文：袁園    

來源：每日經(jīng)濟新聞

爲進(jìn)一步加強銀行保險機構信息科技外包風險監管，促進(jìn)銀行保險機構提升信息科技外包風險管控能(néng)力，推動銀行保險機構穩健開(kāi)展數字化轉型工作，1月21日，銀保監會(huì)下發(fā)《銀行保險機構信息科技外包風險監管辦法》（以下簡稱《辦法》）。

銀保監會(huì)表示，下一步將(jiāng)加強政策宣貫培訓，將(jiāng)信息科技外包納入對(duì)銀行保險機構的日常風險監測和現場檢查，推動銀行保險機構建立有效的信息科技外包風險管理體系，促進(jìn)《辦法》有效落地實施。

《辦法》未新增任何其他準入門檻

《辦法》共7章46條，對(duì)銀行保險機構信息科技外包風險管理提出全面(miàn)要求。

《辦法》顯示，信息科技外包，是指銀行保險機構將(jiāng)原本由自身負責處理的信息科技活動委托給服務提供商進(jìn)行處理的行爲。

除了上述外包行爲以外，随著(zhe)近年來銀行保險機構在各個領域與第三方的合作越來越多，其中不少合作涉及機構重要數據和客戶個人信息處理，爲充分保護金融消費者權益，加強第三方合作當中的信息科技風險管理，防止敏感信息洩露和不當使用，對(duì)銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數據和客戶個人信息處理的信息科技活動，需按照《辦法》相關要求進(jìn)行管理。

銀行保險機構作爲委托方，應當建立與本機構信息科技戰略目标相适應的信息科技外包管理體系，將(jiāng)信息科技外包風險納入全面(miàn)風險管理體系，有效控制由于外包而引發(fā)的風險。

因此，《辦法》要求銀行保險機構在實施信息科技外包時應當堅持六大原則：不得將(jiāng)信息科技管理責任、網絡安全主體責任外包；以不妨礙核心能(néng)力建設、積極掌握關鍵技術爲導向(xiàng)；保持外包風險、成(chéng)本和效益的平衡；保障網絡和信息安全，加強重要數據和個人信息保護；強調事(shì)前控制和事(shì)中監督；持續改進(jìn)外包策略和風險管理措施。

銀保監會(huì)相關負責人表示，《辦法》所約束的對(duì)象是銀保監會(huì)監管的銀行保險機構，對(duì)所有服務提供商一視同仁，沒(méi)有新增任何其他準入門檻，銀行保險機構自主決定服務提供商的選擇标準和準入方式。

銀行業此前信息科技外包風險監管指引同步廢止

“《辦法》的制定出台，將(jiāng)促進(jìn)銀行保險機構建立并完善信息科技外包治理架構，加強外信息科技外包風險管理體系建設，提升信息科技外包風險管控能(néng)力，促進(jìn)銀行保險機構穩健開(kāi)展數字化轉型工作。”

上述銀保監會(huì)相關負責人表示，近幾年，銀行保險機構積極開(kāi)展數字化轉型，在加大科技創新力度、更好(hǎo)地滿足金融消費者需求的同時，對(duì)信息科技外包服務的依賴度不斷加大。

與此同時，部分銀行保險機構對(duì)信息科技外包風險管控不力，因而導緻的業務中斷、敏感信息洩露等事(shì)件時有發(fā)生。此外，部分領域外包服務提供商高度集中，形成(chéng)了行業集中度風險。

爲此，按照風險爲本的導向(xiàng)，以彌補短闆、強化監管爲目标，銀保監會(huì)通過(guò)制定《辦法》，從信息科技外包治理、準入、監控評價、風險管理等方面(miàn)對(duì)銀行保險機構信息科技外包提出要求。

據悉，《辦法》起(qǐ)草工作注重把握三大原則堅持風險爲本，在深入分析銀行保險機構信息科技外包風險發(fā)展态勢的基礎上，提出針對(duì)性的監管要求；強化監管力度，在總結銀行保險業信息科技監管實踐經(jīng)驗的基礎上，制定體系化的監管措施；對(duì)接國(guó)際标準，《辦法》起(qǐ)草工作吸收借鑒了近年來國(guó)際組織、國(guó)外監管機構相關外包監管原則和良好(hǎo)實踐。

《每日經(jīng)濟新聞》記者注意到，此前銀行業已經(jīng)有關于信息科技外包風險監管的相關文件出台，《辦法》的出台是否會(huì)跟這(zhè)些文件産生沖突？

上述銀保監會(huì)相關負責人表示此舉不會(huì)造成(chéng)沖突，《辦法》自發(fā)布之日起(qǐ)實施，《銀行業金融機構信息科技外包風險監管指引》（銀監發(fā)〔2013〕5号）、《中國(guó)銀監會(huì)辦公廳關于加強銀行業金融機構非駐場集中式外包風險管理的通知》（銀監辦發(fā)〔2014〕187号）、《中國(guó)銀監會(huì)辦公廳關于開(kāi)展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》（銀監辦發(fā)〔2014〕272号）同時廢止。