400-88-27001
service@aryasec.com

《金融网络安全 信息科技外包评价指标数据元》解读

来源:    发布日期:2022.10.14   点击量:

前言
2022年8月29日,央行发布《金融网络安全 信息科技外包评价指标数据元》(JR/T 0254-2022)金融行业标准(下文简称“标准”)。数据元即由一组属性规定其定义、标识、表示和允许值的数据单元。

01背景及概述
随着现代商业银行业务的发展,软件与金融业务的联系越来越紧密。在当前互联网金融高速发展的浪潮中,传统商业银行所面临的挑战是多方面的,软件研发已成为金融机构业务发展与创新的重要手段,成为提高金融行业核心竞争力的重要因素。中小银行为了适应迅速增长的业务需求,缩短产品研发周期,实现快速发展、弯道超车,能够与大行同台竞技,在加强自身信息科技队伍建设的同时,需要扩充IT外包来推动业务转型发展。

但由于外包管理体系尚未完善,对外包服务缺乏统一的评价标准,持续增长的外包规模给外包资源的有效使用和管理带来很大挑战。主要表现为:
一是外包管理效率较低。外包项目和外包人员的规模在不断增长,而管理维度不断拓展、监管要求不断提高,外包人员管理耗时费力,管理难度增大。
二是IT外包管理体系不健全。随着外包人员规模持续增长,外包人员入场离场的频率也随之增加,人员流动大、工作量确认难度增加,但对于外包人员的管控手段却是薄弱的,由此造成IT项目延期、服务水平下降等问题。
三是金融机构由于外包引发的信息系统中断、敏感信息泄露等问题较多,外包风险作为金融机构信息科技风险的重要组成部分,必须认真对待。

标准结合金融行业信息科技外包服务特点,从基本情况、协议履行、服务质量、安全保障等方面提出信息科技外包服务评价指标,并给出评价指标数据元定义,为金融机构信息科技外包服务评价工作提供指导。

根据服务用途,标准建立了金融业信息科技外包服务分类体系。具体地看,其将信息科技外包服务分为5个一级子类,并在每个一级子类下划分多个二级子类。

02界定5大类、21小类信息科技外包服务

标准指出,信息科技外包服务共包括咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类共5个一级子类。

咨询规划类信息科技外包服务可分为管理类咨询规划和技术类咨询规划2个二级子类。
开发测试类信息科技外包服务可分为软硬件开发、测试2个二级子类。
运行维护类信息科技外包服务可分为数据中心(机房)物理环境运行维护、软硬件基础设施运行维护、应用系统运行维护、电子机具运行维护、终端等办公设备运行维护5个二级子类。
安全服务类信息科技外包服务可分为安全运营服务、移动安全加固服务、安全测试评估服务、安全设备运行维护、安全日志处理与分析、数据安全服务6个二级子类。
业务支持类信息科技外包服务可分为市场拓展、业务运营(集中作业、呼叫中心等)、企业管理、资产处置、数据处理、数据利用6个二级子类。
03提出信息科技外包服务评价指标数据元体系
在提出信息科技外包服务分类体系之后,标准随后介绍了信息科技外包服务评价指标数据元体系,并基于该体系对信息科技外包服务进行评价。

标准指出,金融业信息科技外包服务评价指标数据元体系由基本情况、协议履行、服务质量、安全保障4个一级维度构成,每个维度可分为若干二级维度,二级维度中定义了若干评价指标,每个评价指标即为服务评价数据元的一个属性。

值得注意的是,各一级维度和二级维度中定义的通用指标,为各类别信息科技外包服务评价数据元均适用和包含的属性。在一级维度或二级维度中的特定信息科技外包服务子类,可进一步定义仅该子类适用的专用指标,即特定信息科技外包服务子类对应的服务评价数据元除继承其父类服务评价数据元中全部指标外,还新增该子类适用的全部专用指标。

例如,在企业能力方面,开发测试类专用指标包括软件能力成熟度模型集成能力、测试成熟度模型集成能力、重点软件企业情况、高新技术企业情况;运行维护类专用指标包括信息技术服务管理能力;安全服务类专用指标包括信息安全管理能力、信息安全服务能力。

04建议
标准的发布有助于规范和统一金融行业信息科技外包服务评价体系,促进金融行业信息科技外包服务高质量稳健发展。标准为金融机构开展信息科技外包服务评价工作提供了切实可行的依据,金融企业应按照标准的指导,加强对于自身信息科技外包活动的管理,降低信息科技外包风险。

分享到:

相关新闻: