西藏基层央行IT外包的思考与实践

编者按：本文首先介绍了西藏辖区基层央行的信息化现状，随后对基层央行IT外包的可行性进行了分析探讨。

　　行业现状：近年来,西藏辖区人民银行信息化建设取得长足进步，特别是十八大以来，随着辖区基层央行的金融IT基础设施建设不断完善，金融机构的数量和业务迅猛发展，人民银行科技部门以习近平新时代中国特色社会主义思想为指导，狠抓安全生产，不断完善IT风险防控体系，为西藏辖区央行事业发展和金融业持续健康发展提供了坚强的金融科技支撑。

西藏辖区基层央行信息化现状

　　随着西藏辖区信息化建设的不断发展，基层央行科技部门承担的网络、系统和设备的维护工作也日益繁重。经统计西藏辖区（除拉萨）6个地市中支目前平均在线运行的网络设备有30余台，各类业务系统有80余套，办公类电子设备300余台，科技部门每年年均处理各类信息化维护申请和咨询600余人次，提供电视会议调试保障服务200场次。而目前辖区基层央行科技部门平均只有3人的编制，由于休假和出差等因素，一般只有1～2人在岗，为了履行自身职责，科技部门时常处于“5+2”和“白加黑”的工作模式。

　　图为近5年地市中支科技人员数量与业务量对比图，从图中可以明显看出在业务量不断增加的同时，科技人员数量反而在减少。

　
◆图 西藏辖区六地市中支近五年科技人员数量与业务量对比图

西藏辖区基层央行IT外包可行性分析

　　1.适应金融科技发展的需要

　　党的十九大报告指出，中国特色社会主义进入了新时代。新时代呼唤新作为，基层央行科技部门作为金融业信息化发展规划、金融标准化和信息安全的行业主管部门，以及统筹监管重要金融基础设施的具体执行部门，要为人民银行积极贯彻落实全国金融工作会议作出的“服务实体经济、防控金融风险、深化金融改革”战略部署提供坚实的信息化支持。IT外包将使人民银行科技人员从繁重的信息化办公设备维护工作中解脱出来，加强学习研究区块链、大数据、云计算和人工智能等金融科技知识，进而提高金融科技信息化管理水平，适应新时代金融科技发展。

　　2.符合央行科技工作转型的需要

　　2017年人民银行科技工作会议提出要打造一支专业型、复合型、学习型、创新型的央行金融科技队伍，强化科技治理，建立先进高效的管理、建设与运行体系。这就要求人民银行科技工作要将工作的重心从单纯的信息化电子设备和系统的维护，转变为保障安全生产与加强金融科技管理并重。IT外包将能有效提升科技治理水平，提升科技工作前瞻性和行业指导能力，提高科技管理效率，促进央行科技工作转型。

　　3.满足基层央行防控风险的需要

　　IT外包将能使基层央行科技人员对信息安全管理工作投入更多的精力和时间，促使科技人员按照《中国人民银行信息安全基线》管理的要求，加强信息安全管理水平，不断完善的IT风险防控体系，保障安全生产。

　　4.内控管理为IT外包提供安全保障

　　目前西藏辖区基层央行建立健全了信息安全管理、设备管理等规章制度和管理体制，正积极开展“三道防线”建设，设置了较为合理的信息化工作机制，从管理体制和工作机制上可确保IT外包服务风险可控。

　　5.社会发展为IT外包提供市场条件

　　近年来随着西藏经济社会的跨越式发展，辖区基层央行所在地的各类科技信息服务公司数量不断增多，竞争不断加强，为人民银行选择优质可靠且费用合理的信息化服务外包商提出了较为理想的市场环境。

基层央行IT外包服务的探索

　　党的十九大以来，林芝中支为积极适应新时代对金融科技的新要求，加强培养金融科技人才，提升金融科技保障能力，在中支党委的高度重视下，依据《中国人民银行IT外包风险管理办法》（银办发2018年[29]号）文件要求，以四项原则为根本遵循，积极探索IT外包服务管理。

　　1.服务外包，责任不外包原则

　　信息化服务外包是科技管理工作的创新，但是服务外包绝不是彻底放手，它需要科技部门对外包项目进行全局的安全监督和风险控制，以保证外包项目的顺利实施并达到预期效果。

　　一是加强组织管理。成立了以中支计算机安全工作领导小组为基础的IT外包管理领导小组，并将IT外包管理领导小组办公室设置在科技部门，由科技部门负责日常IT外包管理指导工作并定期向领导小组汇报工作情况，杜绝将服务和责任同时外包出去。

　　二是加强外包管理。由科技部门根据中支工作实际情况，制定详细的信息化服务外包清单，并对每项外包服务指定科技科人员负责监督管理，确保每项IT外包工作能够有效落实，实现IT外包的预期效果。

　　三是加强契约管理。在与IT外包服务公司签订的合同中，制定详细的各方职责，严格约束各方行为，用法律确保信息化服务外包目的的实现。

　　2.风险控制原则

　　林芝中支采取多种有效的风险控制措施积极防范外包服务活动可能带来的各类风险。

　　一是严格按照《中国人民银行IT外包风险管理办法》要求，坚持外包服务仅限于系统运行维护类外包中的非涉密、非核心办公设备的运维外包。

　　二是依法依规通过征信系统对外包人员开展背景审核，通过征信大数据确保外包人员诚信可靠，降低外包人员的信用风险。

　　三是在与外包服务商签订的合同中明确管理职责，细化责任追究条款，并与外包服务商和具体派驻人员签订信息安全责任书，严控信息安全风险。

　　四是坚持最小权限原则，对外包服务人员只给予满足其开展相关服务工作的最小操作权限和特定工作区域权限，要求服务商提供完整的工作记录，并由科技人员负责督导检查，严防操作风险。

　　3.监督评估原则

　　科技部门负责对IT外包服务的日常监管，定期对外包人员工作情况进行考核，以每个季度为一个考核周期，通过信息化的工作量统计及服务调查反馈等方式，评估外包服务效果。将评价结果反馈给服务商，督促其改进，并建立外包服务人员准入和淘汰机制。

　　以评价结果作为对外包服务公司及人员的考核依据，并以合同条款的形式确定了若连续两个季度工作不达标，外包服务公司及人员需要承担的职责，从而强化监督评估的作用。

　　在对外包服务监管的基础上，科技部门联合内审部门定期开展IT外包服务的风险管理评估。

　　4.持续改进原则

　　林芝中支根据外包管理与技术发展趋势，持续改进外包策略和风险控制措施。通过以考核情况为依据，通过制定整改措施，提升外包服务质量和连续性，不断满足业务连续性目标要求，且根据风险评估报告，不断完善外包服务管理。同时，还需要根据政策和市场环境变化，改进外包策略和风险控制措施，使外包策略不断适应新的要求，增强外包活动风险控制能力。

　　（文章来源：金融电子化杂志）

扫码即可手机
阅读转发此文