关注中小银行信息科技外包风险和安全管理

丁光华

信息科技外包是中小银行机构降低IT投资风险，将精力集中于核心业务以提高核心竞争力的重要策略之一，但是信息科技外包作为一把“双刃剑”，在提升银行竞争优势的同时，也带来了安全可控能力下降、业务同质化等风险，本文在分析区域中小银行机构信息科技外包现状及存在主要风险的基础上，对如何做好信息科技外包安全管理提出相关对策和建议。

一、中小银行信息科技外包现状

随着信息化和银行业务的高度融合，信息系统已经成为银行业务发展和创新的核心支撑，成为银行生存发展的生命线。同国内的大银行相比，中小银行大多数底子薄、实力弱、技术水平较低，为快速提高核心竞争力，主要采用外包方式开展信息化建设管理。

通过对区域城市商业银行、信用合作社（农商行）、村镇银行信息科技外包情况进行分析，目前中小银行信息科技外包主要有以下几种方式：一是系统建设和运行维护整体外包给科技公司，少数小银行以托管的方式将信息系统外包给科技公司，由科技公司建设和运维，部分银行将部分类别业务系统整体外包给科技公司；二是系统建设和运行维护整体外包给发起行，部分小银行的信息系统主要采取托管形式，直接利用发起行的信息系统，系统建设和运行维护都主要由发起行负责；三是系统建设采用外包模式，运行维护自主实施，部分科技能力较强的中小银行采用这种方式，即业务系统建设采取与外包公司合作建设或委托开发方式，运行维护全部自主开展，对外依赖程度相对较低。

二、中小银行信息科技外包面临的主要风险

信息科技外包是中小银行机构快速适应激烈市场竞争的重要策略之一，但给银行自身运营带来安全可控能力下降、信息泄露、业务服务水平较低等风险，并对信息科技监管带来了新的问题和挑战。

（一）银行运营管理风险

中小银行机构信息系统建设外包，或者是建设和运行维护整体外包，对外依赖程度较高，且内部安全管控体系建设不够完善，运营管理存在风险，主要表现在：

1.业务运行风险防控能力较低。中小银行外包服务机构服务水平差异化大，参差不齐，部分外包公司在中小银行机构所在地未设办事机构，也未安排工作人员，日常系统维护主要采取电话联系、远程处理，应急响应时间和处置效率不足。少数行将业务系统托管在外地，由于系统异地部署，维护外包，系统的安全运行基本上完全依赖托管方。

同时，中小银行对外包服务管理能力不高，管理内容有疏漏，日常监测管理不到位，存在因服务无法持续提供而影响业务连续性的风险，安全可控水平水平较低。

2.信息泄密风险认识不到位。外包单位在进行系统维护过程中，有机会接触银行客户信息甚至核心数据，管理不当引起的信息泄露可能导致银行业声誉风险及法律风险，从而使银行蒙受巨大损失。

对于信息泄露，主要采取签订保密协议强化管理，但存在未将保密责任落实到个人，对信息保密工作认识不到位的情况，特别是少数行未认识到发起行与本机构不同法人、不同法律主体下的区别，简单将发起行视为同一机构，信息保密基本上依赖发起行，保密风险高度集中，且管理手段单一。

3.业务服务同质化且水平较低。中小银行机构特别是小银行过度依赖外部资源，系统上线、运行维护以及后续优化均依赖于外包，失去对项目、技术的控制能力，影响业务发展，且当业务发展规划、业务管理制度与发起行（管理行）体系出现差异的时候，信息科技系统无法适时进行调整。

由于对信息系统建设、技术问题不具备太多的主动权，在银行业务与信息技术高度融合的趋势下，中小银行的业务往往与发起行（管理行）同质化明显，制约了服务能力的持续改善与提升。

（二）信息科技监管面临风险

目前信息科技的监管按照属地管理原则开展，采取纸质材料审核，现场检查和非现场检查相结合的方式开展，中小银行外包的普遍存在使信息科技监管面临了严峻挑战。

1.监管要求落实困难。由于外包，目前中小银行信息系统存在异地部署，针对系统标准符合性和系统安全性检查评估的重要关键内容，往往无法开展现场检查核实，主要通过参考其他地方已通过检查评估的，或者以关联密切的行（如由同一发起行发起的其它行）提供的相关材料为依据进行核实，监管要求有效落实存在困难。

2.日常监管效率较低。目前中小银行机构科技人员多数配备不足，从业人员运维实战经验不足，加之系统建设和运维由发起行或科技公司负责，在检查对接、系统问题排查过程中往往效率不高，同时由于不能实施现场检查而以非现场检查为主进行监管，可能存在监管盲区。

三、信息科技外包安全管理对策与建议

（一）规范外包服务机构准入

按照行业信息科技特点及管理要求，从财务状况、内控风险管理，IT服务水平、服务经验、人员技能水平等方面，建立银行业信息科技外包机构资质标准，梳理外包服务准入采购或商务谈判流程，规范外包机构准入，从源头控制提高外包服务水平，防范外包风险。

强化与工商管理部门、信息产业管理部门以及信息安全测评部门的沟通协调，共享信息，建立外包服务机构黑名单或推荐机构名单，多角度，多层次推动外包服务机构持续提升服务能力。

（二）规范中小银行信息科技外包管理内容

建立中小银行机构信息科技外包管理指南或标准，规范外包服务流程、监测评估、应急处置管理内容，细化外包合同和保密管理要求。

按照“技术可以外包，责任不能外包”的原则指导中小银行机构将信息科技外包管理纳入全面风险管理体系，建立与本机构信息科技战略目标相适应的外包管理体系，在开展综合管理的同时引入审计系统等技术手段提升外包管理效能，全过程、全方位做好外包提供商和外包服务人员管理，有效控制或降低由于外包而引发的安全风险。

（三）探索强化整体监管联动

一是强化联合监管。对于信息系统由异地银行业机构外包管理的，探索强化联合监管，确保检查核实有效实施。可由中小银行所在地监管机构委托其信息系统所在地监管机构开展检查，由信息系统所在地监管机构对负责外包的银行系统及数据实施现场检查，检查结果反馈到中小银行所在地监管机构；另外，必要时，可由中小银行所在地监管机构和信息系统所在地监管机构共同组成检查小组开展现场检查核实，通过双线监管，确保监管无死角。

二是强化跨区域科技监管信息交流。建立科技监管信息共享机制，以各省区信息科技监管活动为主要内容，搭建信息共享平台，共享现场检查和非现场检查信息，提示安全风险，交流相关经验。

三是强化与工商管理部门、信息产业管理部门以及信息安全测评部门的沟通协调，探索研究将提供银行信息系统外包服务的科技公司纳入监管范围。

（四）探索引进分级分类管理机制

按照金融机构服务范围、信息科技外包模式的不同，引入分级分类管理模式，有的放矢，提升监管针对性。

一是按照服务范围，对于仅在本地服务的机构和跨地区服务的机构采取不同的管理要求，即跨地区服务的机构采取较高级别的要求，增加检查频度和检查内容，适时引入第三方检测评估机构识别防范安全管理风险。

二是按照外包模式，对服务提供商是发起行（管理行）还是科技公司采取不同的管理要求，即对服务提供商是科技公司的机构采取较高级别的管理要求，强调准入资质，理清权责，强调外包服务监测评估，适时引入第三方检测评估机构识别防范管理风险；鉴于发起行（管理行）与银行机构是利益共同体，则对协同配合，安全内控管理提出更高要求。

（五）鼓励持续提升安全可控能力建设

以不妨碍核心能力建设、积极掌握信息科技关键技术为导向，通过政策指引，鼓励中小银行机构提升科技专业队伍能力建设，逐步提升系统研发能力，加强对信息系统特别是核心业务系统的自主研发。

对于暂时没有实力完全开发的系统，可以采用合作开发的方式，完成后逐步过渡到自己维护，分步骤合理降低外包依赖程度。