企业安全建设指南 | 安全架构(七)

admin 2025年2月14日11:08:47评论12 views字数 20901阅读69分40秒阅读模式

 

企业安全建设指南 | 安全架构(七)

编者按:

《企业安全建设指南 金融行业安全架构与技术实践》——聂君 李燕 何扬军 编著,资深信安专家十余年实战经验的结晶,安全领域多位专家联袂推荐。
本书系统化介绍金融行业中企业信息安全的架构与技术实践,总结了作者在金融行业多年的信息安全实践经验,致力于解决金融企业信息安全“最后一公里”问题,内容丰富,实践性强。
   第一部分 安全架构  

第七章 外包安全管理

随着金融企业业务的迅速发展和市场竞争的日益激烈,对科技支持能力的要求迅猛增长,但金融企业普遍存在信息科技人力资源匮乏、技术能力欠缺等问题,人员数量和质量均不能满足业务发展对科技的要求。因此,大部分金融企业都采用信息科技外包的方式,将其作为自身科技力量的补充。但凡事均有两面性,信息科技外包这把“双刃剑”,在给金融企业带来专业化能力、推动科技创新、提高科技效率、实现科技对业务快速支持的同时,也引发了一系列的外包风险。近年来金融行业陆续出现的外包风险事件,给金融企业和监管机构都敲响了警钟。外包信息安全管理,成为金融企业信息安全管理的重要组成部分,也成为金融行业监管的工作重点之一。

7.1 外包安全管理的问题与“痛点”

根据中国银监会《银行业金融机构信息科技外包风险监管指引》,信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。其他类型的金融企业也可参考类似定义。

将信息科技工作外包给其他服务提供商承担,相较于金融企业自身的员工开展,存在着特殊的风险。因此,信息科技外包风险防控,已成为金融行业信息科技风险防范的主要任务之一,金融企业必须采取各种措施,加强信息科技外包安全管理。

7.1.1 几个教训深刻的外包风险事件

近年来国内外爆发了多起与金融企业相关的外包风险事件,其影响面广、危害程度大,给金融企业造成了较大的损失和声誉风险。

外包公司违规收集银行数据事件

2012年5月,国家安全部发布对某外资公司存储产品的代理商北京某公司违规收集银行数据、危害我国金融信息安全的通告。通告公布他们窃取银行数据的四种手段:一是利用维护之便,使用专用工具;二是利用故障分析时提供的最高系统权限;三是利用进入银行要害区域的机会,通过偷拍等方式窃取网络拓扑图、技术方案等敏感信息;四是对回收的硬盘进行分析,非法窃取银行重要信息。

韩国某银行外包人员误操作导致服务中断事件

2011年4月12日,韩国某银行因系统瘫痪导致金融服务受到严重影响,全国1154个分支行的服务中断,影响持续时间长达一周。据调查,故障发生的原因是由于外包团队人员掌握了该银行核心系统的超级管理员权限,4月12日该人员错误执行了删除命令,导致服务器中的所有文件被删除。外包管理缺位,系统用户权限控制混乱,外包人员权限过大,是导致问题发生的主要原因。

某公司解散影响多个金融企业外包服务

某公司是一家金融IT综合服务提供商,为银行、保险、基金、证券等金融行业、大型企业财务公司提供整体解决方案和软件产品,业务范围涵盖了规划咨询、软件开发实施、技术服务、IT外包与运营服务、系统集成及系统维护服务等,是中国金融行业客户重要的IT服务提供商和战略合作伙伴。该公司于2007年在美国IPO,曾有“第一家在纽交所上市的国内软件企业”之誉,但在2011年8月31日,因涉嫌财务造假,该公司宣布解散。

该公司事件对国内多家金融企业的IT外包服务项目造成了影响。从2011年初开始,该公司公司已出现资金紧张、项目人员大量流失等情况,2011年8—9月,公司给各金融企业出具公函,告知部分项目建设无法执行,建议金融企业寻求第三方公司继续执行该公司承建的项目。各金融企业在2011年底至2012年初纷纷全面梳理合同,临时将该公司未履行完毕的责任义务全部转移给第三方公司承担,由于团队变动、人员流动、技术转移等原因,在过渡期内,给各金融企业的系统开发质量、进度和运行稳定性造成了较大的影响。

多媒体查询机供应商某公司突然停业事件

2011年2月,多家银行突然收到多媒体查询机供应和维护商深圳某科技有限公司的通知,该公司因自身原因从2011年1月31日停止业务经营,从2011年2月1日起将无法提供后续服务,建议用户利用该公司预留的售后服务保证金及时聘请其他服务商接替后续服务,但未就后续相关工作安排做出任何说明。受此影响,各银行当时所使用的多媒体查询机突然得不到相应的维护保修服务,给该类设备的稳定运行造成了较大的影响。

7.1.2 外包安全管理的必要性

包管理是“刚需”,外包安全管理就是必须“支付”的对价

在金融企业所有的外包活动中,信息科技外包所占比重最大。金融企业信息科技外包的目的主要有两方面:

·弥补自身人力资源的不足,将自身有限的资源投入至最重要的业务系统和最核心的技术掌控,其余资源通过外包方式补充。

·充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势,实现对市场变化和业务需求的快速响应。

著名的管理学家彼得·德鲁克曾预言:“在10~15年之内,任何企业中仅作后台支持而不创造营业额的工作都应该外包出去,任何不提供向高级发展的机会和活动、业务也应该采用外包的形式。”可见外包既有理论层面的强有力支撑,又有实践层面的殷切需求。

既然信息科技外包已经是大势所趋和无法避免的选择,那么信息科技外包风险也就成了金融企业必须“支付”的对价,是必须且非常重要的工作。金融企业不能“一包了之”“包治百病”,而应该承担起外包风险管理的责任,必须认识到外包风险,对外包风险进行分析评估,加强外包安全管理,采取风险缓释、转移、规避等措施,将外包风险控制到合理的、可接受的程度,避免信息技术及服务受制于人。可以说,不做好外包安全管理,就做不好信息系统管理,进而无法实现对金融企业系统和业务的保驾护航。

金融企业面临的外包风险形势严峻

近年来,金融企业信息科技外包发展势头迅猛,外包涉及的范围逐步扩大,已经涵盖了信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。如果外包商经营出现风险,外包商服务质量下降,或者外包商出现不当行为,都有可能对金融企业的信息系统稳定运行及业务服务的安全造成严重影响。

近年来金融企业由于外包问题引发的信息系统中断、敏感信息泄露等问题较多,外包风险作为金融企业信息科技风险的重要组成部分,必须加以重视。

监管机构对信息科技外包的监管要求趋严趋紧

针对日益严峻的信息科技外包风险形势和层出不穷的外包风险事件,监管机构高度重视,监管要求逐步加强。

·中国银监会于2010年出台了《银行业金融机构外包风险管理指引》,对外包的组织架构、风险评估、外包商尽职调查、合同协议约定等方面提出了具体要求。

·中国银监会2013年印发了《银行业金融机构信息科技外包风险监管指引》,专门针对信息科技外包这一比重最大的外包领域提出了很多细化的安全管控要求,定义了信息科技外包的几种类型,规范了银行信息科技外包风险管理的组织架构和战略内容,细化了信息科技外包活动各阶段、各环节的风险控制及管理要求,并针对重要外包商、机构集中度外包商、跨境外包商、非驻场外包商、银行业重点外包服务机构等特殊类型的外包商提出了相应的管理要求,可以作为银行业信息科技外包工作的一个“纲领性”文件。监管指引中明确要求不得将信息科技管理责任外包,引导银行将信息科技外包管理纳入全面风险管理体系。

·2017年中国证监会发出《证券基金经营机构信息技术管理办法》(征求意见稿),其中规定了对“信息技术服务机构”即外包机构的要求,包括“不得将重要信息系统的运行、维护或日常安全管理交由信息技术服务机构独立实施”,以及审慎选择信息技术服务机构时应该关注的重点事项、合同约束要求、内部审查要求、部分服务机构的备案要求、应急处置机制、严禁行为等。

各类监管要求从战略规划的高度和战术执行的细度,为金融企业建立信息科技外包管理体系、制定战略方针和工作机制提供了规范性的要求,既是指导又是约束。金融企业必须遵循监管要求,在监管要求的框架下搭建自身的外包风险管控体系,解决基础性、体系性缺失的问题。

7.1.3 外包管理中的常见问题

金融企业将大量的信息科技工作外包,虽然解决了银行自身资源不足的问题,但也暴露了一些风险隐患。

第一,金融企业对信息科技外包的依赖度大。中小型金融企业对信息科技外包依赖程度普遍较高,大型金融企业中的信息科技外包也已占相当比例,信息科技外包已成为金融企业信息科技体系中的一个重要组成部分。由于金融企业自身科技人员数量、知识和能力储备不足,外包人数是金融企业内部员工人数5~10倍甚至更多的情况屡见不鲜,而且在可以预见的未来这一比例还有增大趋势。大量外包导致企业内部员工的自主掌控能力变弱,对信息系统的熟悉了解程度降低,自主解决问题的效能下降,核心技术受制于人。信息系统开发的交付质量和运维保障水平,很大程度上取决于外包人员的技能水平和责任心,外包商的经营状况、外包商的人员流动、外包商与金融企业的合作关系,都可能对金融企业的信息科技的业务支持能力、交付效率和信息系统运行稳定性产生重大影响。

第二,金融企业的外包商集中度较高。从单个企业看,部分金融企业将信息科技外包服务集中交给少量服务提供商承接;从整个行业看,部分外包商承接了多个金融企业的信息科技工作,在金融行业中服务机构多、市场份额大。外包商集中度较高导致金融企业对于单一外包商的依赖过大,对系统的控制能力和议价能力下降,一旦外包商自身经营出现风险,或者跟金融企业的合作发生问题,就可能造成影响面较大的服务中断或者服务质量下降,严重情况下还将导致系统性、区域性的信息科技风险。

第三,外包商经营风险事件日益增多。无论是宏观层面的国际贸易关系、国内外经济形势、行业环境和发展趋势,还是微观层面的股东关系、公司治理架构、管理层水平等,都可能影响外包商的经营情况和服务水平。外包商自身经营状况不佳导致产品质量出现问题、团队不稳定,或者在开发、实施、运维等方面的服务不及时,都可能造成金融企业的服务中断或者服务质量下降,进而直接影响对业务发展的支持和信息系统运行的稳定性。

第四,外包商员工管理相比金融企业员工管理难度更大。将信息科技活动委托给外部人员处理,相比金融企业内部员工自行处理而言,面临风险更大,管理难度更高,管理要求更难落实到位。因为外包人员的归属感、责任感相对不强,往往会认为自己不需要对最终结果负责,只需要对过程负责,不对长期结果负责,仅对当前阶段性的成果负责,相对而言会更注重短期收益,所以外包人员的责任心、主动性、纪律性得不到保证,再加上人员流动性较大,知识技能往往难以有效传承,从而难以保证长期持续的高效率和高质量。

第五,外包商或其员工可能发生主动或被动的不当行为。外包商提供的信息科技服务,有机会接触、存储大量的敏感信息,例如客户资料、交易数据等,但外包商的风险管理能力、风险控制体系和风险意识水平相比金融企业的要求来说还有差距。如果外包商或其员工发生主动或被动的不当行为,例如有意识地收集和倒卖敏感数据,操作失误删除数据或执行错误指令等,可能导致数据损坏、丢失、泄露或系统服务中断,造成直接或间接经济损失。

第六,外包商不受监管直接约束,信息安全管控水平整体偏低。信息科技外包商不受监管部门的直接约束,游离于金融企业的监管体系之外,其服务对象和服务结果却又必须遵从金融企业的监管要求。外包商的信息安全管理体系建设相对滞后,外包人员的风险意识不足,都可能造成金融企业的信息安全风险。

鉴于上述因素,外包管理中的问题可能导致金融企业面临以下直接风险,并可能进一步导致银行业金融企业的战略、声誉、合规风险(摘自《银行业金融机构信息科技外包风险监管指引》):

·科技能力丧失,金融企业过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展。

·业务中断,支持业务运营的外包服务无法持续提供导致业务中断。

·信息泄露,包含客户信息在内的金融企业非公开数据被服务提供商非法获得或泄露。

·服务水平下降,由于外包服务质量问题或内外部协作效率低下,使得金融企业信息科技服务水平下降。

由于信息科技外包带来的风险较高,针对上述问题,金融企业需要制订有效的外包安全管控目标,建立外包安全防控体系。

·在战略层,应当建立适合本企业的信息科技外包战略,确定信息科技外包管理的目标,明确外包的总体原则,建立企业层面的信息科技外包安全防控架构,完善外包管理组织体系和制度体系。

·在战术层,应该按照外包类型分类管理,针对不同类型的外包,建立全生命周期管理的机制,以及外包安全管理效果衡量机制。

7.2 外包战略体系1.制定外包战略

金融企业在科技发展水平、科技规模实力、科技资源投入、科技管理模式等方面存在差异,需要根据本企业的实际情况,综合考虑信息科技战略、外包市场环境、自身风险控制能力,制定合适的外包战略。

外包战略通常由以下几个部分组成:

·外包管理目标。外包管理的目标通常是降低信息科技成本,缩短新产品开发周期,提高新技术应用效率和专业性,集中行内优势资源掌握核心关键技术,提高自主掌控能力,主动防范外包风险。

·外包管理方针。通常由8~16个字组成,基本原则是要重点突出、方向明确、朗朗上口、易于记忆。例如,“自主掌控,适度外包”“自主外包相结合,自主优先”“自主外包相结合,外包为主”等。

·外包组织架构。明确董事会、高管层、外包风险管理部门、外包审计部门、外包执行部门的职责分工,确定部门归属,强化权限的相互制约。

·外包的选择策略。明确哪些科技职能严禁外包、哪些严格控制外包、哪些适度外包、哪些优先外包等。例如,涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包,科技管理责任不得外包,某些关键核心技术或保密技术不得外包;企业级架构设计、重要信息系统的需求分析和设计、涉及敏感信息分析或处理的工作严格控制外包;非重要信息系统的分析设计和重要信息系统的编码适度外包;系统软件和电子设备维保、第三方安全服务等优先外包。

·核心能力建设方案。制订金融企业自身的资源和能力建设方案,确定必须自主掌控的核心能力所属领域和关键环节,并制订配套的人员补充、技能提升、知识转移方案,有针对性地获取或提升关键的管理及技术能力,降低对外包商的依赖。例如,明确让自有人员重点承担重要信息系统的需求分析、架构设计等开发职能,以及网络、数据库等关键的运维职能,并提供相应的人员数量、质量、技能提升、知识转移计划等配套保障。

·外包商关系管理策略。根据金融企业自身的业务需求、科技规模、市场地位等,确定外包商依赖度、集中度管理的目标,制订外包商引入的流程、外包商准入标准、外包商退出机制、外包商风险评估指标、外包商服务评价体系、外包商分级管理和差异化管理策略等。

明确组织架构

构建合理的信息科技外包管理组织架构,明确职责分工,是外包战略得以有效执行的重要保障。外包管理组织架构包括三个层级:

·董事会和高管层。董事会及高级管理层对信息科技外包负最终管理责任,主要职责包括明确各部门在外包管理方面的职责分工,设计必要的监督和控制机制,审批外包战略、制度和流程,审批重大项目外包决策,推动和完善外包风险管理体系建设,督促各部门履行职责以确保实现外包管理效果等。

·信息科技外包管理相关部门。包括信息科技外包管理及外包风险管理的主管部门、执行部门和监督部门,各部门间应建立工作汇报及沟通交流机制。外包主管部门通常可以由风险或合规部门担任,主要负责识别、监测、评估外包风险,向董事会及高管层报告风险评估结果,督促外包管理工作持续改善;

外包执行部门通常由与外包管理相关的预算、采购、合同签订、执行、外包商管理等相关部门担任,负责外包管理相关制度制定、外包活动的具体执行落实、外包商日常管理,并向主管部门报告外包活动情况;外包监督部门通常由稽核审计部门担任,主要职责是开展定期或专项的信息科技外包管理审计工作。

·信息科技部门内部科室。在信息科技部门内部也要进行专业化分工和岗位制衡。例如安排科技管理职能科室,负责牵头组织外包商准入、评价、退出管理,以及负责预算申请、商务采购、合同签订和执行等相关职能;安排开发、运维等职能科室,按照“谁使用,谁负责”的原则,负责外包商的日常管理;安排信息安全职能科室,负责检查和监督外包管理机制的有效落实,识别风险并推动风险整改。

强化制度约束

信息科技外包管理制度体系是外包工作有效开展的准绳,必须遵循监管指引,并根据行内的组织架构和制度体系建设,以规范和指导外包工作的落地执行。外包管理制度包括三个层级:

·政策级制度。包括外包管理总纲、政策等,通常,整个金融企业只有一份信息科技外包管理政策,纳入整体信息科技管理纲领性制度,作为一个独立章节出现,提出对应的管理要求。主要是定义信息科技外包管理的目标、范围,解决管理“什么”以及“为什么”需要管理的问题。

·办法级制度。通常根据各部门职责分工可以有多个关于外包管理的办法,例如,风险或合规部门的外包风险管理办法,信息科技部门的信息科技外包管理办法,稽核审计部门的外包审计管理办法,以及其他部门的外包商管理办法、预算管理办法、采购管理办法等。管理办法通常定义信息科技外包管理相关各部门的职责分工、工作流程和管理要求,解决由“谁”来管理以及“如何”管理的问题。

·规程级制度。通常在部门内部发布,是办法级制度的支持性文档,例如,信息科技外包商采购管理细则,信息科技外包合同签订和执行细则,外包商现场管理工作细则,外包商考核评价管理细则,外包商风险监测和评估细则。重点在于定义部门内部各科室的职责分工、工作流程、详细操作步骤、具体实施方法、操作检查列表等,直接指导相关岗位的操作。

规划核心能力建设

要掌控和化解信息科技外包风险,最关键的环节和最大的挑战在于金融企业自身的核心能力建设。任何信息科技外包工作,都必须以不妨碍核心能力建设和自主掌控关键技术为导向,否则,一旦核心技术受制于人,金融企业就丧失了主动权和议价权,大大弱化了对系统的控制权和对风险的掌控力,金融企业的核心能力建设要量体裁衣、量力而行,不能急于求成,没有统一准则,“适合的才是最好的”。

大型金融企业通常自身科技力量雄厚,信息系统建设和日常运维以内部资源为主,自主研发能力和自主掌控能力较强,外包资源主要作为人力的补充,投入到非关键系统或者非关键环节。大型金融企业自主掌控能力加强,核心能力建设目标较为清晰,执行比较到位。

中小型金融企业自身科技力量普遍不足,但信息化建设高速发展,信息系统规模日趋庞大,因此经常将科技规划、应用开发、基础设施建设及网络运维等工作外包,利用外包商的专业能力和快速交付能力,提升科技支持水平。中小型金融企业自主掌控能力受到更大的挑战,亟待加强自身核心能力建设。

加强核心能力建设,需要分三步走:

1)明确建设目标,要掌控哪些科技职能、哪些环节的核心能力。

2)确定核心能力建设相关环节的资源投入方案。

3)制订核心能力建设效果评估的方法并执行、反馈、调整。

(1)明确核心能力建设目标

不同类型的信息科技外包,金融企业需要掌握的核心能力不一样。因此要树立分级分类的理念,细分本企业所有的外包类型和特点,针对每种类型给出对应的核心能力建设目标。

对于规划咨询类外包,主要目的是利用外包人员丰富的知识、行业经验、体系化的思维框架,帮助金融企业制订规划,例如,科技规划,数据中心建设规划,数据治理规划等。这一类外包,金融企业核心能力建设的重点是理解规划制订全过程的逻辑和推导的过程,后续能使规划落地执行,并具备能力自主滚动制订和调整规划。金融企业应该安排核心骨干人员全程参与规划的制订,在外包人员撤场前必须完成知识转移,在外包人员撤场后能很好地承接规划的执行和更新。

对于应用研发类外包,主要目的是利用外包商对前沿技术的掌控和研发能力以及丰富的人力资源,帮助金融企业解决快速响应业务需求的问题。这一类外包,金融企业核心能力建设的重点是掌握应用系统的技术架构,具备需求分析和系统设计的能力,能全面把握应用系统建设过程中的质量控制和风险管理,随时可以应对外包商更替、外包商经营状况变化及人员流失的风险。

对于系统运维类外包,主要目的是利用原厂商或者第三方代理公司提供的设备,规划设计方案、软件安装配置方案等,完成机房风火水电、网络、服务器、存储等基础设施项目实施,或者操作系统、数据库、中间件等系统软件的安装配置;利用外包资源完成日常运维工作,帮助金融企业快速完成部署和解决故障。这一类外包,金融企业核心能力建设的重点是掌握设备和系统软件运行调优方案,了解常见故障及解决方法,掌握设备运行效果的主要监测指标及监控方法,具备快速定位和解决问题的能力。

对于安全服务类外包,主要目的是利用安全厂商对信息安全趋势的了解、对安全态势和安全漏洞的深入钻研,帮助金融企业完成安全技术平台部署实施、安全漏洞发现和防范以及安全运营工作,补充人员数量和安全专业能力的不足。这一类外包,金融企业核心能力建设的重点是对安全技术架构的全局掌控,对安全规范的自主建立,对安全漏洞原理和防范技术的深度理解,以及对安全运营机制流程的建立等。

(2)确定核心能力建设的资源投入方案

无论是哪一类外包,目标确定后,配套的资源安排到位方可真正达成核心能力建设目标。针对各种外包服务活动,都需要安排技术人员深度参与,在过程中学习掌握外包商的架构、方法、思维模式以及具体技术成果,保障外包成果交付和知识转移的效果。

表7-1是资源投入方案和计划示例,金融企业应根据自身实际情况设计方案。

表7-1项目资源投入计划表

企业安全建设指南 | 安全架构(七)

企业安全建设指南 | 安全架构(七)

(3)制订核心能力建设的效果评估方法

核心能力建设方案制订后,需要建立监测指标,来评估、检验实施的效果,并根据执行效果的跟踪反馈结果,动态调整建设方案,形成螺旋上升的闭环。可以设计如表7-2所示的评估指标。

表7-2核心能力建设评估

企业安全建设指南 | 安全架构(七)

企业安全建设指南 | 安全架构(七)

7.3 外包战术体系

从战术层面看,要加强外包安全管理,对外包风险进行有效的控制,重点是要形成外包全生命周期管理的良性循环,建立“事前预防,事中控制,事后处置”的工作机制,要按照“级差准入,持续评价,合作竞争,能上能下”的原则,对外包商实行差别化的准入、遴选、维护、退出管理。

7.3.1 事前预防

在事前预防阶段,风险控制的重点是要开展外包项目风险评估,设立外包商准入标准,开展外包商考察,同时通过合同形成法律约束。目的是及早发现各种外包风险的前兆,并立即予以纠正或防范,把风险消灭在萌芽状态,避免错误处理造成风险事件。

外包项目风险评估

在外包项目的立项阶段,一方面,需要开展外包战略符合度分析,评估外包商选择策略和核心能力建设方案是否符合外包战略要求;另一方面,需要开展外包项目风险评估,根据信息科技外包项目的背景、目的、范围、性质,分析是否存在科技能力丧失、业务中断、信息泄露等风险,并采取相应的风险处置措施,不能因外包活动的引入而增加整体剩余风险。

在外包项目立项阶段的可行性研究报告中,可以增加专门的风险评估章节,具体内容可参见表7-3。

表7-3外包商风险评估表

企业安全建设指南 | 安全架构(七)

企业安全建设指南 | 安全架构(七)

外包项目立项完毕后,需要甄选合格的外包商开展合作,可遵循以下步骤:

1)针对不同类型的外包商,制定外包商准入的最低标准,并要求外包商围绕准入标准提供详尽的证明材料。

2)审查外包商的技术能力、专业经验、业务规模、业务策略及风险控制能力,评估可能存在的法律风险、合规风险、操作风险等,必要时对外包商开展现场考察或尽职调查。

3)建立外包商库,确定备选外包商名单。

4)通过商务采购流程,确定中选外包商并签订合同。

外包商准入和审查

不同类型的外包采购,有不同的准入标准,表7-4列出了一些共通性的标准,可以根据需要适当裁剪使用。外包商需要根据标准,提供完备有效的证明材料。

表7-4外包商准入标准

企业安全建设指南 | 安全架构(七)

企业安全建设指南 | 安全架构(七)

重要外包商尽职调查

对于通过了初步资料审查,满足最低准入条件的外包商,可以纳入进一步考察的范围。对于重要外包服务的外包商,必要时需开展尽职调查。

尽职调查前,应制订详细的尽职调查方案和计划,明确尽职调查事项、小组成员分工、时间安排、资料调阅清单、外包商配合工作要求等,提前发给每个小组成员,以做好准备。

尽职调查以现场考察的方式开展,可以由外包执行部门、外包管理部门、采购主管部门以及风险管理等部门安排人员组成尽职调查小组,赴外包商所在地,通过现场勘查、访谈、资料调阅、穿行测试等方式,深入调查评估外包商的从业时间、股东关系、组织架构、发展战略、财务稳健性、经营声誉、企业文化、行业经验、市场地位及发展趋势、过往合作口碑、管理能力、技术实力、制度体系、员工情况、突发事件应急处置能力、风险控制能力等,综合评价外包服务商的发展前景、资质、能力、信誉、意愿,以确定是否纳入候选外包商名单。

外包商尽职调查表可参考表7-5。

表7-5外包商尽职调查表

企业安全建设指南 | 安全架构(七)

外包商入库管理

通过审查和尽职调查的外包商,全部纳入备选外包商库进行管理,记录外包商的基本信息、法人、商务联系人、技术联系人等,并把外包商提供的资料、尽职调查收集材料和表格等,统一归档管理。

采购和商务谈判

按照内部的外包商管理和采购制度完成采购和商务谈判流程后,金融企业将与外包商签订采购合同,约定双方的权利和义务以及违约责任等。

合同签订流程主要包括起草、服务商确认、法律部门审查、正式签署等环节。为了避免合同条款遗漏、约定内容不清晰等无法保障金融企业正当权益的风险,同时提高合同条款拟定的效率,金融企业一般会要求外包商接受自己的合同条款。针对咨询、开发、测试、系统软件维护、硬件维护等不同的IT服务领域,拟定不同的合同模板,规范服务水平条款和关键绩效指标。

为了防控外包服务中的风险,合同中必须至少包含以下内容(摘自《银行业金融机构信息科技外包风险监管指引》,但同样适用于其他金融企业):

·服务范围、服务内容、工作时限及安排、责任分配、交付物要求,以及后续合作中的相关限定条件。

·合规与内控要求,对法律法规及金融企业内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施。

·服务连续性要求,服务提供商的服务连续性管理目标应当满足金融企业业务连续性目标要求。

·金融企业监控和检查的权利和频率,服务提供商配合其内、外部审计机构检查,以及配合金融业监管机构检查的责任。

·政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排。

·外包服务过程中产生、加工、交互的信息和知识产权的归属权,以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求。

·服务要求或服务水平条款,至少应当包括外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等。

·争端解决机制、违约及赔偿条款,至少应当包括服务质量违约、安全违约、知识产权违约等,以及在各种违约情况下的赔偿和外包争端的解决机制。

·报告条款,至少应当包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

外包商依赖度和集中度风险控制

在外包商准入阶段,要特别注意控制外包依赖度和集中度风险。

·控制外包依赖度风险。外包依赖度越高,意味着外包商的转换成本越高,受到外包商的服务水平影响和约束越大,因此需要通过金融企业核心科技能力建设,提高自主掌控力度,降低对外包商的依赖,做到任何外包商的人员流失或退出都不会使科技服务水平受到显著影响。外包项目立项阶段,应该测算单个项目、单个系统、同类项目以及科技整体的外包依赖程度,如果单个或某类外包依赖度超出期望水平,都应该考虑如何提升自身知识和能力储备,提高自主掌控水平,降低外包风险。

·控制外包集中度风险。无论是因为金融企业自身对某个单一外包商的集中度比例大,还是因为外包商在整个金融行业中市场份额大而导致的行业集中度大,都可能导致风险过度集中和过度依赖于单家外包商的经营状况和服务水平。金融企业应合理管控服务提供商的数量,定期对现有外包服务的结构进行分析,将合同金额、驻场外包人员数量、金融行业市场占有率排列靠前的外包服务商,列入外包集中度风险关注名单,并积极采取后续管控措施:一是在新增项目的外包商选择前,对于在关注列表中的外包商,重点分析选择的必要性和对应的风险分散措施;二是应当特别加强对关注列表中外包商的持续监测,定期开展现场检查,及时发现和掌握风险事件的苗头,防患于未然;三是根据统计排名结果,制订外包服务商替代方案,做好应急预案并开展应急演练,演练内容包括但不限于外包服务突然中断时的合同履行、服务交接、敏感信息处置等。

7.3.2 事中控制

事中控制阶段是外包管理的核心环节,重点是做好外包项目建设以及服务实施的计划与控制,形成科学、高效的外包商关系管理体系,及时发现问题、反馈问题、了解原因、解决问题,确保实现信息科技外包目标。事中控制主要包括以下几方面的工作:

·外包商分级管理

·外包商日常管理

·外包商信息安全管理

·外包商考核评价

·外包商现场检查

·外包商服务监测

·外包商安全管理

·突发事件应急处置

外包商分级管理

外包商分级管理是指通过对外包商库内的外包商进行等级划分,对不同等级外包商实行差异化的等级管理政策。通过分级管理,奖励先进、处罚落后,充分发挥激励机制,促进外包商提高产品或服务质量,促使供求双方走向合作共赢。

外包商的分级需要综合考虑市场整体情况、外包商综合实力、外包商的经营管理动态、外包商服务的重要程度、外包商服务质量等,对于处在不同等级的外包商,针对性地采用不同的管理模式和管理方法。

金融企业的外包商分级管理模式可参考如下配置:

根据外包商市场竞争情况、外包商的实力和经营情况,以及与金融企业的项目合作情况,金融企业可将外包商分为战略外包商、瓶颈外包商、重点外包商和普通外包商四个等级。

(1)战略外包商:综合实力较强,并与金融企业为战略合作伙伴关系的外包商。

该类外包商一般与金融企业有密切的业务往来关系,有利于金融企业业务的发展。同时满足以下条件的外包商可划分为战略外包商:

·外包商在规模、声誉、技术或服务等方面处于所在行业领先水平,掌握金融企业所需产品(服务)的关键技术和核心资源,并且重视与金融企业的合作关系。

·外包商与金融企业签订了战略合作协议。

对于战略外包商,金融企业可采取建立长期合作伙伴关系的策略,基本原则是实现“双赢”。合作过程中必须保持密切和通畅的沟通渠道,并开展定期双向交流,但必须防止向战略外包商的不合理倾斜,以减少外包商的垄断牵制。具体措施包括:

1)建立与战略外包商的定期互访、信息通报机制,加强了解与互信。

2)建立联系人制度,及时沟通与释疑。

3)一方面在外包商后续选择流程中优先考虑,另一方面要开展后评价,做好监督。

4)要求外包商保证产品质量、价格等信息公开透明。

(2)瓶颈外包商:能满足金融企业采购需求,但所处行业市场竞争不充分的外包商。

该类外包商通常数量不多,更换难度较大。同时满足以下条件的外包商可划分为瓶颈外包商:

1)所在行业受到国家严格管控,具有行业垄断地位的外包商;或者具有独有技术、独特资源、特殊授权或权威认证的外包商;或者其产品或服务在同类市场上难以找到替代品的外包商。

2)市场上能满足金融企业采购需求和外包商入库资质标准的外包商数量有限,一般不足三家。

对于瓶颈外包商,采用灵活多样的管理策略。积极与其建立稳定的合作关系,关注其独有技术、独家授权、行业垄断的市场地位,尽可能开发和寻找替代产品或服务,以避免受到瓶颈外包商的过度制约。具体措施包括:

1)定期关注独有技术和独家授权的市场变化。

2)相关部门一旦发现瓶颈外包商的市场变化情况,必须及时采取措施并报告外包商管理部门。

(3)重点外包商:与金融企业有比较深入的合作,提供的产品或服务水平较高,在后评价中获得较高评价的外包商。

重点外包商的划分主要依据后评价情况开展,后评价结果为优秀的外包商可划分为重点外包商。对于重点外包商,要加强管理和维护力度。一方面,引导其了解金融企业对重点外包商的优选政策,提高外包商合作积极性;另一方面,要大力宣传“能上能下”的分级管理制度,促使外包商持续提供优质服务。具体措施包括:

1)对重点外包商开展定期后评价工作,关注外包商的持续服务情况。

2)相关部门必须及时反馈重点外包商的产品质量和服务状况,外包商管理部门及时向外包商提出需求和建议,并要求外包商持续改进服务水平。

(4)普通外包商:能满足金融企业采购需求,同时所处行业市场竞争比较充分的外包商。

该类外包商的更换难度和成本较低。满足以下条件的外包商划分为普通外包商:外包商市场竞争比较充分,满足同类要求的外包商数量在三家以上(含)。

对于普通外包商,应尽可能维持充足的数量,为采购项目提供更多的比较和选择。通过分级管理的奖惩措施,激励普通外包商提供更优质的产品和服务。具体措施包括:

1)相关部门必须及时向外包商管理部门反馈普通外包商的产品质量和服务状况,外包商管理部门及时督促其改进和完善。

2)对于效果不满意的普通外包商,及时进行替换。

3)加强对不同级别外包商管理政策的宣传,刺激普通外包商提高服务水平,增强其成为重点外包商的意愿。

外包商日常管理

外包商日常管理包括外包人员入场和离场管理、外包人员考核和考勤管理、外包环境管理等工作。

外包人员入场管理:一是对入场外包人员资质进行严格审核,对专业水平进行现场笔试和面试;二是要求外包商提供主要外包服务人员的背景调查结果和无犯罪记录证明;三是建立外包人员信息台账,强化对外包人员信息档案的更新与管理;四是要求外包人员入场前签署保密协议及服务承诺书;五是要求外包人员参加信息安全培训和规章制度培训,考试合格后方可按照入场流程办理相关手续。

外包人员考核管理:一是通过工作任务单、项目计划表等方式,安排工作任务和计划,充分提高外包资源使用效率;二是建立外包资源使用台账,方便工作量结算和成本节约;三是建立外包人员考核机制,对外包人员的服务质量、工作态度、工作纪律等进行考核,考核结果与付款挂钩;四是统一外包人员考勤和工作纪律管理,不允许迟到、早退、旷工,严禁工作时间从事炒股、游戏等无关活动,否则进行严肃处罚;五是做好办公场所访问控制,不允许无关人员进入外包环境。

外包环境管理:一是定期组织召开外包商工作会议,针对外包商的服务质量、日常管理等方面的问题进行通报、点评和处罚,并从质量控制、风险防控等方面提出具体工作要求;二是建立外包服务周报、月报机制,定期向金融企业报告工作进度和问题;三是建立月度专题会议、季度沟通会议、年度管理会议等例会机制,必要时请外包商高层领导参加,通报现场服务的问题,协调解决。

外包人员离场管理:一是外包服务人员提前提出离场申请以及做好后续人员安排,完成审批后退场;二是遵循有关保密要求,清理其设备、文档中遗留的金融企业数据;三是完成工作交接、用户权限清理、电子设备或其他物品交接等。

外包商信息安全管理

外包商信息安全管理包括两部分,即管理要求和技术措施。

管理要求方面,通过规章制度的建立与培训,形成“软约束”:一是制定外包人员管理细则,约束外包人员现场工作纪律和信息安全要求;二是由外包人员签署保密承诺书,承诺保密义务与责任;三是在入场时或者定期组织信息安全培训和考试,确保外包人员熟知和执行信息安全工作要求;四是日常检查安全要求落实情况,采用专项检查和随机抽查相结合的模式,对于违规者严厉问责。

技术措施方面,充分应用技术手段,实现风险的“硬控制”:一是通过环境物理隔离、用户权限管理、敏感信息脱敏等手段避免外包人员接触敏感信息;二是建立独立的终端开发环境,必须使用金融企业统一配置的终端,安装统一的防病毒软件及终端安全管理软件,禁用U盘等移动存储介质,不允许外包人员自带设备接入金融企业的网络;三是实施网络隔离,外包人员使用的终端部署在独立的安全域内,与其他安全域进行逻辑隔离,避免外包人员向开发测试服务器或开发测试终端拷入、拷出程序,同时禁止互联网的访问;四是遵循“必须知道”和“最小授权”的原则,开放外包人员的网络访问权限和用户权限;五是严格控制外包人员操作金融企业生产系统;六是针对故障硬盘、磁带等存储设备,进行物理破坏和销磁后入库,严禁返厂维修。

外包商考核评价

外包商考核评价的目的是通过对外包商的有效激励,加强其与金融企业的合作关系,提升服务质量。外包商的考评应该针对不同类型的外包商制订不同的考评指标,定期组织考核评价,并对考核评价结果开展定期的分析,将评价综合结果和评价指标得分反馈给外包商,促使其取长补短,持续改进。

根据外包商考评周期和考核对象,可将考核评价分为两类:一是外包项目或工作结束后对外包项目或人员进行考核;二是每年对外包服务商进行服务水平和服务质量的总体考核评价。

根据外包类型,可将考核评价分为四类:一是规划咨询类外包,重点考核规划结果的合理性和适用性、规划咨询人员的经验水平等;二是应用研发类外包,重点考核项目进度、交付质量、业务需求符合度等;三是系统运维类外包,重点考核交付及时性、运行稳定性、故障出现概率、故障处理及时性等;四是安全服务类外包,重点考核安全服务人员技术水平、安全防范措施的有效性、安全漏洞发现率等。

根据外包采购模式,可将考核评价分为两类:一是项目类外包,主要从项目交付进度、项目提交件完整性及质量、测试发现缺陷情况、项目投产后的故障情况等方面,在项目结束后进行考核;二是人力资源购置类外包,制订外包人员的定性和定量考核指标,每季度对相关人员进行考核。综合后形成对服务商的考评结果。

外包商现场检查

对于重要的外包商,应当定期开展现场检查,每半年或每年进行一次。对供应商的现场检查内容应根据服务类型有所区分,但可以参考表7-6所列的检查内容。

表7-6外包商现场检查表
企业安全建设指南 | 安全架构(七)
企业安全建设指南 | 安全架构(七)
企业安全建设指南 | 安全架构(七)

企业安全建设指南 | 安全架构(七)

外包商服务监测

要建立常态化的外包服务监测制度,及时发现外包商的风险隐患苗头,防患于未然。监测内容主要包括:

·持续监测异常事件。通过公开信息检索、外包商服务报告等方式,监测、收集服务商的最新经营情况、法律诉讼事件、重大财务事件、信息泄露风险事件等信息,一旦监控到异常情况,立即督促服务提供商采取纠正措施并限期整改,及时发现和化解服务商潜在风险。

·日常监测合同履行情况。根据合同条款中规定的各个阶段性目标的达成情况、服务水平指标达成率等衡量外包服务质量。例如,对于应用研发类外包,监测投产计划达成率、业务需求满足度、应用系统故障次数、故障应急响应时间、故障及时解决率、人员流失率等服务质量监控指标。对于外包商不履行合同条款、服务水平不达标等情况,纳入外包商合作事件记录表,作为外包商考核依据及后续合作参考。

·定期开展外包服务的风险评估。针对各类信息科技外包活动存在的固有风险,分析外包管理措施的执行情况和风险控制措施的有效性,评估剩余风险的可接受程度,针对发现的风险和不足,制订改进措施和计划并落实整改。

外包商安全管理

金融行业通常使用了不同安全厂商的硬件、软件和服务,根据提供的内容不同,软件厂商又可以分为外购软件厂商、合作开发厂商、外包开发厂商等。外购和外包的区别在于,外购一般指该软件或应用系统基本比较成熟,不再需要二次开发,购买了可以直接部署使用,比如微软的Office、Oracle、VmwareESXi等。外包是指该软件由甲方提出具体需求,乙方根据甲方需求新开发,或在已有的软件框架上进行二次开发,然后再交付甲方使用。

外购软件由于其比较成熟,已经被广泛使用,安全风险较低,主要是防范一些通用的CVE漏洞,及时关注漏洞信息,做好应急处理即可。

外包和合作开发软件,安全风险较高。主要原因包括:一是乙方根据甲方需求,重新或二次开发,软件使用面为少数客户,成本难以分摊,导致外包商无法在安全需求上重点投入;二是工期通常较紧,甲方需求方通常面临内部业务方的工期压力,将这种压力传导到乙方,乙方迫于工期压力,会降低对安全需求的要求,甚至违反其内部设置的安全开发规范和流程;三是部分软件开发厂商的开发框架比较陈旧,有的超过10年,IT技术和安全技术日新月异,显然无法满足现在的安全要求,而目前大部分软件开发厂商的规模并不大,利润空间较低,导致框架更新缓慢,造成交付的软件安全质量堪忧。

目前,整个大环境无法有效改变,单个公司和个人能做的是,加强对软件厂商的安全管理,包括:建立软件厂商安全标准并监督落实;对软件厂商交付的代码进行黑盒检测,有条件的做白盒检测,发现未满足安全要求的要进行整改,并追究内部人员(安全测试和开发人员)责任;将安全要求写入合同,反复违反的进行高层约谈和行业通告,特别难推动的及时向监管层报告。

对于外包外购服务商软件及代码安全交付的要求,一般包括以下几点:

·需要符合监管机构对安全性的需求。

·外包外购服务商须建立软件安全开发规范,对于交付的软件及代码须进行安全检测,软件质量保障组织或信息安全组织须监督检查规范的执行和安全检测工作的落实情况。

·软件及代码交付时须附上对应版本的安全检测报告,如无相应的安全检测报告将延迟或拒绝验收。软件交付后,发现软件安全问题,将予以责任追究和问责。

对于外包外购服务商软件开发的安全管理建议:

·外包外购服务商应建立相应的软件开发安全规范,规范中应明确规定常见的开发安全问题、问题的风险及影响、问题的防范与处理方法等。

·外包外购服务商开发人员应严格执行其开发安全规范,保障软件开发过程中的安全质量。

·外包外购服务商信息安全组织应定期对开发人员开展安全技能及意识培训,全面提升开发人员的安全开发能力。

·外包外购服务商信息安全组织应监督规范的执行情况,并对开发过程中各阶段的交付产品进行安全测试,包括白盒及黑盒测试,保障最终产品的安全交付。

·外包外购服务商在进行软件交付时应附上相应合格的安全检测报告,并修复所有中危级别以上漏洞。必要时提供代码安全审计报告,报告内容应包括测试人员、时间、工具、标准、方法、结果等。

突发事件应急处置

外包合作过程中可能出现外包风险事件,如外包商经营出现风险、人员流失等,金融企业需要具备应对突发事件的能力,确保外包商的服务不影响金融企业自身正常运营。

·建立信息科技外包风险应急管理机制,制订专门的外包风险应急预案及操作规程,重点针对外包服务商出现重大资源损失、重大财务损失、重要人员变动以及外包协议意外终止等异常退出情况,明确应对要求。

·建立技术部门、业务部门、管理部门(包括法律、财务、风险等部门)、外包服务商多方应急联动机制,将上述关联方纳入常规应急演练工作中,提升对突发事件的联动响应能力。

·每年组织企业内部有关部门,联合重要外包商开展桌面模拟演练,验证外包风险应急预案及操作规程的有效性和可行性,防范因外包服务意外中断或终止而带来的损失和风险。

·对于重要外包服务商,应要求其制订业务连续性计划,通过合同等形式明确要求外包商提前做好准备,承诺紧急情况下优先向金融企业提供资源,并要求外包商根据应急处理预案定期进行演练并向金融企业提交报告,实现对外包商业务连续性管理的持续监控。

7.3.3 事后处置

事后处置,是指外包项目结束,或者外包服务中断与终止后,妥善合规地完成外包商后评价、外包商退出处置和外包人员离场检查等工作。

外包商后评价

外包商后评价是根据外包商提供产品或服务的执行情况和执行效果,对合作外包商进行全面评价,以发现外包商在合同期内存在的问题。

外包商后评价通常在外包服务结束后半年完成,根据外包项目或外包服务的具体情况采用电话咨询、问卷调查、访谈以及现场考察等方式开展。

外包商后评价内容包括但不限于以下方面,可根据采购内容的特点和合同约定等信息,拟定后评价的各项评价指标和评分权重:

·外包商提供产品或服务的质量和性能。

·业务需求满足程度和客户体验效果。

·外包商的项目管理过程和项目管理能力。

·外包商售后服务质量。

·外包商商务配合情况。

·合同履行的其他情况。

·依外包项目本身特点而拟定的其他评价因素。

外包商后评价的结果直接影响下一次服务的合作可能性,作为外包服务商准入的重要参考依据,选优汰劣,促进外包服务商不断提高服务质量和效率。对于违反合同约束的外包服务商,可以按照合同约定启动相关罚则,严重者可以做退出处理。

外包商退出处置

外包商退出分为自然退出和强制退出两种。

外包商的自然退出,是指外包服务结束、外包合同终止,外包商按照合同约定停止在金融企业的服务内容。按照金融企业的外包商退出机制,办理退出手续即可。

外包商的强制退出,是指取消外包商在金融企业的服务资格,并纳入黑名单管理。当外包商出现以下情况时,应该执行退出流程:

·外包商的经营状况、商业信誉或商品质量出现严重的问题,对金融企业的服务造成重大影响或严重风险隐患。

·外包商存在严重的违法违规行为。

·外包商在合同执行期间出现严重的违约行为,对服务造成重大影响。

·外包商后评价未达标。

·外包商提供虚假信息或伪造资料。

·外包商存在商业贿赂、串标、围标、严重不应标、恶意中伤竞争对手等扰乱正常采购秩序的行为。

·外包商存在导致金融企业直接或间接损失的其他行为。

对于强制退出的外包商,信息科技部门需要联合业务部门、法律部门、财务部门等共同讨论解决方案,收集外包商违约或风险事件的证据材料,商议合法合规的处置流程,做好风险分析和应对措施,避免给金融企业造成财务损失和法律风险。

外包人员离场检查

外包服务结束后,金融企业应组织外包人员退出前的检查工作,检查结果作为合同结束的参考依据,以防范因外包服务终止而产生的信息泄露风险。具体检查内容包括:

·清理外包人员电脑(如果存在外包人员自带电脑的情况)中,属于金融企业的程序和数据,并由外包服务商提供关于数据已全部清理和后续保密约定仍然有效的书面承诺。

·确认用户权限清理完毕,包括所有用户的注销或删除;门禁卡物理介质归还及权限清理;指纹、指静脉、人脸等身份鉴别方式及记录的删除或禁用等。

·退还金融企业提供的电脑、开发测试用的其他电子设备、文档资料等物品。

7.4 金融科技时代的外包安全管理

金融科技时代,随着新技术的发展和新业务、新产品的涌现,信息科技的治理架构、技术架构和运维模式不断演化,金融企业与外包商的合作模式和合作关系也发生了变化,有新的机遇,也意味着新的风险。

除了上述传统外包安全管理手段外,还需要结合新时代的特点,做好外包商合作关系管理和风险管理。

金融科技合作的几种外包模式

在人工智能、区块链、云计算、大数据、物联网等新技术大量运用的当今时代,涌现了大量的金融科技公司,他们的服务范围已经不再局限于提供规划咨询、应用研发、系统运维、安全服务等传统的、纯科技的外包服务,而是寻求与金融企业的深度合作,将业务合作、消费场景、科技能力等向金融企业输出,嵌入到双方合作内容中。

金融企业与金融科技公司的合作,主要有三种外包模式:

第一种是与“互联网系”的金融科技公司合作,进入互联网企业生态圈。在互联网公司的平台和科技能力输出的基础上,开展双方系统平台的技术对接,利用互联网企业的大量用户、流量、消费场景等优势,在技术和业务方面同步开展合作。

第二种是与“金融系”的金融科技公司合作,建设银行、兴业银行、招商银行、民生银行、南京银行等大中型银行机构纷纷成立了金融科技公司或者提供开放的金融平台,为其他中小金融企业提供服务。

第三种是与中小型金融科技企业合作,充分利用金融科技企业的技术,整合双方资源,将金融科技企业融入银行自身的生态圈中。

不管是哪种合作模式,在信息科技外包风险管控方面都有共同的特点,金融企业对于外包业务环节中的金融风险仍须承担风险管控的主体责任,需要分析这一类新的外包模式带来的新风险和可能产生的影响,适时采取必要的应对措施。

金融科技合作中外包模式的风险分析

金融企业与金融科技公司的合作,通常会包含数据共享、业务流程整合等方面的合作内容,而且金融科技相关应用中的分布式账户、大数据、云计算、客户身份认证等技术应用,经常采用外包模式实现,因此存在一些新的风险。

首先是个人信息保护方面。金融科技的广泛应用带来了关于客户信息保护的新挑战,需要特别关注数据的保密性、完整性和可用性问题:一是由于业务合作可能涉及金融企业的客户信息的共享,或者金融企业需要通过金融科技公司的平台和场景作为引流方式,难以确保客户信息的绝对安全。二是客户信息有没有经过信息主体的授权,有没有泄露隐私,哪些信息可以获取哪些不可以,目前在法律法规和监管要求层面都缺乏可落地的细则,客户信息的来源和使用的合法合规性没有统一标准。三是客户信息的采集、处理、存储、传输、销毁等全生命周期的管理环节中存在各种不可预知的风险,需要避免数据丢失、损坏、被篡改,以及确保不可用的数据正常销毁。

其次是业务连续性方面。由于对社会公众服务的实时性要求极高,金融企业的业务连续性要求通常非常高。与金融科技公司开展业务合作,业务连续性将部分依赖于金融科技公司管理有效性、基础设施和软硬件系统建设水平、团队责任心等,对金融科技的服务能力提出了巨大的挑战。当发生系统故障时,如何快速应急处置,保证数据和业务的快速恢复,是对金融科技公司的巨大考验。

再次是信息安全方面。由于用户、信息资源的高度集中,获利性提高,金融科技平台遭受黑客攻击的可能性也在上升,DDOS攻击、数据库拖库等攻击而导致的服务不可用或者敏感信息泄露的可能性增加,其破坏后果和严重程度会明显超过传统的单家金融企业遭受攻击。

金融科技合作中外包模式的管理要求

选择金融科技合作模式,必须要接受其固有风险。同时,也需要做好以下风险控制措施,尽可能将剩余风险降低到可以接受的程度:

·金融科技规划必须同步考虑风险防控规划,将包含外包风险的风险防控的管理和技术手段,与金融科技的应用同步规划、同步设计、同步实施,方能保障新技术上线的同时,新的安全防控措施也实施到位。风险防范规划同样需要从用户体验出发,围绕客户资产和信息安全开展风险分析和防控。

·金融企业必须承担外包风险管理的主体责任。一方面,传统的外包安全管理要求同样适用于金融科技公司;另一方面,须严格要求金融科技公司遵守金融行业监管要求。例如,账户实名制、客户身份验证、产品宣传销售、投资者适当性管理等方面的技术要求,保护金融客户的合法权益。

·在合作协议上必须明确规定客户信息保护、业务连续性管理、信息安全管理方面的要求,监控指标和对应的违约责任,约束金融科技公司的行为。

·要求金融科技公司也制定详细的运行维护和信息安全管理制度和流程,以确保数据备份的有效性,加强数据访问的授权控制,杜绝数据被恶意篡改,确保退役数据的妥善保管或销毁等。

·通过技术手段防范风险。一方面,做好与金融科技公司之间数据传输过程中的加密、防篡改和完整性校验、不同企业间数据安全隔离等;另一方面,要求金融科技公司做好安全防控,包括网络安全区域划分和网络隔离,防攻击、防病毒、防篡改的安全措施,安全技术防控工具部署,安全审计系统部署,应用安全漏洞防范等,确保能提供与金融行业同样高安全等级的服务。

信息科技外包风险管理将是商业银行面临的一项重要的长期任务,特别是新时代的新型外包管理模式,更是有着不同于传统管理模式的特点,需要一边思考研究,一边实践应用,方可形成一套适合金融企业的外包管理体系。

7.5 小结

本章分析了外包安全管理的必要性和重要性,列举了几个著名的外包风险事件,从外包管理问题出发,探讨了外包战略、战术体系构建。最后顺应当前金融科技时代的趋势,探讨了新形势下外包安全管理的特点和方法。

 

原文始发于微信公众号(安小圈):【精彩连载】企业安全建设指南 | 安全架构(七)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月14日11:08:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业安全建设指南 | 安全架构(七)https://cn-sec.com/archives/3739703.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息