近年來,由於信息科技外包風險管控不力,銀行保險領域業務中斷、敏感信息泄露等事件時有發生。

銀保監會網站1月21日發佈《銀行保險機構信息科技外包風險監管辦法》,對銀行保險機構信息科技外包風險管理提出全面要求。

如何界定信息科技外包行爲

銀保監會有關部門負責人介紹,《辦法》所適用的信息科技外包,是指銀行保險機構將原本由自身負責處理的信息科技活動委託給服務提供商進行處理的行爲。

除了上述外包行爲以外,隨着近年來銀行保險機構在各個領域與第三方的合作越來越多,其中不少合作涉及機構重要數據和客戶個人信息處理,爲充分保護金融消費者權益,加強第三方合作當中的信息科技風險管理,防止敏感信息泄露和不當使用,對銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數據和客戶個人信息處理的信息科技活動,需按照《辦法》相關要求進行管理。

業務中斷、敏感信息泄露事件時有發生

上述負責人介紹,近幾年,銀行保險機構積極開展數字化轉型,在加大科技創新力度、更好地滿足金融消費者需求的同時,對信息科技外包服務的依賴度不斷加大。與此同時,部分銀行保險機構對信息科技外包風險管控不力,因而導致的業務中斷、敏感信息泄露等事件時有發生。此外,部分領域外包服務提供商高度集中,形成了行業集中度風險。

爲此,按照風險爲本的導向,以彌補短板、強化監管爲目標,擬通過制定《辦法》,從信息科技外包治理、准入、監控評價、風險管理等方面對銀行保險機構信息科技外包提出要求。

信息科技外包應遵循六大原則

《辦法》規定,銀行保險機構在實施信息科技外包時應當堅持以下原則:

(一)不得將信息科技管理責任、網絡安全主體責任外包;

(二)以不妨礙核心能力建設、積極掌握關鍵技術爲導向;

(三)保持外包風險、成本和效益的平衡;

(四)保障網絡和信息安全,加強個人信息保護;

(五)強調事前控制和事中監督;

(六)持續改進外包策略和風險管理措施。

明確不能外包的信息科技職能

《辦法》明確信息科技外包風險管理的總體要求,即銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系,將信息科技外包風險納入全面風險管理體系,有效控制由於外包而引發的風險。

《辦法》在信息科技外包治理中對銀行保險機構的組織和職責、外包戰略、外包禁止、服務提供商管理策略、外包分類、外包分級管理、退出策略等提出明確要求。

其中提出,銀行保險機構應當明確不能外包的信息科技職能。涉及信息科技戰略管理、信息科技風險管理、信息科技內部審計及其他有關信息科技核心競爭力的職能不得外包。

在信息科技外包準入方面,《辦法》提出,銀行保險機構應在簽訂合同前,對重要外包的備選服務提供商深入開展盡職調查,必要時可聘請第三方機構協助調查。在服務提供商經營狀況未發生重大變化的前提下,盡職調查結果原則上一年內有效。

識別並評估外包可能產生的風險

在風險管理方面,銀行保險機構應建立並持續完善風險管理制度和流程,充分識別並評估信息科技外包可能產生的風險,包括但不限於:

科技能力喪失。過度依賴外包導致失去科技控制及創新能力,影響業務創新與發展。

業務中斷。支持業務運營的外包服務無法持續提供導致業務中斷。

數據泄露、丟失和篡改。因服務提供商的不當行爲或其服務的信息系統遭受網絡攻擊,導致銀行保險機構重要數據或客戶個人信息泄露、丟失和篡改。

資金損失。因服務提供商的不當行爲或其服務的信息系統遭受網絡攻擊,導致銀行保險機構客戶資金被盜取。

服務水平下降。由於外包服務質量問題或內外部協作效率低下,使得信息科技服務水平下降。

可能導致的戰略、聲譽、合規等其他風險。

此外,《辦法》對監管機構實施外包監督管理做出規定,包括事前報告要求、重大事件報告、監管評估和監督檢查、風險監測、監管幹預、實地核查、監管問責等內容。

對服務提供商有何影響

上述負責人介紹,《辦法》所約束的對象是銀保監會監管的銀行保險機構,對所有服務提供商一視同仁,沒有新增任何其他准入門檻,銀行保險機構自主決定服務提供商的選擇標準和准入方式。

相關文章