1月21日，中國(guó)銀保監(jiān)會(huì)有關(guān)部門(mén)負(fù)責(zé)人就《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》答記者問(wèn)。

為進(jìn)一步加強(qiáng)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)提升信息技外包風(fēng)險(xiǎn)管控能力，推動(dòng)銀行保險(xiǎn)機(jī)構(gòu)穩(wěn)健開(kāi)展數(shù)字化轉(zhuǎn)型工作，中國(guó)銀保監(jiān)會(huì)近日印發(fā)了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》（以下簡(jiǎn)稱(chēng)《辦法》），有關(guān)部門(mén)負(fù)責(zé)人就《辦法》回答了記者提問(wèn)。

一、制定《辦法》的背景和意義是什么？

答：近幾年，銀行保險(xiǎn)機(jī)構(gòu)積極開(kāi)展數(shù)字化轉(zhuǎn)型，在加大科技創(chuàng)新力度、更好地滿(mǎn)足金融消費(fèi)者需求的同時(shí)，對(duì)信息科技外包服務(wù)的依賴(lài)度不斷加大。與此同時(shí)，部分銀行保險(xiǎn)機(jī)構(gòu)對(duì)信息科技外包風(fēng)險(xiǎn)管控不力，因而導(dǎo)致的業(yè)務(wù)中斷、敏感信息泄露等事件時(shí)有發(fā)生。此外，部分領(lǐng)域外包服務(wù)提供商高度集中，形成了行業(yè)集中度風(fēng)險(xiǎn)。為此，按照風(fēng)險(xiǎn)為本的導(dǎo)向，以彌補(bǔ)短板、強(qiáng)化監(jiān)管為目標(biāo)，擬通過(guò)制定《辦法》，從信息科技外包治理、準(zhǔn)入、監(jiān)控評(píng)價(jià)、風(fēng)險(xiǎn)管理等方面對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包提出要求。

《辦法》的制定出臺(tái)，將促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)建立并完善信息科技外包治理架構(gòu)，加強(qiáng)外信息科技外包風(fēng)險(xiǎn)管理體系建設(shè)，提升信息科技外包風(fēng)險(xiǎn)管控能力，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)穩(wěn)健開(kāi)展數(shù)字化轉(zhuǎn)型工作。

二、《辦法》的主要內(nèi)容是什么？

答：《辦法》共7章46條，對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理提出全面要求。一是在總則中明確《辦法》的制定目的和依據(jù)、適用范圍、一般原則，明確信息科技外包風(fēng)險(xiǎn)管理的總體要求，即銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的信息科技外包管理體系，將信息科技外包風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理體系，有效控制由于外包而引發(fā)的風(fēng)險(xiǎn)。二是在信息科技外包治理中對(duì)銀行保險(xiǎn)機(jī)構(gòu)的組織和職責(zé)、外包戰(zhàn)略、外包禁止、服務(wù)提供商管理策略、外包分類(lèi)、外包分級(jí)管理、退出策略等提出明確要求。三是對(duì)信息科技外包準(zhǔn)入提出監(jiān)管要求，包括準(zhǔn)入前評(píng)估、盡職調(diào)查、合同等進(jìn)行了規(guī)定，并對(duì)非駐場(chǎng)集中式外包、跨境外包、同業(yè)和關(guān)聯(lián)外包提出附加要求。四是明確信息科技外包監(jiān)控評(píng)價(jià)要求，對(duì)外包過(guò)程監(jiān)控、效能和質(zhì)量監(jiān)控、服務(wù)監(jiān)控及評(píng)價(jià)、服務(wù)提供商經(jīng)營(yíng)監(jiān)控、異常糾正、關(guān)聯(lián)外包評(píng)價(jià)、外包終止做出規(guī)定。五是規(guī)范信息科技外包風(fēng)險(xiǎn)管理，對(duì)外包風(fēng)險(xiǎn)識(shí)別與評(píng)估、業(yè)務(wù)連續(xù)性管理、信息安全管理、集中度風(fēng)險(xiǎn)管理、非駐場(chǎng)外包實(shí)地檢查、年度風(fēng)險(xiǎn)評(píng)估和審計(jì)提出要求。六是對(duì)監(jiān)管機(jī)構(gòu)實(shí)施外包監(jiān)督管理做出規(guī)定，包括事前報(bào)告要求、重大事件報(bào)告、監(jiān)管評(píng)估和監(jiān)督檢查、風(fēng)險(xiǎn)監(jiān)測(cè)、監(jiān)管干預(yù)、實(shí)地核查、監(jiān)管問(wèn)責(zé)等內(nèi)容。七是在附則中對(duì)名詞定義、解釋權(quán)、生效時(shí)間和文件廢止做出規(guī)定。

三、《辦法》所規(guī)范的信息科技外包行為怎么界定？

答：《辦法》所適用的信息科技外包，是指銀行保險(xiǎn)機(jī)構(gòu)將原本由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為。除了上述外包行為以外，隨著近年來(lái)銀行保險(xiǎn)機(jī)構(gòu)在各個(gè)領(lǐng)域與第三方的合作越來(lái)越多，其中不少合作涉及機(jī)構(gòu)重要數(shù)據(jù)和客戶(hù)個(gè)人信息處理，為充分保護(hù)金融消費(fèi)者權(quán)益，加強(qiáng)第三方合作當(dāng)中的信息科技風(fēng)險(xiǎn)管理，防止敏感信息泄露和不當(dāng)使用，對(duì)銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作當(dāng)中涉及銀行保險(xiǎn)機(jī)構(gòu)的重要數(shù)據(jù)和客戶(hù)個(gè)人信息處理的信息科技活動(dòng)，需按照《辦法》相關(guān)要求進(jìn)行管理。

四、銀行保險(xiǎn)機(jī)構(gòu)實(shí)施信息科技外包應(yīng)當(dāng)遵循哪些原則？

答：《辦法》規(guī)定，銀行保險(xiǎn)機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則：（一）不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包；（二）以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向；（三）保持外包風(fēng)險(xiǎn)、成本和效益的平衡；（四）保障網(wǎng)絡(luò)和信息安全，加強(qiáng)個(gè)人信息保護(hù)；（五）強(qiáng)調(diào)事前控制和事中監(jiān)督；（六）持續(xù)改進(jìn)外包策略和風(fēng)險(xiǎn)管理措施。

五、《辦法》是否會(huì)提高服務(wù)提供商的準(zhǔn)入門(mén)檻？

答：《辦法》所約束的對(duì)象是銀保監(jiān)會(huì)監(jiān)管的銀行保險(xiǎn)機(jī)構(gòu)，對(duì)所有服務(wù)提供商一視同仁，沒(méi)有新增任何其他準(zhǔn)入門(mén)檻，銀行保險(xiǎn)機(jī)構(gòu)自主決定服務(wù)提供商的選擇標(biāo)準(zhǔn)和準(zhǔn)入方式。

六、銀行業(yè)之前有專(zhuān)門(mén)的信息科技外包風(fēng)險(xiǎn)監(jiān)管指引，《辦法》發(fā)布后之前的監(jiān)管指引是否還繼續(xù)有效？

答：《辦法》自發(fā)布之日起實(shí)施，《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》（銀監(jiān)發(fā)〔2013〕5號(hào)）、《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)非駐場(chǎng)集中式外包風(fēng)險(xiǎn)管理的通知》（銀監(jiān)辦發(fā)〔2014〕187號(hào)）、《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開(kāi)展銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包監(jiān)管評(píng)估工作的通知》（銀監(jiān)辦發(fā)〔2014〕272號(hào)）同時(shí)廢止。

本文轉(zhuǎn)載目的在于知識(shí)分享，版權(quán)歸原作者和原刊所有。如有侵權(quán)，請(qǐng)及時(shí)聯(lián)系我們刪除。