首页>银行软件测试外包风险与应对措施

行业动态

银行软件测试外包风险与应对措施

2017-03-15

  软件测试是软件工程中的重要环节,上承研发,下接运维;既为研发工作的质量提供保障,也为运维工作的顺利开展提供支持。随着银行之间的竞争越来越激烈,新的业务产品推出的速度也越来越快,相应的软件测试的规模不断扩大,对测试质量的要求也越来越高。在这种情况下,银行由于受到科技投入有限、自身科技人员不足等因素影响,往往需要外包部分测试工作,但在通过引入外包降低测试成本的同时,不可避免地面临了诸多外包风险,对测试外包风险的识别和应对就显得尤为重要。

  一、测试外包风险分析

  1.服务质量风险

  服务质量风险主要是指在使用测试外包服务过程中,因测试外包服务公司提供的服务质量问题引发的测试外包风险。影响外包服务质量的因素包括以下几方面。

  (1)外包人员资质

  测试人员的知识、经验、能力直接影响测试工作的开展。测试人员能力不足,往往造成测试进度缓慢、测试交付物不规范、测试质量不过关等问题。

  (2)核心人员稳定性

  外包人员尤其是核心骨干人员的稳定性对项目测试的顺利开展有着至关重要的作用。目前,测试供应商竞争激烈,数量众多,测试外包人员在各个测试公司间跳槽频繁,增加了测试项目管理的难度。

  (3)外包公司技术能力

  外包公司测试技术能力不足,测试经验积累较少,未能形成测试技术规范,并缺乏对外包人员的必要培训,在项目实施中,主要依靠个人能力而非公司能力,无法长期保障测试服务质量。

  2.信息安全风险

  信息安全风险主要是指外包过程中,包括客户信息在内的非公开数据可能被外包人员非法获得或泄露的风险。

  (1)生产数据安全性风险

  测试工作中不可避免地需要使用到生产数据,而生产数据中包含了客户的敏感信息,如果客户敏感信息保护不当而造成外泄,可能给客户带来损失,也会使银行的商誉受损。

  (2)文档安全风险

  外包人员在工作中需要访问业务需求说明书、软件需求说明书、概要设计说明书、详细设计说明书等项目相关文档,项目文档信息外泄可能让竞争对手提前了解银行的业务动向,对业务的开展造成影响。

  3.服务连续性风险

  服务连续性风险是指因测试供应商无法提供服务导致测试中断的风险,具体包括以下情况。

  (1)供应商内部变化

  测试供应商因兼并重组,组织架构、经营管理发生重大调整,客户服务策略发生转变,财务状况恶化等情况导致无法继续提供测试服务。

  (2)供应商服务能力不足

  测试供应商服务能力不足以覆盖其业务规模,无法按时提供外包人员,导致测试工作延期甚至影响项目投产上线。

  二、测试外包风险防控措施

  针对上述几个风险点,兴业银行通过加强测试供应商管理,做好信息安全管控,强化测试能力建设等措施,降低对测试外包的依赖,提升组织级测试能力,提高测试质量控制水平,有效地防范了测试外包的风险。

  1.测试供应商管理

  (1)外包业务管理

  ①制度建设。根据银监会印发的《银行业金融机构外包风险管理指引》,结合自身工作实际情况,制定发布了《测试供应商管理办法》,从制度上对测试外包工作进行规范和指导,控制并降低测试外包风险,提高测试外包风险管理能力。

  ②尽职调查。在与外包服务提供商确定合作关系前对外包服务提供商开展尽职调查,尽职调查包括以下事项:外包服务提供商的资质、企业信誉、管理能力和行业地位;财务稳健性;经营声誉和企业文化;技术实力和服务质量;质量管理和信息安全;突发事件应对能力及业务连续性管理;对其他银行业金融机构提供服务的情况;机构集中度情况;历史合作情况。通过尽职调查,确保供应商基本能够达到服务质量要求。

  ③框架协议。与多家测试供应商签订测试框架协议,由测试框架协议供应商提供长期的测试服务。一方面多家供应商为行方提供了更多的选择,降低了机构集中度,在个别供应商服务中断时,银行能快速地找到可替代的供应商,保障测试服务的可持续性;另一方面长期合作有利于外包人员稳定,在外包测试中能更好地按行方的测试规范实施。

  ④测试资源池。通过笔试、面试对各家测试供应商的人员进行甄选,选出符合要求的测试外包人员,建立测试资源池。对在测试框架协议中约定的测试资源池中的人员有优先使用权。

  ⑤测试项目分配。综合考虑测试框架协议供应商的人力资源、前期表现、同类项目测试经验、厂商实施方案、集中度等因素对测试供应商进行综合评分,优先选择评分高的测试供应商。

  ⑥供应商后评价。为进一步提升测试供应商的服务水平,提高与测试供应商的合作成效,以年度为单位进行供应商后评价工作。评价工作主要对上一年测试供应商在人员配备、过程控制、测试需求、测试设计、测试准备、测试执行等方面进行评价。评价的结果将影响测试供应商的合作份额。

  (2)外包人员管理

  ①准入管理:制定测试外包人员评级标准,从学历、工作经验、业务能力、技术能力、沟通能力、文档能力等方面明确外包人员资质要求,符合资质要求的人员方准许入场。

  ②人员培训:对外包人员开展测试、研发、业务等方面的培训,使其尽快了解测试规范、系统设计情况,理解业务需求,掌握测试工具的使用。

  ③考核评价:主要评价外包人员的工作表现、工作量和工作质量,其中工作量主要通过考察外包人员设计、执行用例的数量,工作质量主要考察用例编写的合规性、缺陷有效率、缺陷遗漏情况等。外包人员的考核结果将影响其等级评定。

  2.信息安全管控

  (1)访问权限管理

  ①外包人员必须使用行方设备开展测试工作,禁止外带设备接入工作网络;

  ②建立桌面安全机制:本地工作站必须先经过桌面安全认证,才可进入工作网络;关闭本地工作站USB接口,禁止使用移动存储设备;所有的测试工作都在云桌面中开展,并限定文件只能从本地工作站上传到云桌面,禁止从云桌面下载到本地;

  ③采用文档加密管理,限制外包人员文档访问权限;

  ④各系统的测试环境相对独立,对测试环境的跨系统访问进行控制。

  (2)测试数据管理

  ①使用生产数据开展测试前,对生产数据中的敏感信息进行脱敏,防范客户信息外泄的风险。

  ②对部署了脱敏后生产数据的测试环境进行安全部署,外包人员只能通过受控终端访问测试环境,限制外包人员的文件传输权限。

  (3)保密管理

  ①与测试服务供应商签订保密协议,要求供应商保障本行商业秘密(如客户信息、技术资料等)的安全性。

  ②外包人员入场和离场都按照规范的流程进行申请和审批,并与之签订现场工作纪律保证书和保密承诺书。

  3.测试能力建设

  (1)制度建设

  根据测试工作的特点,制定了一系列的制度规范,主要包括测试管理办法、测试工作手册、性能测试规范等。这些制度明确了测试管理要求,规范了测试操作流程,为测试工作的开展提供了依据。

  (2)测试管理

  测试过程中,行方人员对测试进度、测试质量进行监控,阶段性进行总结并对测试交付物进行评审,发现风险后及时向质量管理单位报告并实施风险应对措施。

  (3)测试技术

  ①通过QC平台自定义开发,在各个测试项目中约定了测试用例基本要素、缺陷基本要素,并制定了相应的模板。同时,对测试需求分析、用例设计、测试执行、缺陷管理进行流程约束。

  ②建立测试用例库、缺陷库等测试资产库,形成组织级测试资产,降低对测试外包的依赖性。

  ③按测试规范以及质量管控要求,制定了各类交付物模板,测试外包人员严格按测试规范开展测试。

  ④合理利用各类测试指标数据进行测试过程监控,及时发现测试进度、质量问题。

  测试外包风险管理是一个长期、全面的过程,需要在工作中结合实际情况不断改进,持续开展。随着测试规模的扩大以及测试技术的发展,测试外包风险的管理也将面临更高的要求,因此,在实际工作中,我们将更加积极主动,在现有的基础上建立更加完善的风险管理机制。

分享至微信 分享至微博

Connecting The World

每周精选

人民银行新一轮司局级调整 周学东执掌金融稳定局
工行李兴双:区块链技术赋能金融科技创新
一行三会就金融监管齐发声 双支柱调控框架日趋清晰
央行主管媒体:银行业服务实体经济大有可为
信雅达助力山东城商行联盟打造“单实例、多法人”流程银行 首家接入行成功投产运行