Question

根据中国银监会《银行业金融机构信息科技外包风险监管指引》，信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。其他类型的金融企业也可参考类似定义。

将信息科技工作外包给其他服务提供商承担，相较于金融企业自身的员工开展，存在着特殊的风险。因此，信息科技外包风险防控，已成为金融行业信息科技风险防范的主要任务之一，金融企业必须采取各种措施，加强信息科技外包安全管理。

7.1.1　几个教训深刻的外包风险事件

近年来国内外爆发了多起与金融企业相关的外包风险事件，其影响面广、危害程度大，给金融企业造成了较大的损失和声誉风险。

1.外包公司违规收集银行数据事件

2012 年 5 月，国家安全部发布对某外资公司存储产品的代理商北京某公司违规收集银行数据、危害我国金融信息安全的通告。通告公布他们窃取银行数据的四种手段：一是利用维护之便，使用专用工具；二是利用故障分析时提供的最高系统权限；三是利用进入银行要害区域的机会，通过偷拍等方式窃取网络拓扑图、技术方案等敏感信息；四是对回收的硬盘进行分析，非法窃取银行重要信息。

2.韩国某银行外包人员误操作导致服务中断事件

2011 年 4 月 12 日，韩国某银行因系统瘫痪导致金融服务受到严重影响，全国 1154 个分支行的服务中断，影响持续时间长达一周。据调查，故障发生的原因是由于外包团队人员掌握了该银行核心系统的超级管理员权限，4 月 12 日该人员错误执行了删除命令，导致服务器中的所有文件被删除。外包管理缺位，系统用户权限控制混乱，外包人员权限过大，是导致问题发生的主要原因。

3.某公司解散影响多个金融企业外包服务

某公司是一家金融 IT 综合服务提供商，为银行、保险、基金、证券等金融行业、大型企业财务公司提供整体解决方案和软件产品，业务范围涵盖了规划咨询、软件开发实施、技术服务、IT 外包与运营服务、系统集成及系统维护服务等，是中国金融行业客户重要的 IT 服务提供商和战略合作伙伴。该公司于 2007 年在美国 IPO，曾有“第一家在纽交所上市的国内软件企业”之誉，但在 2011 年 8 月 31 日，因涉嫌财务造假，该公司宣布解散。

该公司事件对国内多家金融企业的 IT 外包服务项目造成了影响。从 2011 年初开始，该公司公司已出现资金紧张、项目人员大量流失等情况，2011 年 8—9 月，公司给各金融企业出具公函，告知部分项目建设无法执行，建议金融企业寻求第三方公司继续执行该公司承建的项目。各金融企业在 2011 年底至 2012 年初纷纷全面梳理合同，临时将该公司未履行完毕的责任义务全部转移给第三方公司承担，由于团队变动、人员流动、技术转移等原因，在过渡期内，给各金融企业的系统开发质量、进度和运行稳定性造成了较大的影响。

4.多媒体查询机供应商某公司突然停业事件

2011 年 2 月，多家银行突然收到多媒体查询机供应和维护商深圳某科技有限公司的通知，该公司因自身原因从 2011 年 1 月 31 日停止业务经营，从 2011 年 2 月 1 日起将无法提供后续服务，建议用户利用该公司预留的售后服务保证金及时聘请其他服务商接替后续服务，但未就后续相关工作安排做出任何说明。受此影响，各银行当时所使用的多媒体查询机突然得不到相应的维护保修服务，给该类设备的稳定运行造成了较大的影响。

7.1.2　外包安全管理的必要性

1.外包管理是“刚需”，外包安全管理就是必须“支付”的对价

在金融企业所有的外包活动中，信息科技外包所占比重最大。金融企业信息科技外包的目的主要有两方面：

·弥补自身人力资源的不足，将自身有限的资源投入至最重要的业务系统和最核心的技术掌控，其余资源通过外包方式补充。

·充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势，实现对市场变化和业务需求的快速响应。

著名的管理学家彼得·德鲁克曾预言：“在 10~15 年之内，任何企业中仅作后台支持而不创造营业额的工作都应该外包出去，任何不提供向高级发展的机会和活动、业务也应该采用外包的形式。”可见外包既有理论层面的强有力支撑，又有实践层面的殷切需求。

既然信息科技外包已经是大势所趋和无法避免的选择，那么信息科技外包风险也就成了金融企业必须“支付”的对价，是必须且非常重要的工作。金融企业不能“一包了之”“包治百病”，而应该承担起外包风险管理的责任，必须认识到外包风险，对外包风险进行分析评估，加强外包安全管理，采取风险缓释、转移、规避等措施，将外包风险控制到合理的、可接受的程度，避免信息技术及服务受制于人。可以说，不做好外包安全管理，就做不好信息系统管理，进而无法实现对金融企业系统和业务的保驾护航。

2.金融企业面临的外包风险形势严峻

近年来，金融企业信息科技外包发展势头迅猛，外包涉及的范围逐步扩大，已经涵盖了信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。如果外包商经营出现风险，外包商服务质量下降，或者外包商出现不当行为，都有可能对金融企业的信息系统稳定运行及业务服务的安全造成严重影响。

近年来金融企业由于外包问题引发的信息系统中断、敏感信息泄露等问题较多，外包风险作为金融企业信息科技风险的重要组成部分，必须加以重视。

3.监管机构对信息科技外包的监管要求趋严趋紧

针对日益严峻的信息科技外包风险形势和层出不穷的外包风险事件，监管机构高度重视，监管要求逐步加强。

·中国银监会于 2010 年出台了《银行业金融机构外包风险管理指引》，对外包的组织架构、风险评估、外包商尽职调查、合同协议约定等方面提出了具体要求。

·中国银监会 2013 年印发了《银行业金融机构信息科技外包风险监管指引》，专门针对信息科技外包这一比重最大的外包领域提出了很多细化的安全管控要求，定义了信息科技外包的几种类型，规范了银行信息科技外包风险管理的组织架构和战略内容，细化了信息科技外包活动各阶段、各环节的风险控制及管理要求，并针对重要外包商、机构集中度外包商、跨境外包商、非驻场外包商、银行业重点外包服务机构等特殊类型的外包商提出了相应的管理要求，可以作为银行业信息科技外包工作的一个“纲领性”文件。监管指引中明确要求不得将信息科技管理责任外包，引导银行将信息科技外包管理纳入全面风险管理体系。

·2017 年中国证监会发出《证券基金经营机构信息技术管理办法》（征求意见稿），其中规定了对“信息技术服务机构”即外包机构的要求，包括“不得将重要信息系统的运行、维护或日常安全管理交由信息技术服务机构独立实施”，以及审慎选择信息技术服务机构时应该关注的重点事项、合同约束要求、内部审查要求、部分服务机构的备案要求、应急处置机制、严禁行为等。

各类监管要求从战略规划的高度和战术执行的细度，为金融企业建立信息科技外包管理体系、制定战略方针和工作机制提供了规范性的要求，既是指导又是约束。金融企业必须遵循监管要求，在监管要求的框架下搭建自身的外包风险管控体系，解决基础性、体系性缺失的问题。

7.1.3　外包管理中的常见问题

金融企业将大量的信息科技工作外包，虽然解决了银行自身资源不足的问题，但也暴露了一些风险隐患。

第一，金融企业对信息科技外包的依赖度大。中小型金融企业对信息科技外包依赖程度普遍较高，大型金融企业中的信息科技外包也已占相当比例，信息科技外包已成为金融企业信息科技体系中的一个重要组成部分。由于金融企业自身科技人员数量、知识和能力储备不足，外包人数是金融企业内部员工人数 5~10 倍甚至更多的情况屡见不鲜，而且在可以预见的未来这一比例还有增大趋势。大量外包导致企业内部员工的自主掌控能力变弱，对信息系统的熟悉了解程度降低，自主解决问题的效能下降，核心技术受制于人。信息系统开发的交付质量和运维保障水平，很大程度上取决于外包人员的技能水平和责任心，外包商的经营状况、外包商的人员流动、外包商与金融企业的合作关系，都可能对金融企业的信息科技的业务支持能力、交付效率和信息系统运行稳定性产生重大影响。

第二，金融企业的外包商集中度较高。从单个企业看，部分金融企业将信息科技外包服务集中交给少量服务提供商承接；从整个行业看，部分外包商承接了多个金融企业的信息科技工作，在金融行业中服务机构多、市场份额大。外包商集中度较高导致金融企业对于单一外包商的依赖过大，对系统的控制能力和议价能力下降，一旦外包商自身经营出现风险，或者跟金融企业的合作发生问题，就可能造成影响面较大的服务中断或者服务质量下降，严重情况下还将导致系统性、区域性的信息科技风险。

第三，外包商经营风险事件日益增多。无论是宏观层面的国际贸易关系、国内外经济形势、行业环境和发展趋势，还是微观层面的股东关系、公司治理架构、管理层水平等，都可能影响外包商的经营情况和服务水平。外包商自身经营状况不佳导致产品质量出现问题、团队不稳定，或者在开发、实施、运维等方面的服务不及时，都可能造成金融企业的服务中断或者服务质量下降，进而直接影响对业务发展的支持和信息系统运行的稳定性。

第四，外包商员工管理相比金融企业员工管理难度更大。将信息科技活动委托给外部人员处理，相比金融企业内部员工自行处理而言，面临风险更大，管理难度更高，管理要求更难落实到位。因为外包人员的归属感、责任感相对不强，往往会认为自己不需要对最终结果负责，只需要对过程负责，不对长期结果负责，仅对当前阶段性的成果负责，相对而言会更注重短期收益，所以外包人员的责任心、主动性、纪律性得不到保证，再加上人员流动性较大，知识技能往往难以有效传承，从而难以保证长期持续的高效率和高质量。

第五，外包商或其员工可能发生主动或被动的不当行为。外包商提供的信息科技服务，有机会接触、存储大量的敏感信息，例如客户资料、交易数据等，但外包商的风险管理能力、风险控制体系和风险意识水平相比金融企业的要求来说还有差距。如果外包商或其员工发生主动或被动的不当行为，例如有意识地收集和倒卖敏感数据，操作失误删除数据或执行错误指令等，可能导致数据损坏、丢失、泄露或系统服务中断，造成直接或间接经济损失。

第六，外包商不受监管直接约束，信息安全管控水平整体偏低。信息科技外包商不受监管部门的直接约束，游离于金融企业的监管体系之外，其服务对象和服务结果却又必须遵从金融企业的监管要求。外包商的信息安全管理体系建设相对滞后，外包人员的风险意识不足，都可能造成金融企业的信息安全风险。

鉴于上述因素，外包管理中的问题可能导致金融企业面临以下直接风险，并可能进一步导致银行业金融企业的战略、声誉、合规风险（摘自《银行业金融机构信息科技外包风险监管指引》）：

·科技能力丧失，金融企业过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展。

·业务中断，支持业务运营的外包服务无法持续提供导致业务中断。

·信息泄露，包含客户信息在内的金融企业非公开数据被服务提供商非法获得或泄露。

·服务水平下降，由于外包服务质量问题或内外部协作效率低下，使得金融企业信息科技服务水平下降。

由于信息科技外包带来的风险较高，针对上述问题，金融企业需要制订有效的外包安全管控目标，建立外包安全防控体系。

·在战略层，应当建立适合本企业的信息科技外包战略，确定信息科技外包管理的目标，明确外包的总体原则，建立企业层面的信息科技外包安全防控架构，完善外包管理组织体系和制度体系。

·在战术层，应该按照外包类型分类管理，针对不同类型的外包，建立全生命周期管理的机制，以及外包安全管理效果衡量机制。