近日,銀保監(jiān)會(huì)印發(fā)《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》(以下簡(jiǎn)稱《辦法》),為進(jìn)一步加強(qiáng)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管,促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)提升信息技外包風(fēng)險(xiǎn)管控能力。
《辦法》所適用的信息科技外包,是指銀行保險(xiǎn)機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為。除了上述外包行為以外,對(duì)銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作當(dāng)中涉及銀行保險(xiǎn)機(jī)構(gòu)的重要數(shù)據(jù)和客戶個(gè)人信息處理的信息科技活動(dòng),需按照《辦法》相關(guān)要求進(jìn)行管理。
《辦法》明確,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系,將信息科技外包風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系,有效控制由于外包而引發(fā)的風(fēng)險(xiǎn)。
與此同時(shí),《辦法》對(duì)銀行保險(xiǎn)機(jī)構(gòu)的組織和職責(zé)、外包戰(zhàn)略、外包禁止、服務(wù)提供商管理策略、外包分類、外包分級(jí)管理、退出策略等提出明確要求;對(duì)信息科技外包準(zhǔn)入提出監(jiān)管要求,包括準(zhǔn)入前評(píng)估、盡職調(diào)查、合同等進(jìn)行了規(guī)定,并對(duì)非駐場(chǎng)集中式外包、跨境外包、同業(yè)和關(guān)聯(lián)外包提出附加要求;明確信息科技外包監(jiān)控評(píng)價(jià)要求,對(duì)外包過程監(jiān)控、效能和質(zhì)量監(jiān)控、服務(wù)監(jiān)控及評(píng)價(jià)、服務(wù)提供商經(jīng)營(yíng)監(jiān)控、異常糾正、關(guān)聯(lián)外包評(píng)價(jià)、外包終止做出規(guī)定。
此外,為規(guī)范信息科技外包風(fēng)險(xiǎn)管理,《辦法》還對(duì)外包風(fēng)險(xiǎn)識(shí)別與評(píng)估、業(yè)務(wù)連續(xù)性管理、信息安全管理、集中度風(fēng)險(xiǎn)管理、非駐場(chǎng)外包實(shí)地檢查、年度風(fēng)險(xiǎn)評(píng)估和審計(jì)提出要求。
在集中度風(fēng)險(xiǎn)管理方面,《辦法》提到,銀行保險(xiǎn)機(jī)構(gòu)應(yīng)識(shí)別對(duì)本機(jī)構(gòu)具有集中度風(fēng)險(xiǎn)的外包服務(wù)及其提供商,積極采用分散外包活動(dòng)、注重外包項(xiàng)目知識(shí)產(chǎn)權(quán)保護(hù)、提高自身研發(fā)運(yùn)維能力、儲(chǔ)備潛在替代服務(wù)提供商等手段,減少對(duì)個(gè)別外包服務(wù)提供商的依賴,降低集中度風(fēng)險(xiǎn)。
《辦法》還對(duì)監(jiān)管機(jī)構(gòu)實(shí)施外包監(jiān)督管理做出規(guī)定,包括事前報(bào)告要求、重大事件報(bào)告、監(jiān)管評(píng)估和監(jiān)督檢查、風(fēng)險(xiǎn)監(jiān)測(cè)、監(jiān)管干預(yù)、實(shí)地核查、監(jiān)管問責(zé)等內(nèi)容。
銀保監(jiān)會(huì)有關(guān)部門負(fù)責(zé)人表示,近幾年,銀行保險(xiǎn)機(jī)構(gòu)積極開展數(shù)字化轉(zhuǎn)型,對(duì)信息科技外包服務(wù)的依賴度不斷加大。部分銀行保險(xiǎn)機(jī)構(gòu)對(duì)信息科技外包風(fēng)險(xiǎn)管控不力,因而導(dǎo)致的業(yè)務(wù)中斷、敏感信息泄露等事件時(shí)有發(fā)生。此外,部分領(lǐng)域外包服務(wù)提供商高度集中,形成了行業(yè)集中度風(fēng)險(xiǎn)。為此,擬通過制定《辦法》,從信息科技外包治理、準(zhǔn)入、監(jiān)控評(píng)價(jià)、風(fēng)險(xiǎn)管理等方面對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包提出要求。
上述負(fù)責(zé)人表示,《辦法》所約束的對(duì)象是銀保監(jiān)會(huì)監(jiān)管的銀行保險(xiǎn)機(jī)構(gòu),對(duì)所有服務(wù)提供商一視同仁,沒有新增任何其他準(zhǔn)入門檻,銀行保險(xiǎn)機(jī)構(gòu)自主決定服務(wù)提供商的選擇標(biāo)準(zhǔn)和準(zhǔn)入方式。
