【精彩连载】企业安全建设指南 | 安全架构（七）

企业 · 安全建设指南

编者按：

第七章 外包安全管理

随着金融企业业务的迅速发展和市场竞争的日益激烈，对科技支持能力的要求迅猛增长，但金融企业普遍存在信息科技人力资源匮乏、技术能力欠缺等问题，人员数量和质量均不能满足业务发展对科技的要求。因此，大部分金融企业都采用信息科技外包的方式，将其作为自身科技力量的补充。但凡事均有两面性，信息科技外包这把“双刃剑”，在给金融企业带来专业化能力、推动科技创新、提高科技效 率、实现科技对业务快速支持的同时，也引发了一系列的外包风险。近年来金融行业陆续出现的外包风险事件，给金融企业和监管机构都敲响了警钟。外包信息安全管理，成为金融企业信息安全管理的重要组成部分，也成为金融行业监管的工作重点之一。

根据中国银监会《银行业金融机构信息科技外包风险监管指引》，信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。其他类型的金融企业也可参考类似定义。

将信息科技工作外包给其他服务提供商承担，相较于金融企业自身的员工开展，存在着特殊的风 险。因此，信息科技外包风险防控，已成为金融行业信息科技风险防范的主要任务之一，金融企业必须采取各种措施，加强信息科技外包安全管理。

近年来国内外爆发了多起与金融企业相关的外包风险事件，其影响面广、危害程度大，给金融企业造成了较大的损失和声誉风险。

外包公司违规收集银行数据事件

2012年5月，国家安全部发布对某外资公司存储产品的代理商北京某公司违规收集银行数据、危害我国金融信息安全的通告。通告公布他们窃取银行数据的四种手段：一是利用维护之便，使用专用工具； 二是利用故障分析时提供的最高系统权限；三是利用进入银行要害区域的机会，通过偷拍等方式窃取网络拓扑图、技术方案等敏感信息；四是对回收的硬盘进行分析，非法窃取银行重要信息。

韩国某银行外包人员误操作导致服务中断事件

2011年4月12日，韩国某银行因系统瘫痪导致金融服务受到严重影响，全国1154个分支行的服务中断，影响持续时间长达一周。据调查，故障发生的原因是由于外包团队人员掌握了该银行核心系统的超级管理员权限，4月12日该人员错误执行了删除命令，导致服务器中的所有文件被删除。外包管理缺位，系统用户权限控制混乱，外包人员权限过大，是导致问题发生的主要原因。

某公司解散影响多个金融企业外包服务

某公司是一家金融IT综合服务提供商，为银行、保险、基金、证券等金融行业、大型企业财务公司提供整体解决方案和软件产品，业务范围涵盖了规划咨询、软件开发实施、技术服务、IT外包与运营服务、系统集成及系统维护服务等，是中国金融行业客户重要的IT服务提供商和战略合作伙伴。该公司于2007年在美国IPO，曾有“第一家在纽交所上市的国内软件企业”之誉，但在2011年8月31日，因涉嫌财务造假，该公司宣布解散。

该公司事件对国内多家金融企业的IT外包服务项目造成了影响。从2011年初开始，该公司公司已出现资金紧张、项目人员大量流失等情况，2011年8—9月，公司给各金融企业出具公函，告知部分项目建设无法执行，建议金融企业寻求第三方公司继续执行该公司承建的项目。各金融企业在2011年底至2012年初纷纷全面梳理合同，临时将该公司未履行完毕的责任义务全部转移给第三方公司承担，由于团队变动、人员流动、技术转移等原因，在过渡期内，给各金融企业的系统开发质量、进度和运行稳定性造成了较大的影响。

多媒体查询机供应商某公司突然停业事件

2011年2月，多家银行突然收到多媒体查询机供应和维护商深圳某科技有限公司的通知，该公司因自身原因从2011年1月31日停止业务经营，从2011年2月1日起将无法提供后续服务，建议用户利用该公司预留的售后服务保证金及时聘请其他服务商接替后续服务，但未就后续相关工作安排做出任何说明。受此影响，各银行当时所使用的多媒体查询机突然得不到相应的维护保修服务，给该类设备的稳定运行造成了较大的影响。

外包管理是“刚需”，外包安全管理就是必须“支付”的对价

在金融企业所有的外包活动中，信息科技外包所占比重最大。金融企业信息科技外包的目的主要有两方面：

·弥补自身人力资源的不足，将自身有限的资源投入至最重要的业务系统和最核心的技术掌控，其余资源通过外包方式补充。

·充分利用外包公司在规模经济、专业化以及前沿创新技术方面的优势，实现对市场变化和业务需求的快速响应。

著名的管理学家彼得·德鲁克曾预言：“在10~15年之内，任何企业中仅作后台支持而不创造营业额的工作都应该外包出去，任何不提供向高级发展的机会和活动、业务也应该采用外包的形式。”可见外包既有理论层面的强有力支撑，又有实践层面的殷切需求。

既然信息科技外包已经是大势所趋和无法避免的选择，那么信息科技外包风险也就成了金融企业必须“支付”的对价，是必须且非常重要的工作。金融企业不能“一包了之”“包治百病”，而应该承担起外包风险管理的责任，必须认识到外包风险，对外包风险进行分析评估，加强外包安全管理，采取风险缓释、 转移、规避等措施，将外包风险控制到合理的、可接受的程度，避免信息技术及服务受制于人。可以说，不做好外包安全管理，就做不好信息系统管理，进而无法实现对金融企业系统和业务的保驾护航。

金融企业面临的外包风险形势严峻

近年来，金融企业信息科技外包发展势头迅猛，外包涉及的范围逐步扩大，已经涵盖了信息科技相关的规划、需求、开发、基础设施建设、运维等生命周期的各个阶段。如果外包商经营出现风险，外包商服务质量下降，或者外包商出现不当行为，都有可能对金融企业的信息系统稳定运行及业务服务的安全造成严重影响。

近年来金融企业由于外包问题引发的信息系统中断、敏感信息泄露等问题较多，外包风险作为金融企业信息科技风险的重要组成部分，必须加以重视。

监管机构对信息科技外包的监管要求趋严趋紧

针对日益严峻的信息科技外包风险形势和层出不穷的外包风险事件，监管机构高度重视，监管要求逐步加强。

·中国银监会于2010年出台了《银行业金融机构外包风险管理指引》，对外包的组织架构、风险评估、外包商尽职调查、合同协议约定等方面提出了具体要求。

·中国银监会2013年印发了《银行业金融机构信息科技外包风险监管指引》，专门针对信息科技外包这一比重最大的外包领域提出了很多细化的安全管控要求，定义了信息科技外包的几种类型，规范了银行信息科技外包风险管理的组织架构和战略内容，细化了信息科技外包活动各阶段、各环节的风险控制及管理要求，并针对重要外包商、机构集中度外包商、跨境外包商、非驻场外包商、银行业重点外包服务机构等特殊类型的外包商提出了相应的管理要求，可以作为银行业信息科技外包工作的一个“纲领 性”文件。监管指引中明确要求不得将信息科技管理责任外包，引导银行将信息科技外包管理纳入全面风险管理体系。

·2017年中国证监会发出《证券基金经营机构信息技术管理办法》（征求意见稿），其中规定了对“信息技术服务机构”即外包机构的要求，包括“不得将重要信息系统的运行、维护或日常安全管理交由信息技术服务机构独立实施”，以及审慎选择信息技术服务机构时应该关注的重点事项、合同约束要求、内部审查要求、部分服务机构的备案要求、应急处置机制、严禁行为等。

各类监管要求从战略规划的高度和战术执行的细度，为金融企业建立信息科技外包管理体系、制定战略方针和工作机制提供了规范性的要求，既是指导又是约束。金融企业必须遵循监管要求，在监管要求的框架下搭建自身的外包风险管控体系，解决基础性、体系性缺失的问题。

金融企业将大量的信息科技工作外包，虽然解决了银行自身资源不足的问题，但也暴露了一些风险隐患。

第一，金融企业对信息科技外包的依赖度大。中小型金融企业对信息科技外包依赖程度普遍较高，大型金融企业中的信息科技外包也已占相当比例，信息科技外包已成为金融企业信息科技体系中的一个重要组成部分。由于金融企业自身科技人员数量、知识和能力储备不足，外包人数是金融企业内部员工人数5~10倍甚至更多的情况屡见不鲜，而且在可以预见的未来这一比例还有增大趋势。大量外包导致企业内部员工的自主掌控能力变弱，对信息系统的熟悉了解程度降低，自主解决问题的效能下降，核心技术受制于人。信息系统开发的交付质量和运维保障水平，很大程度上取决于外包人员的技能水平和责任心，外包商的经营状况、外包商的人员流动、外包商与金融企业的合作关系，都可能对金融企业的信息科技的业务支持能力、交付效率和信息系统运行稳定性产生重大影响。

第二，金融企业的外包商集中度较高。从单个企业看，部分金融企业将信息科技外包服务集中交给少量服务提供商承接；从整个行业看，部分外包商承接了多个金融企业的信息科技工作，在金融行业中服务机构多、市场份额大。外包商集中度较高导致金融企业对于单一外包商的依赖过大，对系统的控制能力和议价能力下降，一旦外包商自身经营出现风险，或者跟金融企业的合作发生问题，就可能造成影响面较大的服务中断或者服务质量下降，严重情况下还将导致系统性、区域性的信息科技风险。

第三，外包商经营风险事件日益增多。无论是宏观层面的国际贸易关系、国内外经济形势、行业环境和发展趋势，还是微观层面的股东关系、公司治理架构、管理层水平等，都可能影响外包商的经营情况和服务水平。外包商自身经营状况不佳导致产品质量出现问题、团队不稳定，或者在开发、实施、运维等方面的服务不及时，都可能造成金融企业的服务中断或者服务质量下降，进而直接影响对业务发展的支持和信息系统运行的稳定性。

第四，外包商员工管理相比金融企业员工管理难度更大。将信息科技活动委托给外部人员处理，相比金融企业内部员工自行处理而言，面临风险更大，管理难度更高，管理要求更难落实到位。因为外包人员的归属感、责任感相对不强，往往会认为自己不需要对最终结果负责，只需要对过程负责，不对长期结果负责，仅对当前阶段性的成果负责，相对而言会更注重短期收益，所以外包人员的责任心、主动性、纪律性得不到保证，再加上人员流动性较大，知识技能往往难以有效传承，从而难以保证长期持续 的高效率和高质量。

第五，外包商或其员工可能发生主动或被动的不当行为。外包商提供的信息科技服务，有机会接 触、存储大量的敏感信息，例如客户资料、交易数据等，但外包商的风险管理能力、风险控制体系和风险意识水平相比金融企业的要求来说还有差距。如果外包商或其员工发生主动或被动的不当行为，例如有意识地收集和倒卖敏感数据，操作失误删除数据或执行错误指令等，可能导致数据损坏、丢失、泄露或系统服务中断，造成直接或间接经济损失。

第六，外包商不受监管直接约束，信息安全管控水平整体偏低。信息科技外包商不受监管部门的直接约束，游离于金融企业的监管体系之外，其服务对象和服务结果却又必须遵从金融企业的监管要求。外包商的信息安全管理体系建设相对滞后，外包人员的风险意识不足，都可能造成金融企业的信息安全风险。

鉴于上述因素，外包管理中的问题可能导致金融企业面临以下直接风险，并可能进一步导致银行业金融企业的战略、声誉、合规风险（摘自《银行业金融机构信息科技外包风险监管指引》）：

·科技能力丧失，金融企业过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展。

·业务中断，支持业务运营的外包服务无法持续提供导致业务中断。

·信息泄露，包含客户信息在内的金融企业非公开数据被服务提供商非法获得或泄露。

·服务水平下降，由于外包服务质量问题或内外部协作效率低下，使得金融企业信息科技服务水平下降。

由于信息科技外包带来的风险较高，针对上述问题，金融企业需要制订有效的外包安全管控目标，建立外包安全防控体系。

·在战略层，应当建立适合本企业的信息科技外包战略，确定信息科技外包管理的目标，明确外包的总体原则，建立企业层面的信息科技外包安全防控架构，完善外包管理组织体系和制度体系。

·在战术层，应该按照外包类型分类管理，针对不同类型的外包，建立全生命周期管理的机制，以及外包安全管理效果衡量机制。

金融企业在科技发展水平、科技规模实力、科技资源投入、科技管理模式等方面存在差异，需要根据本企业的实际情况，综合考虑信息科技战略、外包市场环境、自身风险控制能力，制定合适的外包战略。

外包战略通常由以下几个部分组成：

·外包管理目标。外包管理的目标通常是降低信息科技成本，缩短新产品开发周期，提高新技术应用效率和专业性，集中行内优势资源掌握核心关键技术，提高自主掌控能力，主动防范外包风险。

·外包管理方针。通常由8~16个字组成，基本原则是要重点突出、方向明确、朗朗上口、易于记忆。例如，“自主掌控，适度外包”“自主外包相结合，自主优先”“自主外包相结合，外包为主”等。

·外包组织架构。明确董事会、高管层、外包风险管理部门、外包审计部门、外包执行部门的职责分工，确定部门归属，强化权限的相互制约。

·外包的选择策略。明确哪些科技职能严禁外包、哪些严格控制外包、哪些适度外包、哪些优先外包等。例如，涉及战略管理、风险管理、内部审计及其他有关信息科技核心竞争力的职能不得外包，科技管理责任不得外包，某些关键核心技术或保密技术不得外包；企业级架构设计、重要信息系统的需求分析和设计、涉及敏感信息分析或处理的工作严格控制外包；非重要信息系统的分析设计和重要信息系统的编码适度外包；系统软件和电子设备维保、第三方安全服务等优先外包。

·核心能力建设方案。制订金融企业自身的资源和能力建设方案，确定必须自主掌控的核心能力所属领域和关键环节，并制订配套的人员补充、技能提升、知识转移方案，有针对性地获取或提升关键的管理及技术能力，降低对外包商的依赖。例如，明确让自有人员重点承担重要信息系统的需求分析、架构设计等开发职能，以及网络、数据库等关键的运维职能，并提供相应的人员数量、质量、技能提升、知识转移计划等配套保障。

·外包商关系管理策略。根据金融企业自身的业务需求、科技规模、市场地位等，确定外包商依赖度、集中度管理的目标，制订外包商引入的流程、外包商准入标准、外包商退出机制、外包商风险评估指标、外包商服务评价体系、外包商分级管理和差异化管理策略等。

明确组织架构

构建合理的信息科技外包管理组织架构，明确职责分工，是外包战略得以有效执行的重要保障。外包管理组织架构包括三个层级：

·董事会和高管层。董事会及高级管理层对信息科技外包负最终管理责任，主要职责包括明确各部门在外包管理方面的职责分工，设计必要的监督和控制机制，审批外包战略、制度和流程，审批重大项目外包决策，推动和完善外包风险管理体系建设，督促各部门履行职责以确保实现外包管理效果等。

·信息科技外包管理相关部门。包括信息科技外包管理及外包风险管理的主管部门、执行部门和监督部门，各部门间应建立工作汇报及沟通交流机制。外包主管部门通常可以由风险或合规部门担任，主要负责识别、监测、评估外包风险，向董事会及高管层报告风险评估结果，督促外包管理工作持续改善；

外包执行部门通常由与外包管理相关的预算、采购、合同签订、执行、外包商管理等相关部门担任，负责外包管理相关制度制定、外包活动的具体执行落实、外包商日常管理，并向主管部门报告外包活动情况；外包监督部门通常由稽核审计部门担任，主要职责是开展定期或专项的信息科技外包管理审计工 作。

·信息科技部门内部科室。在信息科技部门内部也要进行专业化分工和岗位制衡。例如安排科技管理职能科室，负责牵头组织外包商准入、评价、退出管理，以及负责预算申请、商务采购、合同签订和执行等相关职能；安排开发、运维等职能科室，按照“谁使用，谁负责”的原则，负责外包商的日常管理； 安排信息安全职能科室，负责检查和监督外包管理机制的有效落实，识别风险并推动风险整改。

强化制度约束

信息科技外包管理制度体系是外包工作有效开展的准绳，必须遵循监管指引，并根据行内的组织架构和制度体系建设，以规范和指导外包工作的落地执行。外包管理制度包括三个层级：

·政策级制度。包括外包管理总纲、政策等，通常，整个金融企业只有一份信息科技外包管理政策，纳入整体信息科技管理纲领性制度，作为一个独立章节出现，提出对应的管理要求。主要是定义信息科技外包管理的目标、范围，解决管理“什么”以及“为什么”需要管理的问题。

·办法级制度。通常根据各部门职责分工可以有多个关于外包管理的办法，例如，风险或合规部门的外包风险管理办法，信息科技部门的信息科技外包管理办法，稽核审计部门的外包审计管理办法，以及其他部门的外包商管理办法、预算管理办法、采购管理办法等。管理办法通常定义信息科技外包管理相 关各部门的职责分工、工作流程和管理要求，解决由“谁”来管理以及“如何”管理的问题。

·规程级制度。通常在部门内部发布，是办法级制度的支持性文档，例如，信息科技外包商采购管理细则，信息科技外包合同签订和执行细则，外包商现场管理工作细则，外包商考核评价管理细则，外包商风险监测和评估细则。重点在于定义部门内部各科室的职责分工、工作流程、详细操作步骤、具体实施方法、操作检查列表等，直接指导相关岗位的操作。

规划核心能力建设

要掌控和化解信息科技外包风险，最关键的环节和最大的挑战在于金融企业自身的核心能力建设。任何信息科技外包工作，都必须以不妨碍核心能力建设和自主掌控关键技术为导向，否则，一旦核心技术受制于人，金融企业就丧失了主动权和议价权，大大弱化了对系统的控制权和对风险的掌控力，金融企业的核心能力建设要量体裁衣、量力而行，不能急于求成，没有统一准则，“适合的才是最好的”。

大型金融企业通常自身科技力量雄厚，信息系统建设和日常运维以内部资源为主，自主研发能力和自主掌控能力较强，外包资源主要作为人力的补充，投入到非关键系统或者非关键环节。大型金融企业自主掌控能力加强，核心能力建设目标较为清晰，执行比较到位。

中小型金融企业自身科技力量普遍不足，但信息化建设高速发展，信息系统规模日趋庞大，因此经常将科技规划、应用开发、基础设施建设及网络运维等工作外包，利用外包商的专业能力和快速交付能力，提升科技支持水平。中小型金融企业自主掌控能力受到更大的挑战，亟待加强自身核心能力建设。

加强核心能力建设，需要分三步走：

1）明确建设目标，要掌控哪些科技职能、哪些环节的核心能力。

2）确定核心能力建设相关环节的资源投入方案。

3）制订核心能力建设效果评估的方法并执行、反馈、调整。

（1）明确核心能力建设目标

不同类型的信息科技外包，金融企业需要掌握的核心能力不一样。因此要树立分级分类的理念，细分本企业所有的外包类型和特点，针对每种类型给出对应的核心能力建设目标。

对于规划咨询类外包，主要目的是利用外包人员丰富的知识、行业经验、体系化的思维框架，帮助 金融企业制订规划，例如，科技规划，数据中心建设规划，数据治理规划等。这一类外包，金融企业核心能力建设的重点是理解规划制订全过程的逻辑和推导的过程，后续能使规划落地执行，并具备能力自主滚动制订和调整规划。金融企业应该安排核心骨干人员全程参与规划的制订，在外包人员撤场前必须完成知识转移，在外包人员撤场后能很好地承接规划的执行和更新。

对于应用研发类外包，主要目的是利用外包商对前沿技术的掌控和研发能力以及丰富的人力资源，帮助金融企业解决快速响应业务需求的问题。这一类外包，金融企业核心能力建设的重点是掌握应用系统的技术架构，具备需求分析和系统设计的能力，能全面把握应用系统建设过程中的质量控制和风险管理，随时可以应对外包商更替、外包商经营状况变化及人员流失的风险。

对于系统运维类外包，主要目的是利用原厂商或者第三方代理公司提供的设备，规划设计方案、软件安装配置方案等，完成机房风火水电、网络、服务器、存储等基础设施项目实施，或者操作系统、数据库、中间件等系统软件的安装配置；利用外包资源完成日常运维工作，帮助金融企业快速完成部署和解决故障。这一类外包，金融企业核心能力建设的重点是掌握设备和系统软件运行调优方案，了解常见故障及解决方法，掌握设备运行效果的主要监测指标及监控方法，具备快速定位和解决问题的能力。

对于安全服务类外包，主要目的是利用安全厂商对信息安全趋势的了解、对安全态势和安全漏洞的深入钻研，帮助金融企业完成安全技术平台部署实施、安全漏洞发现和防范以及安全运营工作，补充人员数量和安全专业能力的不足。这一类外包，金融企业核心能力建设的重点是对安全技术架构的全局掌控，对安全规范的自主建立，对安全漏洞原理和防范技术的深度理解，以及对安全运营机制流程的建立等。

（2）确定核心能力建设的资源投入方案

无论是哪一类外包，目标确定后，配套的资源安排到位方可真正达成核心能力建设目标。针对各种外包服务活动，都需要安排技术人员深度参与，在过程中学习掌握外包商的架构、方法、思维模式以及具体技术成果，保障外包成果交付和知识转移的效果。

表7-1是资源投入方案和计划示例，金融企业应根据自身实际情况设计方案。

(3)制订核心能力建设的效果评估方法

核心能力建设方案制订后，需要建立监测指标，来评估、检验实施的效果，并根据执行效果的跟踪反馈结果，动态调整建设方案，形成螺旋上升的闭环。可以设计如表7-2所示的评估指标。

表7-2核心能力建设评估

从战术层面看，要加强外包安全管理，对外包风险进行有效的控制，重点是要形成外包全生命周期管理的良性循环，建立“事前预防，事中控制，事后处置”的工作机制，要按照“级差准入，持续评价，合作竞争，能上能下”的原则，对外包商实行差别化的准入、遴选、维护、退出管理。

在事前预防阶段，风险控制的重点是要开展外包项目风险评估，设立外包商准入标准，开展外包商考察，同时通过合同形成法律约束。目的是及早发现各种外包风险的前兆，并立即予以纠正或防范，把风险消灭在萌芽状态，避免错误处理造成风险事件。

外包项目风险评估

在外包项目的立项阶段，一方面，需要开展外包战略符合度分析，评估外包商选择策略和核心能力建设方案是否符合外包战略要求；另一方面，需要开展外包项目风险评估，根据信息科技外包项目的背景、目的、范围、性质，分析是否存在科技能力丧失、业务中断、信息泄露等风险，并采取相应的风险处置措施，不能因外包活动的引入而增加整体剩余风险。

在外包项目立项阶段的可行性研究报告中，可以增加专门的风险评估章节，具体内容可参见表7-3。

表7-3外包商风险评估表

外包项目立项完毕后，需要甄选合格的外包商开展合作，可遵循以下步骤：

1)针对不同类型的外包商，制定外包商准入的最低标准，并要求外包商围绕准入标准提供详尽的证明材料。

2)审查外包商的技术能力、专业经验、业务规模、业务策略及风险控制能力，评估可能存在的法律风险、合规风险、操作风险等，必要时对外包商开展现场考察或尽职调查。

3)建立外包商库，确定备选外包商名单。

4)通过商务采购流程，确定中选外包商并签订合同。

外包商准入和审查

不同类型的外包采购，有不同的准入标准，表7-4列出了一些共通性的标准，可以根据需要适当裁剪使用。外包商需要根据标准，提供完备有效的证明材料。

表7-4外包商准入标准

重要外包商尽职调查

对于通过了初步资料审查，满足最低准入条件的外包商，可以纳入进一步考察的范围。对于重要外包服务的外包商，必要时需开展尽职调查。

尽职调查前，应制订详细的尽职调查方案和计划，明确尽职调查事项、小组成员分工、时间安排、资料调阅清单、外包商配合工作要求等，提前发给每个小组成员，以做好准备。

尽职调查以现场考察的方式开展，可以由外包执行部门、外包管理部门、采购主管部门以及风险管理等部门安排人员组成尽职调查小组，赴外包商所在地，通过现场勘查、访谈、资料调阅、穿行测试等 方式，深入调查评估外包商的从业时间、股东关系、组织架构、发展战略、财务稳健性、经营声誉、企业文化、行业经验、市场地位及发展趋势、过往合作口碑、管理能力、技术实力、制度体系、员工情 况、突发事件应急处置能力、风险控制能力等，综合评价外包服务商的发展前景、资质、能力、信誉、意愿，以确定是否纳入候选外包商名单。

外包商尽职调查表可参考表7-5。

表7-5外包商尽职调查表

外包商入库管理

通过审查和尽职调查的外包商，全部纳入备选外包商库进行管理，记录外包商的基本信息、法人、 商务联系人、技术联系人等，并把外包商提供的资料、尽职调查收集材料和表格等，统一归档管理。

采购和商务谈判

按照内部的外包商管理和采购制度完成采购和商务谈判流程后，金融企业将与外包商签订采购合同，约定双方的权利和义务以及违约责任等。

合同签订流程主要包括起草、服务商确认、法律部门审查、正式签署等环节。为了避免合同条款遗漏、约定内容不清晰等无法保障金融企业正当权益的风险，同时提高合同条款拟定的效率，金融企业一般会要求外包商接受自己的合同条款。针对咨询、开发、测试、系统软件维护、硬件维护等不同的IT服务领域，拟定不同的合同模板，规范服务水平条款和关键绩效指标。

为了防控外包服务中的风险，合同中必须至少包含以下内容（摘自《银行业金融机构信息科技外包风险监管指引》，但同样适用于其他金融企业）：

·服务范围、服务内容、工作时限及安排、责任分配、交付物要求，以及后续合作中的相关限定条件。

·合规与内控要求，对法律法规及金融企业内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施。

·服务连续性要求，服务提供商的服务连续性管理目标应当满足金融企业业务连续性目标要求。

·金融企业监控和检查的权利和频率，服务提供商配合其内、外部审计机构检查，以及配合金融业监管机构检查的责任。

·政策或环境变化因素等在内的合同变更或终止的触发条件，外包服务提供商在过渡期间应该履行的主要职责及合同变更或终止的过渡安排，包括信息、资料和设施的交接处置等过渡期间相关服务的安 排。

·外包服务过程中产生、加工、交互的信息和知识产权的归属权，以及允许服务提供商使用的内容及范围，对服务提供商使用合法软、硬件产品的要求。

·服务要求或服务水平条款，至少应当包括外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准的遵守情况、技术支持水平等。

·争端解决机制、违约及赔偿条款，至少应当包括服务质量违约、安全违约、知识产权违约等，以及在各种违约情况下的赔偿和外包争端的解决机制。

·报告条款，至少应当包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。

外包商依赖度和集中度风险控制

在外包商准入阶段，要特别注意控制外包依赖度和集中度风险。

·控制外包依赖度风险。外包依赖度越高，意味着外包商的转换成本越高，受到外包商的服务水平影响和约束越大，因此需要通过金融企业核心科技能力建设，提高自主掌控力度，降低对外包商的依赖， 做到任何外包商的人员流失或退出都不会使科技服务水平受到显著影响。外包项目立项阶段，应该测算单个项目、单个系统、同类项目以及科技整体的外包依赖程度，如果单个或某类外包依赖度超出期望水平，都应该考虑如何提升自身知识和能力储备，提高自主掌控水平，降低外包风险。

·控制外包集中度风险。无论是因为金融企业自身对某个单一外包商的集中度比例大，还是因为外包商在整个金融行业中市场份额大而导致的行业集中度大，都可能导致风险过度集中和过度依赖于单家外包商的经营状况和服务水平。金融企业应合理管控服务提供商的数量，定期对现有外包服务的结构进行分析，将合同金额、驻场外包人员数量、金融行业市场占有率排列靠前的外包服务商，列入外包集中度风险关注名单，并积极采取后续管控措施：一是在新增项目的外包商选择前，对于在关注列表中的外包商，重点分析选择的必要性和对应的风险分散措施；二是应当特别加强对关注列表中外包商的持续监 测，定期开展现场检查，及时发现和掌握风险事件的苗头，防患于未然；三是根据统计排名结果，制订外包服务商替代方案，做好应急预案并开展应急演练，演练内容包括但不限于外包服务突然中断时的合同履行、服务交接、敏感信息处置等。

事中控制阶段是外包管理的核心环节，重点是做好外包项目建设以及服务实施的计划与控制，形成科学、高效的外包商关系管理体系，及时发现问题、反馈问题、了解原因、解决问题，确保实现信息科技外包目标。事中控制主要包括以下几方面的工作：

·外包商分级管理

·外包商日常管理

·外包商信息安全管理

·外包商考核评价

·外包商现场检查

·外包商服务监测

·外包商安全管理

·突发事件应急处置

外包商分级管理

外包商分级管理是指通过对外包商库内的外包商进行等级划分，对不同等级外包商实行差异化的等级管理政策。通过分级管理，奖励先进、处罚落后，充分发挥激励机制，促进外包商提高产品或服务质量，促使供求双方走向合作共赢。

外包商的分级需要综合考虑市场整体情况、外包商综合实力、外包商的经营管理动态、外包商服务的重要程度、外包商服务质量等，对于处在不同等级的外包商，针对性地采用不同的管理模式和管理方法。

金融企业的外包商分级管理模式可参考如下配置：

根据外包商市场竞争情况、外包商的实力和经营情况，以及与金融企业的项目合作情况，金融企业可将外包商分为战略外包商、瓶颈外包商、重点外包商和普通外包商四个等级。

（1）战略外包商：综合实力较强，并与金融企业为战略合作伙伴关系的外包商。

该类外包商一般与金融企业有密切的业务往来关系，有利于金融企业业务的发展。同时满足以下条件的外包商可划分为战略外包商：

·外包商在规模、声誉、技术或服务等方面处于所在行业领先水平，掌握金融企业所需产品（服务）的关键技术和核心资源，并且重视与金融企业的合作关系。

·外包商与金融企业签订了战略合作协议。

对于战略外包商，金融企业可采取建立长期合作伙伴关系的策略，基本原则是实现“双赢”。合作过程中必须保持密切和通畅的沟通渠道，并开展定期双向交流，但必须防止向战略外包商的不合理倾斜，以减少外包商的垄断牵制。具体措施包括：

1）建立与战略外包商的定期互访、信息通报机制，加强了解与互信。

2）建立联系人制度，及时沟通与释疑。

3）一方面在外包商后续选择流程中优先考虑，另一方面要开展后评价，做好监督。

4）要求外包商保证产品质量、价格等信息公开透明。

（2）瓶颈外包商：能满足金融企业采购需求，但所处行业市场竞争不充分的外包商。

该类外包商通常数量不多，更换难度较大。同时满足以下条件的外包商可划分为瓶颈外包商：

1）所在行业受到国家严格管控，具有行业垄断地位的外包商；或者具有独有技术、独特资源、特殊授权或权威认证的外包商；或者其产品或服务在同类市场上难以找到替代品的外包商。

2）市场上能满足金融企业采购需求和外包商入库资质标准的外包商数量有限，一般不足三家。

对于瓶颈外包商，采用灵活多样的管理策略。积极与其建立稳定的合作关系，关注其独有技术、独家授权、行业垄断的市场地位，尽可能开发和寻找替代产品或服务，以避免受到瓶颈外包商的过度制 约。具体措施包括：

1）定期关注独有技术和独家授权的市场变化。

2）相关部门一旦发现瓶颈外包商的市场变化情况，必须及时采取措施并报告外包商管理部门。

（3）重点外包商：与金融企业有比较深入的合作，提供的产品或服务水平较高，在后评价中获得较高评价的外包商。

重点外包商的划分主要依据后评价情况开展，后评价结果为优秀的外包商可划分为重点外包商。对于重点外包商，要加强管理和维护力度。一方面，引导其了解金融企业对重点外包商的优选政策，提高外包商合作积极性；另一方面，要大力宣传“能上能下”的分级管理制度，促使外包商持续提供优质服 务。具体措施包括：

1）对重点外包商开展定期后评价工作，关注外包商的持续服务情况。

2）相关部门必须及时反馈重点外包商的产品质量和服务状况，外包商管理部门及时向外包商提出需求和建议，并要求外包商持续改进服务水平。

（4）普通外包商：能满足金融企业采购需求，同时所处行业市场竞争比较充分的外包商。

该类外包商的更换难度和成本较低。满足以下条件的外包商划分为普通外包商：外包商市场竞争比较充分，满足同类要求的外包商数量在三家以上（含）。

对于普通外包商，应尽可能维持充足的数量，为采购项目提供更多的比较和选择。通过分级管理的奖惩措施，激励普通外包商提供更优质的产品和服务。具体措施包括：

1）相关部门必须及时向外包商管理部门反馈普通外包商的产品质量和服务状况，外包商管理部门及时督促其改进和完善。

2）对于效果不满意的普通外包商，及时进行替换。

3）加强对不同级别外包商管理政策的宣传，刺激普通外包商提高服务水平，增强其成为重点外包商的意愿。

外包商日常管理

外包商日常管理包括外包人员入场和离场管理、外包人员考核和考勤管理、外包环境管理等工作。

外包人员入场管理：一是对入场外包人员资质进行严格审核，对专业水平进行现场笔试和面试；二是要求外包商提供主要外包服务人员的背景调查结果和无犯罪记录证明；三是建立外包人员信息台账，强化对外包人员信息档案的更新与管理；四是要求外包人员入场前签署保密协议及服务承诺书；五是要 求外包人员参加信息安全培训和规章制度培训，考试合格后方可按照入场流程办理相关手续。

外包人员考核管理：一是通过工作任务单、项目计划表等方式，安排工作任务和计划，充分提高外包资源使用效率；二是建立外包资源使用台账，方便工作量结算和成本节约；三是建立外包人员考核机制，对外包人员的服务质量、工作态度、工作纪律等进行考核，考核结果与付款挂钩；四是统一外包人员考勤和工作纪律管理，不允许迟到、早退、旷工，严禁工作时间从事炒股、游戏等无关活动，否则进行严肃处罚；五是做好办公场所访问控制，不允许无关人员进入外包环境。