关注中小银行信息科技外包风险与安全管理.docVIP

关注中小银行信息科技外包风险与安全管理 　　信息科技外包是中小银行机构降低IT投资风险，将精力集中于核心业务以提高核心竞争力的重要策略之一，但是信息科技外包作为一把“双刃剑”，在提升银行竞争优势的同时，也带来了安全可控能力下降、业务同质化等风险，本文在分析区域中小银行机构信息科技外包现状及存在主要风险的基础上，对如何做好信息科技外包安全管理提出相关对策和建议。 　　一、中小银行信息科技外包现状 　　随着信息化和银行业务的高度融合，信息系统已经成为银行业务发展和创新的核心支撑，成为银行生存发展的生命线。同国内的大银行相比，中小银行大多数底子薄、实力弱、技术水平较低，为快速提高核心竞争力，主要采用外包方式开展信息化建设管理。 　　通过对区域城市商业银行、信用合作社（农商行）、村镇银行信息科技外包情况进行分析，目前中小银行信息科技外包主要有以下几种方式：一是系统建设和运行维护整体外包给科技公司，少数小银行以托管的方式将信息系统外包给科技公司，由科技公司建设和运维，部分银行将部分类别业务系统整体外包给科技公司；二是系统建设和运行维护整体外包给发起行，部分小银行的信息系统主要采取托管形式，直接利用发起行的信息系统，系统建设和运行维护都主要由发起行负责；三是系统建设采用外包模式，运行维护自主实施，部分科技能力较强的中小银行采用这种方式，即业务系统建设采取与外包公司合作建设或委托开发方式，运行维护全部自主开展，对外依赖程度相对较低。 　　二、中小银行信息科技外包面临的主要风险 　　信息科技外包是中小银行机构快速适应激烈市场竞争的重要策略之一，但给银行自身运营带来安全可控能力下降、信息泄露、业务服务水平较低等风险，并对信息科技监管带来了新的问题和挑战。 　　（一）银行运营管理风险 　　中小银行机构信息系统建设外包，或者是建设和运行维护整体外包，对外依赖程度较高，且内部安全管控体系建设不够完善，运营管理存在风险，主要表现在： 　　1.业务运行风险防控能力较低。中小银行外包服务机构服务水平差异化大，参差不齐，部分外包公司在中小银行机构所在地未设办事机构，也未安排工作人员，日常系统维护主要采取电话联系、远程处理，应急响应时间和处置效率不足。少数行将业务系统托管在外地，由于系统异地部署，维护外包，系统的安全运行基本上完全依赖托管方。 　　同时，中小银行对外包服务管理能力不高，管理内容有疏漏，日常监测管理不到位，存在因服务无法持续提供而影响业务连续性的风险，安全可控水平水平较低。 　　2.信息泄密风险认识不到位。外包单位在进行系统维护过程中，有机会接触银行客户信息甚至核心数据，管理不当引起的信息泄露可能导致银行业声誉风险及法律风险，从而使银行蒙受巨大损失。 　　对于信息泄露，主要采取签订保密协议强化管理，但存在未将保密责任落实到个人，对信息保密工作认识不到位的情况，特别是少数行未认识到发起行与本机构不同法人、不同法律主体下的区别，简单将发起行视为同一机构，信息保密基本上依赖发起行，保密风险高度集中，且管理手段单一。 　　3.业务服务同质化且水平较低。中小银行机构特别是小银行过度依赖外部资源，系统上线、运行维护以及后续优化均依赖于外包，失去对项目、技术的控制能力，影响业务发展，且当业务发展规划、业务管理制度与发起行（管理行）体系出现差异的时候，信息科技系统无法适时进行调整。 　　由于对信息系统建设、技术问题不具备太多的主动权，在银行业务与信息技术高度融合的趋势下，中小银行的业务往往与发起行（管理行）同质化明显，制约了服务能力的持续改善与提升。 　　（二）信息科技监管面临风险 　　目前信息科技的监管按照属地管理原则开展，采取纸质材料审核，现场检查和非现场检查相结合的方式开展，中小银行外包的普遍存在使信息科技监管面临了严峻挑战。 　　1.监管要求落实困难。由于外包，目前中小银行信息系统存在异地部署，针对系统标准符合性和系统安全性检查评估的重要关键内容，往往无法开展现场检查核实，主要通过参考其他地方已通过检查评估的，或者以关联密切的行（如由同一发起行发起的其它行）提供的相关材料为依据进行核实，监管要求有效落实存在困难。 　　2.日常监管效率较低。目前中小银行机构科技人员多数配备不足，从业人员运维实战经验不足，加之系统建设和运维由发起行或科技公司负责，在检查对接、系统问题排查过程中往往效率不高，同时由于不能实施现场检查而以非现场检查为主进行监管，可能存在监管盲区。 　　三、信息科技外包安全管理对策与建议 　　（一）规范外包服务机构准入 　　按照行业信息科技特点及管理要求，从财务状况、内控风险管理，IT服务水平、服务经验、人员技能水平等方面，建立银行业信息科技外包机构资质标准，梳理外包服务准入采购或商务谈判流程，规范外包