信息來源：Freebuf

近幾年，銀行保險機構積極開展數字化轉型，在加大科技創(chuàng)新力度、更好地滿足金融消費者需求的同時，對信息科技外包服務的依賴度不斷加大。與此同時，部分銀行保險機構對信息科技外包風險管控不力，因而導致的業(yè)務中斷、敏感信息泄露等事件時有發(fā)生。

進一步加強銀行保險機構信息科技外包風險監(jiān)管，促進銀行保險機構提升信息技外包風險管控能力，近日，中國銀保監(jiān)會發(fā)布《銀行保險機構信息科技外包風險監(jiān)管辦法》（以下簡稱《辦法》）。

《辦法》共7章46條，對銀行保險機構信息科技外包風險管理提出全面要求。起草工作吸收借鑒了近年來國際組織、國外監(jiān)管機構相關外包監(jiān)管原則和良好實踐。其主要內容包括以下七個方面：

一是在總則中明確《辦法》的制定目的和依據、適用范圍、一般原則，明確信息科技外包風險管理的總體要求，即銀行保險機構應當建立與本機構信息科技戰(zhàn)略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發(fā)的風險。

二是在信息科技外包治理中對銀行保險機構的組織和職責、外包戰(zhàn)略、外包禁止、服務提供商管理策略、外包分類、外包分級管理、退出策略等提出明確要求。

三是對信息科技外包準入提出監(jiān)管要求，包括準入前評估、盡職調查、合同等進行了規(guī)定，并對非駐場集中式外包、跨境外包、同業(yè)和關聯外包提出附加要求。

四是明確信息科技外包監(jiān)控評價要求，對外包過程監(jiān)控、效能和質量監(jiān)控、服務監(jiān)控及評價、服務提供商經營監(jiān)控、異常糾正、關聯外包評價、外包終止做出規(guī)定。

五是規(guī)范信息科技外包風險管理，對外包風險識別與評估、業(yè)務連續(xù)性管理、信息安全管理、集中度風險管理、非駐場外包實地檢查、年度風險評估和審計提出要求。

六是對監(jiān)管機構實施外包監(jiān)督管理做出規(guī)定，包括事前報告要求、重大事件報告、監(jiān)管評估和監(jiān)督檢查、風險監(jiān)測、監(jiān)管干預、實地核查、監(jiān)管問責等內容。

七是在附則中對名詞定義、解釋權、生效時間和文件廢止做出規(guī)定。

需要注意的是，《辦法》所適用的信息科技外包，是指銀行保險機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為。

除了上述外包行為以外，隨著近年來銀行保險機構在各個領域與第三方的合作越來越多，其中不少合作涉及機構重要數據和客戶個人信息處理，為充分保護金融消費者權益，加強第三方合作當中的信息科技風險管理，防止敏感信息泄露和不當使用，對銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數據和客戶個人信息處理的信息科技活動，需按照《辦法》相關要求進行管理。

同時《辦法》也規(guī)定，銀行保險機構在實施信息科技外包時應當堅持以下原則：（一）不得將信息科技管理責任、網絡安全主體責任外包；（二）以不妨礙核心能力建設、積極掌握關鍵技術為導向；（三）保持外包風險、成本和效益的平衡；（四）保障網絡和信息安全，加強個人信息保護；（五）強調事前控制和事中監(jiān)督；（六）持續(xù)改進外包策略和風險管理措施。

附：《銀行保險機構信息科技外包風險監(jiān)管辦法》全文