最近瀏覽
全球化金融軟件外包實踐與安全策略
2018.05.25
來源:《金融電子化》
《金融電子化》雜志創(chuàng)刊于1993年,是由中國人民銀行主管,中國金融電子化公司主辦,中國銀行業(yè)監(jiān)督管理委員會、中國證券監(jiān)督管理委員會、中國保險監(jiān)督管理委員會以及有關金融機構共同支持協(xié)辦的國家級科技期刊。雜志主要面向國內(nèi)外金融界與信息產(chǎn)業(yè)界,圍繞金融服務主線,全面報道金融信息化建設和金融業(yè)務創(chuàng)新發(fā)展的進程,展望未來發(fā)展趨勢,為我國金融業(yè)的改革和發(fā)展服務。
浙江大學軟件學院副院長  楊小虎
浙江網(wǎng)新恒天軟件有限公司   李雙喜   劉敏
金融軟件外包是個長期、復雜的任務。我們根據(jù)從業(yè)十幾年的從業(yè)經(jīng)驗,結合國內(nèi)外理論,梳理其關鍵實踐點和信息安全管理策略。希望對國內(nèi)金融機構軟件發(fā)展起到借鑒作用。
全球化金融軟件外包實踐
2001年底,浙江大學與美國道富銀行(State Street Corporation)合作成立浙江大學道富技術中心,開展全球化金融軟件的研究和開發(fā)。目前,該中心可以提供全方位、一體化服務,并可以在全球范圍內(nèi)的多個地區(qū)提供產(chǎn)品支持;開發(fā)的全球化金融軟件系統(tǒng)涉及股票、證券、外匯、基金等金融領域。
軟件外包流程和關鍵要素
服務外包的流程主要包括:決定外包策略、定義運營模型、準備合同、選擇供應商、工作轉移給供應商、管理供應商的工作表現(xiàn)、確保服務的提供。 其中,國外發(fā)包方普遍非常注重合同準備這一環(huán)節(jié),對國內(nèi)金融行業(yè)具有借鑒意義。一般來說,他們會要求自己的供應商完全按照自己的合同范本進行簽署,因為他們在擬定合同范本時,已經(jīng)考慮到所有可能出現(xiàn)的對自己不利的情況,并通過合同條款對自己做了盡可能完善的保護和免責。 服務外包的過程中有幾個比較重要的要素,對于發(fā)包方的決策者來說,首先面臨的是選擇企業(yè)內(nèi)部哪一部分業(yè)務外包,根據(jù)國外的研究,可以根據(jù)業(yè)務模塊對于公司整體的經(jīng)營和市場競爭優(yōu)勢的貢獻度策。 決定了外包內(nèi)容,接下來發(fā)包方需要選擇供應商,如何對供應商進行有效的評價直接關系到外包的成效。要特別指出的是,國內(nèi)傳統(tǒng)觀念往往把CMMI作為判斷一家供應商能力的十分重要指標,其實不然,圖1列出了多項重要的評價指標。 供應商的選擇一般有四種模式: 單一供應商模式,一般存在于有特定關系的供需雙方;

最優(yōu)供應商模式,國內(nèi)比較多見,但有其弊端,比如很多有價值的經(jīng)驗無法很好的積累傳承,同時針對每個項目獨立招投標無疑會一定程度地造成資源的浪費;

固定供應商組的模式,在歐美比較多見,在這個模式下,發(fā)包方根據(jù)自己的準入標準挑選符合條件的多家供應商,然后根據(jù)不同外包業(yè)務在供應商組內(nèi)招標選擇,這種模式很好的避免了單一供應商和最優(yōu)供應商的弊端; 主承包商的模式,在日本市場比較常見。

全面有效地度量發(fā)包方的能力,需要從架構的計劃與設計、業(yè)務和功能界定,到服務的交付等一系列的過程中全方位多角度考察。

金融軟件服務外包中的安全策略和安全管理
對于發(fā)包方而言,服務外包給發(fā)包方帶來了諸如成本降低、效率提升、核心業(yè)務鞏固等諸多好處,但同時也帶來了信息安全、知識產(chǎn)權保護等問題。
服務外包中信息安全的驅動力
(1)發(fā)包方所在地法律法規(guī)的要求 發(fā)包方所在國家或地區(qū)政府所出臺的信息安全相關法律法規(guī)對這些企業(yè)的信息保護要求較為嚴格。以美國為例,美國2001年出臺的《關鍵基礎設施信息安全法案》和2004年出臺的《薩班斯法案》(Sarbanes-Oxley Act)都對美國的政府部門和企業(yè)提出極其嚴格的IT內(nèi)部控制和信息安全要求,在IT基礎設施、訪問控制、災難恢復、信息系統(tǒng)開發(fā)與實施、IT治理等方面都有著詳細和嚴格的要求。當支撐這些政府部門和企業(yè)日常經(jīng)營活動的IT系統(tǒng)外包給接包方時,相關的要求就會全部或部分延伸至這些接包方。 (2)發(fā)包方出于保護自身敏感、機密信息和數(shù)據(jù)的需要 在軟件外包的過程中,接包方會接觸到發(fā)包方各式各樣的信息和數(shù)據(jù),比如IT系統(tǒng)的源代碼、發(fā)包方的內(nèi)部運營信息、相關人員的聯(lián)系方式甚至發(fā)包方的客戶信息、交易信息等。這些信息一旦泄露,發(fā)包方將會面臨不同程度的經(jīng)濟損失、法律訴訟,甚至核心競爭力的喪失。 (3)接包方所在國家或地區(qū)的相關法律法規(guī)的要求 以中國為例,近年來中國出臺了一系列與信息安全相關的法律法規(guī),如《中華人民共和國計算機信息系統(tǒng)安全保護條例》 《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》《計算機病毒防治管理辦法》等,旨在逐步規(guī)范和推進著中國企事業(yè)單位以及普通公民的信息安全保障能力。對于中國的服務外包企業(yè),中國商務部、工業(yè)和信息化部于2010年2月1日出臺了一個更具有針對性的法規(guī)條例——《關于境內(nèi)企業(yè)承接服務外包業(yè)務信息保護的若干規(guī)定》。此法規(guī)對接包方在信息安全保護方面上提出了以下規(guī)定和要求:如要求接包方應成立信息保護機構或指定專職人員負責制定本企業(yè)的信息保護規(guī)章制度,接包方應當加強對員工的信息安全培訓。此外,還明確鼓勵接包方積極借鑒國內(nèi)外信息安全認證要求、行業(yè)最佳實踐來制定企業(yè)內(nèi)部信息安全管理體系,并獲得國內(nèi)、國際信息安全認證。 (4)接包方出于增強自身競爭力的需要 發(fā)包方因其所在國家或地區(qū)法律法規(guī)和發(fā)包方自身敏感、機密信息、數(shù)據(jù)保護的需要,對接包方提出了信息安全保障、知識產(chǎn)權保護方面的期望和要求。接包方的信息安全保障能力也就自然成了接包方的核心競爭力之一。
金融軟件外包中的信息安全管理
金融軟件外包中的信息安全管理是發(fā)包方和接包方雙方共同的責任。對于發(fā)包方而言,主要需要關注的內(nèi)容有:項目啟動前對接包方信息安全保障能力、資質(zhì)的評估;項目開發(fā)、服務交付過程中對接包方的信息安全管理活動持續(xù)監(jiān)督、定期審計;對項目過程中發(fā)生的信息安全事件的追蹤與處理等。 對于接包方而言,信息安全管理的要求應貫穿于接包方的各個業(yè)務流程之中。為了保證各業(yè)務流程的信息安全管理工作有序地開展,接包方可參照ISO/IEC 27001國際標準建立一套組織內(nèi)的信息安全管理體系(Information Security Management System),以涵蓋信息安全管理的一些關鍵活動(見表1)。

A.5、安全方針 (Security Policy)  (1,2) (附注)

A.6、安全組織 (Security Organization) (2,11)

A.7、資產(chǎn)分類與控制 (Asset classification and Control) (2,5)

A.8、人員安全 (Personnel Security) (3,9)

A.9、物理與環(huán)境安全 (Physic and Environment Security) (2,13)

A.10、通信與運行管理 (Communication and Operation Management) (10,32)

A.12、系統(tǒng)開發(fā)與維護 (System develop and maintenance) (6,16)

A.11、訪問控制 (Access control) (7,25)

A.13、安全事件管理 (Compliance) (2,5)

A.14、業(yè)務持續(xù)性管理 (Business continuity management) (1,5)

A.15、符合性 (Compliance) (3,10)

附注: (m, n) - m: 執(zhí)行目標的數(shù)目   n: 控制方法的數(shù)目
表1   信息安全管理體系架構示意圖 信息安全體系架構中覆蓋的控制域定義和說明如下: 安全方針:企業(yè)管理層需要對公司的信息安全提出明確的目標,并制定可操作的安全管理策略,為信息安全提供管理指導和支持。 信息安全組織:在企業(yè)內(nèi)建立信息安全組織以進行信息安全管理活動。 資產(chǎn)管理:對企業(yè)所有的信息資產(chǎn)進行分類,并對這些資產(chǎn)就價值和重要性進行分類標識,實施不同的安全措施對這些資產(chǎn)進行保護。 人力資源安全:明確企業(yè)員工在聘用前、聘用中和聘用后的涉及的信息安全問題,加強對員工的信息安全培訓和教育。 物理環(huán)境安全:分析企業(yè)的信息安全威脅來源,劃分物理安全區(qū)域,保證企業(yè)辦公場所的安全性。 通信與操作管理:覆蓋企業(yè)的網(wǎng)絡、服務器、數(shù)據(jù)庫、存儲介質(zhì)、防火墻和病毒防護等方面的管理,確保信息處理設施正確和安全運行。 訪問控制:定義用戶存取控制策略,管理用戶存取過程,從邏輯訪問控制方面確保企業(yè)的數(shù)據(jù)安全。 系統(tǒng)的獲取、開發(fā)和維護;:明確企業(yè)應用系統(tǒng)安全需求,將信息安全納入信息系統(tǒng)的整個生命周期中。 信息安全時間管理:確保安全事件發(fā)生后企業(yè)有正確的處理流程和報告方式。 業(yè)務持續(xù)性管理:定義業(yè)務持續(xù)性管理過程,業(yè)務持續(xù)性和影響過程分析,制定和制定切實可行的業(yè)務持續(xù)性計劃,定期進行測試、維護、演練。防止業(yè)務活動的中斷,以保護企業(yè)關鍵的業(yè)務過程免受重大故障或災難的影響。 符合性:識別現(xiàn)有適用的法律法規(guī),在企業(yè)內(nèi)使用合法正版的軟件,加強安全審計等。
信息安全管理體系實施方法選擇
ISO27001信息安全管理體系在網(wǎng)新恒天建設和實施的方法,采用如圖6所示的PDCA(Plan-Do-Check-Act)模型進行實施。即將ISO27001標準的要求與企業(yè)的客戶、合作伙伴、員工等相關方的信息安全要求和期望作為輸入,進行規(guī)劃和建立企業(yè)的信息安全管理體系、實施和運行該體系、監(jiān)視和評審以及保持和改進該體系,最后輸出滿足各方期望的信息安全管理體系。 規(guī)劃和建立階段:通過企業(yè)安全組織的建立、項目計劃的制定、體系知識的培訓、現(xiàn)狀調(diào)查、風險評估、體系文件制定等步驟建立企業(yè)的信息安全管理體系。 實施和運行:實施和試運行企業(yè)所建立的方針、控制措施、過程和程序。 監(jiān)視和評審階段:對照企業(yè)所建立的方針、目標和實踐經(jīng)驗,評估并定期審計體系執(zhí)行情況,將結果報告管理者以供評審。 保持和改進階段:基于ISMS內(nèi)部審核和外部審核的結果或者其他相關信息,采取糾正和預防措施,以持續(xù)改進企業(yè)的信息安全管理體系。 ISO27001信息安全管理體系在企業(yè)的應用過程是一個遵循上述閉環(huán)模型的持續(xù)改進過程。 總之,信息安全在金融軟件服務外包中一直是發(fā)包方、接包方關注的重點內(nèi)容之一。接包方可參照ISO/IEC27001、COBIT、ITIL等國際標準、行業(yè)最佳實踐來建立組織的信息安全管理體系、內(nèi)部控制流程,以不斷完善對金融軟件服務外包中信息風險的有效管理,確保能為金融軟件外包服務的成功交付提供可靠的安全保障。
關于浙江網(wǎng)新恒天軟件有限公司
網(wǎng)新恒天是浙大網(wǎng)新、美國道富和浙江大學戰(zhàn)略聯(lián)盟的結晶,是一家致力于為中外企業(yè)提供可靠的、專業(yè)的IT服務及產(chǎn)品的軟件公司。恒天軟件提供企業(yè)級軟件的定制開發(fā)服務,并有覆蓋金融、制造、零售等行業(yè)的IT產(chǎn)品和解決方案。