您的位置:軟件測(cè)試 > 軟件項(xiàng)目管理 > 風(fēng)險(xiǎn)管理 >
淺談銀行IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全管理
作者:網(wǎng)絡(luò)轉(zhuǎn)載 發(fā)布時(shí)間:[ 2013/6/5 13:25:36 ] 推薦標(biāo)簽:

銀行信息系統(tǒng)安全運(yùn)營(yíng),與IT外包商提供的軟硬件產(chǎn)品質(zhì)量休戚相關(guān),而IT業(yè)務(wù)外包風(fēng)險(xiǎn)貫穿于技術(shù)、產(chǎn)品、系統(tǒng)、服務(wù)、生產(chǎn)、采購(gòu)、集成、運(yùn)行、維護(hù)等整個(gè)產(chǎn)品供應(yīng)鏈中的各個(gè)階段,一旦風(fēng)險(xiǎn)與安全管理失控,則給銀行信息系統(tǒng)建設(shè)帶來(lái)?yè)p失。

因?yàn)镮T業(yè)務(wù)外包是國(guó)內(nèi)外商業(yè)銀行普遍采取的科技發(fā)展戰(zhàn)略,主機(jī)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)基本采購(gòu)國(guó)外知名IT公司產(chǎn)品,應(yīng)用軟件大型商業(yè)銀行以自主研發(fā)為主,少部分外包采購(gòu),中小銀行信息系統(tǒng)建設(shè)采取外包采購(gòu)方式來(lái)完成。因此,做好IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全管理是銀行業(yè)IT治理的一個(gè)重要內(nèi)容。

一、IT業(yè)務(wù)外包風(fēng)險(xiǎn)分析

1、從宏觀層面分析,產(chǎn)生系統(tǒng)性風(fēng)險(xiǎn)。目前銀行業(yè)使用的IT產(chǎn)品如計(jì)算機(jī)CPU、操作系統(tǒng)、基礎(chǔ)應(yīng)用軟件、互聯(lián)網(wǎng)等技術(shù)都來(lái)自國(guó)外公司,因某種原因,承包商所在發(fā)生戰(zhàn)爭(zhēng)等不可抗拒性事件時(shí),會(huì)造成IT供應(yīng)商及其供應(yīng)鏈上的公司不能正常經(jīng)營(yíng),如果IT業(yè)務(wù)外包的是一些重要的核心業(yè)務(wù),則會(huì)對(duì)銀行信息系統(tǒng)安全造成重大影響。

2、從供應(yīng)商方面分析,產(chǎn)生依賴性風(fēng)險(xiǎn)。目前,國(guó)內(nèi)銀行業(yè)普遍長(zhǎng)期使用一些國(guó)內(nèi)外知名廠商提供的軟硬件產(chǎn)品,在熟悉供應(yīng)商產(chǎn)品的同時(shí),長(zhǎng)期使用也形成了對(duì)某一供應(yīng)商的依賴,也會(huì)因外包商自身或其供應(yīng)鏈上某公司出現(xiàn)問(wèn)題,造成外包商運(yùn)營(yíng)出現(xiàn)風(fēng)險(xiǎn),如果銀行沒(méi)有自己掌握外包供應(yīng)商產(chǎn)品技術(shù),更換新外包商會(huì)帶來(lái)成本高及影響銀行業(yè)務(wù)正常運(yùn)營(yíng)。

3、從產(chǎn)品供應(yīng)鏈分析,產(chǎn)生供應(yīng)鏈風(fēng)險(xiǎn)。目前,很多IT廠商特別是跨國(guó)IT供應(yīng)商,把用戶訂單分包給其他外包商生產(chǎn),當(dāng)該公司供應(yīng)鏈企業(yè)合作關(guān)系因某種原因出現(xiàn)問(wèn)題時(shí),則會(huì)產(chǎn)生IT外包供應(yīng)鏈風(fēng)險(xiǎn)。

4、從采購(gòu)方面分析,出現(xiàn)選擇性風(fēng)險(xiǎn)。在外包供應(yīng)商招投標(biāo)過(guò)程中,由于沒(méi)有對(duì)外包供應(yīng)商的服務(wù)能力、技術(shù)水平、才能力、行業(yè)信譽(yù)、安全保護(hù)措施等方面做全面的科學(xué)分析評(píng)估,并受到來(lái)自各方面關(guān)系因素影響,選擇的IT外包商各方面能力不能滿足銀行自身業(yè)務(wù)發(fā)展需要,容易出現(xiàn)項(xiàng)目失敗,造成損失。

5、從合規(guī)方面分析,產(chǎn)生合同風(fēng)險(xiǎn)。在與IT業(yè)務(wù)外包供應(yīng)商簽署合同時(shí),因制定的合同文本中相關(guān)合同條款描述的不到位、不詳細(xì),權(quán)利與義務(wù)沒(méi)有很好的說(shuō)明,容易造成外包服務(wù)質(zhì)量達(dá)不到預(yù)期目標(biāo)甚至產(chǎn)生合同風(fēng)險(xiǎn)。

6、從道德方面分析,產(chǎn)生信息安全風(fēng)險(xiǎn)。由于外包供應(yīng)商內(nèi)部控制出現(xiàn)漏洞,本公司內(nèi)部員工辭職,并利用到銀行工作之便,或者與銀行員工內(nèi)外勾結(jié),竊取銀行客戶信息和資產(chǎn),給銀行和客戶造成損失。

7、從技術(shù)方面分析,產(chǎn)生技術(shù)風(fēng)險(xiǎn)。一些IT供應(yīng)商因受到自身發(fā)展瓶頸的限制,資金和研發(fā)能力不足,不能緊密跟蹤新技術(shù)應(yīng)用,對(duì)軟硬件產(chǎn)品及時(shí)進(jìn)行升級(jí)改造,則對(duì)信息系統(tǒng)應(yīng)用開(kāi)發(fā)和安全運(yùn)營(yíng)產(chǎn)生影響。

8、從決策方面分析,產(chǎn)生戰(zhàn)略風(fēng)險(xiǎn)。銀行信息系統(tǒng)建設(shè)哪些部分需要外包,哪些部分不能外包,是選用國(guó)外廠商的信息系統(tǒng),還是選擇國(guó)內(nèi)IT公司的產(chǎn)品等,如果沒(méi)有與本行業(yè)務(wù)經(jīng)營(yíng)發(fā)展戰(zhàn)略很好的結(jié)合,深入詳細(xì)的分析論證,外包給IT公司,很容易造成信息系統(tǒng)建設(shè)出現(xiàn)偏差,不能滿足未來(lái)業(yè)務(wù)發(fā)展要求。

9、從服務(wù)方面分析,存在服務(wù)質(zhì)量風(fēng)險(xiǎn)。據(jù)2004年德勤發(fā)布的《外包調(diào)查報(bào)告》稱:57%的調(diào)查者因?yàn)橥獍⻊?wù)提供商能夠提供優(yōu)質(zhì)的服務(wù)和業(yè)務(wù)創(chuàng)新選擇了外包,31%的調(diào)查者認(rèn)為服務(wù)提供商處于更有利的位置。在合同不完全性和雙邊壟斷的前提下,外包商處于更有利的位置,致使服務(wù)質(zhì)量得不到有效保障,組織效率得不到有效提升。

10、從內(nèi)控管理分析,存在監(jiān)督與審計(jì)缺失風(fēng)險(xiǎn)。在IT業(yè)務(wù)外包合同執(zhí)行期間,銀行管理部門往往忽視了對(duì)外包商的財(cái)務(wù)狀況以及支持IT外包業(yè)務(wù)的技術(shù)和關(guān)鍵人員進(jìn)行有效地監(jiān)督和管理,忽視了對(duì)外包供應(yīng)商及供應(yīng)鏈公司的日常審計(jì)檢查,容易造成IT外包業(yè)務(wù)服務(wù)水平下降。

11、從軟件方面分析,存在后門的風(fēng)險(xiǎn)。在銀行軟件產(chǎn)品開(kāi)發(fā)過(guò)程中,商業(yè)化的組件和中間件得到普遍應(yīng)用,需求內(nèi)容變更、版本升級(jí)、打補(bǔ)丁,很難做到每一次升級(jí)都對(duì)系統(tǒng)功能從頭到尾全面完整的測(cè)試,這使的軟件產(chǎn)品外包商及供應(yīng)鏈的透明度和可追溯性追蹤變得困難,會(huì)存在后門的風(fēng)險(xiǎn)。

二、IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全防范舉措

在控制IT業(yè)務(wù)外包風(fēng)險(xiǎn)與安全方面,做到心中有底、手中有招、控制有術(shù),建立事前預(yù)防、事中控制、事后監(jiān)督的三道防線。

(一)事前預(yù)防

在日常工作中,各種外包風(fēng)險(xiǎn)的前期預(yù)兆是會(huì)表現(xiàn)出來(lái)的,關(guān)鍵是沒(méi)有及時(shí)發(fā)現(xiàn),馬上糾正或是對(duì)發(fā)現(xiàn)的問(wèn)題思想麻痹,錯(cuò)誤擴(kuò)大化變成案件,形成損失并為糾正錯(cuò)誤付出高昂代價(jià)。因此,把風(fēng)險(xiǎn)消滅在萌芽狀態(tài),才是風(fēng)險(xiǎn)控制的重點(diǎn)。

1、制定IT業(yè)務(wù)外包戰(zhàn)略。銀監(jiān)會(huì)頒布的《銀行信息科技風(fēng)險(xiǎn)管理指引》和《商業(yè)銀行外包風(fēng)險(xiǎn)管理指引》中對(duì)外包業(yè)務(wù)都提出了要求,重點(diǎn)考慮IT業(yè)務(wù)外包要能促進(jìn)公司的科技業(yè)務(wù)發(fā)展、信息系統(tǒng)安全運(yùn)營(yíng)和科技業(yè)務(wù)管理水平,緊密配合公司業(yè)務(wù)發(fā)展規(guī)劃,全面權(quán)衡外包的利益與風(fēng)險(xiǎn),決定將哪些IT業(yè)務(wù)外包,制定IT業(yè)務(wù)外包戰(zhàn)略規(guī)劃。

2、建立IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理體系。體系制定要做到統(tǒng)一框架,統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一措施、統(tǒng)一監(jiān)督管理,內(nèi)容由IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理策略、管理制度與規(guī)范、技術(shù)標(biāo)準(zhǔn)、指引、流程、操作手冊(cè)等組成。通過(guò)制定風(fēng)險(xiǎn)與安全管理體系,指導(dǎo)公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理工作的開(kāi)展,使其符合國(guó)際、國(guó)內(nèi)的有關(guān)安全標(biāo)準(zhǔn)和我國(guó)的法律法規(guī);在公司內(nèi)部形成一個(gè)信息科技風(fēng)險(xiǎn)與安全管理機(jī)制,確保落實(shí),保護(hù)公司所有信息科技資源和資產(chǎn)的安全;明確信息系統(tǒng)的防護(hù)、檢測(cè)和應(yīng)急恢復(fù)等各項(xiàng)信息科技風(fēng)險(xiǎn)與安全管理指標(biāo)、原則和違規(guī)行為的處理措施;對(duì)與公司合作組織、商業(yè)伙伴、承包商和服務(wù)提供者提出相關(guān)的安全約束。

3、做好IT業(yè)務(wù)風(fēng)險(xiǎn)與安全的認(rèn)知與培訓(xùn)。通過(guò)舉辦培訓(xùn)班、研討會(huì)、發(fā)送郵件、贈(zèng)送報(bào)刊等方式,為公司科技人員和業(yè)務(wù)人員提供IT業(yè)務(wù)風(fēng)險(xiǎn)與安全方面知識(shí)的培訓(xùn),通過(guò)持續(xù)不斷的培訓(xùn)學(xué)習(xí),掌握本公司IT業(yè)務(wù)風(fēng)險(xiǎn)與安全管理制度規(guī)范,提高全員風(fēng)險(xiǎn)與安全防范意識(shí),積極參與信息科技風(fēng)險(xiǎn)與安全防范工作中,形成全員參與信息科技安全管理的風(fēng)險(xiǎn)管理文化。

4、建立IT業(yè)務(wù)外包供應(yīng)商信息管理系統(tǒng),設(shè)計(jì)科學(xué)、全面的風(fēng)險(xiǎn)指標(biāo)評(píng)估體系。6西格瑪中有句名言:有什么樣的指標(biāo)、有什么樣的結(jié)果。建立科學(xué)的IT業(yè)務(wù)外包供應(yīng)商評(píng)估指標(biāo)體系,有利于統(tǒng)一供應(yīng)商與銀行的IT業(yè)務(wù)發(fā)展目標(biāo)。該指標(biāo)體系需要從質(zhì)量、成本、交付、服務(wù)、技術(shù)、資產(chǎn)、流程這些方面入手,確定外包供應(yīng)商成立及上市時(shí)間、行業(yè)經(jīng)驗(yàn)、規(guī)模、安全、人力、財(cái)務(wù)、問(wèn)題響應(yīng)時(shí)間、是否有產(chǎn)品保險(xiǎn)、企業(yè)文化以及各種認(rèn)證等重點(diǎn)內(nèi)容,詳細(xì)設(shè)計(jì)3K(KCS、KCSA和KRI)指標(biāo),每一項(xiàng)指標(biāo)都要給出相應(yīng)的分值區(qū)間,通過(guò)建立外包供應(yīng)商信息管理系統(tǒng),把設(shè)計(jì)的評(píng)估指標(biāo)納入系統(tǒng)中,詳細(xì)記錄外包供應(yīng)商及其供應(yīng)鏈上的各方面信息,通過(guò)系統(tǒng)統(tǒng)計(jì)分析,從而科學(xué)有效的評(píng)估外包供應(yīng)商的服務(wù)能力。

上一頁(yè)12下一頁(yè)
軟件測(cè)試工具 | 聯(lián)系我們 | 投訴建議 | 誠(chéng)聘英才 | 申請(qǐng)使用列表 | 網(wǎng)站地圖
滬ICP備07036474 2003-2017 版權(quán)所有 上海澤眾軟件科技有限公司 Shanghai ZeZhong Software Co.,Ltd