- 对本书的赞誉
- 序一
- 序二
- 序三
- 前言
- 第一部分 安全架构
- 第 1 章 企业信息安全建设简介
- 第 2 章 金融行业的信息安全
- 第 3 章 安全规划
- 第 4 章 内控合规管理
- 第 5 章 安全团队建设
- 第 6 章 安全培训
- 第 7 章 外包安全管理
- 第 8 章 安全考核
- 第 9 章 安全认证
- 第 10 章 安全预算、总结与汇报
- 第二部分 安全技术实战
- 第 11 章 互联网应用安全
- 第 12 章 移动应用安全
- 第 13 章 企业内网安全
- 第 14 章 数据安全
- 第 15 章 业务安全
- 第 16 章 邮件安全
- 第 17 章 活动目录安全
- 第 18 章 安全热点解决方案
- 第 19 章 安全检测
- 第 20 章 安全运营
- 第 21 章 安全运营中心
- 第 22 章 安全资产管理和矩阵式监控
- 第 23 章 应急响应
- 第 24 章 安全趋势和安全从业者的未来
- 附录
7.3 外包战术体系
从战术层面看,要加强外包安全管理,对外包风险进行有效的控制,重点是要形成外包全生命周期管理的良性循环,建立“事前预防,事中控制,事后处置”的工作机制,要按照“级差准入,持续评价,合作竞争,能上能下”的原则,对外包商实行差别化的准入、遴选、维护、退出管理。
7.3.1 事前预防
在事前预防阶段,风险控制的重点是要开展外包项目风险评估,设立外包商准入标准,开展外包商考察,同时通过合同形成法律约束。目的是及早发现各种外包风险的前兆,并立即予以纠正或防范,把风险消灭在萌芽状态,避免错误处理造成风险事件。
1.外包项目风险评估
在外包项目的立项阶段,一方面,需要开展外包战略符合度分析,评估外包商选择策略和核心能力建设方案是否符合外包战略要求;另一方面,需要开展外包项目风险评估,根据信息科技外包项目的背景、目的、范围、性质,分析是否存在科技能力丧失、业务中断、信息泄露等风险,并采取相应的风险处置措施,不能因外包活动的引入而增加整体剩余风险。
在外包项目立项阶段的可行性研究报告中,可以增加专门的风险评估章节,具体内容可参见表 7-3。
表 7-3 外包商风险评估表
外包项目立项完毕后,需要甄选合格的外包商开展合作,可遵循以下步骤:
1)针对不同类型的外包商,制定外包商准入的最低标准,并要求外包商围绕准入标准提供详尽的证明材料。
2)审查外包商的技术能力、专业经验、业务规模、业务策略及风险控制能力,评估可能存在的法律风险、合规风险、操作风险等,必要时对外包商开展现场考察或尽职调查。
3)建立外包商库,确定备选外包商名单。
4)通过商务采购流程,确定中选外包商并签订合同。
2.外包商准入和审查
不同类型的外包采购,有不同的准入标准,表 7-4 列出了一些共通性的标准,可以根据需要适当裁剪使用。外包商需要根据标准,提供完备有效的证明材料。
表 7-4 外包商准入标准
3.重要外包商尽职调查
对于通过了初步资料审查,满足最低准入条件的外包商,可以纳入进一步考察的范围。对于重要外包服务的外包商,必要时需开展尽职调查。
尽职调查前,应制订详细的尽职调查方案和计划,明确尽职调查事项、小组成员分工、时间安排、资料调阅清单、外包商配合工作要求等,提前发给每个小组成员,以做好准备。
尽职调查以现场考察的方式开展,可以由外包执行部门、外包管理部门、采购主管部门以及风险管理等部门安排人员组成尽职调查小组,赴外包商所在地,通过现场勘查、访谈、资料调阅、穿行测试等方式,深入调查评估外包商的从业时间、股东关系、组织架构、发展战略、财务稳健性、经营声誉、企业文化、行业经验、市场地位及发展趋势、过往合作口碑、管理能力、技术实力、制度体系、员工情况、突发事件应急处置能力、风险控制能力等,综合评价外包服务商的发展前景、资质、能力、信誉、意愿,以确定是否纳入候选外包商名单。
外包商尽职调查表可参考表 7-5。
表 7-5 外包商尽职调查表
4.外包商入库管理
通过审查和尽职调查的外包商,全部纳入备选外包商库进行管理,记录外包商的基本信息、法人、商务联系人、技术联系人等,并把外包商提供的资料、尽职调查收集材料和表格等,统一归档管理。
5.采购和商务谈判
按照内部的外包商管理和采购制度完成采购和商务谈判流程后,金融企业将与外包商签订采购合同,约定双方的权利和义务以及违约责任等。
合同签订流程主要包括起草、服务商确认、法律部门审查、正式签署等环节。为了避免合同条款遗漏、约定内容不清晰等无法保障金融企业正当权益的风险,同时提高合同条款拟定的效率,金融企业一般会要求外包商接受自己的合同条款。针对咨询、开发、测试、系统软件维护、硬件维护等不同的 IT 服务领域,拟定不同的合同模板,规范服务水平条款和关键绩效指标。
为了防控外包服务中的风险,合同中必须至少包含以下内容(摘自《银行业金融机构信息科技外包风险监管指引》,但同样适用于其他金融企业):
·服务范围、服务内容、工作时限及安排、责任分配、交付物要求,以及后续合作中的相关限定条件。
·合规与内控要求,对法律法规及金融企业内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施。
·服务连续性要求,服务提供商的服务连续性管理目标应当满足金融企业业务连续性目标要求。
·金融企业监控和检查的权利和频率,服务提供商配合其内、外部审计机构检查,以及配合金融业监管机构检查的责任。
·政策或环境变化因素等在内的合同变更或终止的触发条件,外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排。
·外包服务过程中产生、加工、交互的信息和知识产权的归属权,以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求。
·服务要求或服务水平条款,至少应当包括外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等。
·争端解决机制、违约及赔偿条款,至少应当包括服务质量违约、安全违约、知识产权违约等,以及在各种违约情况下的赔偿和外包争端的解决机制。
·报告条款,至少应当包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
6.外包商依赖度和集中度风险控制
在外包商准入阶段,要特别注意控制外包依赖度和集中度风险。
·控制外包依赖度风险。外包依赖度越高,意味着外包商的转换成本越高,受到外包商的服务水平影响和约束越大,因此需要通过金融企业核心科技能力建设,提高自主掌控力度,降低对外包商的依赖,做到任何外包商的人员流失或退出都不会使科技服务水平受到显著影响。外包项目立项阶段,应该测算单个项目、单个系统、同类项目以及科技整体的外包依赖程度,如果单个或某类外包依赖度超出期望水平,都应该考虑如何提升自身知识和能力储备,提高自主掌控水平,降低外包风险。
·控制外包集中度风险。无论是因为金融企业自身对某个单一外包商的集中度比例大,还是因为外包商在整个金融行业中市场份额大而导致的行业集中度大,都可能导致风险过度集中和过度依赖于单家外包商的经营状况和服务水平。金融企业应合理管控服务提供商的数量,定期对现有外包服务的结构进行分析,将合同金额、驻场外包人员数量、金融行业市场占有率排列靠前的外包服务商,列入外包集中度风险关注名单,并积极采取后续管控措施:一是在新增项目的外包商选择前,对于在关注列表中的外包商,重点分析选择的必要性和对应的风险分散措施;二是应当特别加强对关注列表中外包商的持续监测,定期开展现场检查,及时发现和掌握风险事件的苗头,防患于未然;三是根据统计排名结果,制订外包服务商替代方案,做好应急预案并开展应急演练,演练内容包括但不限于外包服务突然中断时的合同履行、服务交接、敏感信息处置等。
7.3.2 事中控制
事中控制阶段是外包管理的核心环节,重点是做好外包项目建设以及服务实施的计划与控制,形成科学、高效的外包商关系管理体系,及时发现问题、反馈问题、了解原因、解决问题,确保实现信息科技外包目标。事中控制主要包括以下几方面的工作:
·外包商分级管理
·外包商日常管理
·外包商信息安全管理
·外包商考核评价
·外包商现场检查
·外包商服务监测
·外包商安全管理
·突发事件应急处置
1.外包商分级管理
外包商分级管理是指通过对外包商库内的外包商进行等级划分,对不同等级外包商实行差异化的等级管理政策。通过分级管理,奖励先进、处罚落后,充分发挥激励机制,促进外包商提高产品或服务质量,促使供求双方走向合作共赢。
外包商的分级需要综合考虑市场整体情况、外包商综合实力、外包商的经营管理动态、外包商服务的重要程度、外包商服务质量等,对于处在不同等级的外包商,针对性地采用不同的管理模式和管理方法。
金融企业的外包商分级管理模式可参考如下配置:
根据外包商市场竞争情况、外包商的实力和经营情况,以及与金融企业的项目合作情况,金融企业可将外包商分为战略外包商、瓶颈外包商、重点外包商和普通外包商四个等级。
(1)战略外包商:综合实力较强,并与金融企业为战略合作伙伴关系的外包商。
该类外包商一般与金融企业有密切的业务往来关系,有利于金融企业业务的发展。同时满足以下条件的外包商可划分为战略外包商:
·外包商在规模、声誉、技术或服务等方面处于所在行业领先水平,掌握金融企业所需产品(服务)的关键技术和核心资源,并且重视与金融企业的合作关系。
·外包商与金融企业签订了战略合作协议。
对于战略外包商,金融企业可采取建立长期合作伙伴关系的策略,基本原则是实现“双赢”。合作过程中必须保持密切和通畅的沟通渠道,并开展定期双向交流,但必须防止向战略外包商的不合理倾斜,以减少外包商的垄断牵制。具体措施包括:
1)建立与战略外包商的定期互访、信息通报机制,加强了解与互信。
2)建立联系人制度,及时沟通与释疑。
3)一方面在外包商后续选择流程中优先考虑,另一方面要开展后评价,做好监督。
4)要求外包商保证产品质量、价格等信息公开透明。
(2)瓶颈外包商:能满足金融企业采购需求,但所处行业市场竞争不充分的外包商。
该类外包商通常数量不多,更换难度较大。同时满足以下条件的外包商可划分为瓶颈外包商:
1)所在行业受到国家严格管控,具有行业垄断地位的外包商;或者具有独有技术、独特资源、特殊授权或权威认证的外包商;或者其产品或服务在同类市场上难以找到替代品的外包商。
2)市场上能满足金融企业采购需求和外包商入库资质标准的外包商数量有限,一般不足三家。
对于瓶颈外包商,采用灵活多样的管理策略。积极与其建立稳定的合作关系,关注其独有技术、独家授权、行业垄断的市场地位,尽可能开发和寻找替代产品或服务,以避免受到瓶颈外包商的过度制约。具体措施包括:
1)定期关注独有技术和独家授权的市场变化。
2)相关部门一旦发现瓶颈外包商的市场变化情况,必须及时采取措施并报告外包商管理部门。
(3)重点外包商:与金融企业有比较深入的合作,提供的产品或服务水平较高,在后评价中获得较高评价的外包商。
重点外包商的划分主要依据后评价情况开展,后评价结果为优秀的外包商可划分为重点外包商。对于重点外包商,要加强管理和维护力度。一方面,引导其了解金融企业对重点外包商的优选政策,提高外包商合作积极性;另一方面,要大力宣传“能上能下”的分级管理制度,促使外包商持续提供优质服务。具体措施包括:
1)对重点外包商开展定期后评价工作,关注外包商的持续服务情况。
2)相关部门必须及时反馈重点外包商的产品质量和服务状况,外包商管理部门及时向外包商提出需求和建议,并要求外包商持续改进服务水平。
(4)普通外包商:能满足金融企业采购需求,同时所处行业市场竞争比较充分的外包商。
该类外包商的更换难度和成本较低。满足以下条件的外包商划分为普通外包商:外包商市场竞争比较充分,满足同类要求的外包商数量在三家以上(含)。
对于普通外包商,应尽可能维持充足的数量,为采购项目提供更多的比较和选择。通过分级管理的奖惩措施,激励普通外包商提供更优质的产品和服务。具体措施包括:
1)相关部门必须及时向外包商管理部门反馈普通外包商的产品质量和服务状况,外包商管理部门及时督促其改进和完善。
2)对于效果不满意的普通外包商,及时进行替换。
3)加强对不同级别外包商管理政策的宣传,刺激普通外包商提高服务水平,增强其成为重点外包商的意愿。
2.外包商日常管理
外包商日常管理包括外包人员入场和离场管理、外包人员考核和考勤管理、外包环境管理等工作。
外包人员入场管理:一是对入场外包人员资质进行严格审核,对专业水平进行现场笔试和面试;二是要求外包商提供主要外包服务人员的背景调查结果和无犯罪记录证明;三是建立外包人员信息台账,强化对外包人员信息档案的更新与管理;四是要求外包人员入场前签署保密协议及服务承诺书;五是要求外包人员参加信息安全培训和规章制度培训,考试合格后方可按照入场流程办理相关手续。
外包人员考核管理:一是通过工作任务单、项目计划表等方式,安排工作任务和计划,充分提高外包资源使用效率;二是建立外包资源使用台账,方便工作量结算和成本节约;三是建立外包人员考核机制,对外包人员的服务质量、工作态度、工作纪律等进行考核,考核结果与付款挂钩;四是统一外包人员考勤和工作纪律管理,不允许迟到、早退、旷工,严禁工作时间从事炒股、游戏等无关活动,否则进行严肃处罚;五是做好办公场所访问控制,不允许无关人员进入外包环境。
外包环境管理:一是定期组织召开外包商工作会议,针对外包商的服务质量、日常管理等方面的问题进行通报、点评和处罚,并从质量控制、风险防控等方面提出具体工作要求;二是建立外包服务周报、月报机制,定期向金融企业报告工作进度和问题;三是建立月度专题会议、季度沟通会议、年度管理会议等例会机制,必要时请外包商高层领导参加,通报现场服务的问题,协调解决。
外包人员离场管理:一是外包服务人员提前提出离场申请以及做好后续人员安排,完成审批后退场;二是遵循有关保密要求,清理其设备、文档中遗留的金融企业数据;三是完成工作交接、用户权限清理、电子设备或其他物品交接等。
3.外包商信息安全管理
外包商信息安全管理包括两部分,即管理要求和技术措施。
管理要求方面,通过规章制度的建立与培训,形成“软约束”:一是制定外包人员管理细则,约束外包人员现场工作纪律和信息安全要求;二是由外包人员签署保密承诺书,承诺保密义务与责任;三是在入场时或者定期组织信息安全培训和考试,确保外包人员熟知和执行信息安全工作要求;四是日常检查安全要求落实情况,采用专项检查和随机抽查相结合的模式,对于违规者严厉问责。
技术措施方面,充分应用技术手段,实现风险的“硬控制”:一是通过环境物理隔离、用户权限管理、敏感信息脱敏等手段避免外包人员接触敏感信息;二是建立独立的终端开发环境,必须使用金融企业统一配置的终端,安装统一的防病毒软件及终端安全管理软件,禁用 U 盘等移动存储介质,不允许外包人员自带设备接入金融企业的网络;三是实施网络隔离,外包人员使用的终端部署在独立的安全域内,与其他安全域进行逻辑隔离,避免外包人员向开发测试服务器或开发测试终端拷入、拷出程序,同时禁止互联网的访问;四是遵循“必须知道”和“最小授权”的原则,开放外包人员的网络访问权限和用户权限;五是严格控制外包人员操作金融企业生产系统;六是针对故障硬盘、磁带等存储设备,进行物理破坏和销磁后入库,严禁返厂维修。
4.外包商考核评价
外包商考核评价的目的是通过对外包商的有效激励,加强其与金融企业的合作关系,提升服务质量。外包商的考评应该针对不同类型的外包商制订不同的考评指标,定期组织考核评价,并对考核评价结果开展定期的分析,将评价综合结果和评价指标得分反馈给外包商,促使其取长补短,持续改进。
根据外包商考评周期和考核对象,可将考核评价分为两类:一是外包项目或工作结束后对外包项目或人员进行考核;二是每年对外包服务商进行服务水平和服务质量的总体考核评价。
根据外包类型,可将考核评价分为四类:一是规划咨询类外包,重点考核规划结果的合理性和适用性、规划咨询人员的经验水平等;二是应用研发类外包,重点考核项目进度、交付质量、业务需求符合度等;三是系统运维类外包,重点考核交付及时性、运行稳定性、故障出现概率、故障处理及时性等;四是安全服务类外包,重点考核安全服务人员技术水平、安全防范措施的有效性、安全漏洞发现率等。
根据外包采购模式,可将考核评价分为两类:一是项目类外包,主要从项目交付进度、项目提交件完整性及质量、测试发现缺陷情况、项目投产后的故障情况等方面,在项目结束后进行考核;二是人力资源购置类外包,制订外包人员的定性和定量考核指标,每季度对相关人员进行考核。综合后形成对服务商的考评结果。
5.外包商现场检查
对于重要的外包商,应当定期开展现场检查,每半年或每年进行一次。对供应商的现场检查内容应根据服务类型有所区分,但可以参考表 7-6 所列的检查内容。
表 7-6 外包商现场检查表
6.外包商服务监测
要建立常态化的外包服务监测制度,及时发现外包商的风险隐患苗头,防患于未然。监测内容主要包括:
·持续监测异常事件。通过公开信息检索、外包商服务报告等方式,监测、收集服务商的最新经营情况、法律诉讼事件、重大财务事件、信息泄露风险事件等信息,一旦监控到异常情况,立即督促服务提供商采取纠正措施并限期整改,及时发现和化解服务商潜在风险。
·日常监测合同履行情况。根据合同条款中规定的各个阶段性目标的达成情况、服务水平指标达成率等衡量外包服务质量。例如,对于应用研发类外包,监测投产计划达成率、业务需求满足度、应用系统故障次数、故障应急响应时间、故障及时解决率、人员流失率等服务质量监控指标。对于外包商不履行合同条款、服务水平不达标等情况,纳入外包商合作事件记录表,作为外包商考核依据及后续合作参考。
·定期开展外包服务的风险评估。针对各类信息科技外包活动存在的固有风险,分析外包管理措施的执行情况和风险控制措施的有效性,评估剩余风险的可接受程度,针对发现的风险和不足,制订改进措施和计划并落实整改。
7.外包商安全管理
金融行业通常使用了不同安全厂商的硬件、软件和服务,根据提供的内容不同,软件厂商又可以分为外购软件厂商、合作开发厂商、外包开发厂商等。外购和外包的区别在于,外购一般指该软件或应用系统基本比较成熟,不再需要二次开发,购买了可以直接部署使用,比如微软的 Office、Oracle、Vmware ESXi 等。外包是指该软件由甲方提出具体需求,乙方根据甲方需求新开发,或在已有的软件框架上进行二次开发,然后再交付甲方使用。
外购软件由于其比较成熟,已经被广泛使用,安全风险较低,主要是防范一些通用的 CVE 漏洞,及时关注漏洞信息,做好应急处理即可。
外包和合作开发软件,安全风险较高。主要原因包括:一是乙方根据甲方需求,重新或二次开发,软件使用面为少数客户,成本难以分摊,导致外包商无法在安全需求上重点投入;二是工期通常较紧,甲方需求方通常面临内部业务方的工期压力,将这种压力传导到乙方,乙方迫于工期压力,会降低对安全需求的要求,甚至违反其内部设置的安全开发规范和流程;三是部分软件开发厂商的开发框架比较陈旧,有的超过 10 年,IT 技术和安全技术日新月异,显然无法满足现在的安全要求,而目前大部分软件开发厂商的规模并不大,利润空间较低,导致框架更新缓慢,造成交付的软件安全质量堪忧。
目前,整个大环境无法有效改变,单个公司和个人能做的是,加强对软件厂商的安全管理,包括:建立软件厂商安全标准并监督落实;对软件厂商交付的代码进行黑盒检测,有条件的做白盒检测,发现未满足安全要求的要进行整改,并追究内部人员(安全测试和开发人员)责任;将安全要求写入合同,反复违反的进行高层约谈和行业通告,特别难推动的及时向监管层报告。
对于外包外购服务商软件及代码安全交付的要求,一般包括以下几点:
·需要符合监管机构对安全性的需求。
·外包外购服务商须建立软件安全开发规范,对于交付的软件及代码须进行安全检测,软件质量保障组织或信息安全组织须监督检查规范的执行和安全检测工作的落实情况。
·软件及代码交付时须附上对应版本的安全检测报告,如无相应的安全检测报告将延迟或拒绝验收。软件交付后,发现软件安全问题,将予以责任追究和问责。
对于外包外购服务商软件开发的安全管理建议:
·外包外购服务商应建立相应的软件开发安全规范,规范中应明确规定常见的开发安全问题、问题的风险及影响、问题的防范与处理方法等。
·外包外购服务商开发人员应严格执行其开发安全规范,保障软件开发过程中的安全质量。
·外包外购服务商信息安全组织应定期对开发人员开展安全技能及意识培训,全面提升开发人员的安全开发能力。
·外包外购服务商信息安全组织应监督规范的执行情况,并对开发过程中各阶段的交付产品进行安全测试,包括白盒及黑盒测试,保障最终产品的安全交付。
·外包外购服务商在进行软件交付时应附上相应合格的安全检测报告,并修复所有中危级别以上漏洞。必要时提供代码安全审计报告,报告内容应包括测试人员、时间、工具、标准、方法、结果等。
8.突发事件应急处置
外包合作过程中可能出现外包风险事件,如外包商经营出现风险、人员流失等,金融企业需要具备应对突发事件的能力,确保外包商的服务不影响金融企业自身正常运营。
·建立信息科技外包风险应急管理机制,制订专门的外包风险应急预案及操作规程,重点针对外包服务商出现重大资源损失、重大财务损失、重要人员变动以及外包协议意外终止等异常退出情况,明确应对要求。
·建立技术部门、业务部门、管理部门(包括法律、财务、风险等部门)、外包服务商多方应急联动机制,将上述关联方纳入常规应急演练工作中,提升对突发事件的联动响应能力。
·每年组织企业内部有关部门,联合重要外包商开展桌面模拟演练,验证外包风险应急预案及操作规程的有效性和可行性,防范因外包服务意外中断或终止而带来的损失和风险。
·对于重要外包服务商,应要求其制订业务连续性计划,通过合同等形式明确要求外包商提前做好准备,承诺紧急情况下优先向金融企业提供资源,并要求外包商根据应急处理预案定期进行演练并向金融企业提交报告,实现对外包商业务连续性管理的持续监控。
7.3.3 事后处置
事后处置,是指外包项目结束,或者外包服务中断与终止后,妥善合规地完成外包商后评价、外包商退出处置和外包人员离场检查等工作。
1.外包商后评价
外包商后评价是根据外包商提供产品或服务的执行情况和执行效果,对合作外包商进行全面评价,以发现外包商在合同期内存在的问题。
外包商后评价通常在外包服务结束后半年完成,根据外包项目或外包服务的具体情况采用电话咨询、问卷调查、访谈以及现场考察等方式开展。
外包商后评价内容包括但不限于以下方面,可根据采购内容的特点和合同约定等信息,拟定后评价的各项评价指标和评分权重:
·外包商提供产品或服务的质量和性能。
·业务需求满足程度和客户体验效果。
·外包商的项目管理过程和项目管理能力。
·外包商售后服务质量。
·外包商商务配合情况。
·合同履行的其他情况。
·依外包项目本身特点而拟定的其他评价因素。
外包商后评价的结果直接影响下一次服务的合作可能性,作为外包服务商准入的重要参考依据,选优汰劣,促进外包服务商不断提高服务质量和效率。对于违反合同约束的外包服务商,可以按照合同约定启动相关罚则,严重者可以做退出处理。
2.外包商退出处置
外包商退出分为自然退出和强制退出两种。
外包商的自然退出,是指外包服务结束、外包合同终止,外包商按照合同约定停止在金融企业的服务内容。按照金融企业的外包商退出机制,办理退出手续即可。
外包商的强制退出,是指取消外包商在金融企业的服务资格,并纳入黑名单管理。当外包商出现以下情况时,应该执行退出流程:
·外包商的经营状况、商业信誉或商品质量出现严重的问题,对金融企业的服务造成重大影响或严重风险隐患。
·外包商存在严重的违法违规行为。
·外包商在合同执行期间出现严重的违约行为,对服务造成重大影响。
·外包商后评价未达标。
·外包商提供虚假信息或伪造资料。
·外包商存在商业贿赂、串标、围标、严重不应标、恶意中伤竞争对手等扰乱正常采购秩序的行为。
·外包商存在导致金融企业直接或间接损失的其他行为。
对于强制退出的外包商,信息科技部门需要联合业务部门、法律部门、财务部门等共同讨论解决方案,收集外包商违约或风险事件的证据材料,商议合法合规的处置流程,做好风险分析和应对措施,避免给金融企业造成财务损失和法律风险。
3.外包人员离场检查
外包服务结束后,金融企业应组织外包人员退出前的检查工作,检查结果作为合同结束的参考依据,以防范因外包服务终止而产生的信息泄露风险。具体检查内容包括:
·清理外包人员电脑(如果存在外包人员自带电脑的情况)中,属于金融企业的程序和数据,并由外包服务商提供关于数据已全部清理和后续保密约定仍然有效的书面承诺。
·确认用户权限清理完毕,包括所有用户的注销或删除;门禁卡物理介质归还及权限清理;指纹、指静脉、人脸等身份鉴别方式及记录的删除或禁用等。
·退还金融企业提供的电脑、开发测试用的其他电子设备、文档资料等物品。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论