银保监会发文 加强信息科技外包风险监管

银保监会近日印发《银行保险机构信息科技外包风险监管办法》，进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作。

银保监会相关负责人表示，部分银行保险机构对信息科技外包风险管控不力，业务中断、敏感信息泄露等时有发生。此外，部分领域外包服务提供商高度集中，形成行业集中度风险。为此，通过制定办法，从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。

办法适用的信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。除了上述外包行为，对银行保险机构与其他第三方合作中涉及银行保险机构的重要数据和客户个人信息处理的信息科技活动，应按照办法相关要求进行管理。

办法规定，银行保险机构在实施信息科技外包时应坚持以下原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

办法要求，银行保险机构应建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制外包引发的风险。办法还对信息科技外包准入提出监管要求，包括准入前评估、尽职调查、合同等进行了规定，并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。

此外，为规范信息科技外包风险管理，办法对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。

集中度方面，办法提出，银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商，积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段，减少对个别外包服务提供商的依赖，降低集中度风险。

银保监会相关负责人表示，办法所约束的对象是银保监会监管的银行保险机构，对所有服务提供商一视同仁，没有新增其他准入门槛，银行保险机构自主决定服务提供商的选择标准和准入方式。