为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,银保监会于12月30日发布了《银行保险机构信息科技外包风险监管办法》(下称《办法》)。
信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
《办法》要求,银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
银行保险机构在实施信息科技外包时应当坚持以下原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;要保持外包风险、成本和效益的平衡;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。 对于信息科技外包活动及相关服务提供商,银行保险机构应进行分级管理,对重要外包和一般外包采取差异化管控措施。
下列信息科技外包活动原则上属于重要外包:
(一)信息科技工作整体外包,仅保留必要的管理团队和核心职能;
(二)数据中心(机房)整体外包;
(三)涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;
(四)核心业务系统开发测试和运行维护的整体外包;
(五)信息科技战略规划(含中长期规划)咨询外包;
(六)安全运营的整体外包;
(七)涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;
(八)直接影响实时服务、影响账务准确性的重要信息系统外包;
(九)其它对机构业务运营具有重要影响的外包。
在准入方面,银行保险机构应根据信息科技外包战略,结合风险评估情况,明确服务提供商的准入标准,对备选服务提供商进行筛选,审慎引入集中度风险较高或增加机构整体风险的服务提供商。对于关联外包和同业外包,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。
针对可能给业务连续性管理造成重大影响的重要外包服务,银行保险机构应当事先建立风险控制、缓释或转移措施。银行保险机构还应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段,减少对个别外包服务提供商的依赖,降低集中度风险。
下载路径: