來源：中關村金融科技産業發(fā)展聯盟

近日，中國(guó)銀保監會(huì)辦公廳日前印發(fā)《銀行保險機構信息科技外包風險監管辦法》（以下簡稱《管理辦法》）。

《管理辦法》提出，銀行保險機構應當建立與本機構信息科技戰略目标相适應的信息科技外包管理體系，將(jiāng)信息科技外包風險納入全面(miàn)風險管理體系，有效控制由于外包而引發(fā)的風險。

銀行保險機構不得將(jiāng)信息科技管理責任、網絡安全主體責任外包。涉及信息科技戰略管理、信息科技風險管理、信息科技内部審計及其他有關信息科技核心競争力的職能(néng)不得外包。

銀行保險機構應當建立信息科技外包活動分類管理機制，針對(duì)不同類型的外包活動建立相應的管理和風控策略。信息科技外包原則上劃分爲咨詢規劃類、開(kāi)發(fā)測試類、運行維護類、安全服務類、業務支持類等類别。

銀行保險機構應根據信息科技外包戰略，結合風險評估情況，明确服務提供商的準入标準，對(duì)備選服務提供商進(jìn)行篩選，審慎引入集中度風險較高或增加機構整體風險的服務提供商。在簽訂合同前，對(duì)重要外包的備選服務提供商深入開(kāi)展盡職調查，必要時可聘請第三方機構協助調查。在服務提供商經(jīng)營狀況未發(fā)生重大變化的前提下，盡職調查結果原則上一年内有效。

銀行保險機構應當對(duì)外包服務過(guò)程進(jìn)行持續監控，及時發(fā)現和糾正服務過(guò)程中存在的各類異常情況。

銀行保險機構應識别對(duì)本機構具有集中度風險的外包服務及其提供商，積極采用分散外包活動、注重外包項目知識産權保護、提高自身研發(fā)運維能(néng)力、儲備潛在替代服務提供商等手段，減少對(duì)個别外包服務提供商的依賴，降低集中度風險。