銀保監會：保險機構應將信息科技外包風險納入全面風險管理體系

近日，銀保監會印發《銀行保險機構信息科技外包風險監管辦法》（以下簡稱《辦法》），為進一步加強銀行保險機構信息科技外包風險監管，促進銀行保險機構提升信息技外包風險管控能力。

《辦法》所適用的信息科技外包，是指銀行保險機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為。除了上述外包行為以外，對銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數據和客戶個人信息處理的信息科技活動，需按照《辦法》相關要求進行管理。

《辦法》明確，銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發的風險。

與此同時，《辦法》對銀行保險機構的組織和職責、外包戰略、外包禁止、服務提供商管理策略、外包分類、外包分級管理、退出策略等提出明確要求；對信息科技外包準入提出監管要求，包括準入前評估、盡職調查、合同等進行了規定，并對非駐場集中式外包、跨境外包、同業和關聯外包提出附加要求；明確信息科技外包監控評價要求，對外包過程監控、效能和質量監控、服務監控及評價、服務提供商經營監控、異常糾正、關聯外包評價、外包終止做出規定。

此外，為規范信息科技外包風險管理，《辦法》還對外包風險識別與評估、業務連續性管理、信息安全管理、集中度風險管理、非駐場外包實地檢查、年度風險評估和審計提出要求。

在集中度風險管理方面，《辦法》提到，銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商，積極采用分散外包活動、注重外包項目知識產權保護、提高自身研發運維能力、儲備潛在替代服務提供商等手段，減少對個別外包服務提供商的依賴，降低集中度風險。

《辦法》還對監管機構實施外包監督管理做出規定，包括事前報告要求、重大事件報告、監管評估和監督檢查、風險監測、監管干預、實地核查、監管問責等內容。

銀保監會有關部門負責人表示，近幾年，銀行保險機構積極開展數字化轉型，對信息科技外包服務的依賴度不斷加大。部分銀行保險機構對信息科技外包風險管控不力，因而導致的業務中斷、敏感信息泄露等事件時有發生。此外，部分領域外包服務提供商高度集中，形成了行業集中度風險。為此，擬通過制定《辦法》，從信息科技外包治理、準入、監控評價、風險管理等方面對銀行保險機構信息科技外包提出要求。

上述負責人表示，《辦法》所約束的對象是銀保監會監管的銀行保險機構，對所有服務提供商一視同仁，沒有新增任何其他準入門檻，銀行保險機構自主決定服務提供商的選擇標準和準入方式。