项目管理资源网

您的位置:项目管理资源网 >> IT通信项目管理

浅谈银行IT业务外包风险与安全管理

2012/11/29 12:18:06 |  8604次阅读 |  来源:网友转载   【已有0条评论】发表评论

0、从内控管理分析,存在监督与审计缺失风险。在IT业务外包合同执行期间,银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理,忽视了对外包供应商及供应链公司的日常审计检查,容易造成IT外包业务服务水平下降。

11、从软件方面分析,存在后门的风险。在银行软件产品开发过程中,商业化的组件和中间件得到普遍应用,需求内容变更、版本升级、打补丁,很难做到每一次升级都对系统功能从头到尾全面完整的测试,这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难,会存在后门的风险。

  二、IT业务外包风险与安全防范举措

  在控制IT业务外包风险与安全方面,做到心中有底、手中有招、控制有术,建立事前预防、事中控制、事后监督的三道防线。

(一)事前预防

在日常工作中,各种外包风险的前期预兆是会表现出来的,关键是没有及时发现,马上纠正或是对发现的问题思想麻痹,错误扩大化变成案件,形成损失并为纠正错误付出高昂代价。因此,把风险消灭在萌芽状态,才是风险控制的重点。

  1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求,重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平,紧密配合公司业务发展规划,全面权衡外包的利益与风险,决定将哪些IT业务外包,制定IT业务外包战略规划。

  2、建立IT业务风险与安全管理体系。体系制定要做到统一框架,统一标准、统一措施、统一监督管理,内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、操作手册等组成。通过制定风险与安全管理体系,指导公司IT业务风险与安全管理工作的开展,使其符合国际、国内的有关安全标准和我国的法律法规;在公司内部形成一个信息科技风险与安全管理机制,确保落实,保护公司所有信息科技资源和资产的安全;明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施;对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟

  3、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式,为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训,通过持续不断的培训学习,掌握本公司IT业务风险与安全管理制度规范,提高全员风险与安全防范意识,积极参与信息科技风险与安全防范工作中,形成全员参与信息科技安全管理的风险管理文化。

   4、建立IT业务外包供应商信息管理系统,设计科学、全面的风险指标评估体系。6西格玛中有句名言:有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系,有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手,确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容,详细设计3K(KCS、KCSA和KRI)指标,每一项指标都要给出相应的分值区间,通过建立外包供应商信息管理系统,把设计的评估指标纳入系统中,详细记录外包供应商及其供应链上的各方面信息,通过系统统计分析,从而科学有效的评估外包供应商的服务能力。

  (二)事中控制

银行与外包合作商签署合同,项目正式进入合作操作阶段,在日常IT项目运营过程中,银行作为甲

    项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~

    http://www.leadge.com/pmqhd/index.html

“项目管理生根计划”
企业项目经理能力培养和落地发展方案下载>>

分享道


网站文章版权归原作者所有,如有认为侵权请联系我们,将于1个工作日内作出处理!
网友评论【 发表评论 0条 】
网友评论(共0 条评论)..
验证码: 点击刷新

请您注意护互联网安全的决定》及中华人民共和国其他各项有关法律法规或间接导致的民事或刑事法律责任
·您在项目管理资源网新闻评论发表的作品,项目管理资源网有权在网站内保留、转载、引用或者删除
·参与本评论即表明您已经阅读并接受上述条款