近年来，由于信息科技外包风险管控不力，银行保险领域业务中断、敏感信息泄露等事件时有发生。

银保监会网站1月21日发布《银行保险机构信息科技外包风险监管办法》，对银行保险机构信息科技外包风险管理提出全面要求。

如何界定信息科技外包行为

银保监会有关部门负责人介绍，《办法》所适用的信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。

除了上述外包行为以外，随着近年来银行保险机构在各个领域与第三方的合作越来越多，其中不少合作涉及机构重要数据和客户个人信息处理，为充分保护金融消费者权益，加强第三方合作当中的信息科技风险管理，防止敏感信息泄露和不当使用，对银行保险机构与其他第三方合作当中涉及银行保险机构的重要数据和客户个人信息处理的信息科技活动，需按照《办法》相关要求进行管理。

业务中断、敏感信息泄露事件时有发生

上述负责人介绍，近几年，银行保险机构积极开展数字化转型，在加大科技创新力度、更好地满足金融消费者需求的同时，对信息科技外包服务的依赖度不断加大。与此同时，部分银行保险机构对信息科技外包风险管控不力，因而导致的业务中断、敏感信息泄露等事件时有发生。此外，部分领域外包服务提供商高度集中，形成了行业集中度风险。

为此，按照风险为本的导向，以弥补短板、强化监管为目标，拟通过制定《办法》，从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。

信息科技外包应遵循六大原则

《办法》规定，银行保险机构在实施信息科技外包时应当坚持以下原则：

（一）不得将信息科技管理责任、网络安全主体责任外包；

（二）以不妨碍核心能力建设、积极掌握关键技术为导向；

（三）保持外包风险、成本和效益的平衡；

（四）保障网络和信息安全，加强个人信息保护；

（五）强调事前控制和事中监督；

（六）持续改进外包策略和风险管理措施。

明确不能外包的信息科技职能

《办法》明确信息科技外包风险管理的总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

《办法》在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。

其中提出，银行保险机构应当明确不能外包的信息科技职能。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。

在信息科技外包准入方面，《办法》提出，银行保险机构应在签订合同前，对重要外包的备选服务提供商深入开展尽职调查，必要时可聘请第三方机构协助调查。在服务提供商经营状况未发生重大变化的前提下，尽职调查结果原则上一年内有效。

识别并评估外包可能产生的风险

在风险管理方面，银行保险机构应建立并持续完善风险管理制度和流程，充分识别并评估信息科技外包可能产生的风险，包括但不限于：

科技能力丧失。过度依赖外包导致失去科技控制及创新能力，影响业务创新与发展。

业务中断。支持业务运营的外包服务无法持续提供导致业务中断。

数据泄露、丢失和篡改。因服务提供商的不当行为或其服务的信息系统遭受网络攻击，导致银行保险机构重要数据或客户个人信息泄露、丢失和篡改。

资金损失。因服务提供商的不当行为或其服务的信息系统遭受网络攻击，导致银行保险机构客户资金被盗取。

服务水平下降。由于外包服务质量问题或内外部协作效率低下，使得信息科技服务水平下降。

可能导致的战略、声誉、合规等其他风险。

此外，《办法》对监管机构实施外包监督管理做出规定，包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等内容。

对服务提供商有何影响

上述负责人介绍，《办法》所约束的对象是银保监会监管的银行保险机构，对所有服务提供商一视同仁，没有新增任何其他准入门槛，银行保险机构自主决定服务提供商的选择标准和准入方式。