金融科技时代的信息科技外包危险办理
金融安排事务的迅速展开和商场竞争的日益剧烈,大大进步了对科技支撑才能的要求。金融安排特别是中小型安排普遍存在信息科技人力资源匮乏、技能才能短缺等问题,人员数量和质量均不能满意事务展开对科技的要求。因而,大部分金融安排许多选用信息科技外包的方法,作为本身科技力气的补偿。但凡事均有两面性,信息科技外包是一把“双刃剑”,在给金融安排带来专业化才能、推进科技立异、进步科技功率、完成科技对事务支撑的一起,也会引发一系列的外包危险。近年来,金融职业接连呈现的外包危险事情给金融安排和监管安排敲响了警钟。信息科技外包危险办理,成为金融安排信息科技危险办理的重要组成部分,也成为金融职业监管的作业要点之一。
金融科技时代,跟着新技能的展开和新事务、新产品的呈现,信息科技的办理架构、技能架构和运维形式不断演化,金融安排与外包商的协作形式和协作关系也产生了改变。新的机会意味着新的危险,因而,除了传统外包安全办理手法外,还需求结合新时代的特色,做好外包商协作关系办理和危险办理。
文/李燕
来历/新金融大数据
1、外包危险办理的必要性
依据我国银保监会发布的《银职业金融安排信息科技外包危险监管指引》,信息科技外包是指银职业金融安排将本来由本身负责处理的信息科技活动托付给服务供给商进行处理的行为。
将信息科技作业外包给其他服务供给商承当,相较于由金融安排本身的职工展开,存在着特别的危险。因而,信息科技外包危险防控,已成为金融职业信息科技危险防备的主要使命之一,金融安排有必要采纳各种办法,加强对信息科技外包的安全办理。
(一)外包办理是“刚需”,外包安全办理是有必要“付出”的对价
在金融安排一切的外包活动中,信息科技外包所占比重最大。金融安排信息科技外包的意图主要有两方面:一是补偿本身人力资源的缺少,将本身有限的资源投入至最重要的事务体系和最中心的技能上,其他资源经过外包方法补偿;二是充分运用外包公司在规模经济、专业化以及前沿立异技能方面的优势,完成对商场改变和事务需求的快速呼应。
已然信息科技外包是大势所趋和无法防止的挑选,那么信息科技外包危险办理也就成了金融安排有必要“付出”的对价,是有必要且十分重要的作业。金融安排不能“一包了之”“包治百病”,而应该承当起外包危险办理的职责,有必要认识到外包的危险,并对外包危险进行剖析评价,加强外包安全办理,采纳危险缓释、搬运、躲避等办法,将外包危险操控到合理、可承受的程度,防止信息技能及服务受制于人。能够说,做欠好外包安全办理,就做欠好信息体系办理,从而无法完成对金融安排体系和事务的保驾护航。
(二)金融安排面对的外包危险局势严峻
近年来,金融安排信息科技外包展开势头迅猛,触及的规模逐渐扩展,涵盖了信息科技相关的规划、需求、开发、基础设施建造、运维等生命周期的各个阶段。假如外包商运营呈现危险、外包商服务质量下降,或许外包商呈现不妥行为,都有或许对金融安排信息体系的安稳运转及事务服务的安全构成严重影响。近年来,金融安排因为外包引发的信息体系中止、灵敏信息走漏等问题较多,外包危险作为金融安排信息科技危险的重要组成部分,有必要认真对待。
(三)监管安排对信息科技外包的监管要求趋严趋紧
针对日益严峻的信息科技外包危险局势和层出不穷的外包危险事情,监管安排高度重视,监管要求逐渐加强。
1.我国银保监会于2010年出台了《银职业金融安排外包危险办理指引》,对外包的安排架构、危险评价、外包商尽职查询、合同协议约好等方面提出了具体要求。2.我国银保监会于2013年印发了《银职业金融安排信息科技外包危险监管指引》,专门针对信息科技外包这一比重最大的外包范畴提出了许多细化的安全管控要求,界说了信息科技外包的几种类型,标准了银行信息科技外包危险办理的安排架构和战略内容,细化了信息科技外包活动各阶段、各环节的危险操控及办理要求,并针对重要外包商、安排会集度外包商、跨境外包商、非驻场外包商、银职业要点外包服务安排等特别类型的外包商提出了相应的办理要求,能够作为银职业信息科技外包作业的一个“纲领性”文件。监管要求清晰不得将信息科技办理职责外包,引导银即将信息科技外包办理归入全面危险办理体系。3.2017年,我国证监会发布《证券基金运营安排信息技能办理办法》(征求意见稿),其间规则了对“信息技能服务安排”即外包安排的要求,包含“不得将重要信息体系的运转、保护或日常安全办理交由信息技能服务安排独立施行”的规则,以及审慎挑选信息技能服务安排时应该重视的要点事项、合同束缚要求、内部检查要求、部分服务安排的存案要求、应急处置机制、禁止行为等。各类监管要求从战略规划的高度和战术履行的细度,为金融安排树立信息科技外包办理体系、战略方针和作业机制供给了标准性的要求,既是辅导又是束缚。金融安排有必要遵从监管要求,在监管要求的框架下建立本身的外包危险管控体系,处理基础性、体系性缺失的问题。
2、金融科技协作的几种外包形式在人工智能、区块链、云核算、大数据、物联等
新技能许多被运用的当下,呈现了许多的金融科技公司,其服务规模现已不再局限于供给规划咨询、运用研制、体系运维、安全服务等传统的、纯科技的外包服务,而是寻求与金融安排的深度协作,将事务协作、消费场景、科技才能等向金融安排输出,嵌入到两边协作的内容之中。
金融安排与金融科技公司的协作,主要有3种外包形式。第一种是与“互联络”的金融科技公司协作,进入互联企业“生态圈”。在互联公司的渠道和科技才能输出的基础上,展开两边体系渠道的技能对接,运用互联企业的许多用户、流量、消费场景等优势,在技能和事务方面同步展开协作。第二种是与“金融系”的金融科技公司协作,建造银行、兴业银行、招商银行、民生银行、南京银行等大中型银行安排纷繁成立了金融科技公司或许供给敞开的金融渠道,为其他中小金融安排供给服务。第三种是与中小型金融科技企业协作,充分运用金融科技企业的技能,整合两边资源,将金融科技企业融入银行本身的生态圈中。不管是哪种协作形式,在信息科技外包危险管控方面都具有一起的特色,那就是金融安排对外包事务环节中的金融危险须承当危险管控的主体职责,需求剖析新的外包形式或许带来的新危险和影响,当令采纳必要的应对办法。
3、金融科技协作中外包形式的危险剖析
金融安排与金融科技公司的协作,一般会包含数据同享、事务流程整合等方面的协作内容,并且金融科技相关运用中的分布式账户、大数据、云核算、客户身份认证、区块链等技能运用,常常选用外包形式,因而,存在一些新的危险。
(一)个人信息保护方面
金融科技的广泛运用带来了客户信息保护的新应战,需求特别重视数据的保密性、完整性和可用性。一是因为事务协作或许触及金融安排客户信息的同享,或许金融安排需求经过金融科技公司的渠道和场景作为引流方法,难以保证客户信息的肯定安全。二是客户信息是否经过信息主体的授权,是否走漏隐私,哪些信息能够获取,哪些不能够等问题,现在在法律法规和监管要求层面都缺少可落地的细则,客户信息的来历和运用的合法合规性没有统一标准。三是在客户信息的收集、处理、存储、传输、毁掉等全生命周期的办理环节中存在各种不行预知的危险,需求防止数据丢掉、损坏、被篡改,以及保证不行用的数据被正常毁掉。
(二)事务接连性方面
因为社会公众服务对实时性要求极高,金融安排的事务接连性要求一般也十分高。与金融科技公司展开事务协作,事务接连性将部分依赖于金融科技公司的办理有效性、基础设施和软硬件体系建造水平、团队职责心等,这对金融科技公司的服务才能提出了巨大的应战。当产生体系故障时,怎么快速应急处置,保证数据和事务的快速康复,是对金融科技公司的巨大检测。
(三)信息安全方面
因为用户信息资源的高度会集,其获利性大幅进步,金融科技渠道遭受黑客进犯的或许性上升。DDoS进犯、数据库拖库等进犯而导致的服务不行用或许灵敏信息走漏的或许性上升,其所导致的结果会显着超越传统的单家金融安排遭受进犯。
4、金融科技协作中外包形式的危险办理要求挑选
金融科技外包协作形式,有必要承受其固有危险。但一起,也要做好以下危险操控办法,尽或许地将剩下危险降低到能够承受的程度。
一是金融科技规划有必要同步考虑危险防控规划,将包含外包危险在内的危险防控的办理和技能手法,与金融科技的运用同步规划、同步规划、同步施行,方能保证在新技能上线的一起,新的安全防控办法也施行到位。危险防备规划相同需求从用户体会的视点动身,环绕客户财物和信息安全展开危险剖析和防控。
二是金融安排有必要承当外包危险办理的主体职责。一方面,传统的外包安全办理要求相同适用于金融科技公司;另一方面,须严格要求金融科技公司恪守金融职业监管要求,如恪守账户实名制、客户身份验证、产品宣扬出售、投资者恰当性办理等方面的技能要求,以保护金融客户的合法权益。
三是在协作协议上有必要清晰规则客户信息保护、事务接连性办理、信息安全办理方面的要求、监控目标和对应的违约职责,束缚金融科技公司的行为。
四是要求金融科技公司拟定具体的运转保护和信息安全办理制度和流程,以保证数据备份的有效性、加强数据拜访的授权操控、根绝数据被歹意篡改、保证退役数据的妥善保管或毁掉等。
五是经过技能手法防备危险。一方面,应做好与金融科技公司之间在数据传输过程中的加密、防篡改和完整性校验、不同企业间数据安全阻隔等;另一方面,要求金融科技公司做好安全防控,包含络安全区域区分和络阻隔,防进犯、防病毒、防篡改的安全办法,安全技能防控东西布置,安全审计体系布置,运用安全漏洞防备等,以保证能供给与金融职业相同高安全等级的服务。
5、结语
信息科技外包危险办理将是商业银行一项重要的长时间使命,特别是新时代的新式外包办理形式,更是有着不同于传统办理形式的特色,需求一边研讨探究、一边审慎实践,方可构成一套合适金融安排的外包办理体系。
END