银保监会：银行保险机构不得将网络安全主体责任外包

安全419了解到，为规范银行保险机构的信息科技外包活动，加强信息科技外包风险管控，银保监会网站近日发布了《银行保险机构信息科技外包风险监管办法》（以下简称《办法》），适用于在中国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社，保险集团（控股）公司、保险公司、保险资产管理公司、金融资产管理公司等。
 

 

所谓信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。《办法》要求，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

 

根据《办法》，银行保险机构在实施信息科技外包时应当坚持以下原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；要保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

 

在治理层面，《办法》要求，银行保险机构应指定信息科技外包风险主管部门，主要负责根据机构总体风险政策和外包战略，制定信息科技外包风险管理策略、制度和流程；统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作等。

 

对于信息科技外包活动及相关服务提供商，银行保险机构应进行分级管理，对重要外包和一般外包采取差异化管控措施。下列信息科技外包活动原则上属于重要外包：

 

　　（一）信息科技工作整体外包，仅保留必要的管理团队和核心职能；

　　（二）数据中心（机房）整体外包；

　　（三）涉及基础设施和信息系统整体架构发生重大变化的信息科技外包；

　　（四）核心业务系统开发测试和运行维护的整体外包；

　　（五）信息科技战略规划（含中长期规划）咨询外包；

　　（八）直接影响实时服务、影响账务准确性的重要信息系统外包；

　　（九）其它对机构业务运营具有重要影响的外包。

 

在准入方面，银行保险机构应根据信息科技外包战略，结合风险评估情况，明确服务提供商的准入标准，对备选服务提供商进行筛选，审慎引入集中度风险较高或增加机构整体风险的服务提供商。

 

银行保险机构应当对外包服务过程进行持续监控，及时发现和纠正服务过程中存在的各类异常情况；还应当建立明确的信息科技外包服务目录、服务水平协议以及服务水平监控评价机制，确保相关监控信息和评价结果的真实性和完整性，且数据至少保存到服务结束后三年。

 

针对可能给业务连续性管理造成重大影响的重要外包服务，银行保险机构应当事先建立风险控制、缓释或转移措施。银行保险机构还应识别对本机构具有集中度风险的外包服务及其提供商，积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段，减少对个别外包服务提供商的依赖，降低集中度风险。

 

在监督管理上，银行保险机构在开展信息科技工作整体外包、数据中心（机房）整体外包、涉及基础设施和信息系统整体架构发生重大变化的外包等信息科技外包活动时，应当在外包合同签订前二十个工作日向银保监会或其派出机构的信息科技监管部门报告。