包服务大幅降低研发成本、提高研发效率，快速获得最新的技术和资源，但在合作过程中也不可避免地要应对多方面的风险和挑战。

1.科技能力弱化风险

通过引入信息科技外包服务，金融机构虽然可利用外包服务提供商的资源和能力快速构建起竞争优势，但也易导致信息系统研发过度依赖外包人员，进而引发科技控制能力减弱、创新不足等风险，间接影响自身的业务创新与发展。

2.业务连续性风险

在使用信息科技外包服务的过程中，一旦合作方出现经营异常或无法持续提供外包服务的情况，金融机构极有可能要面临部分业务中断风险，且如果未充分识别信息科技外包服务集中度风险并制定应对措施，还可能进一步影响金融机构的业务稳定性。此外，信息科技外包应急管理机制不健全也同样有可能导致业务中断。

3.服务质量风险

作为科技研发能力的重要补充，如果信息科技外包人员的技术水平或解决问题的能力不足，将导致研发质量难以达到预期，且其间一旦出现异常风险或者发生外包服务中断，同样会导致信息科技外包服务质量不合格。

4.网络安全风险

在系统建设过程中，如果外包服务提供商的安全防范能力不足，易导致信息系统存在严重缺陷，甚至引发重大安全风险事件。同时，如果金融机构对合作过程中的数据安全责任划分不清，对存储在第三方的数据管控不到位，抑或是外包人员安全意识淡薄，违规使用个人敏感信息等，同样易导致信息泄露风险。

5.合规风险及其他

在信息科技外包准入阶段，如果金融机构未严格按照监管规定履行重要外包服务提供商尽职调查义务，未充分识别外包准入风险，或是未对已合作的外包服务提供商进行持续监控，将很难及时发现外包过程中不符合监管要求、法律规定和内控制度要求的部分，进而引发合规风险。除此之外，使用信息科技外包服务的金融机构还将面临国别风险、声誉风险、侵害消费者权益风险等多重挑战。

二、邮储银行信息科技外包风险管控策略

为全面降低信息科技外包风险，邮储银行在充分考量安全与发展的前提下，结合自身资源禀赋，制定了以下风险管控策略。

1.强化自主可控水平，提升自主创新能力

一是加强科技队伍建设，加大自有人员投入力度，建立人才库机制，持续组建人才梯队;构建多元化人才培养体系，根据岗位差异，制定差异化培训计划，并结合工作实际编制贴合各岗位职责的培训内容，不断丰富培训方式，开展层次化精准培训，推进知识传承与创新；建立有效的激励、竞争及约束机制，通过正向激励激发队伍内生活力，全面提升研发效能。

二是搭建统一研发平台，加大企业级技术平台研发和创新技术应用探索力度，并基于企业级技术平台建设项目，持续加强IT架构管控，在实现技术规范标准化的同时，不断提升自主可控能力。

三是营造良好的创新发展环境，鼓励员工探索前沿技术，并组织开展技能大赛，“以赛促研”，推动技术交流分享，以及加速专利、软件著作权等科研成果转化落地，持续提升科技赋能业务成效。

2.严控外包准入准出流程，建立风险闭环管理机制

一是在准入方面，通过开展采购前调研、专家咨询论证等方式充分了解市场行情，明确外包服务提供商的规模、资质、技术水平和行业经验等信息；同时，通过组织采购专家评审，对厂商资质进行严格把关，确保外包服务满足科技项目建设需求，提高采购工作质效；此外，在签订合同前对重要外包服务提供商进行尽职调查，并在项目立项前开展风险评估，评估外包服务提供商的风险控制能力、履约能力及外包项目实施的可行性，及时发现潜在风险。

二是在履约方面，建立并完善与外包服务提供商的日常沟通机制和紧急沟通机制，增进双方互信，促进稳定合作。对于信息科技外包活动中发生的重大风险事件，及时按照要求向监管部门报告，并根据应急管理要求采取风险缓释措施。

三是在准出方面，提前制定退出策略，明确交接流程、交接计划、交接资源和知识资产，并制定交接结束时的信息处置措施。同时，建立黑名单机制，对于纳入黑名单的外包服务提供商及人员严格执行退出流程。

3.强化风险监测预警，提升应急响应能力

一是加大风险监控力度，建立外包服务提供商风险监测机制，从偿债能力、盈利能力、行政处罚、诉讼仲裁、软件安全等多个维度开展持续经营监测，并对监测数据进行分析，形成外包服务提供商风险画像；通过检索新闻媒体、社交媒体、论坛等渠道收集外包服务提供商相关信息，做好舆情监测；建立外包服务提供商集中度风险监测指标，通过统计分析项目数量占比以及合同金额占比等指标来识别外包集中度风险，并针对性提出管控要求、整改措施。

二是制定应急响应机制，全面梳理外包突发事件应急场景，形成外包突发事件应急预案与规范化的应急响应流程，提高风险应对能力和综合管理水平；要求外包服务提供商制定专门应急预案，明确事件恢复的优先级，并定期参与外包突发事件应急演练，从而进一步缓释业务连续性风险。

4.细化考核评估方式，提升外包服务质量

一是开展外包服务提供商及外包人员日常管理，建立外包活动及人员清单，动态维护和掌握外包服务活动信息；制定外包服务质量标准，面向不同类型的外包服务实施不同的考核方式，实时评估外包服务提供商的履约情况。

二是对外包服务质量进行检查和评估，当监控到信息科技外包服务异常时，及时通过约谈等手段督促外包服务提供商制定整改方案并落实，同时将考核评价结果作为后续准入的参考依据；对于重要外包服务提供商，全面开展涵盖公司治理、服务管理、信息安全等内容的信息核查，深度识别外包服务链条中的薄弱环节，防止发生外包服务中断风险及外包质量风险。

5.开展网络安全排查，筑牢安全防护网

一是定期开展安全风险检查，有效识别外包服务中蕴含的潜在风险和漏洞，并将个人信息保护等要求纳入安全风险检查指标，及时发现、处置违规采集或使用个人信息的行为；加大应用系统安全测试力度，对外包服务提供的模型、算法及行内拥有知识产权的源代码等交付物进行安全审查，确保满足行内安全管理制度要求，提升安全防控水平；在与第三方机构合作时，在协议中明确数据合作的目的与范围，制定必要的数据安全保障措施，并明确双方的数据安全责任与义务，确保数据按照“最小授权”原则进行管控，降低数据外泄风险。

二是定期进行互联网敏感信息监测，对暴露在互联网网站、第三方共享平台的敏感文件、源代码等进行摸底排查，并及时处置相关敏感信息，全面增强安全防护能力。

三是多维度强化安全风险意识，组织外包服务提供商签署保密协议，强化网络安全管控要求；面向外包人员开展入场前安全意识培训和考试，定期开展涵盖数据安全、网络安全等内容的专项培训，通过入场前安全意识培训与入场后专题教育培训相结合的方式，不断拓展培训广度和深度，促进安全防范水平和可控能力提升。

6.宣贯合规要求，建设合规文化

一是以监管政策为引导，持续深化政策解读培训，培训内容全面覆盖重大事件报告、监管检查、风险提示等，扎实推进政策落地；定期开展信息科技外包风险评估及监测，及时掌握信息科技外包重大风险事件，对涉及信息科技外包管理的违规行为进行问责处理。

二是加强教育培训，宣贯合规管控要求，建立“不想违规”的自律氛围，通过案件警示、专题研讨、风险排查、培训考试等方式强化合规意识、保密意识，持续提升风险防控内生动力。

三是通过开展第三方产品准入管控、声誉风险监测、消费者权益保护评价考核等方式，进一步降低可能面临的国别风险、声誉风险、侵害消费者权益风险等诸多挑战。

三、后续提升展望

随着金融数字化转型的不断深入，金融机构对信息科技外包服务的管理也应更加严格。下一步，邮储银行将秉持“重安全、严监测、抓应急、强队伍”的总体工作思路，持续优化信息科技外包风险管控工作。

一是重安全。在强化安全管控措施的基础上，重点关注重要数据和客户个人信息安全，并按照最少必要原则与第三方进行数据交互；同时，加强外包人员权限管控，定期检视权限安全，将可操作性权限降至最小范围。此外，适时开展外包网络和信息安全检查，及时识别潜在风险，消除安全隐患。

二是严监测。配套建设完善的外包管理信息化系统和基于人工智能的外包风险监测系统，做到人、物、信息、数据一体化管理；推进常态化风险监测机制，将日常管理、风险评估、风险监测、检查整改等功能集于一体；同时，通过对风险因子、风险规则等进行调控，构建动态监测预警与趋势分析能力，逐步提升风险数据信息的时效性。

三是抓应急。结合监管要求及自身实际，进一步完善信息科技外包突发事件演练机制，并逐步拓展外包服务提供商的演练场景覆盖面；同时，加强多个外包服务提供商的联合演练，将重要外包服务纳入应急演练范围，通过演练检验预案的实操性，及时发现并补足预案存在的短板，优化外包突发事件应急处置机制，提升多方协同联动能力。

四是强队伍。深入解读监管政策要求，全面增强外包风险管理人员的综合能力，及时掌握信息科技外包管理过程中存在的问题，并有针对性地制定防范监测措施。同时，加强自身研发能力建设，确保自有科技人才掌握核心技术并保留必要的管理职能，稳步提升核心管控能力。此外，不断优化培训体系，通过分析行业最佳实践及风险案例，将信息科技外包风险管理理念层层贯彻到日常工作中，全面提升信息科技外包风险防范水平。

本文刊于《中国金融电脑》2024年第10期

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。