來源:《金融電子化》
《金融電子化》雜志創刊于1993年,是由中國人民銀行主管,中國金融電子化公司主辦,中國銀行業監督管理委員會、中國證券監督管理委員會、中國保險監督管理委員會以及有關金融機構共同支持協辦的國家級科技期刊。雜志主要面向國內外金融界與信息產業界,圍繞金融服務主線,全面報道金融信息化建設和金融業務創新發展的進程,展望未來發展趨勢,為我國金融業的改革和發展服務。
浙江大學軟件學院副院長 楊小虎
浙江網新恒天軟件有限公司 李雙喜 劉敏
金融軟件外包是個長期、復雜的任務。我們根據從業十幾年的從業經驗,結合國內外理論,梳理其關鍵實踐點和信息安全管理策略。希望對國內金融機構軟件發展起到借鑒作用。全球化金融軟件外包實踐
2001年底,浙江大學與美國道富銀行(State Street Corporation)合作成立浙江大學道富技術中心,開展全球化金融軟件的研究和開發。目前,該中心可以提供全方位、一體化服務,并可以在全球范圍內的多個地區提供產品支持;開發的全球化金融軟件系統涉及股票、證券、外匯、基金等金融領域。軟件外包流程和關鍵要素
服務外包的流程主要包括:決定外包策略、定義運營模型、準備合同、選擇供應商、工作轉移給供應商、管理供應商的工作表現、確保服務的提供。 其中,國外發包方普遍非常注重合同準備這一環節,對國內金融行業具有借鑒意義。一般來說,他們會要求自己的供應商完全按照自己的合同范本進行簽署,因為他們在擬定合同范本時,已經考慮到所有可能出現的對自己不利的情況,并通過合同條款對自己做了盡可能完善的保護和免責。 服務外包的過程中有幾個比較重要的要素,對于發包方的決策者來說,首先面臨的是選擇企業內部哪一部分業務外包,根據國外的研究,可以根據業務模塊對于公司整體的經營和市場競爭優勢的貢獻度策。 決定了外包內容,接下來發包方需要選擇供應商,如何對供應商進行有效的評價直接關系到外包的成效。要特別指出的是,國內傳統觀念往往把CMMI作為判斷一家供應商能力的十分重要指標,其實不然,圖1列出了多項重要的評價指標。 供應商的選擇一般有四種模式: 單一供應商模式,一般存在于有特定關系的供需雙方;最優供應商模式,國內比較多見,但有其弊端,比如很多有價值的經驗無法很好的積累傳承,同時針對每個項目獨立招投標無疑會一定程度地造成資源的浪費;
固定供應商組的模式,在歐美比較多見,在這個模式下,發包方根據自己的準入標準挑選符合條件的多家供應商,然后根據不同外包業務在供應商組內招標選擇,這種模式很好的避免了單一供應商和最優供應商的弊端; 主承包商的模式,在日本市場比較常見。全面有效地度量發包方的能力,需要從架構的計劃與設計、業務和功能界定,到服務的交付等一系列的過程中全方位多角度考察。
金融軟件服務外包中的安全策略和安全管理
對于發包方而言,服務外包給發包方帶來了諸如成本降低、效率提升、核心業務鞏固等諸多好處,但同時也帶來了信息安全、知識產權保護等問題。服務外包中信息安全的驅動力
(1)發包方所在地法律法規的要求 發包方所在國家或地區政府所出臺的信息安全相關法律法規對這些企業的信息保護要求較為嚴格。以美國為例,美國2001年出臺的《關鍵基礎設施信息安全法案》和2004年出臺的《薩班斯法案》(Sarbanes-Oxley Act)都對美國的政府部門和企業提出極其嚴格的IT內部控制和信息安全要求,在IT基礎設施、訪問控制、災難恢復、信息系統開發與實施、IT治理等方面都有著詳細和嚴格的要求。當支撐這些政府部門和企業日常經營活動的IT系統外包給接包方時,相關的要求就會全部或部分延伸至這些接包方。 (2)發包方出于保護自身敏感、機密信息和數據的需要 在軟件外包的過程中,接包方會接觸到發包方各式各樣的信息和數據,比如IT系統的源代碼、發包方的內部運營信息、相關人員的聯系方式甚至發包方的客戶信息、交易信息等。這些信息一旦泄露,發包方將會面臨不同程度的經濟損失、法律訴訟,甚至核心競爭力的喪失。 (3)接包方所在國家或地區的相關法律法規的要求 以中國為例,近年來中國出臺了一系列與信息安全相關的法律法規,如《中華人民共和國計算機信息系統安全保護條例》 《計算機信息網絡國際聯網安全保護管理辦法》《計算機病毒防治管理辦法》等,旨在逐步規范和推進著中國企事業單位以及普通公民的信息安全保障能力。對于中國的服務外包企業,中國商務部、工業和信息化部于2010年2月1日出臺了一個更具有針對性的法規條例——《關于境內企業承接服務外包業務信息保護的若干規定》。此法規對接包方在信息安全保護方面上提出了以下規定和要求:如要求接包方應成立信息保護機構或指定專職人員負責制定本企業的信息保護規章制度,接包方應當加強對員工的信息安全培訓。此外,還明確鼓勵接包方積極借鑒國內外信息安全認證要求、行業最佳實踐來制定企業內部信息安全管理體系,并獲得國內、國際信息安全認證。 (4)接包方出于增強自身競爭力的需要 發包方因其所在國家或地區法律法規和發包方自身敏感、機密信息、數據保護的需要,對接包方提出了信息安全保障、知識產權保護方面的期望和要求。接包方的信息安全保障能力也就自然成了接包方的核心競爭力之一。金融軟件外包中的信息安全管理
金融軟件外包中的信息安全管理是發包方和接包方雙方共同的責任。對于發包方而言,主要需要關注的內容有:項目啟動前對接包方信息安全保障能力、資質的評估;項目開發、服務交付過程中對接包方的信息安全管理活動持續監督、定期審計;對項目過程中發生的信息安全事件的追蹤與處理等。 對于接包方而言,信息安全管理的要求應貫穿于接包方的各個業務流程之中。為了保證各業務流程的信息安全管理工作有序地開展,接包方可參照ISO/IEC 27001國際標準建立一套組織內的信息安全管理體系(Information Security Management System),以涵蓋信息安全管理的一些關鍵活動(見表1)。|
A.5、安全方針 (Security Policy) (1,2) (附注) |
|||
|
A.6、安全組織 (Security Organization) (2,11) |
|||
|
A.7、資產分類與控制 (Asset classification and Control) (2,5) |
|||
|
A.8、人員安全 (Personnel Security) (3,9) |
A.9、物理與環境安全 (Physic and Environment Security) (2,13) |
A.10、通信與運行管理 (Communication and Operation Management) (10,32) |
A.12、系統開發與維護 (System develop and maintenance) (6,16) |
|
A.11、訪問控制 (Access control) (7,25) |
|||
|
A.13、安全事件管理 (Compliance) (2,5) |
|||
|
A.14、業務持續性管理 (Business continuity management) (1,5) |
|||
|
A.15、符合性 (Compliance) (3,10) |
|||
|
附注: (m, n) - m: 執行目標的數目 n: 控制方法的數目 |
|||
