作者
中國郵政儲蓄銀行軟件研發中心高級信息技術專家 潘華
中國郵政儲蓄銀行軟件研發中心 王齊峰 魏苗苗 王峻 姜珂
高級信息技術專家潘華 中國郵政儲蓄銀行軟件研發中心
近年來,伴隨數智化轉型的持續推進,金融機構在不斷加大科技創新投入力度、提升服務水平的同時,對信息科技外包服務的需求也逐步增加。然而,信息科技外包服務是一把“雙刃劍”,雖然能快速解決自有科技資源不足等問題,提升企業競爭力,但也同樣易引發業務中斷、敏感信息泄露等安全風險事件。2024年5月,國家金融監督管理總局發布的《關于銀行業保險業做好金融“五篇大文章”的指導意見》指出,要聚焦效能和安全促進數字金融發展,加強數據安全、網絡安全、科技外包等風險管理,防范新技術應用帶來的風險,提高運營韌性。為貫徹落實上述目標要求,郵儲銀行結合工作實際,在總結梳理各類外包風險與挑戰的基礎上,積極探索可行的信息科技外包風險管控策略。
一、金融業信息科技外包風險簡析
當前,金融機構雖然可借助信息科技外包服務大幅降低研發成本、提高研發效率,快速獲得最新的技術和資源,但在合作過程中也不可避免地要應對多方面的風險和挑戰。
1.科技能力弱化風險
通過引入信息科技外包服務,金融機構雖然可利用外包服務提供商的資源和能力快速構建起競爭優勢,但也易導致信息系統研發過度依賴外包人員,進而引發科技控制能力減弱、創新不足等風險,間接影響自身的業務創新與發展。
2.業務連續性風險
在使用信息科技外包服務的過程中,一旦合作方出現經營異常或無法持續提供外包服務的情況,金融機構極有可能要面臨部分業務中斷風險,且如果未充分識別信息科技外包服務集中度風險并制定應對措施,還可能進一步影響金融機構的業務穩定性。此外,信息科技外包應急管理機制不健全也同樣有可能導致業務中斷。
3.服務質量風險
作為科技研發能力的重要補充,如果信息科技外包人員的技術水平或解決問題的能力不足,將導致研發質量難以達到預期,且其間一旦出現異常風險或者發生外包服務中斷,同樣會導致信息科技外包服務質量不合格。
4.網絡安全風險
在系統建設過程中,如果外包服務提供商的安全防范能力不足,易導致信息系統存在嚴重缺陷,甚至引發重大安全風險事件。同時,如果金融機構對合作過程中的數據安全責任劃分不清,對存儲在第三方的數據管控不到位,抑或是外包人員安全意識淡薄,違規使用個人敏感信息等,同樣易導致信息泄露風險。
5.合規風險及其他
在信息科技外包準入階段,如果金融機構未嚴格按照監管規定履行重要外包服務提供商盡職調查義務,未充分識別外包準入風險,或是未對已合作的外包服務提供商進行持續監控,將很難及時發現外包過程中不符合監管要求、法律規定和內控制度要求的部分,進而引發合規風險。除此之外,使用信息科技外包服務的金融機構還將面臨國別風險、聲譽風險、侵害消費者權益風險等多重挑戰。
二、郵儲銀行信息科技外包風險管控策略
為全面降低信息科技外包風險,郵儲銀行在充分考量安全與發展的前提下,結合自身資源稟賦,制定了以下風險管控策略。
1.強化自主可控水平,提升自主創新能力
一是加強科技隊伍建設,加大自有人員投入力度,建立人才庫機制,持續組建人才梯隊;構建多元化人才培養體系,根據崗位差異,制定差異化培訓計劃,并結合工作實際編制貼合各崗位職責的培訓內容,不斷豐富培訓方式,開展層次化精準培訓,推進知識傳承與創新;建立有效的激勵、競爭及約束機制,通過正向激勵激發隊伍內生活力,全面提升研發效能。
二是搭建統一研發平臺,加大企業級技術平臺研發和創新技術應用探索力度,并基于企業級技術平臺建設項目,持續加強IT架構管控,在實現技術規范標準化的同時,不斷提升自主可控能力。
三是營造良好的創新發展環境,鼓勵員工探索前沿技術,并組織開展技能大賽,“以賽促研”,推動技術交流分享,以及加速專利、軟件著作權等科研成果轉化落地,持續提升科技賦能業務成效。
2.嚴控外包準入準出流程,建立風險閉環管理機制
一是在準入方面,通過開展采購前調研、專家咨詢論證等方式充分了解市場行情,明確外包服務提供商的規模、資質、技術水平和行業經驗等信息;同時,通過組織采購專家評審,對廠商資質進行嚴格把關,確保外包服務滿足科技項目建設需求,提高采購工作質效;此外,在簽訂合同前對重要外包服務提供商進行盡職調查,并在項目立項前開展風險評估,評估外包服務提供商的風險控制能力、履約能力及外包項目實施的可行性,及時發現潛在風險。
二是在履約方面,建立并完善與外包服務提供商的日常溝通機制和緊急溝通機制,增進雙方互信,促進穩定合作。對于信息科技外包活動中發生的重大風險事件,及時按照要求向監管部門報告,并根據應急管理要求采取風險緩釋措施。
三是在準出方面,提前制定退出策略,明確交接流程、交接計劃、交接資源和知識資產,并制定交接結束時的信息處置措施。同時,建立黑名單機制,對于納入黑名單的外包服務提供商及人員嚴格執行退出流程。
3.強化風險監測預警,提升應急響應能力
一是加大風險監控力度,建立外包服務提供商風險監測機制,從償債能力、盈利能力、行政處罰、訴訟仲裁、軟件安全等多個維度開展持續經營監測,并對監測數據進行分析,形成外包服務提供商風險畫像;通過檢索新聞媒體、社交媒體、論壇等渠道收集外包服務提供商相關信息,做好輿情監測;建立外包服務提供商集中度風險監測指標,通過統計分析項目數量占比以及合同金額占比等指標來識別外包集中度風險,并針對性提出管控要求、整改措施。
二是制定應急響應機制,全面梳理外包突發事件應急場景,形成外包突發事件應急預案與規范化的應急響應流程,提高風險應對能力和綜合管理水平;要求外包服務提供商制定專門應急預案,明確事件恢復的優先級,并定期參與外包突發事件應急演練,從而進一步緩釋業務連續性風險。
4.細化考核評估方式,提升外包服務質量
一是開展外包服務提供商及外包人員日常管理,建立外包活動及人員清單,動態維護和掌握外包服務活動信息;制定外包服務質量標準,面向不同類型的外包服務實施不同的考核方式,實時評估外包服務提供商的履約情況。
二是對外包服務質量進行檢查和評估,當監控到信息科技外包服務異常時,及時通過約談等手段督促外包服務提供商制定整改方案并落實,同時將考核評價結果作為后續準入的參考依據;對于重要外包服務提供商,全面開展涵蓋公司治理、服務管理、信息安全等內容的信息核查,深度識別外包服務鏈條中的薄弱環節,防止發生外包服務中斷風險及外包質量風險。
5.開展網絡安全排查,筑牢安全防護網
一是定期開展安全風險檢查,有效識別外包服務中蘊含的潛在風險和漏洞,并將個人信息保護等要求納入安全風險檢查指標,及時發現、處置違規采集或使用個人信息的行為;加大應用系統安全測試力度,對外包服務提供的模型、算法及行內擁有知識產權的源代碼等交付物進行安全審查,確保滿足行內安全管理制度要求,提升安全防控水平;在與第三方機構合作時,在協議中明確數據合作的目的與范圍,制定必要的數據安全保障措施,并明確雙方的數據安全責任與義務,確保數據按照“最小授權”原則進行管控,降低數據外泄風險。
二是定期進行互聯網敏感信息監測,對暴露在互聯網網站、第三方共享平臺的敏感文件、源代碼等進行摸底排查,并及時處置相關敏感信息,全面增強安全防護能力。
三是多維度強化安全風險意識,組織外包服務提供商簽署保密協議,強化網絡安全管控要求;面向外包人員開展入場前安全意識培訓和考試,定期開展涵蓋數據安全、網絡安全等內容的專項培訓,通過入場前安全意識培訓與入場后專題教育培訓相結合的方式,不斷拓展培訓廣度和深度,促進安全防范水平和可控能力提升。
6.宣貫合規要求,建設合規文化
一是以監管政策為引導,持續深化政策解讀培訓,培訓內容全面覆蓋重大事件報告、監管檢查、風險提示等,扎實推進政策落地;定期開展信息科技外包風險評估及監測,及時掌握信息科技外包重大風險事件,對涉及信息科技外包管理的違規行為進行問責處理。
二是加強教育培訓,宣貫合規管控要求,建立“不想違規”的自律氛圍,通過案件警示、專題研討、風險排查、培訓考試等方式強化合規意識、保密意識,持續提升風險防控內生動力。
三是通過開展第三方產品準入管控、聲譽風險監測、消費者權益保護評價考核等方式,進一步降低可能面臨的國別風險、聲譽風險、侵害消費者權益風險等諸多挑戰。
三、后續提升展望
隨著金融數字化轉型的不斷深入,金融機構對信息科技外包服務的管理也應更加嚴格。下一步,郵儲銀行將秉持“重安全、嚴監測、抓應急、強隊伍”的總體工作思路,持續優化信息科技外包風險管控工作。
一是重安全。在強化安全管控措施的基礎上,重點關注重要數據和客戶個人信息安全,并按照最少必要原則與第三方進行數據交互;同時,加強外包人員權限管控,定期檢視權限安全,將可操作性權限降至最小范圍。此外,適時開展外包網絡和信息安全檢查,及時識別潛在風險,消除安全隱患。
二是嚴監測。配套建設完善的外包管理信息化系統和基于人工智能的外包風險監測系統,做到人、物、信息、數據一體化管理;推進常態化風險監測機制,將日常管理、風險評估、風險監測、檢查整改等功能集于一體;同時,通過對風險因子、風險規則等進行調控,構建動態監測預警與趨勢分析能力,逐步提升風險數據信息的時效性。
三是抓應急。結合監管要求及自身實際,進一步完善信息科技外包突發事件演練機制,并逐步拓展外包服務提供商的演練場景覆蓋面;同時,加強多個外包服務提供商的聯合演練,將重要外包服務納入應急演練范圍,通過演練檢驗預案的實操性,及時發現并補足預案存在的短板,優化外包突發事件應急處置機制,提升多方協同聯動能力。
四是強隊伍。深入解讀監管政策要求,全面增強外包風險管理人員的綜合能力,及時掌握信息科技外包管理過程中存在的問題,并有針對性地制定防范監測措施。同時,加強自身研發能力建設,確保自有科技人才掌握核心技術并保留必要的管理職能,穩步提升核心管控能力。此外,不斷優化培訓體系,通過分析行業最佳實踐及風險案例,將信息科技外包風險管理理念層層貫徹到日常工作中,全面提升信息科技外包風險防范水平。
本文刊于《中國金融電腦》2024年第10期
京公網安備 11010802036102號