今天是:2022年05月28日   星期六
网站首页
官方微信
官方微博
金融
银保监会:银行保险机构应建立信息科技外包活动分类管理机制
发布时间:2022-01-05

中国网财经1月5日讯 近日,进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息科技外包风险管控能力,银保监会制定了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)。

  《办法》要求,银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。在实施信息科技外包时,银行保险机构应坚持以下原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;保持外包风险、成本和效益的平衡;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。

  《办法》指出,银行保险机构董(理)事会或其授权设立的专业委员会应负责推动建立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策,高级管理层应负责制定信息科技外包战略,明确信息科技外包风险主管部门和信息科技外包执行团队,明确信息科技外包及其风险管理职责,审议信息科技外包管理流程及制度,监控信息科技外包及其风险管理成效。

  同时,银行保险机构应当建立信息科技外包活动分类管理机制,针对不同类型的外包活动建立相应的管理和风控策略。信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。对信息科技外包活动及相关服务提供商应进行分级管理,对重要外包和一般外包采取差异化管控措施。

  原则上,属于重要外包的有:信息科技工作整体外包,仅保留必要的管理团队和核心职能;数据中心(机房)整体外包;涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;核心业务系统开发测试和运行维护的整体外包;信息科技战略规划(含中长期规划)咨询外包;安全运营的整体外包;涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;直接影响实时服务、影响账务准确性的重要信息系统外包;其它对机构业务运营具有重要影响的外包。

  另外,《办法》就信息科技外包准入做出规定。银行保险机构应当充分评估拟开展的信息科技外包活动与信息科技外包战略的一致性,充分评估拟开展的信息科技外包活动相关风险,就是否实施外包作出审慎决策。重要外包应至少向高管层报告并经过审批。根据信息科技外包战略,结合风险评估情况,明确服务提供商的准入标准,对备选服务提供商进行筛选,审慎引入集中度风险较高或增加机构整体风险的服务提供商。

  《办法》还要求,银行保险机构应当在合同或协议中明确要求服务提供商不得将外包服务转包或变相转包。在涉及外包服务分包时应当要求:不得将外包服务的主要业务分包;主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;主服务提供商对分包服务提供商进行监控,并对分包服务提供商的变更履行通知或报告审批义务。

  此外,《办法》还提到,银行保险机构应当对外包服务过程进行持续监控,及时发现和纠正服务过程中存在的各类异常情况。建立明确的信息科技外包服务目录、服务水平协议以及服务水平监控评价机制,确保相关监控信息和评价结果的真实性和完整性。银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估,对银行保险机构信息科技外包工作进行监督和检查,并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人,依照相关法律规定实施延伸检查。

(文章来源:中国网财经)