来源:《金融电子化》
《金融电子化》杂志创刊于1993年,是由中国人民银行主管,中国金融电子化公司主办,中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会以及有关金融机构共同支持协办的国家级科技期刊。杂志主要面向国内外金融界与信息产业界,围绕金融服务主线,全面报道金融信息化建设和金融业务创新发展的进程,展望未来发展趋势,为我国金融业的改革和发展服务。
浙江大学软件学院副院长 杨小虎
浙江网新恒天软件有限公司 李双喜 刘敏
金融软件外包是个长期、复杂的任务。我们根据从业十几年的从业经验,结合国内外理论,梳理其关键实践点和信息安全管理策略。希望对国内金融机构软件发展起到借鉴作用。全球化金融软件外包实践
2001年底,浙江大学与美国道富银行(State Street Corporation)合作成立浙江大学道富技术中心,开展全球化金融软件的研究和开发。目前,该中心可以提供全方位、一体化服务,并可以在全球范围内的多个地区提供产品支持;开发的全球化金融软件系统涉及股票、证券、外汇、基金等金融领域。软件外包流程和关键要素
服务外包的流程主要包括:决定外包策略、定义运营模型、准备合同、选择供应商、工作转移给供应商、管理供应商的工作表现、确保服务的提供。 其中,国外发包方普遍非常注重合同准备这一环节,对国内金融行业具有借鉴意义。一般来说,他们会要求自己的供应商完全按照自己的合同范本进行签署,因为他们在拟定合同范本时,已经考虑到所有可能出现的对自己不利的情况,并通过合同条款对自己做了尽可能完善的保护和免责。 服务外包的过程中有几个比较重要的要素,对于发包方的决策者来说,首先面临的是选择企业内部哪一部分业务外包,根据国外的研究,可以根据业务模块对于公司整体的经营和市场竞争优势的贡献度策。 决定了外包内容,接下来发包方需要选择供应商,如何对供应商进行有效的评价直接关系到外包的成效。要特别指出的是,国内传统观念往往把CMMI作为判断一家供应商能力的十分重要指标,其实不然,图1列出了多项重要的评价指标。 供应商的选择一般有四种模式: 单一供应商模式,一般存在于有特定关系的供需双方;最优供应商模式,国内比较多见,但有其弊端,比如很多有价值的经验无法很好的积累传承,同时针对每个项目独立招投标无疑会一定程度地造成资源的浪费;
固定供应商组的模式,在欧美比较多见,在这个模式下,发包方根据自己的准入标准挑选符合条件的多家供应商,然后根据不同外包业务在供应商组内招标选择,这种模式很好的避免了单一供应商和最优供应商的弊端; 主承包商的模式,在日本市场比较常见。全面有效地度量发包方的能力,需要从架构的计划与设计、业务和功能界定,到服务的交付等一系列的过程中全方位多角度考察。
金融软件服务外包中的安全策略和安全管理
对于发包方而言,服务外包给发包方带来了诸如成本降低、效率提升、核心业务巩固等诸多好处,但同时也带来了信息安全、知识产权保护等问题。服务外包中信息安全的驱动力
(1)发包方所在地法律法规的要求 发包方所在国家或地区政府所出台的信息安全相关法律法规对这些企业的信息保护要求较为严格。以美国为例,美国2001年出台的《关键基础设施信息安全法案》和2004年出台的《萨班斯法案》(Sarbanes-Oxley Act)都对美国的政府部门和企业提出极其严格的IT内部控制和信息安全要求,在IT基础设施、访问控制、灾难恢复、信息系统开发与实施、IT治理等方面都有着详细和严格的要求。当支撑这些政府部门和企业日常经营活动的IT系统外包给接包方时,相关的要求就会全部或部分延伸至这些接包方。 (2)发包方出于保护自身敏感、机密信息和数据的需要 在软件外包的过程中,接包方会接触到发包方各式各样的信息和数据,比如IT系统的源代码、发包方的内部运营信息、相关人员的联系方式甚至发包方的客户信息、交易信息等。这些信息一旦泄露,发包方将会面临不同程度的经济损失、法律诉讼,甚至核心竞争力的丧失。 (3)接包方所在国家或地区的相关法律法规的要求 以中国为例,近年来中国出台了一系列与信息安全相关的法律法规,如《中华人民共和国计算机信息系统安全保护条例》 《计算机信息网络国际联网安全保护管理办法》《计算机病毒防治管理办法》等,旨在逐步规范和推进着中国企事业单位以及普通公民的信息安全保障能力。对于中国的服务外包企业,中国商务部、工业和信息化部于2010年2月1日出台了一个更具有针对性的法规条例——《关于境内企业承接服务外包业务信息保护的若干规定》。此法规对接包方在信息安全保护方面上提出了以下规定和要求:如要求接包方应成立信息保护机构或指定专职人员负责制定本企业的信息保护规章制度,接包方应当加强对员工的信息安全培训。此外,还明确鼓励接包方积极借鉴国内外信息安全认证要求、行业最佳实践来制定企业内部信息安全管理体系,并获得国内、国际信息安全认证。 (4)接包方出于增强自身竞争力的需要 发包方因其所在国家或地区法律法规和发包方自身敏感、机密信息、数据保护的需要,对接包方提出了信息安全保障、知识产权保护方面的期望和要求。接包方的信息安全保障能力也就自然成了接包方的核心竞争力之一。金融软件外包中的信息安全管理
金融软件外包中的信息安全管理是发包方和接包方双方共同的责任。对于发包方而言,主要需要关注的内容有:项目启动前对接包方信息安全保障能力、资质的评估;项目开发、服务交付过程中对接包方的信息安全管理活动持续监督、定期审计;对项目过程中发生的信息安全事件的追踪与处理等。 对于接包方而言,信息安全管理的要求应贯穿于接包方的各个业务流程之中。为了保证各业务流程的信息安全管理工作有序地开展,接包方可参照ISO/IEC 27001国际标准建立一套组织内的信息安全管理体系(Information Security Management System),以涵盖信息安全管理的一些关键活动(见表1)。
A.5、安全方针 (Security Policy) (1,2) (附注) |
|||
A.6、安全组织 (Security Organization) (2,11) |
|||
A.7、资产分类与控制 (Asset classification and Control) (2,5) |
|||
A.8、人员安全 (Personnel Security) (3,9) |
A.9、物理与环境安全 (Physic and Environment Security) (2,13) |
A.10、通信与运行管理 (Communication and Operation Management) (10,32) |
A.12、系统开发与维护 (System develop and maintenance) (6,16) |
A.11、访问控制 (Access control) (7,25) |
|||
A.13、安全事件管理 (Compliance) (2,5) |
|||
A.14、业务持续性管理 (Business continuity management) (1,5) |
|||
A.15、符合性 (Compliance) (3,10) |
|||
附注: (m, n) - m: 执行目标的数目 n: 控制方法的数目 |