信息科技外包風險管理研究

前言：尋找寫作靈感？中文期刊網用心挑選的信息科技外包風險管理研究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著新技術的發展和新業務、新產品的涌現，信息科技的治理架構、技術架構和運維模式不斷演化，金融機構與外包商的合作模式和合作關系也發生了變化，出現了新的機遇，同時也引發了新的風險。本文闡述了外包風險管理的必要性，總結了金融行業外包的3種模式（與“互聯網”金融科技公司合作、與“金融系”金融科技公司合作、與中小型金融科技企業合作），分析了信息科技外包的常見風險，并提出了金融科技規劃必須同步考慮風險防控規劃、金融機構必須承擔外包風險管理的主體責任、要通過技術手段防范風險等建議。

關鍵詞：金融科技；外包；風險管理

金融機構業務的迅速發展和市場競爭的日益激烈，大大提高了對科技支持能力的要求。金融機構特別是中小型機構普遍存在信息科技人力資源匱乏、技術能力欠缺等問題，人員數量和質量均不能滿足業務發展對科技的要求。因此，大部分金融機構大量采用信息科技外包的方式，作為自身科技力量的補充。但凡事均有兩面性，信息科技外包是一把“雙刃劍”，在給金融機構帶來專業化能力、推動科技創新、提高科技效率、實現科技對業務支持的同時，也會引發一系列的外包風險。近年來，金融行業陸續出現的外包風險事件給金融機構和監管機構敲響了警鐘。信息科技外包風險管理，成為金融機構信息科技風險管理的重要組成部分，也成為金融行業監管的工作重點之一。金融科技時代，隨著新技術的發展和新業務、新產品的涌現，信息科技的治理架構、技術架構和運維模式不斷演化，金融機構與外包商的合作模式和合作關系也發生了變化。新的機遇意味著新的風險，因此，除了傳統外包安全管理手段外，還需要結合新時代的特點，做好外包商合作關系管理和風險管理。

一、外包風險管理的必要性

根據中國銀保監會的《銀行業金融機構信息科技外包風險監管指引》，信息科技外包是指銀行業金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為。將信息科技工作外包給其他服務提供商承擔，相較于由金融機構自身的員工開展，存在著特殊的風險。因此，信息科技外包風險防控，已成為金融行業信息科技風險防范的主要任務之一，金融機構必須采取各種措施，加強對信息科技外包的安全管理。

（一）外包管理是“剛需”，外包安全管理是必須“支付”的對價

在金融機構所有的外包活動中，信息科技外包所占比重最大。金融機構信息科技外包的目的主要有兩方面：一是彌補自身人力資源的不足，將自身有限的資源投入至最重要的業務系統和最核心的技術上，其余資源通過外包方式補充；二是充分利用外包公司在規模經濟、專業化以及前沿創新技術方面的優勢，實現對市場變化和業務需求的快速響應。既然信息科技外包是大勢所趨和無法避免的選擇，那么信息科技外包風險管理也就成了金融機構必須“支付”的對價，是必須且非常重要的工作。金融機構不能“一包了之”“包治百病”，而應該承擔起外包風險管理的責任，必須認識到外包的風險，并對外包風險進行分析評估，加強外包安全管理，采取風險緩釋、轉移、規避等措施，將外包風險控制到合理、可接受的程度，避免信息技術及服務受制于人?？梢哉f，做不好外包安全管理，就做不好信息系統管理，進而無法實現對金融機構系統和業務的保駕護航。

（二）金融機構面臨的外包風險形勢嚴峻

近年來，金融機構信息科技外包發展勢頭迅猛，涉及的范圍逐步擴大，涵蓋了信息科技相關的規劃、需求、開發、基礎設施建設、運維等生命周期的各個階段。如果外包商經營出現風險、外包商服務質量下降，或者外包商出現不當行為，都有可能對金融機構信息系統的穩定運行及業務服務的安全造成嚴重影響。近年來，金融機構由于外包引發的信息系統中斷、敏感信息泄露等問題較多，外包風險作為金融機構信息科技風險的重要組成部分，必須認真對待。

（三）監管機構對信息科技外包的監管要求趨嚴趨緊

針對日益嚴峻的信息科技外包風險形勢和層出不窮的外包風險事件，監管機構高度重視，監管要求逐步加強。1.中國銀保監會于2010年出臺了《銀行業金融機構外包風險管理指引》，對外包的組織架構、風險評估、外包商盡職調查、合同協議約定等方面提出了具體要求。2.中國銀保監會于2013年印發了《銀行業金融機構信息科技外包風險監管指引》，專門針對信息科技外包這一比重最大的外包領域提出了很多細化的安全管控要求，定義了信息科技外包的幾種類型，規范了銀行信息科技外包風險管理的組織架構和戰略內容，細化了信息科技外包活動各階段、各環節的風險控制及管理要求，并針對重要外包商、機構集中度外包商、跨境外包商、非駐場外包商、銀行業重點外包服務機構等特殊類型的外包商提出了相應的管理要求，可以作為銀行業信息科技外包工作的一個“綱領性”文件。監管要求明確不得將信息科技管理責任外包，引導銀行將信息科技外包管理納入全面風險管理體系。3.2017年，中國證監會《證券基金經營機構信息技術管理辦法》（征求意見稿），其中規定了對“信息技術服務機構”即外包機構的要求，包括“不得將重要信息系統的運行、維護或日常安全管理交由信息技術服務機構獨立實施”的規定，以及審慎選擇信息技術服務機構時應該關注的重點事項、合同約束要求、內部審查要求、部分服務機構的備案要求、應急處置機制、嚴禁行為等。各類監管要求從戰略規劃的高度和戰術執行的細度，為金融機構建立信息科技外包管理體系、戰略方針和工作機制提供了規范性的要求，既是指導又是約束。金融機構必須遵循監管要求，在監管要求的框架下搭建自身的外包風險管控體系，解決基礎性、體系性缺失的問題。

二、金融科技合作的幾種外包模式

在人工智能、區塊鏈、云計算、大數據、物聯網等新技術大量被運用的當下，涌現了大量的金融科技公司，其服務范圍已經不再局限于提供規劃咨詢、應用研發、系統運維、安全服務等傳統的、純科技的外包服務，而是尋求與金融機構的深度合作，將業務合作、消費場景、科技能力等向金融機構輸出，嵌入到雙方合作的內容之中。金融機構與金融科技公司的合作，主要有3種外包模式。第一種是與“互聯網系”的金融科技公司合作，進入互聯網企業“生態圈”。在互聯網公司的平臺和科技能力輸出的基礎上，開展雙方系統平臺的技術對接，利用互聯網企業的大量用戶、流量、消費場景等優勢，在技術和業務方面同步開展合作。第二種是與“金融系”的金融科技公司合作，建設銀行、興業銀行、招商銀行、民生銀行、南京銀行等大中型銀行機構紛紛成立了金融科技公司或者提供開放的金融平臺，為其他中小金融機構提供服務。第三種是與中小型金融科技企業合作，充分利用金融科技企業的技術，整合雙方資源，將金融科技企業融入銀行自身的生態圈中。不管是哪種合作模式，在信息科技外包風險管控方面都具有共同的特點，那就是金融機構對外包業務環節中的金融風險須承擔風險管控的主體責任，需要分析新的外包模式可能帶來的新風險和影響，適時采取必要的應對措施。

三、金融科技合作中外包模式的風險分析

金融機構與金融科技公司的合作，通常會包含數據共享、業務流程整合等方面的合作內容，而且金融科技相關應用中的分布式賬戶、大數據、云計算、客戶身份認證、區塊鏈等技術應用，經常采用外包模式，因此，存在一些新的風險。

（一）個人信息保護方面

金融科技的廣泛應用帶來了客戶信息保護的新挑戰，需要特別關注數據的保密性、完整性和可用性。一是由于業務合作可能涉及金融機構客戶信息的共享，或者金融機構需要通過金融科技公司的平臺和場景作為引流方式，難以確?？蛻粜畔⒌慕^對安全。二是客戶信息是否經過信息主體的授權，是否泄露隱私，哪些信息可以獲取，哪些不可以等問題，目前在法律法規和監管要求層面都缺乏可落地的細則，客戶信息的來源和使用的合法合規性沒有統一標準。三是在客戶信息的采集、處理、存儲、傳輸、銷毀等全生命周期的管理環節中存在各種不可預知的風險，需要避免數據丟失、損壞、被篡改，以及確保不可用的數據被正常銷毀。

（二）業務連續性方面

由于社會公眾服務對實時性要求極高，金融機構的業務連續性要求通常也非常高。與金融科技公司開展業務合作，業務連續性將部分依賴于金融科技公司的管理有效性、基礎設施和軟硬件系統建設水平、團隊責任心等，這對金融科技公司的服務能力提出了巨大的挑戰。當發生系統故障時，如何快速應急處置，保證數據和業務的快速恢復，是對金融科技公司的巨大考驗。

（三）信息安全方面

由于用戶信息資源的高度集中，其獲利性大幅提高，金融科技平臺遭受黑客攻擊的可能性上升。DDoS攻擊、數據庫拖庫等攻擊而導致的服務不可用或者敏感信息泄露的可能性上升，其所導致的后果會明顯超過傳統的單家金融機構遭受攻擊。

四、金融科技合作中外包模式的風險管理要求

選擇金融科技外包合作模式，必須接受其固有風險。但同時，也要做好以下風險控制措施，盡可能地將剩余風險降低到可以接受的程度。一是金融科技規劃必須同步考慮風險防控規劃，將包含外包風險在內的風險防控的管理和技術手段，與金融科技的應用同步規劃、同步設計、同步實施，方能保障在新技術上線的同時，新的安全防控措施也實施到位。風險防范規劃同樣需要從用戶體驗的角度出發，圍繞客戶資產和信息安全開展風險分析和防控。二是金融機構必須承擔外包風險管理的主體責任。一方面，傳統的外包安全管理要求同樣適用于金融科技公司；另一方面，須嚴格要求金融科技公司遵守金融行業監管要求，如遵守賬戶實名制、客戶身份驗證、產品宣傳銷售、投資者適當性管理等方面的技術要求，以保護金融客戶的合法權益。三是在合作協議上必須明確規定客戶信息保護、業務連續性管理、信息安全管理方面的要求、監控指標和對應的違約責任，約束金融科技公司的行為。四是要求金融科技公司制定詳細的運行維護和信息安全管理制度和流程，以確保數據備份的有效性、加強數據訪問的授權控制、杜絕數據被惡意篡改、確保退役數據的妥善保管或銷毀等。五是通過技術手段防范風險。一方面，應做好與金融科技公司之間在數據傳輸過程中的加密、防篡改和完整性校驗、不同企業間數據安全隔離等；另一方面，要求金融科技公司做好安全防控，包括網絡安全區域劃分和網絡隔離，防攻擊、防病毒、防篡改的安全措施，安全技術防控工具部署，安全審計系統部署，應用安全漏洞防范等，以確保能提供與金融行業同樣高安全等級的服務。

五、結語

信息科技外包風險管理將是商業銀行一項重要的長期任務，特別是新時代的新型外包管理模式，更是有著不同于傳統管理模式的特點，需要一邊研究探索、一邊審慎實踐，方可形成一套適合金融機構的外包管理體系。

參考文獻：

[1]聶君，李燕，何揚軍.企業安全建設指南:金融行業安全架構與技術實踐[M].北京：機械工業出版社，2019.

[2]徐徽.商業銀行信息科技外包風險管理的思考與實踐[J].中國金融電腦，2013(11):19-21.

[3]霍寶東.淺談金融科技時代商業銀行信息安全風險管理[J].中國金融電腦，2017(8):17-19.

作者:李燕 單位:廣東華興銀行