本報記者 劉琪
1月21日����,中國銀保監(jiān)會官網(wǎng)發(fā)布消息���,為進一步加強銀行保險機構(gòu)信息科技外包風險監(jiān)管����,促進銀行保險機構(gòu)提升信息技外包風險管控能力���,推動銀行保險機構(gòu)穩(wěn)健開展數(shù)字化轉(zhuǎn)型工作�����,銀保監(jiān)會近日印發(fā)了《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》(以下簡稱《辦法》)�����。
《辦法》共7章46條����,對銀行保險機構(gòu)信息科技外包風險管理提出全面要求。一是在總則中明確信息科技外包風險管理的總體要求����,即銀行保險機構(gòu)應當建立與本機構(gòu)信息科技戰(zhàn)略目標相適應的信息科技外包管理體系,將信息科技外包風險納入全面風險管理體系�����,有效控制由于外包而引發(fā)的風險���。二是在信息科技外包治理中對銀行保險機構(gòu)的組織和職責���、外包戰(zhàn)略、外包禁止、服務提供商管理策略�、外包分類��、外包分級管理�����、退出策略等提出明確要求�。三是對信息科技外包準入提出監(jiān)管要求,包括準入前評估�、盡職調(diào)查、合同等進行了規(guī)定���,并對非駐場集中式外包����、跨境外包���、同業(yè)和關(guān)聯(lián)外包提出附加要求��。四是明確信息科技外包監(jiān)控評價要求�����,對外包過程監(jiān)控�����、效能和質(zhì)量監(jiān)控�����、服務監(jiān)控及評價����、服務提供商經(jīng)營監(jiān)控、異常糾正�����、關(guān)聯(lián)外包評價�、外包終止做出規(guī)定。五是規(guī)范信息科技外包風險管理�����,對外包風險識別與評估�、業(yè)務連續(xù)性管理、信息安全管理����、集中度風險管理���、非駐場外包實地檢查、年度風險評估和審計提出要求�。六是對監(jiān)管機構(gòu)實施外包監(jiān)督管理做出規(guī)定�,包括事前報告要求、重大事件報告�、監(jiān)管評估和監(jiān)督檢查、風險監(jiān)測����、監(jiān)管干預、實地核查����、監(jiān)管問責等內(nèi)容。
對于《辦法》所規(guī)范的信息科技外包行為如何界定��,銀保監(jiān)會有關(guān)部門負責人表示����,《辦法》所適用的信息科技外包,是指銀行保險機構(gòu)將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為�����。除了上述外包行為以外,隨著近年來銀行保險機構(gòu)在各個領(lǐng)域與第三方的合作越來越多���,其中不少合作涉及機構(gòu)重要數(shù)據(jù)和客戶個人信息處理���,為充分保護金融消費者權(quán)益,加強第三方合作當中的信息科技風險管理����,防止敏感信息泄露和不當使用,對銀行保險機構(gòu)與其他第三方合作當中涉及銀行保險機構(gòu)的重要數(shù)據(jù)和客戶個人信息處理的信息科技活動�,需按照《辦法》相關(guān)要求進行管理。
《辦法》規(guī)定���,銀行保險機構(gòu)在實施信息科技外包時應當堅持以下原則::一是����,不得將信息科技管理責任�����、網(wǎng)絡安全主體責任外包���;二是��,以不妨礙核心能力建設��、積極掌握關(guān)鍵技術(shù)為導向��;三是�����,保持外包風險��、成本和效益的平衡����;四是��,保障網(wǎng)絡和信息安全����,加強個人信息保護;五是�,強調(diào)事前控制和事中監(jiān)督;六是�����,持續(xù)改進外包策略和風險管理措施。
此外���,《辦法》所約束的對象是銀保監(jiān)會監(jiān)管的銀行保險機構(gòu)���,對所有服務提供商一視同仁,沒有新增任何其他準入門檻�����,銀行保險機構(gòu)自主決定服務提供商的選擇標準和準入方式��。
銀保監(jiān)會表示��,下一步將加強政策宣貫培訓����,將信息科技外包納入對銀行保險機構(gòu)的日常風險監(jiān)測和現(xiàn)場檢查,推動銀行保險機構(gòu)建立有效的信息科技外包風險管理體系�����,促進《辦法》有效落地實施��。
(編輯 張偉)
京公網(wǎng)安備 11010202007567號京ICP備17054264號
