日前,央行发布《金融网络安全信息科技外包评价指标数据元》标准(以下简称“标准”),根据服务用途,该标准建立了金融业信息科技外包服务分类体系。
据了解,在数字化转型的过程中,软件研发已成为金融机构业务发展与创新的重要手段,金融机构在加强自身信息科技队伍建设的同时,需要扩充IT外包来推动业务转型发展。不过,外包管理体系不完善是当前信息科技外包存在的主要问题和挑战。(招聘)
此次标准为金融机构开展信息科技外包服务评价工作提供了切实可行的依据,金融企业可按照标准的指导,加强对于自身信息科技外包活动的管理,降低信息科技外包风险。
细化外包合作要求
标准指出,信息科技外包服务共包括咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类共5个一级子类,并在每个一级子类下划分多个二级子类。
在提出信息科技外包服务分类体系之后,标准介绍了信息科技外包服务评价指标数据元体系,并基于该体系对信息科技外包服务进行评价。
网络安全专家田际云告诉《中国经营报》记者:“标准里的各项细节,不是新增的,而是原本就出现在很多金融机构的招投标文件中,标准只是将各家企业的要求统一、量化、标准化,便于金融机构招投标,同时也便于供应商供货和服务,推动金融科技建设。”
“金融机构信息科技外包发展势头迅猛,涉及的范围逐步扩大,涵盖了信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。如果外包商经营出现风险、外包商服务质量下降,或者外包商出现不当行为,都有可能对金融机构信息系统的稳定运行及业务服务的安全造成严重影响。”一位民营银行人士指出。
数据分析师袁帅也坦言,金融机构的信息系统安全运营,与IT外包商提供的软硬件产品质量休戚相关,而IT业务外包风险贯穿于技术、产品、系统、服务、生产、采购、集成、运行、维护等整个产品供应链中的各个阶段,一旦风险与安全管理失控,则会给金融机构的信息系统建设带来损失。
谈及本次标准的影响,田际云分析,主要有两方面:一是增强供应商品控,标准对供应商的服务和产品提供更全面的要求,助推供应商服务质量提升;二是有利于金融机构提升内控安全,标准增强金融机构的全流程的、全面详细的流程管控,能够有效预防类似隐患的发生,同时,金融是关键信息基础设施,通过更全面、详尽、统一的标准要求,进一步保障业务连续和安全性。
北京金信网银总经理李崇纲向记者分析,本次发布的标准,体现金融监管高层推动技术手段进行监管的实践,即监管科技。建议对于信息科技公司监管的,不仅要做静态监管,还要做动态监管。将公司履行的社会责任、涉及的行政处罚、网络声誉等信息充分挖掘,激活公司另类数据潜能,全面评价企业。
同时,李崇纲还建议:“监管机构和金融机构可联合第三方公司共同监测评估信息科技公司,借鉴北京冒烟指数监管经验,建立信息科技风险库、案例库等,推动本次发布标准为基准的监管系统化,加强对外包企业风险的动态感知和穿透式分析。”
加强信息科技外包监管
近年来,金融行业陆续出现的外包风险事件备受关注。信息科技外包风险管理,成为金融机构信息科技风险管理的重要组成部分,也成为金融行业监管的工作重点之一。
2021年底,银保监会发布了《银行保险机构信息科技外包风险监管办法》(以下简称“《办法》”),进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息科技外包风险管控能力。《办法》要求,银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
今年2月,中国人民银行会同市场监管总局、银保监会、证监会联合印发《金融标准化“十四五”发展规划》,其中提到强化金融网络安全标准防护。健全金融业网络安全与数据安全标准体系;建立健全金融业关键信息基础设施保护标准体系,支持提升安全防护能力。
上海安言信息技术有限公司撰文指出,当前外包管理体系尚未完善,对外包服务缺乏统一的评价标准,持续增长的外包规模给外包资源的有效使用和管理带来很大挑战,主要表现为:一是外包管理效率较低。外包项目和外包人员的规模在不断增长,而管理维度不断拓展、监管要求不断提高,外包人员管理耗时费力,管理难度增大;二是IT外包管理体系不健全,随着外包人员规模持续增长,外包人员入场离场的频率也随之增加,人员流动大、工作量确认难度增加,但对于外包人员的管控手段却是薄弱的,由此造成IT项目延期、服务水平下降等问题;三是金融机构由于外包引发的信息系统中断、敏感信息泄露等问题较多,外包风险作为金融机构信息科技风险的重要组成部分,必须认真对待。
“金融机构必须承担外包风险管理的主体责任。一方面,传统的外包安全管理要求同样适用于金融科技公司;另一方面,须严格要求金融科技公司遵守金融行业监管要求,如遵守账户实名制、客户身份验证、产品宣传销售、投资者适当性管理等方面的技术要求,以保护金融客户的合法权益。”前述民营银行人士认为。
袁帅建议,金融机构在信息科技外包方面应该建立系统性风险管理的顶层意识,形成有效的风险管控机制和专项工作委员会,权责到人,做好IT业务风险与安全的认知与培训。比如银行数字信息业务外包要在国家法律法规和公司的制度规范内展开,要建立健全IT业务外包过程中信息披露和检查监督及考核机制,建立一个功能完善的外包供应商信息管理系统,做好速度、质量、结构、效益的统筹,要确立系统性的外包组织架构,建立健全应急处理预案,不断完善规章制度,使外包各项工作有章可依,工作制度化,管理规范化。(招聘求职)
来源:中国经营报
