全球化金融软件外包实践与安全策略
2018.05.25
来源:《金融电子化》
《金融电子化》杂志创刊于1993年,是由中国人民银行主管,中国金融电子化公司主办,中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会以及有关金融机构共同支持协办的国家级科技期刊。杂志主要面向国内外金融界与信息产业界,围绕金融服务主线,全面报道金融信息化建设和金融业务创新发展的进程,展望未来发展趋势,为我国金融业的改革和发展服务。
浙江大学软件学院副院长  杨小虎
浙江网新恒天软件有限公司   李双喜   刘敏
金融软件外包是个长期、复杂的任务。我们根据从业十几年的从业经验,结合国内外理论,梳理其关键实践点和信息安全管理策略。希望对国内金融机构软件发展起到借鉴作用。
全球化金融软件外包实践
2001年底,浙江大学与美国道富银行(State Street Corporation)合作成立浙江大学道富技术中心,开展全球化金融软件的研究和开发。目前,该中心可以提供全方位、一体化服务,并可以在全球范围内的多个地区提供产品支持;开发的全球化金融软件系统涉及股票、证券、外汇、基金等金融领域。
软件外包流程和关键要素
服务外包的流程主要包括:决定外包策略、定义运营模型、准备合同、选择供应商、工作转移给供应商、管理供应商的工作表现、确保服务的提供。 其中,国外发包方普遍非常注重合同准备这一环节,对国内金融行业具有借鉴意义。一般来说,他们会要求自己的供应商完全按照自己的合同范本进行签署,因为他们在拟定合同范本时,已经考虑到所有可能出现的对自己不利的情况,并通过合同条款对自己做了尽可能完善的保护和免责。 服务外包的过程中有几个比较重要的要素,对于发包方的决策者来说,首先面临的是选择企业内部哪一部分业务外包,根据国外的研究,可以根据业务模块对于公司整体的经营和市场竞争优势的贡献度策。 决定了外包内容,接下来发包方需要选择供应商,如何对供应商进行有效的评价直接关系到外包的成效。要特别指出的是,国内传统观念往往把CMMI作为判断一家供应商能力的十分重要指标,其实不然,图1列出了多项重要的评价指标。 供应商的选择一般有四种模式: 单一供应商模式,一般存在于有特定关系的供需双方;

最优供应商模式,国内比较多见,但有其弊端,比如很多有价值的经验无法很好的积累传承,同时针对每个项目独立招投标无疑会一定程度地造成资源的浪费;

固定供应商组的模式,在欧美比较多见,在这个模式下,发包方根据自己的准入标准挑选符合条件的多家供应商,然后根据不同外包业务在供应商组内招标选择,这种模式很好的避免了单一供应商和最优供应商的弊端; 主承包商的模式,在日本市场比较常见。

全面有效地度量发包方的能力,需要从架构的计划与设计、业务和功能界定,到服务的交付等一系列的过程中全方位多角度考察。

金融软件服务外包中的安全策略和安全管理
对于发包方而言,服务外包给发包方带来了诸如成本降低、效率提升、核心业务巩固等诸多好处,但同时也带来了信息安全、知识产权保护等问题。
服务外包中信息安全的驱动力
(1)发包方所在地法律法规的要求 发包方所在国家或地区政府所出台的信息安全相关法律法规对这些企业的信息保护要求较为严格。以美国为例,美国2001年出台的《关键基础设施信息安全法案》和2004年出台的《萨班斯法案》(Sarbanes-Oxley Act)都对美国的政府部门和企业提出极其严格的IT内部控制和信息安全要求,在IT基础设施、访问控制、灾难恢复、信息系统开发与实施、IT治理等方面都有着详细和严格的要求。当支撑这些政府部门和企业日常经营活动的IT系统外包给接包方时,相关的要求就会全部或部分延伸至这些接包方。 (2)发包方出于保护自身敏感、机密信息和数据的需要 在软件外包的过程中,接包方会接触到发包方各式各样的信息和数据,比如IT系统的源代码、发包方的内部运营信息、相关人员的联系方式甚至发包方的客户信息、交易信息等。这些信息一旦泄露,发包方将会面临不同程度的经济损失、法律诉讼,甚至核心竞争力的丧失。 (3)接包方所在国家或地区的相关法律法规的要求 以中国为例,近年来中国出台了一系列与信息安全相关的法律法规,如《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》《计算机病毒防治管理办法》等,旨在逐步规范和推进着中国企事业单位以及普通公民的信息安全保障能力。对于中国的服务外包企业,中国商务部、工业和信息化部于2010年2月1日出台了一个更具有针对性的法规条例——《关于境内企业承接服务外包业务信息保护的若干规定》。此法规对接包方在信息安全保护方面上提出了以下规定和要求:如要求接包方应成立信息保护机构或指定专职人员负责制定本企业的信息保护规章制度,接包方应当加强对员工的信息安全培训。此外,还明确鼓励接包方积极借鉴国内外信息安全认证要求、行业最佳实践来制定企业内部信息安全管理体系,并获得国内、国际信息安全认证。 (4)接包方出于增强自身竞争力的需要 发包方因其所在国家或地区法律法规和发包方自身敏感、机密信息、数据保护的需要,对接包方提出了信息安全保障、知识产权保护方面的期望和要求。接包方的信息安全保障能力也就自然成了接包方的核心竞争力之一。
金融软件外包中的信息安全管理
金融软件外包中的信息安全管理是发包方和接包方双方共同的责任。对于发包方而言,主要需要关注的内容有:项目启动前对接包方信息安全保障能力、资质的评估;项目开发、服务交付过程中对接包方的信息安全管理活动持续监督、定期审计;对项目过程中发生的信息安全事件的追踪与处理等。 对于接包方而言,信息安全管理的要求应贯穿于接包方的各个业务流程之中。为了保证各业务流程的信息安全管理工作有序地开展,接包方可参照ISO/IEC 27001国际标准建立一套组织内的信息安全管理体系(Information Security Management System),以涵盖信息安全管理的一些关键活动(见表1)。

A.5、安全方针 (Security Policy)  (1,2) (附注)

A.6、安全组织 (Security Organization) (2,11)

A.7、资产分类与控制 (Asset classification and Control) (2,5)

A.8、人员安全 (Personnel Security) (3,9)

A.9、物理与环境安全 (Physic and Environment Security) (2,13)

A.10、通信与运行管理 (Communication and Operation Management) (10,32)

A.12、系统开发与维护 (System develop and maintenance) (6,16)

A.11、访问控制 (Access control) (7,25)

A.13、安全事件管理 (Compliance) (2,5)

A.14、业务持续性管理 (Business continuity management) (1,5)

A.15、符合性 (Compliance) (3,10)

附注: (m, n) - m: 执行目标的数目   n: 控制方法的数目

表1   信息安全管理体系架构示意图 信息安全体系架构中覆盖的控制域定义和说明如下: 安全方针:企业管理层需要对公司的信息安全提出明确的目标,并制定可操作的安全管理策略,为信息安全提供管理指导和支持。 信息安全组织:在企业内建立信息安全组织以进行信息安全管理活动。 资产管理:对企业所有的信息资产进行分类,并对这些资产就价值和重要性进行分类标识,实施不同的安全措施对这些资产进行保护。 人力资源安全:明确企业员工在聘用前、聘用中和聘用后的涉及的信息安全问题,加强对员工的信息安全培训和教育。 物理环境安全:分析企业的信息安全威胁来源,划分物理安全区域,保证企业办公场所的安全性。 通信与操作管理:覆盖企业的网络、服务器、数据库、存储介质、防火墙和病毒防护等方面的管理,确保信息处理设施正确和安全运行。 访问控制:定义用户存取控制策略,管理用户存取过程,从逻辑访问控制方面确保企业的数据安全。 系统的获取、开发和维护;:明确企业应用系统安全需求,将信息安全纳入信息系统的整个生命周期中。 信息安全时间管理:确保安全事件发生后企业有正确的处理流程和报告方式。 业务持续性管理:定义业务持续性管理过程,业务持续性和影响过程分析,制定和制定切实可行的业务持续性计划,定期进行测试、维护、演练。防止业务活动的中断,以保护企业关键的业务过程免受重大故障或灾难的影响。 符合性:识别现有适用的法律法规,在企业内使用合法正版的软件,加强安全审计等。
信息安全管理体系实施方法选择
ISO27001信息安全管理体系在网新恒天建设和实施的方法,采用如图6所示的PDCA(Plan-Do-Check-Act)模型进行实施。即将ISO27001标准的要求与企业的客户、合作伙伴、员工等相关方的信息安全要求和期望作为输入,进行规划和建立企业的信息安全管理体系、实施和运行该体系、监视和评审以及保持和改进该体系,最后输出满足各方期望的信息安全管理体系。 规划和建立阶段:通过企业安全组织的建立、项目计划的制定、体系知识的培训、现状调查、风险评估、体系文件制定等步骤建立企业的信息安全管理体系。 实施和运行:实施和试运行企业所建立的方针、控制措施、过程和程序。 监视和评审阶段:对照企业所建立的方针、目标和实践经验,评估并定期审计体系执行情况,将结果报告管理者以供评审。 保持和改进阶段:基于ISMS内部审核和外部审核的结果或者其他相关信息,采取纠正和预防措施,以持续改进企业的信息安全管理体系。 ISO27001信息安全管理体系在企业的应用过程是一个遵循上述闭环模型的持续改进过程。 总之,信息安全在金融软件服务外包中一直是发包方、接包方关注的重点内容之一。接包方可参照ISO/IEC27001、COBIT、ITIL等国际标准、行业最佳实践来建立组织的信息安全管理体系、内部控制流程,以不断完善对金融软件服务外包中信息风险的有效管理,确保能为金融软件外包服务的成功交付提供可靠的安全保障。
关于浙江网新恒天软件有限公司
恒天软件是浙大网新、美国道富和浙江大学战略联盟的结晶,是一家致力于为中外企业提供可靠的、专业的IT服务及产品的软件公司。恒天软件提供企业级软件的定制开发服务,并有覆盖金融、制造、零售等行业的IT产品和解决方案。