近日，銀保監會發布《關于印發銀行保險機構信息科技外包風險監管辦法的通知》（下稱《通知》），進一步加強銀行保險機構信息科技外包風險監管，促進銀行保險機構提升信息科技外包風險管控能力。

信息科技外包是指銀行保險機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，同時銀行保險機構與其他第三方合作當中涉及銀行保險機構重要數據和客戶個人信息處理的信息科技活動，按照該辦法相關要求進行管理，法律法規另有要求的除外。

《通知》要求，銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發的風險。

21世紀經濟報道記者了解到，早在2021年一季度，監管部門組織銀行業金融機構對重要外包服務開展了聯合核查，結果發現部分外包服務存在突出的風險隱患，包括安全意識淡薄、服務水平不高、管理不嚴格等問題。

除銀行保險機構外，?。ㄗ灾螀^）農村信用社聯合社、金融資產管理公司，銀保監會及其派出機構監管的其他金融機構也需參照執行?！锻ㄖ纷怨贾掌饘嵤?。

對外包采取差異化管控措施

《通知》明確，銀行保險機構在實施信息科技外包時應當堅持六大原則：不得將信息科技管理責任、網絡安全主體責任外包；以不妨礙核心能力建設、積極掌握關鍵技術為導向；保持外包風險、成本和效益的平衡；保障網絡和信息安全，加強重要數據和個人信息保護；強調事前控制和事中監督；持續改進外包策略和風險管理措施。

《通知》要求，銀行保險機構應建立覆蓋董（理）事會、高管層、信息科技外包風險主管部門、信息科技外包執行團隊的信息科技外包及風險管理組織架構，明確相應層級的職責，確保信息科技外包治理架構權責清晰、運轉高效、制衡充分。

信息科技外包風險主管部門主要職責包括：根據機構總體風險政策和外包戰略，制定信息科技外包風險管理策略、制度和流程；統籌信息科技外包風險的識別、評估、監測、預警、報告及處置工作；制定保障外包服務持續性的應急管理方案，并定期組織實施演練；監督、評價外包執行團隊的管理工作，并督促外包風險管理的持續改善；向董（理）事會（或其專門委員會）或高級管理層匯報信息科技外包相關風險及管理情況。

《通知》還要求，銀行保險機構應對信息科技外包活動及相關服務提供商進行分級管理，對重要外包和一般外包采取差異化管控措施。原則上屬于重要外包的包括：信息科技工作整體外包，僅保留必要的管理團隊和核心職能；數據中心（機房）整體外包；涉及基礎設施和信息系統整體架構發生重大變化的信息科技外包；核心業務系統開發測試和運行維護的整體外包；信息科技戰略規劃（含中長期規劃）咨詢外包；安全運營的整體外包；涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息的外包；直接影響實時服務、影響賬務準確性的重要信息系統外包；其它對機構業務運營具有重要影響的外包。

同時，銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商，積極采用分散外包活動、注重外包項目知識產權保護、提高自身研發運維能力、儲備潛在替代服務提供商等手段，減少對個別外包服務提供商的依賴，降低集中度風險。

監管獨立評估機構外包風險

《通知》銀行保險機構應建立并持續完善風險管理制度和流程，充分識別并評估信息科技外包可能產生的風險，包括但不限于：

• 科技能力喪失。過度依賴外包導致失去科技控制及創新能力，影響業務創新與發展。

• 業務中斷。支持業務運營的外包服務無法持續提供導致業務中斷。

• 數據泄露、丟失和篡改。因服務提供商的不當行為或其服務的信息系統遭受網絡攻擊，導致銀行保險機構重要數據或客戶個人信息泄露、丟失和篡改。

• 資金損失。因服務提供商的不當行為或其服務的信息系統遭受網絡攻擊，導致銀行保險機構客戶資金被盜取。

• 服務水平下降。由于外包服務質量問題或內外部協作效率低下，使得信息科技服務水平下降?？赡軐е碌膽鹇?、聲譽、合規等其他風險。

“針對可能給業務連續性管理造成重大影響的重要外包服務，銀行保險機構應當事先建立風險控制、緩釋或轉移措施?！薄锻ㄖ芬幎?。

《通知》還規定，銀保監會及其派出機構對銀行保險機構信息科技外包風險進行獨立評估，對銀行保險機構信息科技外包工作進行監督和檢查，并納入監管綜合評價體系。對于檢查發現涉嫌違法事項的有關單位和個人，依照相關法律規定實施延伸檢查。

對于經監管評估、監督檢查或現場核查風險較高的信息科技外包服務，銀保監會及其派出機構可以對銀行保險機構采取風險提示、約見談話、監管質詢、要求暫緩和停止相關外包活動等措施。對具有重大違法違規情形的服務提供商，銀保監會可通報行業，必要時將有關情況移交司法機關。

《通知》明確，對于關聯外包和同業外包，銀行保險機構不得降低對服務提供商的要求，嚴格防范利益沖突和利益輸送。關聯外包是指銀行保險機構的母公司或其所屬集團子公司、關聯公司或附屬機構作為服務提供商，為其提供信息科技外包服務的行為；同業外包是指依法設立的由銀保監會監管的銀行保險機構為其他同行業金融機構提供外包服務的行為。

責任編輯：王超