8.2.2  项目研发外包风险管控工作实施情况

8.2.2 项目研发外包风险管控工作实施情况

1.研发外包风险管控整体架构情况

该商业银行在战略决策层面建立了较为完整的外包管理体系，其中包含了研发风险管控相关要求，具体如下：

1）在组织方面，该商业银行在信息科技部门设有项目评审委员会和技术专家组，专家组的成员包括软件开发、系统管理、网络管理以及安全管理的专家，职责是对申请立项的项目进行前期的风险评估、可行性分析以及后期的安全架构、应用架构、网络架构、业务流程的设计，并对验收结果进行审核，其中包括外包部分内容；该商业银行研发团队将外包管理职能分配至指定部门，从事外包项目的管理；该商业银行风险管理策略的制定、重要的外包决策及重要项目（含外包项目）的审批均由信息科技高层管理人员参与，以保证外包战略决策与银行的总体战略、业务发展战略和科技发展战略一致。

2）在制度与流程方面，该商业银行制定了《项目管理办法》、《外包管理办法》、《外包管理实施细则》、《采购流程》等制度。在《项目管理办法》中定义了外包作为一种项目研发方式，明确采用合作或外包方式的基本条件是，即外部公司具有明显的技术优势或项目实施经验的、能引进先进管理模式和产品的、可显著降低成本，或赢得竞争优势的方可采取外包形式执行项目研发工作。《外包管理办法》、《外包管理实施细则》用于指导外包工作实施，其中，明确了外包工作的“统筹管理、分工负责、风险可控、持续改进”工作原则。该商业银行采购部门制定的《采购流程》包括了外包服务商的采购流程部分。

3）在外包服务商管理方面，该行建立了外包服务商准入和退出机制、黑白名单机制，定期组织外包需求部门对重要信息科技外包服务商进行风险评估和尽职调查，当外包服务商存在违反国家法律、法规和监管政策，情节严重的；窍取、泄露银行业金融机构敏感信息，情节严重的；因管理过失，多次发生重要信息系统服务中断或数据损毁、丢失、泄露事件的；服务质量低下并给多家银行业金融机构造成损失，多次提示仍未整改的；对风险监测和实地检查发现的问题，逾期仍未整改的；存在其他违法违规行为，或发生其他重大信息科技风险事件的情况时，将禁止其承担IT外包服务至少两年。

4）在外协服务人员管理方面，该行建立了外协服务资源池制度，并编制面向外协服务人员的岗位培训教材，向各入围外协服务商发布，由各服务商对其推荐的外协技术人员开展岗位培训，培训内容包括该行的管理制度、安全管理条例、角色教育等。该行组织开展外协服务人员入场考试。通过考试的人员由签订《技术服务保密协议》，建立外协服务人员档案，纳入外协服务资源池。该行的外包服务人员必须进入外协服务资源池后才能进入该行提供服务。

2.启动阶段研发外包风险管控工作实施情况

（1）明确外包项目范围 该行金融市场部门作为业务部门提出项目需求和立项申请。在需求中明确了项目范围包括：采购该系统的报盘机、交易服务器、风控服务器、监控服务器；采购前置接口和后台账务处理接口等部分研发服务和支持。经过信息科技部门技术专家对项目需求、可行性等进行分析后，确定该项目采用外包采购为主、自行研发为辅的方式实施，对于外包部分执行外包管理流程。

（2）外包服务采购 该行信息科技部门作为项目实施部门负责外包部分的采购和整个项目的组织实施。根据市场调研，当前市场上具备上海黄金交易所交易系统接口授权的研发公司只有两家。信息科技部门向采购管理部门出具了相关证明，决定采取竞争性谈判方式进行招标。经过对两家公司的服务资质、服务能力等方面进行考察，以及多轮谈判和比较后，最终A公司中标。

（3）签订外包服务合同 在与A公司的外包服务合同中明确了外包服务的范围、费用、计划和交付物要求等内容；明确了各信息系统交付物和服务支持的安全达标标准；明确了项目研发过程中需执行的研发风险管控工作要求；明确了对所完成信息系统及研究成果的知识产权归属方式；明确了对商业银行内部信息的保密要求；明确了对外协服务人员的考核标准等。

3.实施阶段研发外包风险管控工作实施情况

实施阶段需要对外包项目研发过程中的风险进行管控。由于研发外包风险兼具研发风险和外包风险的特点，因此除了需要按照研发风险管控工作流程在项目研发过程中开展安全需求定制、安全设计、源代码安全审核等安全管理活动以外，还要兼顾项目研发过程中涉及的外包风险，例如泄密风险、外包服务中断风险等。具体管控措施包括外包服务安全管理、外包服务风险监控、业务连续性管理等。

（1）外包服务人员安全管理 项目启动后，A公司在该行完成了报盘机、交易服务器、风控服务器、监控服务器的部署工作，并派出研发服务和支持人员协助该行项目组进行前置接口和后台账务处理接口部分开发。在外协人员入场之前，该行组织对其进行了信息安全培训，重点培训安全意识、保密管理、实体安全、授权管理相关要求和知识，并组织进行了考试。通过考试的外协人员纳入该行外协服务资源池。外协人员入场后，使用外协专用机、在外协专用办公区进行工作，对其在开发服务器的工作区间和文档知悉范围，按照“必须知道”和“最小授权”原则进行授权，并登记备案。

（2）研发风险管控工作实施情况 在项目启动后，由研发风险管控部门为项目组指定了信息安全督导员，项目组指定了信息安全经理。在项目初始阶段即确定该信息系统按照等级保护三级标准进行开发。在项目的需求、设计、编码、测试阶段同步完成了安全需求分析、安全设计、安全编码、安全测试、安全需求实现审核以及各阶段交付物安全评审等工作。

（3）外包开发交付物检查 对于A公司交付的报盘机、交易服务器、风控服务器、监控服务器及系统，均要求提供具有相关国家安全产品检测资质的测评中心出具的安全测评报告。对于A公司提供的系统软件均进行了漏洞扫描，以确保系统安全。对于A公司外协人员负责的代码都必须经过指定行内人员复核、评审和出入版本库。在测试过程中对外协人员负责的代码重点进行测试。

（4）外包服务风险监控 在项目实施过程中，项目组根据外包服务合同对A公司提供服务的范围、服务支持情况、服务质量、人力资源情况等进行监控，通过定期交流会议的形式，及时掌握A公司的人员、资源、管理服务水平各方面变化情况，确保了外包服务的连续性。

4.交付阶段研发外包风险管控工作实施情况

（1）外包服务后评价 在项目里程碑和结项时，项目组对A公司外协人员工作成果进行评价，作为项目验收付款的依据之一，降低外包工作质量方面的风险。

（2）资源回收管理 在项目结项后，A公司外协人员交付项目相关开发资源、设备权限后离场。

[1]Gary McGraw：美国Cigital公司CTO，著名软件安全技术专家，在安全风险管理领域从事安全性研究和技术规划工作。他是美国空军研究实验室、DARPA、美国国家科学基金以及NIST高级技术项目的资助对象和首席调研员，曾经撰写了多本安全技术专著。