企业安全合规需要遵从五个技巧

中小银行信息系统建设采取外包采购方式来完成。因此，做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。

IT业务外包风险分析1、从宏观层面分析，产生系统性风险。目前银行业使用的IT产品如计算机CPU、 *** 作系统、基础应用软件、互联网等技术都来自国外公司，因某种原因，承包商所在国家发生战争等不可抗拒性事件时，会造成IT供应商及其供应链上的公司不能正常经营，如果IT业务外包的是一些重要的核心业务，则会对银行信息系统安全造成重大影响。

2、从供应商方面分析，产生依赖性风险。目前，国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品，在熟悉供应商产品的同时，长期使用也形成了对某一供应商的依赖，也会因外包商自身或其供应链上某公司出现问题，造成外包商运营出现风险，如果银行没有自己掌握外包供应商产品技术，更换新外包商会带来成本高及影响银行业务正常运营。

3、从产品供应链分析，产生供应链风险。目前，很多IT厂商特别是跨国IT供应商，把用户订单分包给其他外包商生产，当该公司供应链企业合作关系因某种原因出现问题时，则会产生IT外包供应链风险。

4、从采购方面分析，出现选择性风险。在外包供应商招投标过程中，由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估，并受到来自各方面关系因素影响，选择的IT外包商各方面能力不能满足银行自身业务发展需要，容易出现项目失败，造成损失。

5、从合规方面分析，产生合同风险。在与IT业务外包供应商签署合同时，因制定的合同文本中相关合同条款描述的不到位、不详细，权利与义务没有很好的说明，容易造成外包服务质量达不到预期目标甚至产生合同风险。转自项目管理者联盟

6、从道德方面分析，产生信息安全风险。由于外包供应商内部控制出现漏洞，本公司内部员工辞职，并利用到银行工作之便，或者与银行员工内外勾结，窃取银行客户信息和资产，给银行和客户造成损失。

7、从技术方面分析，产生技术风险。一些IT供应商因受到自身发展瓶颈的限制，资金和研发能力不足，不能紧密跟踪新技术应用，对软硬件产品及时进行升级改造，则对信息系统应用开发和安全运营产生影响。

9、从服务方面分析，存在服务质量风险。据2004年德勤发布的《外包调查报告》称：57%的调查者因为外包 服务提供商能够提供优质的服务和业务创新选择了外包，31%的调查者认为服务提供商处于更有利的位置。在合同不完全性和双边垄断的前提下，外包商处于更有 利的位置，致使服务质量得不到有效保障，组织效率得不到有效提升。

10、从内控管理分析，存在监督与审计缺失风险。在IT业务外包合同执行期间，银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理，忽视了对外包供应商及供应链公司的日常审计检查，容易造成IT外包业务服务水平下降。

11、从软件方面分析，存在后门的风险。在银行软件产品开发过程中，商业化的组件和中间件得到普遍应用，需求内容变更、版本升级、打补丁，很难做到每一次升级都对系统功能从头到尾全面完整的测试，这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难，会存在后门的风险。

本次会议上来自各行业的精英CIO们互相交流探讨信息化过程中的遇到的各种问题与解决方法，同时麦肯锡和北大也分享今年中国CIO调研的初步发现和洞见，与在会的CIO们共同探讨调研报告中的热议话题。 在本次活动上，麦肯锡董事合伙人王玮先生与大家分享了关于中国企业信息化发展的近期发现，以下为演讲实录： 谢谢姚主任。感觉我们这个像是十八大信息化的一个分会场。今天非常荣幸邀请到大家，也感谢各位排除百难赶过来，特别是朱总，飞机延误了还赶过来，希望这是一个愉快而又有收获的讨论。其实今天的主角是各位CIO，我和董老师就做一个抛砖引玉的开场。跟董老师相比，我就只能抛碎砖，董老师是非常有经验的教授。我抛什么呢？把我们最新发现跟大家共享，因为各位也参与了我们CIO的调研，我把一些初步发现和思考拿出来，作为今天下午讨论的铺垫。

麦肯锡董事合伙人 王玮先生 讲起CIO，这个名字也很有讲究，这是一个舶来词。CIO在中国意味着什么？很有意思，我们在问卷时，看了填问卷来宾title，其实在中国我们为CIO服务也有七八年了，一开始我听到这样的title，“信息系统部主任总经理”或者是“业务支撑部的主任总经理”。但近年来这个title有变化了，有些不叫IT，索性叫“运营改善”，甚至于像联想，索性成立了业务变革部。还有南方的一些企业把CIO的角色和公司的组织架构、公司流程改造都放在一起。其实这些变化不光是名称的变化，我们感觉到这背后显示了CIO的角色也在发生着变化。不是光在管系统，其实在推动业务变革。所以我们今天在讨论当中探讨怎么让IT驱动业务更好的发展，怎么增加CIO对公司的影响力。 像麦肯锡，刚才我们吃饭时还说笑话，麦肯锡成立商业技术部，1997年之前我们有个IT部，其实那个时候已经知道信息技术非常重要，公司战略发展、运营改善都离不开IT，所以我们叫IT咨询部，但公司内部不理解，说这帮人是修电脑的，公司电脑坏了找他们。后来我们觉得不是IT，是商业技术，后来我们又产生了新的部门，研究了怎么通过信息技术驱动公司业务发展。 说回到抛砖引玉，接下来我把这次CIO调研的初步发现跟大家做共享。这次调研主要有五个领域。第一，IT绩效发展发挥或者它的效能怎么衡量。这是我们框定说这个公司IT做的好不好的标志。然后看四个维度，要做的好有哪些主要支撑。第一个是怎么确保IT能够有效和公司战略、发展方向统一起来，最大化IT投入收益。第二个要看CIO决策是什么，怎么最大化在公司影响力，对业务推动。第三个看IT本身能力，包括它的架构，能不能使最新系统发挥它的最大能力。包括IT的运营、开发、系统运维，怎么提高效率，保持运维水平。最后对于创新技术来讲怎么来运用，怎么把创新技术变成业务的生产力。这四个是要获得IT整体绩效最大化的四个抓手。那么四个抓手到底哪个是关键呢？这也是我们要跟大家讨论的。 所以我们把刚才这五个方面做了分解，去重点看一下每个方面有哪些因素。我们通过调研看公司之间业务有哪些差距，怎么思考运用主要抓手提升IT效能。所以这次我们也通过不同形式，包括问卷，也和在座很多位做过一对一访谈，今天讨论会也是一种深化发现的形式，最后把结果跟更多的大众分享。 我们调研的公司，目前已经有70多份问卷，涉及到不同行业。公司大的超过百亿的有好多家，中小型企业也有涉及，所以是一个比较全面的有代表性的调研。 接下来把我们发现的一些有趣现象跟大家共享。首先看一下IT整体效能。谈起IT效能，大家都会问一个问题“公司今后发展最主要的有哪些发展重点？（从业务上来说）。那么对于IT业务支撑做的怎么样？” 大家的回答，可以看到，会提出改善流程效率、开发新的产品服务、为公司决策做出支撑。这三个被大家认为是最重要的三个业务发展重点。相对来讲，CIO评价自己的话，IT对业务支撑的支撑度还是比较高的，80%到90%的CIO认为自己是支撑了前面说的三大业务重点。但是再往下看，相对来说有一些差距了，特别是提高客户体验，为客户服务这块，相对来说CIO自我打分会低一些。还有一个是控制企业风险和合规性方面，CIO一方面公司重视，一方面是自己信息系统支撑，相比前三项稍有差距。

企业安全合规需要遵从五个技巧

由于数据安全和数据保护的方式方法的不同，很容易导致不同企业遵从的法规和标准不同，进而导致企业遭受数据泄漏和安全威胁。通过创建风险管理，IT管理的规则和流程，可以有效的防止企业遭受数据泄漏的风险。

但是创建风险管理的规则和流程的任务是十分艰巨的，不同的企业喜欢采取的管理方式也不尽相同。有的企业喜欢通过单点的解决方案为每一个项目提供安全防护，但这非常容易造成工作的重复和预算的超支。

与此同时，企业发现数据泄漏的平均时间也在延长，先进的网络攻击已经超越了黑客的间谍活动，开始针对知识产权和内幕信息进行金钱的收益。更不幸的是这些网络攻击针对的企业和组织，不仅包括政府，军工企业，还包括一些"高调"的公司。很多时候，这些企业和组织因为缺乏必要的网络安全工具，经常被黑客关顾。

因此，合规性是企业运行良好风险管理计划的前提。Gartner研究机构总监曾经表示，CIO必须在进行业务决策前，积极的应对各种未知的风险和威胁。企业的CIO可以考虑用一下方法来规避风险：

第一，统一组织结构，减少错误评估风险

IT 安全是企业战略和经营目标的一个重要组成部分。通过定义关键步骤，建立一个统一的组织结构，以尽量减少由于错误评估风险和控制计算错误。同时，通过整合项目资源，从不同的领域，包括最终用户和利益相关者，特别是获得高层管理人员的支持。在进行风险评估的过程中，尽可能多的与利益相关者进行沟通。

第二，保证通畅的交流，获取评估信息

保证通畅的交流，可以有效的创造和交流设施政策。此外，风险和法规的遵从对用户是友好和有益的。例如，通过使用基于度量的业务语言，为GRC(行政管理、风险管理、法规遵从)评估提供有益信息。

第三，确定一个计划的目标和指标

企业的IT环境对当期和未来GRC有很大影响，需要组织审查现有的流程和政策，识别关键风险，资产差距，以及建立IT风险与合规指标。指标可以用来定义当前的安全与合规水平，还有未来理想的状态，使IT与该组织的其余部分都能获得安全技术部署，流程管控。

第四，具有实用和成本效益的改善计划

风险评估和分析后，通过设置GRC的优先级来实现近期和长期目标。成本效益和战略风险评估可以帮助组织优先考虑固有风险的基础上，确定最有效的基于风险的结果，控制和项目实施前的投资回报。通过一个全面核心业务流程，使组织制定或修改现行政策、程序、标准，并确定现有的控件和框架的可重复使用，以符合新的任务。此外，通过不断对未来的规划，可以达到一定的安全目标。

第五，简化风险和控制

为了减轻不必要的控制和测试的开支，GRC的团队需要对许多风险和控制之间的关系进行梳理。风险评估的定义是多个法规风险和控制共享的独特属性。通过减少重复的控制，识别控制依赖，链接之间的多层次结构风险，通过不同的进程之间共享信息，来控制GRC流程，确定标准化的实践。

通过以上措施，可以自动为GRC审计组织中的所有利益相关者提供工作流程。利益相关者可以查看的威胁和应用漏洞来进行业务评估，并优先响应，将任务分配给个人或团队，或者跨团队，跨业务线和跨地域的进行风险和法规遵从。 ;

以上就是关于银行IT业务外包都有哪些风险全部的内容，包括:银行IT业务外包都有哪些风险、麦肯锡王玮：IT如何更好地支持业务发展、企业安全合规需要遵从五个技巧等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！