銀保監會：銀行保險機構應建立信息科技外包活動分類管理機制

中國網財經1月5日訊 近日，進一步加強銀行保險機構信息科技外包風險監管，促進銀行保險機構提升信息科技外包風險管控能力，銀保監會制定了《銀行保險機構信息科技外包風險監管辦法》(以下簡稱《辦法》)。

《辦法》要求，銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發的風險。在實施信息科技外包時，銀行保險機構應堅持以下原則：不得將信息科技管理責任、網絡安全主體責任外包；以不妨礙核心能力建設、積極掌握關鍵技術為導向；保持外包風險、成本和效益的平衡；保障網絡和信息安全，加強重要數據和個人信息保護；強調事前控制和事中監督；持續改進外包策略和風險管理措施。

《辦法》指出，銀行保險機構董(理)事會或其授權設立的專業委員會應負責推動建立信息科技外包及其風險管理體系、審批信息科技外包戰略、審議重大外包決策，高級管理層應負責制定信息科技外包戰略，明確信息科技外包風險主管部門和信息科技外包執行團隊，明確信息科技外包及其風險管理職責，審議信息科技外包管理流程及制度，監控信息科技外包及其風險管理成效。

同時，銀行保險機構應當建立信息科技外包活動分類管理機制，針對不同類型的外包活動建立相應的管理和風控策略。信息科技外包原則上劃分為咨詢規劃類、開發測試類、運行維護類、安全服務類、業務支持類等類別。對信息科技外包活動及相關服務提供商應進行分級管理，對重要外包和一般外包采取差異化管控措施。

原則上，屬于重要外包的有：信息科技工作整體外包，僅保留必要的管理團隊和核心職能；數據中心(機房)整體外包；涉及基礎設施和信息系統整體架構發生重大變化的信息科技外包；核心業務系統開發測試和運行維護的整體外包；信息科技戰略規劃(含中長期規劃)咨詢外包；安全運營的整體外包；涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息的外包；直接影響實時服務、影響賬務準確性的重要信息系統外包；其它對機構業務運營具有重要影響的外包。

另外，《辦法》就信息科技外包準入做出規定。銀行保險機構應當充分評估擬開展的信息科技外包活動與信息科技外包戰略的一致性，充分評估擬開展的信息科技外包活動相關風險，就是否實施外包作出審慎決策。重要外包應至少向高管層報告并經過審批。根據信息科技外包戰略，結合風險評估情況，明確服務提供商的準入標準，對備選服務提供商進行篩選，審慎引入集中度風險較高或增加機構整體風險的服務提供商。

《辦法》還要求，銀行保險機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包或變相轉包。在涉及外包服務分包時應當要求：不得將外包服務的主要業務分包；主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包合同或協議；主服務提供商對分包服務提供商進行監控，并對分包服務提供商的變更履行通知或報告審批義務。

此外，《辦法》還提到，銀行保險機構應當對外包服務過程進行持續監控，及時發現和糾正服務過程中存在的各類異常情況。建立明確的信息科技外包服務目錄、服務水平協議以及服務水平監控評價機制，確保相關監控信息和評價結果的真實性和完整性。銀保監會及其派出機構對銀行保險機構信息科技外包風險進行獨立評估，對銀行保險機構信息科技外包工作進行監督和檢查，并納入監管綜合評價體系。對于檢查發現涉嫌違法事項的有關單位和個人，依照相關法律規定實施延伸檢查。

關鍵詞： 外包 管理機制 保監會