作者
中國郵政儲蓄銀行軟件研發(fā)中心高級信息技術(shù)專家 潘華
中國郵政儲蓄銀行軟件研發(fā)中心 王齊峰 魏苗苗 王峻 姜珂
高級信息技術(shù)專家潘華 中國郵政儲蓄銀行軟件研發(fā)中心
近年來,伴隨數(shù)智化轉(zhuǎn)型的持續(xù)推進(jìn),金融機(jī)構(gòu)在不斷加大科技創(chuàng)新投入力度、提升服務(wù)水平的同時(shí),對信息科技外包服務(wù)的需求也逐步增加。然而,信息科技外包服務(wù)是一把“雙刃劍”,雖然能快速解決自有科技資源不足等問題,提升企業(yè)競爭力,但也同樣易引發(fā)業(yè)務(wù)中斷、敏感信息泄露等安全風(fēng)險(xiǎn)事件。2024年5月,國家金融監(jiān)督管理總局發(fā)布的《關(guān)于銀行業(yè)保險(xiǎn)業(yè)做好金融“五篇大文章”的指導(dǎo)意見》指出,要聚焦效能和安全促進(jìn)數(shù)字金融發(fā)展,加強(qiáng)數(shù)據(jù)安全、網(wǎng)絡(luò)安全、科技外包等風(fēng)險(xiǎn)管理,防范新技術(shù)應(yīng)用帶來的風(fēng)險(xiǎn),提高運(yùn)營韌性。為貫徹落實(shí)上述目標(biāo)要求,郵儲銀行結(jié)合工作實(shí)際,在總結(jié)梳理各類外包風(fēng)險(xiǎn)與挑戰(zhàn)的基礎(chǔ)上,積極探索可行的信息科技外包風(fēng)險(xiǎn)管控策略。
一、金融業(yè)信息科技外包風(fēng)險(xiǎn)簡析
當(dāng)前,金融機(jī)構(gòu)雖然可借助信息科技外包服務(wù)大幅降低研發(fā)成本、提高研發(fā)效率,快速獲得最新的技術(shù)和資源,但在合作過程中也不可避免地要應(yīng)對多方面的風(fēng)險(xiǎn)和挑戰(zhàn)。
1.科技能力弱化風(fēng)險(xiǎn)
通過引入信息科技外包服務(wù),金融機(jī)構(gòu)雖然可利用外包服務(wù)提供商的資源和能力快速構(gòu)建起競爭優(yōu)勢,但也易導(dǎo)致信息系統(tǒng)研發(fā)過度依賴外包人員,進(jìn)而引發(fā)科技控制能力減弱、創(chuàng)新不足等風(fēng)險(xiǎn),間接影響自身的業(yè)務(wù)創(chuàng)新與發(fā)展。
2.業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)
在使用信息科技外包服務(wù)的過程中,一旦合作方出現(xiàn)經(jīng)營異常或無法持續(xù)提供外包服務(wù)的情況,金融機(jī)構(gòu)極有可能要面臨部分業(yè)務(wù)中斷風(fēng)險(xiǎn),且如果未充分識別信息科技外包服務(wù)集中度風(fēng)險(xiǎn)并制定應(yīng)對措施,還可能進(jìn)一步影響金融機(jī)構(gòu)的業(yè)務(wù)穩(wěn)定性。此外,信息科技外包應(yīng)急管理機(jī)制不健全也同樣有可能導(dǎo)致業(yè)務(wù)中斷。
3.服務(wù)質(zhì)量風(fēng)險(xiǎn)
作為科技研發(fā)能力的重要補(bǔ)充,如果信息科技外包人員的技術(shù)水平或解決問題的能力不足,將導(dǎo)致研發(fā)質(zhì)量難以達(dá)到預(yù)期,且其間一旦出現(xiàn)異常風(fēng)險(xiǎn)或者發(fā)生外包服務(wù)中斷,同樣會導(dǎo)致信息科技外包服務(wù)質(zhì)量不合格。
4.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
在系統(tǒng)建設(shè)過程中,如果外包服務(wù)提供商的安全防范能力不足,易導(dǎo)致信息系統(tǒng)存在嚴(yán)重缺陷,甚至引發(fā)重大安全風(fēng)險(xiǎn)事件。同時(shí),如果金融機(jī)構(gòu)對合作過程中的數(shù)據(jù)安全責(zé)任劃分不清,對存儲在第三方的數(shù)據(jù)管控不到位,抑或是外包人員安全意識淡薄,違規(guī)使用個(gè)人敏感信息等,同樣易導(dǎo)致信息泄露風(fēng)險(xiǎn)。
5.合規(guī)風(fēng)險(xiǎn)及其他
在信息科技外包準(zhǔn)入階段,如果金融機(jī)構(gòu)未嚴(yán)格按照監(jiān)管規(guī)定履行重要外包服務(wù)提供商盡職調(diào)查義務(wù),未充分識別外包準(zhǔn)入風(fēng)險(xiǎn),或是未對已合作的外包服務(wù)提供商進(jìn)行持續(xù)監(jiān)控,將很難及時(shí)發(fā)現(xiàn)外包過程中不符合監(jiān)管要求、法律規(guī)定和內(nèi)控制度要求的部分,進(jìn)而引發(fā)合規(guī)風(fēng)險(xiǎn)。除此之外,使用信息科技外包服務(wù)的金融機(jī)構(gòu)還將面臨國別風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、侵害消費(fèi)者權(quán)益風(fēng)險(xiǎn)等多重挑戰(zhàn)。
二、郵儲銀行信息科技外包風(fēng)險(xiǎn)管控策略
為全面降低信息科技外包風(fēng)險(xiǎn),郵儲銀行在充分考量安全與發(fā)展的前提下,結(jié)合自身資源稟賦,制定了以下風(fēng)險(xiǎn)管控策略。
1.強(qiáng)化自主可控水平,提升自主創(chuàng)新能力
一是加強(qiáng)科技隊(duì)伍建設(shè),加大自有人員投入力度,建立人才庫機(jī)制,持續(xù)組建人才梯隊(duì);構(gòu)建多元化人才培養(yǎng)體系,根據(jù)崗位差異,制定差異化培訓(xùn)計(jì)劃,并結(jié)合工作實(shí)際編制貼合各崗位職責(zé)的培訓(xùn)內(nèi)容,不斷豐富培訓(xùn)方式,開展層次化精準(zhǔn)培訓(xùn),推進(jìn)知識傳承與創(chuàng)新;建立有效的激勵、競爭及約束機(jī)制,通過正向激勵激發(fā)隊(duì)伍內(nèi)生活力,全面提升研發(fā)效能。
二是搭建統(tǒng)一研發(fā)平臺,加大企業(yè)級技術(shù)平臺研發(fā)和創(chuàng)新技術(shù)應(yīng)用探索力度,并基于企業(yè)級技術(shù)平臺建設(shè)項(xiàng)目,持續(xù)加強(qiáng)IT架構(gòu)管控,在實(shí)現(xiàn)技術(shù)規(guī)范標(biāo)準(zhǔn)化的同時(shí),不斷提升自主可控能力。
三是營造良好的創(chuàng)新發(fā)展環(huán)境,鼓勵員工探索前沿技術(shù),并組織開展技能大賽,“以賽促研”,推動技術(shù)交流分享,以及加速專利、軟件著作權(quán)等科研成果轉(zhuǎn)化落地,持續(xù)提升科技賦能業(yè)務(wù)成效。
2.嚴(yán)控外包準(zhǔn)入準(zhǔn)出流程,建立風(fēng)險(xiǎn)閉環(huán)管理機(jī)制
一是在準(zhǔn)入方面,通過開展采購前調(diào)研、專家咨詢論證等方式充分了解市場行情,明確外包服務(wù)提供商的規(guī)模、資質(zhì)、技術(shù)水平和行業(yè)經(jīng)驗(yàn)等信息;同時(shí),通過組織采購專家評審,對廠商資質(zhì)進(jìn)行嚴(yán)格把關(guān),確保外包服務(wù)滿足科技項(xiàng)目建設(shè)需求,提高采購工作質(zhì)效;此外,在簽訂合同前對重要外包服務(wù)提供商進(jìn)行盡職調(diào)查,并在項(xiàng)目立項(xiàng)前開展風(fēng)險(xiǎn)評估,評估外包服務(wù)提供商的風(fēng)險(xiǎn)控制能力、履約能力及外包項(xiàng)目實(shí)施的可行性,及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。
二是在履約方面,建立并完善與外包服務(wù)提供商的日常溝通機(jī)制和緊急溝通機(jī)制,增進(jìn)雙方互信,促進(jìn)穩(wěn)定合作。對于信息科技外包活動中發(fā)生的重大風(fēng)險(xiǎn)事件,及時(shí)按照要求向監(jiān)管部門報(bào)告,并根據(jù)應(yīng)急管理要求采取風(fēng)險(xiǎn)緩釋措施。
三是在準(zhǔn)出方面,提前制定退出策略,明確交接流程、交接計(jì)劃、交接資源和知識資產(chǎn),并制定交接結(jié)束時(shí)的信息處置措施。同時(shí),建立黑名單機(jī)制,對于納入黑名單的外包服務(wù)提供商及人員嚴(yán)格執(zhí)行退出流程。
3.強(qiáng)化風(fēng)險(xiǎn)監(jiān)測預(yù)警,提升應(yīng)急響應(yīng)能力
一是加大風(fēng)險(xiǎn)監(jiān)控力度,建立外包服務(wù)提供商風(fēng)險(xiǎn)監(jiān)測機(jī)制,從償債能力、盈利能力、行政處罰、訴訟仲裁、軟件安全等多個(gè)維度開展持續(xù)經(jīng)營監(jiān)測,并對監(jiān)測數(shù)據(jù)進(jìn)行分析,形成外包服務(wù)提供商風(fēng)險(xiǎn)畫像;通過檢索新聞媒體、社交媒體、論壇等渠道收集外包服務(wù)提供商相關(guān)信息,做好輿情監(jiān)測;建立外包服務(wù)提供商集中度風(fēng)險(xiǎn)監(jiān)測指標(biāo),通過統(tǒng)計(jì)分析項(xiàng)目數(shù)量占比以及合同金額占比等指標(biāo)來識別外包集中度風(fēng)險(xiǎn),并針對性提出管控要求、整改措施。
二是制定應(yīng)急響應(yīng)機(jī)制,全面梳理外包突發(fā)事件應(yīng)急場景,形成外包突發(fā)事件應(yīng)急預(yù)案與規(guī)范化的應(yīng)急響應(yīng)流程,提高風(fēng)險(xiǎn)應(yīng)對能力和綜合管理水平;要求外包服務(wù)提供商制定專門應(yīng)急預(yù)案,明確事件恢復(fù)的優(yōu)先級,并定期參與外包突發(fā)事件應(yīng)急演練,從而進(jìn)一步緩釋業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。
4.細(xì)化考核評估方式,提升外包服務(wù)質(zhì)量
一是開展外包服務(wù)提供商及外包人員日常管理,建立外包活動及人員清單,動態(tài)維護(hù)和掌握外包服務(wù)活動信息;制定外包服務(wù)質(zhì)量標(biāo)準(zhǔn),面向不同類型的外包服務(wù)實(shí)施不同的考核方式,實(shí)時(shí)評估外包服務(wù)提供商的履約情況。
二是對外包服務(wù)質(zhì)量進(jìn)行檢查和評估,當(dāng)監(jiān)控到信息科技外包服務(wù)異常時(shí),及時(shí)通過約談等手段督促外包服務(wù)提供商制定整改方案并落實(shí),同時(shí)將考核評價(jià)結(jié)果作為后續(xù)準(zhǔn)入的參考依據(jù);對于重要外包服務(wù)提供商,全面開展涵蓋公司治理、服務(wù)管理、信息安全等內(nèi)容的信息核查,深度識別外包服務(wù)鏈條中的薄弱環(huán)節(jié),防止發(fā)生外包服務(wù)中斷風(fēng)險(xiǎn)及外包質(zhì)量風(fēng)險(xiǎn)。
5.開展網(wǎng)絡(luò)安全排查,筑牢安全防護(hù)網(wǎng)
一是定期開展安全風(fēng)險(xiǎn)檢查,有效識別外包服務(wù)中蘊(yùn)含的潛在風(fēng)險(xiǎn)和漏洞,并將個(gè)人信息保護(hù)等要求納入安全風(fēng)險(xiǎn)檢查指標(biāo),及時(shí)發(fā)現(xiàn)、處置違規(guī)采集或使用個(gè)人信息的行為;加大應(yīng)用系統(tǒng)安全測試力度,對外包服務(wù)提供的模型、算法及行內(nèi)擁有知識產(chǎn)權(quán)的源代碼等交付物進(jìn)行安全審查,確保滿足行內(nèi)安全管理制度要求,提升安全防控水平;在與第三方機(jī)構(gòu)合作時(shí),在協(xié)議中明確數(shù)據(jù)合作的目的與范圍,制定必要的數(shù)據(jù)安全保障措施,并明確雙方的數(shù)據(jù)安全責(zé)任與義務(wù),確保數(shù)據(jù)按照“最小授權(quán)”原則進(jìn)行管控,降低數(shù)據(jù)外泄風(fēng)險(xiǎn)。
二是定期進(jìn)行互聯(lián)網(wǎng)敏感信息監(jiān)測,對暴露在互聯(lián)網(wǎng)網(wǎng)站、第三方共享平臺的敏感文件、源代碼等進(jìn)行摸底排查,并及時(shí)處置相關(guān)敏感信息,全面增強(qiáng)安全防護(hù)能力。
三是多維度強(qiáng)化安全風(fēng)險(xiǎn)意識,組織外包服務(wù)提供商簽署保密協(xié)議,強(qiáng)化網(wǎng)絡(luò)安全管控要求;面向外包人員開展入場前安全意識培訓(xùn)和考試,定期開展涵蓋數(shù)據(jù)安全、網(wǎng)絡(luò)安全等內(nèi)容的專項(xiàng)培訓(xùn),通過入場前安全意識培訓(xùn)與入場后專題教育培訓(xùn)相結(jié)合的方式,不斷拓展培訓(xùn)廣度和深度,促進(jìn)安全防范水平和可控能力提升。
6.宣貫合規(guī)要求,建設(shè)合規(guī)文化
一是以監(jiān)管政策為引導(dǎo),持續(xù)深化政策解讀培訓(xùn),培訓(xùn)內(nèi)容全面覆蓋重大事件報(bào)告、監(jiān)管檢查、風(fēng)險(xiǎn)提示等,扎實(shí)推進(jìn)政策落地;定期開展信息科技外包風(fēng)險(xiǎn)評估及監(jiān)測,及時(shí)掌握信息科技外包重大風(fēng)險(xiǎn)事件,對涉及信息科技外包管理的違規(guī)行為進(jìn)行問責(zé)處理。
二是加強(qiáng)教育培訓(xùn),宣貫合規(guī)管控要求,建立“不想違規(guī)”的自律氛圍,通過案件警示、專題研討、風(fēng)險(xiǎn)排查、培訓(xùn)考試等方式強(qiáng)化合規(guī)意識、保密意識,持續(xù)提升風(fēng)險(xiǎn)防控內(nèi)生動力。
三是通過開展第三方產(chǎn)品準(zhǔn)入管控、聲譽(yù)風(fēng)險(xiǎn)監(jiān)測、消費(fèi)者權(quán)益保護(hù)評價(jià)考核等方式,進(jìn)一步降低可能面臨的國別風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)、侵害消費(fèi)者權(quán)益風(fēng)險(xiǎn)等諸多挑戰(zhàn)。
三、后續(xù)提升展望
隨著金融數(shù)字化轉(zhuǎn)型的不斷深入,金融機(jī)構(gòu)對信息科技外包服務(wù)的管理也應(yīng)更加嚴(yán)格。下一步,郵儲銀行將秉持“重安全、嚴(yán)監(jiān)測、抓應(yīng)急、強(qiáng)隊(duì)伍”的總體工作思路,持續(xù)優(yōu)化信息科技外包風(fēng)險(xiǎn)管控工作。
一是重安全。在強(qiáng)化安全管控措施的基礎(chǔ)上,重點(diǎn)關(guān)注重要數(shù)據(jù)和客戶個(gè)人信息安全,并按照最少必要原則與第三方進(jìn)行數(shù)據(jù)交互;同時(shí),加強(qiáng)外包人員權(quán)限管控,定期檢視權(quán)限安全,將可操作性權(quán)限降至最小范圍。此外,適時(shí)開展外包網(wǎng)絡(luò)和信息安全檢查,及時(shí)識別潛在風(fēng)險(xiǎn),消除安全隱患。
二是嚴(yán)監(jiān)測。配套建設(shè)完善的外包管理信息化系統(tǒng)和基于人工智能的外包風(fēng)險(xiǎn)監(jiān)測系統(tǒng),做到人、物、信息、數(shù)據(jù)一體化管理;推進(jìn)常態(tài)化風(fēng)險(xiǎn)監(jiān)測機(jī)制,將日常管理、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)監(jiān)測、檢查整改等功能集于一體;同時(shí),通過對風(fēng)險(xiǎn)因子、風(fēng)險(xiǎn)規(guī)則等進(jìn)行調(diào)控,構(gòu)建動態(tài)監(jiān)測預(yù)警與趨勢分析能力,逐步提升風(fēng)險(xiǎn)數(shù)據(jù)信息的時(shí)效性。
三是抓應(yīng)急。結(jié)合監(jiān)管要求及自身實(shí)際,進(jìn)一步完善信息科技外包突發(fā)事件演練機(jī)制,并逐步拓展外包服務(wù)提供商的演練場景覆蓋面;同時(shí),加強(qiáng)多個(gè)外包服務(wù)提供商的聯(lián)合演練,將重要外包服務(wù)納入應(yīng)急演練范圍,通過演練檢驗(yàn)預(yù)案的實(shí)操性,及時(shí)發(fā)現(xiàn)并補(bǔ)足預(yù)案存在的短板,優(yōu)化外包突發(fā)事件應(yīng)急處置機(jī)制,提升多方協(xié)同聯(lián)動能力。
四是強(qiáng)隊(duì)伍。深入解讀監(jiān)管政策要求,全面增強(qiáng)外包風(fēng)險(xiǎn)管理人員的綜合能力,及時(shí)掌握信息科技外包管理過程中存在的問題,并有針對性地制定防范監(jiān)測措施。同時(shí),加強(qiáng)自身研發(fā)能力建設(shè),確保自有科技人才掌握核心技術(shù)并保留必要的管理職能,穩(wěn)步提升核心管控能力。此外,不斷優(yōu)化培訓(xùn)體系,通過分析行業(yè)最佳實(shí)踐及風(fēng)險(xiǎn)案例,將信息科技外包風(fēng)險(xiǎn)管理理念層層貫徹到日常工作中,全面提升信息科技外包風(fēng)險(xiǎn)防范水平。
本文刊于《中國金融電腦》2024年第10期
京公網(wǎng)安備 11010802036102號北京金支點(diǎn)技術(shù)服務(wù)有限公司保留所有權(quán)利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.