注意了！银保监会强化金融机构信息科技外包风险监管：独立评估，必要时移交司法

　　作 者丨李愿

　　编 辑丨马春园

　　图 源丨图虫

　　近日，银保监会发布《关于印发银行保险机构信息科技外包风险监管办法的通知》（下称《通知》），进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力。

　　信息科技外包是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，同时银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，按照该办法相关要求进行管理，法律法规另有要求的除外。

　　《通知》要求，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

　　21世纪经济报道记者了解到，早在2021年一季度，监管部门组织银行业金融机构对重要外包服务开展了联合核查，结果发现部分外包服务存在突出的风险隐患，包括安全意识淡薄、服务水平不高、管理不严格等问题。

　　除银行保险机构外，省（自治区）农村信用社联合社、金融资产管理公司，银保监会及其派出机构监管的其他金融机构也需参照执行。《通知》自公布之日起实施。

　　对外包采取差异化管控措施

　　《通知》明确，银行保险机构在实施信息科技外包时应当坚持六大原则：

　　不得将信息科技管理责任、网络安全主体责任外包；

　　以不妨碍核心能力建设、积极掌握关键技术为导向；

　　保持外包风险、成本和效益的平衡；

　　保障网络和信息安全，加强重要数据和个人信息保护；

　　强调事前控制和事中监督；

　　持续改进外包策略和风险管理措施。

　　《通知》要求，银行保险机构应建立覆盖董（理）事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构，明确相应层级的职责，确保信息科技外包治理架构权责清晰、运转高效、制衡充分。

　　信息科技外包风险主管部门主要职责包括：根据机构总体风险政策和外包战略，制定信息科技外包风险管理策略、制度和流程；统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作；制定保障外包服务持续性的应急管理方案，并定期组织实施演练；监督、评价外包执行团队的管理工作，并督促外包风险管理的持续改善；向董（理）事会（或其专门委员会）或高级管理层汇报信息科技外包相关风险及管理情况。

　　《通知》还要求，银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理，对重要外包和一般外包采取差异化管控措施。原则上属于重要外包的包括：信息科技工作整体外包，仅保留必要的管理团队和核心职能；数据中心（机房）整体外包；涉及基础设施和信息系统整体架构发生重大变化的信息科技外包；核心业务系统开发测试和运行维护的整体外包；信息科技战略规划（含中长期规划）咨询外包；安全运营的整体外包；涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包；直接影响实时服务、影响账务准确性的重要信息系统外包；其它对机构业务运营具有重要影响的外包。

　　同时，银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商，积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段，减少对个别外包服务提供商的依赖，降低集中度风险。

　　监管独立评估机构外包风险

　　《通知》银行保险机构应建立并持续完善风险管理制度和流程，充分识别并评估信息科技外包可能产生的风险，包括但不限于：

　　科技能力丧失。过度依赖外包导致失去科技控制及创新能力，影响业务创新与发展。

　　业务中断。支持业务运营的外包服务无法持续提供导致业务中断。

　　数据泄露、丢失和篡改。因服务提供商的不当行为或其服务的信息系统遭受网络攻击，导致银行保险机构重要数据或客户个人信息泄露、丢失和篡改。

　　资金损失。因服务提供商的不当行为或其服务的信息系统遭受网络攻击，导致银行保险机构客户资金被盗取。

　　服务水平下降。由于外包服务质量问题或内外部协作效率低下，使得信息科技服务水平下降。可能导致的战略、声誉、合规等其他风险。

　　“针对可能给业务连续性管理造成重大影响的重要外包服务，银行保险机构应当事先建立风险控制、缓释或转移措施。”《通知》规定。

　　《通知》还规定，银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估，对银行保险机构信息科技外包工作进行监督和检查，并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人，依照相关法律规定实施延伸检查。

　　对于经监管评估、监督检查或现场核查风险较高的信息科技外包服务，银保监会及其派出机构可以对银行保险机构采取风险提示、约见谈话、监管质询、要求暂缓和停止相关外包活动等措施。对具有重大违法违规情形的服务提供商，银保监会可通报行业，必要时将有关情况移交司法机关。

　　《通知》明确，对于关联外包和同业外包，银行保险机构不得降低对服务提供商的要求，严格防范利益冲突和利益输送。关联外包是指银行保险机构的母公司或其所属集团子公司、关联公司或附属机构作为服务提供商，为其提供信息科技外包服务的行为；同业外包是指依法设立的由银保监会监管的银行保险机构为其他同行业金融机构提供外包服务的行为。

　　本期编辑 黎雨桐 实习生 林曦莹

本文首发于微信公众号：21世纪经济报道。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。