银保监会发布监管办法将信息科技外包风险纳入全面风险管理体系

每经记者 袁园 每经编辑 陈旭

为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作，1月21日，银保监会下发《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。

银保监会表示，下一步将加强政策宣贯培训，将信息科技外包纳入对银行保险机构的日常风险监测和现场检查，推动银行保险机构建立有效的信息科技外包风险管理体系，促进《办法》有效落地实施。

《办法》未新增任何其他准入门槛

《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。

《办法》显示，信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

除了上述外包行为以外，随着近年来银行保险机构在各个领域与第三方的合作越来越多，其中不少合作涉及机构重要数据和客户个人信息处理，为充分保护金融消费者权益，加强第三方合作当中的信息科技风险管理，防止敏感信息泄露和不当使用，对银行保险机构与其他第三方合作当中涉及银行保险机构的重要数据和客户个人信息处理的信息科技活动，需按照《办法》相关要求进行管理。

银行保险机构作为委托方，应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

因此，《办法》要求银行保险机构在实施信息科技外包时应当坚持六大原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

银保监会相关负责人表示，《办法》所约束的对象是银保监会监管的银行保险机构，对所有服务提供商一视同仁，没有新增任何其他准入门槛，银行保险机构自主决定服务提供商的选择标准和准入方式。

银行业此前信息科技外包风险监管指引同步废止

“《办法》的制定出台，将促进银行保险机构建立并完善信息科技外包治理架构，加强外信息科技外包风险管理体系建设，提升信息科技外包风险管控能力，促进银行保险机构稳健开展数字化转型工作。”

上述银保监会相关负责人表示，近几年，银行保险机构积极开展数字化转型，在加大科技创新力度、更好地满足金融消费者需求的同时，对信息科技外包服务的依赖度不断加大。

与此同时，部分银行保险机构对信息科技外包风险管控不力，因而导致的业务中断、敏感信息泄露等事件时有发生。此外，部分领域外包服务提供商高度集中，形成了行业集中度风险。

为此，按照风险为本的导向，以弥补短板、强化监管为目标，银保监会通过制定《办法》，从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。

据悉，《办法》起草工作注重把握三大原则坚持风险为本，在深入分析银行保险机构信息科技外包风险发展态势的基础上，提出针对性的监管要求；强化监管力度，在总结银行保险业信息科技监管实践经验的基础上，制定体系化的监管措施；对接国际标准，《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。

《每日经济新闻》记者注意到，此前银行业已经有关于信息科技外包风险监管的相关文件出台，《办法》的出台是否会跟这些文件产生冲突？

上述银保监会相关负责人表示此举不会造成冲突，《办法》自发布之日起实施，《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号）、《中国银监会办公厅关于加强银行业金融机构非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号）、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》（银监办发〔2014〕272号）同时废止。

封面图片来源：视觉中国