為進一步加強銀行保險機構(gòu)信息科技外包風險監(jiān)管�����,促進銀行保險機構(gòu)提升信息技外包風險管控能力�����,推動銀行保險機構(gòu)穩(wěn)健開展數(shù)字化轉(zhuǎn)型工作���,中國銀保監(jiān)會近日印發(fā)了《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》(以下簡稱《辦法》)�,有關部門負責人就《辦法》回答了記者提問�����。
一、制定《辦法》的背景和意義是什么�����?
答:近幾年,銀行保險機構(gòu)積極開展數(shù)字化轉(zhuǎn)型��,在加大科技創(chuàng)新力度���、更好地滿足金融消費者需求的同時�,對信息科技外包服務的依賴度不斷加大��。與此同時����,部分銀行保險機構(gòu)對信息科技外包風險管控不力,因而導致的業(yè)務中斷��、敏感信息泄露等事件時有發(fā)生���。此外����,部分領域外包服務提供商高度集中�,形成了行業(yè)集中度風險�。為此��,按照風險為本的導向,以彌補短板����、強化監(jiān)管為目標,擬通過制定《辦法》,從信息科技外包治理、準入��、監(jiān)控評價、風險管理等方面對銀行保險機構(gòu)信息科技外包提出要求�����。
《辦法》的制定出臺����,將促進銀行保險機構(gòu)建立并完善信息科技外包治理架構(gòu)�����,加強信息科技外包風險管理體系建設�,提升信息科技外包風險管控能力�����,促進銀行保險機構(gòu)穩(wěn)健開展數(shù)字化轉(zhuǎn)型工作。
二��、《辦法》的主要內(nèi)容是什么����?
答:《辦法》共7章46條�����,對銀行保險機構(gòu)信息科技外包風險管理提出全面要求。一是在總則中明確《辦法》的制定目的和依據(jù)�、適用范圍、一般原則���,明確信息科技外包風險管理的總體要求,即銀行保險機構(gòu)應當建立與本機構(gòu)信息科技戰(zhàn)略目標相適應的信息科技外包管理體系�,將信息科技外包風險納入全面風險管理體系,有效控制由于外包而引發(fā)的風險�。二是在信息科技外包治理中對銀行保險機構(gòu)的組織和職責、外包戰(zhàn)略�����、外包禁止、服務提供商管理策略�����、外包分類�����、外包分級管理、退出策略等提出明確要求�。三是對信息科技外包準入提出監(jiān)管要求�,包括準入前評估、盡職調(diào)查���、合同等進行了規(guī)定�,并對非駐場集中式外包�、跨境外包�、同業(yè)和關聯(lián)外包提出附加要求�。四是明確信息科技外包監(jiān)控評價要求��,對外包過程監(jiān)控、效能和質(zhì)量監(jiān)控��、服務監(jiān)控及評價、服務提供商經(jīng)營監(jiān)控�、異常糾正���、關聯(lián)外包評價���、外包終止做出規(guī)定���。五是規(guī)范信息科技外包風險管理,對外包風險識別與評估��、業(yè)務連續(xù)性管理����、信息安全管理�、集中度風險管理、非駐場外包實地檢查���、年度風險評估和審計提出要求���。六是對監(jiān)管機構(gòu)實施外包監(jiān)督管理做出規(guī)定���,包括事前報告要求����、重大事件報告���、監(jiān)管評估和監(jiān)督檢查�、風險監(jiān)測、監(jiān)管干預�����、實地核查�����、監(jiān)管問責等內(nèi)容���。七是在附則中對名詞定義、解釋權(quán)����、生效時間和文件廢止做出規(guī)定����。
三����、《辦法》所規(guī)范的信息科技外包行為怎么界定�?
答:《辦法》所適用的信息科技外包��,是指銀行保險機構(gòu)將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為��。除了上述外包行為以外����,隨著近年來銀行保險機構(gòu)在各個領域與第三方的合作越來越多�,其中不少合作涉及機構(gòu)重要數(shù)據(jù)和客戶個人信息處理,為充分保護金融消費者權(quán)益�,加強第三方合作當中的信息科技風險管理�,防止敏感信息泄露和不當使用,對銀行保險機構(gòu)與其他第三方合作當中涉及銀行保險機構(gòu)的重要數(shù)據(jù)和客戶個人信息處理的信息科技活動����,需按照《辦法》相關要求進行管理��。
四、銀行保險機構(gòu)實施信息科技外包應當遵循哪些原則��?
答:《辦法》規(guī)定���,銀行保險機構(gòu)在實施信息科技外包時應當堅持以下原則:(一)不得將信息科技管理責任、網(wǎng)絡安全主體責任外包��;(二)以不妨礙核心能力建設、積極掌握關鍵技術(shù)為導向����;(三)保持外包風險、成本和效益的平衡�����;(四)保障網(wǎng)絡和信息安全����,加強個人信息保護�����;(五)強調(diào)事前控制和事中監(jiān)督��;(六)持續(xù)改進外包策略和風險管理措施。
五����、《辦法》是否會提高服務提供商的準入門檻�?
答:《辦法》所約束的對象是銀保監(jiān)會監(jiān)管的銀行保險機構(gòu)��,對所有服務提供商一視同仁�����,沒有新增任何其他準入門檻���,銀行保險機構(gòu)自主決定服務提供商的選擇標準和準入方式。
六��、銀行業(yè)之前有專門的信息科技外包風險監(jiān)管指引�,《辦法》發(fā)布后之前的監(jiān)管指引是否還繼續(xù)有效�����?
答:《辦法》自發(fā)布之日起實施���,《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》(銀監(jiān)發(fā)〔2013〕5號)、《中國銀監(jiān)會辦公廳關于加強銀行業(yè)金融機構(gòu)非駐場集中式外包風險管理的通知》(銀監(jiān)辦發(fā)〔2014〕187號)���、《中國銀監(jiān)會辦公廳關于開展銀行業(yè)金融機構(gòu)信息科技非駐場集中式外包監(jiān)管評估工作的通知》(銀監(jiān)辦發(fā)〔2014〕272號)同時廢止。
