金融服务外包的信息安全概述

作为信息技术引入最早、应用最广的行业之一，金融行业在业务处理、客户服务、产品创新、管理决策等领域对信息技术的依赖程度越来越深。但任何事情都有其两面性，信息技术在给银行带来各种竞争优势和效益的同时，也给银行带来了与各种信息技术应用相关的风险。金融行业的信息技术安全管理是伴随着信息技术在此行业的应用而发展起来的，作为金融行业全面风险管理的一部分，信息安全管理的发展脉络就是一个风险管理与风险暴露不断博弈的过程，也是随着信息技术不断发展而不断完善的过程。

概括来讲，金融行业IT安全管理理论经历了3个发展阶段。一是技术导向阶段：自20世纪90年代末至21世纪初，这段时期的信息技术安全管理主要关注技术的使用，围绕利用现代的安全科技手段来应对一些微观层面的信息技术风险，如计算机病毒防护、计算机网络防护等；二是控制导向阶段：2002—2009年，形成了以控制为导向的IT全管理体系，这个体系为信息技术安全管理引入了一系列成熟的风险管理流程和方法，能使金融机构将各个微小的信息技术风险管理融入整个业务流程当中，相对于以技术为导向的方式，后者更关注宏观的、系统的安全管理；三是风险导向阶段：2009年至今，以风险为导向的IT安全管理体系逐渐形成，信息技术风险成为企业治理框架中重要的组成部分，同时与企业的战略和业务目标相结合，成为企业全面风险管理的主要组成部分。

具有全面意义的信息技术风险管理概念出现在国际信息系统审计协会（ISACA）于2009年发布的《The Risk IT Frame Work Exposure Draft》中，该报告把信息技术风险（或者信息技术安全）定义为“企业内使用、获取、操作、参与、应用信息技术所造成的业务风险”。2009年中国银监会针对中国银行界的实际情况将信息科技风险定义为“信息科技在商业银行的运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉风险”。

国内外对于金融IT的信息安全管理有许多研究，并形成了丰富的研究成果，但对于金融IT服务外包的信息安全管理研究较少。有的研究也只是单单从发包方的角度出发，如杨兵兵在《商业银行信息科技风险管理理论与实践》中将信息科技外包风险定义为“因过分依赖信息科技外包供应商、信息科技外包供应商不能正确理解业务需求或信息科技外包供应商过失，而导致信息科技系统与信息受到损害，或信息科技外包预期收益无法实现的风险”。从金融IT服务外包提供商的角度讲，信息安全管理不仅包括其为客户所提供的产品和服务的安全性和可用性，还包括自身在产品的研发和交付阶段保证信息的安全。其信息安全管理不仅包括金融行业信息技术安全管理的要求，还有因自身第三方的特殊身份而增加的特殊要求。