《金融网络安全 信息科技外包评价指标数据元》解读

全文共2173字，阅读大约需4分钟。

在金融行业供应链安全事件频发的背景下。中国人民银行科技司发布《金融网络安全 信息科技外包评价指标数据元》金融行业标准（下文简称“标准”），规定了金融业信息科技外包分类及评价指标数据元定义，为金融机构信息科技外包评价的实施管理给出了重要参考。优化信息科技外包服务管理体系。积极推动《银行保险机构信息科技外包风险监管办法》顺利落地实施。对金融机构而言，意味着对于金融信息科技外包评价有据可依；对信息科技外包商而言，意味着必须与金融机构一起担负起履行金融网络安全的责任，全流程受金融机构的监管。

一、“标准”明确了信息科技外包服务的分类，规范统一了外包服务评价分类体系。

根据外包服务用途，“标准”建立了金融业信息科技外包服务分类体系。信息科技外包服务共包括咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类共5个一级子类，此分类标准和《银行保险机构信息科技外包风险监管办法》保持一致。如下图所示。

信息科技外包服务评价体系根据服务分类，通过“通用指标”+“专用指标”的形式进行评价。其中“通用指标”，整体反映信息科技外包服务商的可能服务水平。“专用指标”反映信息科技外包服务商在某专业分类领域的可能服务水平。“标准”中制定信息科技外包通用指标37个，专用指标44个，其中咨询规划类专用指标2个，开发测试类专用指标10个，运行维护类专用指标14个，安全服务类专用指标12个，业务支持类专用指标6个。具体指标内容见如下系列表格。

01

通用指标类

02

咨询规划类专用指标

03

开发测试类专用指标

04

运行维护类专用指标

05

安全服务类专用指标

06

业务支持类专用指标

各类指标项关注重点如下：

• 通用指标：机构规模、数据保护及服务连续性

• 开发测试类：机构资质、技术实力、软件成熟度

• 运行维护类：业务连续性保障能力、人员专业能力

• 安全服务类：整体服务能力、服务人员专业技能

• 咨询规划类：前沿创新技术及管理理念落地

• 业务支持类：市场拓展能力、呼叫中心服务水平
  

每项指标还被赋予约束条件：

• M：必须属性不能为空

• O：属性可以为空

• C：满足某些条件时该属性应填写或不应填写
  

二、“标准”建立了多维度评价指标体系，推动了信息科技外包服务的评分、评级。

“标准”规定了金融业信息科技外包分类及评价指标数据元定义，为金融机构信息科技外包评价的实施管理给出了重要参考。信息科技外包服务评价指标数据元体系见下图，括号内的数字表示该维度的评价指标数量。

评价体系按照外包服务的分类，从多个维度对信息科技外包服务进行了评价，包括了“基本情况”，“协议履行”，“服务质量”，“安全保障”4个一级维度。每个一级维度又可分为若干个二级维度。

有了指标维度信息，可以建立系统的递阶层次结构，采用层次分析法(AHP)，确定目标层，准则层和方案层，构造判断矩阵，利用特征值方法确定各个外包商排序权值，权值和评价成正比。以供采购方决策者参考，确保供应链安全。

多个指标从不同侧面对信息科技外包服务商的状态进行了计量，客观反映了服务商的某项具体内容。之后，再经过“多指标综合评价”，将多维度的计量指标按照一定的规则组成的整体进行评价，从而客观反映外包服务商的整体服务状态，有利于对外包服务商的评分、评级以及选择。

三、“标准”有利于金融企业对信息科技外包全流程评价监督，保障金融网络供应链安全。

“标准”让金融机构对信息科技外包评价进行全流程监督，保障金融企业供应链持续安全。在服务开始之前量化外包商整体评分，明确外包商准入标准。在服务过程中，对服务质量按照评价指标进行持续量化评分，对重要外包商定期进行风险评估金融机构可以结合信息科技外包服务评价指标数据元指标制定风险评估表，持续关注外包商服务能力。在服务周期后，对外包商进行质量评定，给与外包商“优、良、中、差”评定等级。由此可以做到金融企业科技外包全流程监督，保障金融网路供应链持续安全。

原文始发于微信公众号（绿盟科技金融事业部）：《金融网络安全 信息科技外包评价指标数据元》解读