国产超碰人人做人人爰,国产精品久久久久久无码,国产精品原创AV片国产日韩,久久无码国产专区精品

來源：《金融電子化》

《金融電子化》雜志創(chuàng)刊于1993年，是由中國人民銀行主管，中國金融電子化公司主辦，中國銀行業(yè)監(jiān)督管理委員會、中國證券監(jiān)督管理委員會、中國保險監(jiān)督管理委員會以及有關(guān)金融機構(gòu)共同支持協(xié)辦的國家級科技期刊。雜志主要面向國內(nèi)外金融界與信息產(chǎn)業(yè)界，圍繞金融服務(wù)主線，全面報道金融信息化建設(shè)和金融業(yè)務(wù)創(chuàng)新發(fā)展的進(jìn)程，展望未來發(fā)展趨勢，為我國金融業(yè)的改革和發(fā)展服務(wù)。

浙江大學(xué)軟件學(xué)院副院長  楊小虎

浙江網(wǎng)新恒天軟件有限公司   李雙喜   劉敏

金融軟件外包是個長期、復(fù)雜的任務(wù)。我們根據(jù)從業(yè)十幾年的從業(yè)經(jīng)驗，結(jié)合國內(nèi)外理論，梳理其關(guān)鍵實踐點和信息安全管理策略。希望對國內(nèi)金融機構(gòu)軟件發(fā)展起到借鑒作用。

全球化金融軟件外包實踐

2001年底，浙江大學(xué)與美國道富銀行（State Street Corporation）合作成立浙江大學(xué)道富技術(shù)中心，開展全球化金融軟件的研究和開發(fā)。目前，該中心可以提供全方位、一體化服務(wù)，并可以在全球范圍內(nèi)的多個地區(qū)提供產(chǎn)品支持；開發(fā)的全球化金融軟件系統(tǒng)涉及股票、證券、外匯、基金等金融領(lǐng)域。

軟件外包流程和關(guān)鍵要素

服務(wù)外包的流程主要包括：決定外包策略、定義運營模型、準(zhǔn)備合同、選擇供應(yīng)商、工作轉(zhuǎn)移給供應(yīng)商、管理供應(yīng)商的工作表現(xiàn)、確保服務(wù)的提供。 其中，國外發(fā)包方普遍非常注重合同準(zhǔn)備這一環(huán)節(jié)，對國內(nèi)金融行業(yè)具有借鑒意義。一般來說，他們會要求自己的供應(yīng)商完全按照自己的合同范本進(jìn)行簽署，因為他們在擬定合同范本時，已經(jīng)考慮到所有可能出現(xiàn)的對自己不利的情況，并通過合同條款對自己做了盡可能完善的保護和免責(zé)。 服務(wù)外包的過程中有幾個比較重要的要素，對于發(fā)包方的決策者來說，首先面臨的是選擇企業(yè)內(nèi)部哪一部分業(yè)務(wù)外包，根據(jù)國外的研究，可以根據(jù)業(yè)務(wù)模塊對于公司整體的經(jīng)營和市場競爭優(yōu)勢的貢獻(xiàn)度策。 決定了外包內(nèi)容，接下來發(fā)包方需要選擇供應(yīng)商，如何對供應(yīng)商進(jìn)行有效的評價直接關(guān)系到外包的成效。要特別指出的是，國內(nèi)傳統(tǒng)觀念往往把CMMI作為判斷一家供應(yīng)商能力的十分重要指標(biāo)，其實不然，圖1列出了多項重要的評價指標(biāo)。 供應(yīng)商的選擇一般有四種模式： 單一供應(yīng)商模式，一般存在于有特定關(guān)系的供需雙方；

最優(yōu)供應(yīng)商模式，國內(nèi)比較多見，但有其弊端，比如很多有價值的經(jīng)驗無法很好的積累傳承，同時針對每個項目獨立招投標(biāo)無疑會一定程度地造成資源的浪費；

固定供應(yīng)商組的模式，在歐美比較多見，在這個模式下，發(fā)包方根據(jù)自己的準(zhǔn)入標(biāo)準(zhǔn)挑選符合條件的多家供應(yīng)商，然后根據(jù)不同外包業(yè)務(wù)在供應(yīng)商組內(nèi)招標(biāo)選擇，這種模式很好的避免了單一供應(yīng)商和最優(yōu)供應(yīng)商的弊端； 主承包商的模式，在日本市場比較常見。

全面有效地度量發(fā)包方的能力，需要從架構(gòu)的計劃與設(shè)計、業(yè)務(wù)和功能界定，到服務(wù)的交付等一系列的過程中全方位多角度考察。

金融軟件服務(wù)外包中的安全策略和安全管理

對于發(fā)包方而言，服務(wù)外包給發(fā)包方帶來了諸如成本降低、效率提升、核心業(yè)務(wù)鞏固等諸多好處，但同時也帶來了信息安全、知識產(chǎn)權(quán)保護等問題。

服務(wù)外包中信息安全的驅(qū)動力

（1）發(fā)包方所在地法律法規(guī)的要求 發(fā)包方所在國家或地區(qū)政府所出臺的信息安全相關(guān)法律法規(guī)對這些企業(yè)的信息保護要求較為嚴(yán)格。以美國為例，美國2001年出臺的《關(guān)鍵基礎(chǔ)設(shè)施信息安全法案》和2004年出臺的《薩班斯法案》(Sarbanes-Oxley Act)都對美國的政府部門和企業(yè)提出極其嚴(yán)格的IT內(nèi)部控制和信息安全要求，在IT基礎(chǔ)設(shè)施、訪問控制、災(zāi)難恢復(fù)、信息系統(tǒng)開發(fā)與實施、IT治理等方面都有著詳細(xì)和嚴(yán)格的要求。當(dāng)支撐這些政府部門和企業(yè)日常經(jīng)營活動的IT系統(tǒng)外包給接包方時，相關(guān)的要求就會全部或部分延伸至這些接包方。 （2）發(fā)包方出于保護自身敏感、機密信息和數(shù)據(jù)的需要 在軟件外包的過程中，接包方會接觸到發(fā)包方各式各樣的信息和數(shù)據(jù)，比如IT系統(tǒng)的源代碼、發(fā)包方的內(nèi)部運營信息、相關(guān)人員的聯(lián)系方式甚至發(fā)包方的客戶信息、交易信息等。這些信息一旦泄露，發(fā)包方將會面臨不同程度的經(jīng)濟損失、法律訴訟，甚至核心競爭力的喪失。 （3）接包方所在國家或地區(qū)的相關(guān)法律法規(guī)的要求 以中國為例，近年來中國出臺了一系列與信息安全相關(guān)的法律法規(guī)，如《中華人民共和國計算機信息系統(tǒng)安全保護條例》 《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《計算機病毒防治管理辦法》等，旨在逐步規(guī)范和推進(jìn)著中國企事業(yè)單位以及普通公民的信息安全保障能力。對于中國的服務(wù)外包企業(yè)，中國商務(wù)部、工業(yè)和信息化部于2010年2月1日出臺了一個更具有針對性的法規(guī)條例——《關(guān)于境內(nèi)企業(yè)承接服務(wù)外包業(yè)務(wù)信息保護的若干規(guī)定》。此法規(guī)對接包方在信息安全保護方面上提出了以下規(guī)定和要求：如要求接包方應(yīng)成立信息保護機構(gòu)或指定專職人員負(fù)責(zé)制定本企業(yè)的信息保護規(guī)章制度，接包方應(yīng)當(dāng)加強對員工的信息安全培訓(xùn)。此外，還明確鼓勵接包方積極借鑒國內(nèi)外信息安全認(rèn)證要求、行業(yè)最佳實踐來制定企業(yè)內(nèi)部信息安全管理體系，并獲得國內(nèi)、國際信息安全認(rèn)證。 （4）接包方出于增強自身競爭力的需要 發(fā)包方因其所在國家或地區(qū)法律法規(guī)和發(fā)包方自身敏感、機密信息、數(shù)據(jù)保護的需要，對接包方提出了信息安全保障、知識產(chǎn)權(quán)保護方面的期望和要求。接包方的信息安全保障能力也就自然成了接包方的核心競爭力之一。

金融軟件外包中的信息安全管理

金融軟件外包中的信息安全管理是發(fā)包方和接包方雙方共同的責(zé)任。對于發(fā)包方而言，主要需要關(guān)注的內(nèi)容有：項目啟動前對接包方信息安全保障能力、資質(zhì)的評估；項目開發(fā)、服務(wù)交付過程中對接包方的信息安全管理活動持續(xù)監(jiān)督、定期審計；對項目過程中發(fā)生的信息安全事件的追蹤與處理等。 對于接包方而言，信息安全管理的要求應(yīng)貫穿于接包方的各個業(yè)務(wù)流程之中。為了保證各業(yè)務(wù)流程的信息安全管理工作有序地開展，接包方可參照ISO/IEC 27001國際標(biāo)準(zhǔn)建立一套組織內(nèi)的信息安全管理體系（Information Security Management System），以涵蓋信息安全管理的一些關(guān)鍵活動（見表1）。

A.5、安全方針 (Security Policy)  (1,2) (附注)
A.6、安全組織 (Security Organization) (2,11)
A.7、資產(chǎn)分類與控制 (Asset classification and Control) (2,5)
A.8、人員安全 (Personnel Security) (3,9)	A.9、物理與環(huán)境安全 (Physic and Environment Security) (2,13)	A.10、通信與運行管理 (Communication and Operation Management) (10,32)	A.12、系統(tǒng)開發(fā)與維護 (System develop and maintenance) (6,16)
A.11、訪問控制 (Access control) (7,25)
A.13、安全事件管理 (Compliance) (2,5)
A.14、業(yè)務(wù)持續(xù)性管理 (Business continuity management) (1,5)
A.15、符合性 (Compliance) (3,10)
附注: (m, n) - m: 執(zhí)行目標(biāo)的數(shù)目   n: 控制方法的數(shù)目

表1   信息安全管理體系架構(gòu)示意圖 信息安全體系架構(gòu)中覆蓋的控制域定義和說明如下： 安全方針：企業(yè)管理層需要對公司的信息安全提出明確的目標(biāo)，并制定可操作的安全管理策略，為信息安全提供管理指導(dǎo)和支持。 信息安全組織：在企業(yè)內(nèi)建立信息安全組織以進(jìn)行信息安全管理活動。 資產(chǎn)管理：對企業(yè)所有的信息資產(chǎn)進(jìn)行分類，并對這些資產(chǎn)就價值和重要性進(jìn)行分類標(biāo)識，實施不同的安全措施對這些資產(chǎn)進(jìn)行保護。 人力資源安全：明確企業(yè)員工在聘用前、聘用中和聘用后的涉及的信息安全問題，加強對員工的信息安全培訓(xùn)和教育。 物理環(huán)境安全：分析企業(yè)的信息安全威脅來源，劃分物理安全區(qū)域，保證企業(yè)辦公場所的安全性。 通信與操作管理：覆蓋企業(yè)的網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、存儲介質(zhì)、防火墻和病毒防護等方面的管理，確保信息處理設(shè)施正確和安全運行。 訪問控制：定義用戶存取控制策略，管理用戶存取過程，從邏輯訪問控制方面確保企業(yè)的數(shù)據(jù)安全。 系統(tǒng)的獲取、開發(fā)和維護;：明確企業(yè)應(yīng)用系統(tǒng)安全需求，將信息安全納入信息系統(tǒng)的整個生命周期中。 信息安全時間管理：確保安全事件發(fā)生后企業(yè)有正確的處理流程和報告方式。 業(yè)務(wù)持續(xù)性管理：定義業(yè)務(wù)持續(xù)性管理過程，業(yè)務(wù)持續(xù)性和影響過程分析，制定和制定切實可行的業(yè)務(wù)持續(xù)性計劃，定期進(jìn)行測試、維護、演練。防止業(yè)務(wù)活動的中斷，以保護企業(yè)關(guān)鍵的業(yè)務(wù)過程免受重大故障或災(zāi)難的影響。 符合性：識別現(xiàn)有適用的法律法規(guī)，在企業(yè)內(nèi)使用合法正版的軟件，加強安全審計等。

信息安全管理體系實施方法選擇

ISO27001信息安全管理體系在網(wǎng)新恒天建設(shè)和實施的方法，采用如圖6所示的PDCA(Plan-Do-Check-Act)模型進(jìn)行實施。即將ISO27001標(biāo)準(zhǔn)的要求與企業(yè)的客戶、合作伙伴、員工等相關(guān)方的信息安全要求和期望作為輸入，進(jìn)行規(guī)劃和建立企業(yè)的信息安全管理體系、實施和運行該體系、監(jiān)視和評審以及保持和改進(jìn)該體系，最后輸出滿足各方期望的信息安全管理體系。 規(guī)劃和建立階段：通過企業(yè)安全組織的建立、項目計劃的制定、體系知識的培訓(xùn)、現(xiàn)狀調(diào)查、風(fēng)險評估、體系文件制定等步驟建立企業(yè)的信息安全管理體系。 實施和運行：實施和試運行企業(yè)所建立的方針、控制措施、過程和程序。 監(jiān)視和評審階段：對照企業(yè)所建立的方針、目標(biāo)和實踐經(jīng)驗，評估并定期審計體系執(zhí)行情況，將結(jié)果報告管理者以供評審。 保持和改進(jìn)階段：基于ISMS內(nèi)部審核和外部審核的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)企業(yè)的信息安全管理體系。 ISO27001信息安全管理體系在企業(yè)的應(yīng)用過程是一個遵循上述閉環(huán)模型的持續(xù)改進(jìn)過程。 總之，信息安全在金融軟件服務(wù)外包中一直是發(fā)包方、接包方關(guān)注的重點內(nèi)容之一。接包方可參照ISO/IEC27001、COBIT、ITIL等國際標(biāo)準(zhǔn)、行業(yè)最佳實踐來建立組織的信息安全管理體系、內(nèi)部控制流程，以不斷完善對金融軟件服務(wù)外包中信息風(fēng)險的有效管理，確保能為金融軟件外包服務(wù)的成功交付提供可靠的安全保障。