論中小銀行信息技術(shù)外包自主可控

曾晨

摘 要：近年來，信息技術(shù)外包已成為中小銀行信息化建設(shè)的重要手段，從而其信息技術(shù)外包自主可控是中小銀行信息化建設(shè)的必要措施。其內(nèi)容包括信息化建設(shè)過程自主可控、信息技術(shù)外包成果自主可控和信息系統(tǒng)運(yùn)維自主可控。為此，必須統(tǒng)一思想認(rèn)識，把自主可控?cái)[在信息技術(shù)外包過程的戰(zhàn)略位置;創(chuàng)建三層監(jiān)控體制，努力構(gòu)筑信息技術(shù)外包自主可控平臺;完善相關(guān)制度，切實(shí)構(gòu)建信息技術(shù)外包自主可控機(jī)制。

關(guān)鍵詞：中小銀行;信息技術(shù)外包;自主可控

中圖分類號：F832.4 文獻(xiàn)標(biāo)識碼：A 文章編號：1005-6432（2022）04-0040-02

DOI：10.13939/j.cnki.zgsc.2022.04.040

近年來，信息技術(shù)外包已成為中小銀行信息化建設(shè)的重要手段[1]。誠然，信息技術(shù)外包可以節(jié)省成本，增加收益，但由于外包合作雙方的信息不對稱等原因，也存在諸多風(fēng)險[2-3]。國家銀監(jiān)會主席尚福林在一次重要會議上明確指出，銀行業(yè)信息科技發(fā)展必須做到自主可控[4]。筆者以為，這為銀行在信息技術(shù)外包過程中加強(qiáng)風(fēng)險防范指明了方向。文章就此展開論述。

1 信息技術(shù)外包自主可控的概念和文章論題

關(guān)于信息技術(shù)外包自主可控，學(xué)界在這方面的研究，目前限于如下兩個層面。其一，國家信息安全戰(zhàn)略層面。學(xué)者們認(rèn)為，自主可控是信息安全的“本質(zhì)”[5] ;信息技術(shù)自主可控是國家信息安全戰(zhàn)略的重要舉措[6]。其二，信息技術(shù)應(yīng)用層面。例如“電子政務(wù)系統(tǒng)自主可控的研究與實(shí)踐”[7]“檢察院信息安全系統(tǒng)的自主可控”[8]“醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)自主可控”[9]、一般辦公軟件的“自主可控”等研究[10]。通過上述文獻(xiàn)可知，所謂“自主”，指單位和企業(yè)信息化建設(shè)使用的硬件和軟件國產(chǎn)化;所謂“可控”，是單位和企業(yè)信息系統(tǒng)的安全可控（例如防范黑客攻擊），是指單位和企業(yè)通過信息化建設(shè)中推行硬件和軟件國產(chǎn)化，從而達(dá)到信息系統(tǒng)的安全可控的目的。

文章所要研究的自主可控是在上述兩個層面之外的第三個層面，目前學(xué)界尚未論及。這個層面的自主可控與信息技術(shù)外包過程相聯(lián)系，指的是需求企業(yè)在外包過程中所采取的行為策略。其中，所謂自主，指需求企業(yè)在與信息技術(shù)供應(yīng)商合作進(jìn)行信息化建設(shè)的過程中把握主導(dǎo)權(quán);所謂可控，指通過對整個信息技術(shù)外包過程的全方位掌控，達(dá)到信息化建設(shè)進(jìn)程可控、信息化建設(shè)質(zhì)量可控、信息化建設(shè)成果可控，以及信息技術(shù)外包過程的風(fēng)險可控，由此從根本上擺脫對信息技術(shù)供應(yīng)商的過度依賴，保證企業(yè)信息化建設(shè)順利、安全和可持續(xù)進(jìn)行。[11]

2 中小銀行信息技術(shù)外包自主可控的主要內(nèi)容

第一，信息化建設(shè)過程自主可控。首先，要做到信息化建設(shè)規(guī)劃自主可控。規(guī)劃是對信息化建設(shè)的方向性決策，對于整個信息化建設(shè)發(fā)展起指導(dǎo)性作用，直接影響具體項(xiàng)目的建設(shè)與實(shí)施。如果連信息化建設(shè)規(guī)劃都要依賴信息技術(shù)供應(yīng)商，那就談不上自主可控了。其次，要做到信息技術(shù)文檔自主可控。技術(shù)文檔是信息技術(shù)項(xiàng)目的靈魂，沒有文檔的項(xiàng)目注定是失敗的項(xiàng)目[12]。在這方面的具體要求是：一要掌控文檔的規(guī)范性，文檔規(guī)范應(yīng)由銀行為主編寫，并要求供應(yīng)商所編寫的文檔，嚴(yán)格執(zhí)行，保證文檔的針對性、正確性、準(zhǔn)確性、完整性、簡潔性、統(tǒng)一性、易讀性;二要掌控文檔的技術(shù)性，以銀行為主編寫的文檔規(guī)范，對文檔要有相關(guān)技術(shù)要求，從而使供應(yīng)商提供的文檔所涉的方案能滿足業(yè)務(wù)的需求，所設(shè)計(jì)的系統(tǒng)具備高可用性及可擴(kuò)展性。最后，要做到信息化技術(shù)流程自主可控，主要是保證開發(fā)、測試上線的標(biāo)準(zhǔn)化，確保項(xiàng)目各環(huán)節(jié)嚴(yán)格按設(shè)計(jì)實(shí)施。

第二，信息技術(shù)外包成果自主可控。首先，要收集整理相關(guān)技術(shù)成果。在外包過程中會產(chǎn)生各種階段性成果，最初大都散落在供應(yīng)商的技術(shù)人員手里，需要銀行科技人員收集整理，其中包括對各種技術(shù)文檔的收集整理，對系統(tǒng)源碼的收集整理，各種技術(shù)標(biāo)準(zhǔn)和管理制度的收集整理。其次，銀行要組織本行科技人員進(jìn)行學(xué)習(xí)。認(rèn)真學(xué)習(xí)貫穿在成果中的技術(shù)細(xì)節(jié)、原理、技術(shù)標(biāo)準(zhǔn)，以及運(yùn)行維護(hù)的制度與管理規(guī)范，做到“知其然”和“知其所以然”，從而切實(shí)提升銀行科技人員的信息化技術(shù)能力。最后，還要組織本行信息化建設(shè)管理層認(rèn)真學(xué)習(xí)外包商成功的管理制度和管理經(jīng)驗(yàn)，從而提升銀行信息化建設(shè)管理水平。

第三，信息系統(tǒng)運(yùn)維自主可控。信息技術(shù)外包成果裝機(jī)運(yùn)行后，需要在運(yùn)行中進(jìn)行維護(hù)和管理。在這方面，不能全盤交給外包商負(fù)責(zé)了事。首先，要明確主次。運(yùn)維必須以銀行科技人員為主，信息技術(shù)供應(yīng)商協(xié)助，從而做到一旦供應(yīng)商撤離，銀行科技人員能夠自主掌控。其次，掌控運(yùn)維流程。包括流程的制定、違規(guī)處罰、對流程執(zhí)行的監(jiān)督審查、對流程的持續(xù)優(yōu)化等，銀行都要做到自主可控。最后，掌控運(yùn)維保障體系及其持續(xù)完善。要督促信息技術(shù)供應(yīng)商完善運(yùn)維保障體系，其中包括機(jī)房建設(shè)管理、容災(zāi)備份管理、網(wǎng)絡(luò)管理、終端維護(hù)管理的持續(xù)改善，以及應(yīng)急切換演練制度、突發(fā)事故處理機(jī)制的完善等，組織銀行科技人員參與并掌控。

3 中小銀行實(shí)現(xiàn)信息技術(shù)外包自主可控必須采取的主要措施

3.1 統(tǒng)一思想認(rèn)識，把自主可控?cái)[在信息技術(shù)外包過程的戰(zhàn)略位置

思想是行為的先導(dǎo)。要實(shí)現(xiàn)信息技術(shù)外包的自主可控，首先要切實(shí)提高認(rèn)識。一是要深入認(rèn)識銀行業(yè)信息化建設(shè)的特點(diǎn)，堅(jiān)持把風(fēng)險控制當(dāng)作銀行業(yè)信息化建設(shè)必須重視的課題。二是要深入認(rèn)識銀行信息技術(shù)外包實(shí)現(xiàn)自主可控的必要性和可能性，從而把自主可控當(dāng)作銀行信息化建設(shè)的戰(zhàn)略，當(dāng)作信息技術(shù)外包過程的綱領(lǐng)，貫徹到各項(xiàng)具體工作中。三是要深入認(rèn)識銀行信息技術(shù)外包必須實(shí)施自主可控的重點(diǎn)環(huán)節(jié)和主要內(nèi)容，從而把自主可控的工作落到實(shí)處。

3.2 創(chuàng)建三層監(jiān)控體制，努力構(gòu)筑信息技術(shù)外包自主可控平臺

自主，必須有人去做主;可控，必須有人去施控。實(shí)現(xiàn)自主可控，關(guān)鍵是通過體制建設(shè)，構(gòu)筑完整有效的自主可控平臺。通過對信息技術(shù)外包過程進(jìn)行分析，筆者以為，必須創(chuàng)建宏觀、中觀和微觀三層監(jiān)控體制，由此構(gòu)筑信息技術(shù)外包自主可控平臺。

首先，建立并完善信息化建設(shè)管理委員會。這是宏觀層面的監(jiān)控體制。該管理委員會職責(zé)是：制定和不斷完善信息化戰(zhàn)略規(guī)劃，對信息化建設(shè)的重大問題做出決策，審定信息技術(shù)外包實(shí)施方案，審議和批準(zhǔn)信息技術(shù)外包合約，完善信息技術(shù)外包自主可控的體制機(jī)制?？傊?，管理委員會要在總體上對信息化建設(shè)和實(shí)施信息技術(shù)外包自主可控戰(zhàn)略負(fù)總責(zé)。

其次，創(chuàng)建信息技術(shù)外包監(jiān)控專家組。這是中觀層面的監(jiān)控體制。監(jiān)控專家組，由銀行相關(guān)部門的技術(shù)骨干組成。專家組在管理委員會領(lǐng)導(dǎo)下，具體負(fù)責(zé)信息技術(shù)外包的談判、簽約、驗(yàn)收、評價等工作。顯然，供應(yīng)商是信息技術(shù)專家。據(jù)了解，目前許多銀行在信息技術(shù)外包過程中，與供應(yīng)商談判、簽約、驗(yàn)收、評價等工作，均由信息化建設(shè)管理委員會包攬。然而，很明顯，信息化建設(shè)管理委員會的成員大多是領(lǐng)導(dǎo)，事務(wù)性工作繁多，而且一般不具有信息科技專業(yè)知識，這樣不能達(dá)到自主可控的要求。為改變這種狀況，擬在管理委員會領(lǐng)導(dǎo)下，組建由相關(guān)部門技術(shù)骨干參與的信息技術(shù)外包監(jiān)控專家組，由此實(shí)現(xiàn)決策和執(zhí)行的分工，即重大問題由管理委員會決策，具體工作由專家組負(fù)責(zé)實(shí)施。這樣，必將增強(qiáng)在信息技術(shù)外包過程中的監(jiān)控能力，使信息技術(shù)外包真正實(shí)現(xiàn)自主可控。

最后，創(chuàng)建信息技術(shù)外包銀行方項(xiàng)目經(jīng)理體制。這是微觀層面的監(jiān)控體制?？刂菩畔⒓夹g(shù)外包項(xiàng)目，是實(shí)現(xiàn)信息技術(shù)外包自主可控的基礎(chǔ)。凡信息技術(shù)外包的具體項(xiàng)目，不能僅有供應(yīng)商派出的項(xiàng)目經(jīng)理，銀行方也應(yīng)有人參與項(xiàng)目工作，且該人員不能是對項(xiàng)目的決策無職無權(quán)的普通項(xiàng)目人員，這樣不能起到監(jiān)控作用，必須是在項(xiàng)目建設(shè)團(tuán)隊(duì)中有實(shí)際決策稽查權(quán)的銀行方項(xiàng)目經(jīng)理。其實(shí)，銀行的信息技術(shù)外包本質(zhì)上是銀行與供應(yīng)商的合作，銀行既有權(quán)力也有責(zé)任派出專業(yè)骨干充當(dāng)銀行方項(xiàng)目經(jīng)理。其主要職責(zé)是：監(jiān)督供應(yīng)商嚴(yán)格按照合約的規(guī)定保質(zhì)保量完成項(xiàng)目，掌控由供應(yīng)商完成的信息技術(shù)外包成果。這樣，銀行方才能切實(shí)擺脫對供應(yīng)商的過度依賴風(fēng)險，從而使信息技術(shù)外包自主可控戰(zhàn)略真正落到實(shí)處。

3.3 完善相關(guān)制度，切實(shí)構(gòu)建信息技術(shù)外包自主可控機(jī)制

制度是體制順暢運(yùn)行的保證。有了一個好的體制，如果沒有相應(yīng)的制度，那么，體制也不可能真正發(fā)揮作用。因此，必須完善相關(guān)制度，構(gòu)建信息技術(shù)外包自主可控機(jī)制。制度是多方面，但最重要的是如下三個方面：一是各種體制的運(yùn)行制度，包括管理委員會、監(jiān)控專家組和項(xiàng)目經(jīng)理，都要明確其成員的任職資格和運(yùn)行規(guī)則、程序，使之有效有序運(yùn)轉(zhuǎn)。二是各種工作制度。包括文檔制度、與供應(yīng)商協(xié)商溝通制度、項(xiàng)目成果驗(yàn)收和評價制度等，從而保證信息化建設(shè)和信息技術(shù)外包成果的質(zhì)量。三是相關(guān)的獎懲制度。尤其是對監(jiān)控專家組成員和項(xiàng)目經(jīng)理，要明確各自的職責(zé)、任務(wù)和工作標(biāo)準(zhǔn)，對有貢獻(xiàn)者給予獎勵，對因工作失誤造成損失者給予處罰?？傊?，要通過這些制度建設(shè)，切實(shí)形成本行信息技術(shù)外包自主可控機(jī)制。

參考文獻(xiàn)：

[1]李響.IT 外包成為中小銀行信息化的必由之路[J].金卡工程，2007（3）.

[2]洪岢.銀行業(yè)IT外包的分析與探討[J].中國農(nóng)業(yè)銀行武漢培訓(xùn)學(xué)院學(xué)報，2010（6）.

[3]付森.論IT 戰(zhàn)略下外包決策的動力與風(fēng)險[J].中國管理信息化，2013（3）.

[4]尚福林.在中國銀行業(yè)信息科技風(fēng)險管理2012年會暨銀行業(yè)信息科技風(fēng)險管理高層指導(dǎo)委員會全體會議上的講話[J].金融科技治理與研究，2013（1）.

[5]倪光南.信息安全“本質(zhì)”是自主可控[J].中國經(jīng)濟(jì)和信息化，2013（5）.

[6]蔡紅.全力構(gòu)筑自主可控的信息安全保障體系[J].信息安全與通信保密，2004（5）.

[7]梁明君，張莉莉.電子政務(wù)系統(tǒng)自主可控的研究與實(shí)踐[J].信息網(wǎng)絡(luò)安全，2010（5）.

[8]何月.做好基層檢察院信息安全系統(tǒng)的自主可控[J].信息網(wǎng)絡(luò)安全，2010（5）.

[9]王暉.醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)自主可控的需求與實(shí)踐[J].信息網(wǎng)絡(luò)安全，2010（5）.

[10]胡雪琴.辦公軟件“自主可控”才能保障信息安全[J].中國經(jīng)濟(jì)周刊，2008（45）.

[11]李政.銀行 IT 風(fēng)險管理和信息安全發(fā)展概況[J].計(jì)算機(jī)安全，2011（3）.

[12]李兵.淺談IT軟件系統(tǒng)建設(shè)中的項(xiàng)目文檔實(shí)踐[J].科技傳播，2010（20）.

3922501908293