近年来,随着数字化转型不断深入,为加大科技创新力度、更好地满足金融消费者需求,银行保险机构对信息科技外包服务的依赖不断加深。本文将从信息科技外包的定义和类型、风险情况和信息科技外包审计等方面进行介绍,以期帮助银行保险机构更好识别和应对信息科技外包风险。

 

 

一、信息科技外包的定义和类型

 

依据《银行保险机构信息科技外包风险监管办法》(以下简称“办法”),信息科技外包是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。此外,银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,也需按照《办法》相关要求进行管理。

 

信息科技外包类型包括咨询规划、开发测试、运行维护、安全服务、业务支持等。其中,以下信息科技外包活动属于重要信息科技外包:

(1)信息科技工作整体外包,仅保留必要的管理团队和核心职能;

(2)数据中心(机房)整体外包;

(3)涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;

(4)核心业务系统开发测试和运行维护的整体外包;

(5)信息科技战略规划(含中长期规划)咨询外包;

(6)安全运营的整体外包;

(7)涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;

(8)直接影响实时服务、影响账务准确性的重要信息系统外包;

(9)其它对机构业务运营具有重要影响的外包。

 

 

 

  二、信息科技外包风险  

 

信息科技外包风险类型

 

《办法》中指出,信息科技外包风险类型包括但不限于

(1)科技能力丧失:过度依赖外包导致失去科技控制及创新能力,影响业务创新与发展;

(2)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;

(3)数据泄露、丢失和篡改:因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行保险机构重要数据或客户个人信息泄露、丢失和篡改;

(4)资金损失:因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行保险机构客户资金被盗取;

(5)服务水平下降:由于外包服务质量问题或内外部协作效率低下,使得信息科技服务水平下降;

(6)可能导致的战略、声誉、合规等其他风险

 

信息科技外包风险现状

 

近期,银行保险机构信息科技外包风险频发,业务中断、敏感信息泄露等事件时有发生。

 

国家金融监督管理总局于近日发布《关于加强第三方合作中网络和数据安全管理的通知》(以下简称“通知”)。《通知》提到,近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。

 

《通知》通报以下了5个信息科技外包风险事件:

(1)2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。

(2)某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。

(3)某数据中心托管服务商的客户服务系统存在 SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息,2023年1月在海外网站售卖,其中包括70余家银行保险机构的数百条员工个人信息。

(4)某寿险公司采购部署的第三方软件产品“保融第三方签约平台”,在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码,攻击者可利用该账号绕过前端验证直接登录系统,并查询包含个人敏感信息在内的所有数据,存在敏感数据泄露风险。

(5)2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。

 

《通知》指出,上述事件主要存在的风险和问题包括:一是银行保险机构在供应链安全管理上履职不到位;二是银行保险机构对外包服务的应急管理机制不健全;三是外包服务商的安全管理和技术防护能力严重不足

 

 

 

三、信息科技外包审计的加强

——“两条腿走路”

 

针对以上风险和问题,国家金融监督管理总局对银行保险机构提出了以下三方面的要求:一是切实履行网络和数据安全保护义务。二是采取针对性安全保护措施。三是建立健全应急处置机制。在此要求下,作为对银行保险机构信息科技外包及其风险管理的重要核实手段,信息科技外包审计的加强无疑是必行之路。

 

信息科技外包审计是一种评估和审查企业在信息技术(IT)外包过程中所面临的风险和问题的方法。它旨在确保外包服务提供商能够满足企业的需求,并遵守相关的法规和合规标准。根据《第3205号内部审计实务指南——信息系统审计》,信息科技外包审计可以包含信息科技外包战略规划、信息科技外包治理、信息科技外包商审计、信息科技外包项目管理审计、信息科技外包人员管理审计、信息科技外包安全管理六个方面。

 

《办法》中提出了审计要求,明确银行保险机构应当开展信息科技外包及其风险管理的审计工作,定期对信息科技外包活动进行审计,至少每三年覆盖所有重要外包。发生重大外包风险事件后应当及时开展专项审计。银行保险机构应承担内部审计职能和责任,内部审计项目可委托母公司或同一集团下属子公司实施,或聘请独立第三方实施。

 

而笔者认为,为加强信息科技外包审计,内部审计固然重要,但第三方审计也不可忽视

 

不同于内部审计,第三方审计存在如下优点

(1)独立性和客观性:第三方审计机构与被审计组织没有利益冲突,可以提供客观、中立的审计意见;

(2)专业性:针对专业信息科技领域,组织可以对第三方审计机构进行针对性选择,提出专业知识和经验方面的要求,确保能够识别潜在的风险和问题,并提供相应的建议和改进措施;

(3)便利性:第三方审计机构拥有专业且经验丰富的审计人员,组织可以减少人员培养或招聘的时间成本。

 

综上所述,当内部审计面临人员资源、专业知识等方面的限制时,开展信息科技外包风险第三方审计或许不失为一项好的选择,在保障信息科技外包风险监控的同时,也能为银行保险机构内部审计体系的建设留出时间,“两条腿走路”总比“独腿快跑”来得更加稳定。