银保监会:银行保险机构应将信息科技外包及服务商分级管理
新华财经北京1月4日电 据银保监会网站消息,银保监会近日发布了《银行保险机构信息科技外包风险监管办法》。《办法》要求,银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
除银行保险机构外,省(自治区)农村信用社联合社、金融资产管理公司,银保监会及其派出机构监管的其他金融机构也需参照执行。《通知》自公布之日起实施。
根据《办法》,银行保险机构在实施信息科技外包时应当坚持以下原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;要保持外包风险、成本和效益的平衡;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。对于信息科技外包活动及相关服务提供商,银行保险机构应进行分级管理,对重要外包和一般外包采取差异化管控措施。
《办法》要求,银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施。原则上属于重要外包的包括:信息科技工作整体外包,仅保留必要的管理团队和核心职能;数据中心(机房)整体外包;涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;核心业务系统开发测试和运行维护的整体外包;信息科技战略规划(含中长期规划)咨询外包;安全运营的整体外包;涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;直接影响实时服务、影响账务准确性的重要信息系统外包;其它对机构业务运营具有重要影响的外包。
同时,银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段,减少对个别外包服务提供商的依赖,降低集中度风险。
《办法》还规定,银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估,对银行保险机构信息科技外包工作进行监督和检查,并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人,依照相关法律规定实施延伸检查。
对于经监管评估、监督检查或现场核查风险较高的信息科技外包服务,银保监会及其派出机构可以对银行保险机构采取风险提示、约见谈话、监管质询、要求暂缓和停止相关外包活动等措施。对具有重大违法违规情形的服务提供商,银保监会可通报行业,必要时将有关情况移交司法机关。
分享: