為進一步加強銀行保險機構信息科技外包風險監管,促進銀行保險機構提升信息技外包風險管控能力,推動銀行保險機構穩健開展數字化轉型工作,中國銀保監會近日印發了《銀行保險機構信息科技外包風險監管辦法》(以下簡稱《辦法》),有關部門負責人就《辦法》回答了記者提問。
一、制定《辦法》的背景和意義是什么?
答:近幾年,銀行保險機構積極開展數字化轉型,在加大科技創新力度、更好地滿足金融消費者需求的同時,對信息科技外包服務的依賴度不斷加大。與此同時,部分銀行保險機構對信息科技外包風險管控不力,因而導致的業務中斷、敏感信息泄露等事件時有發生。此外,部分領域外包服務提供商高度集中,形成了行業集中度風險。為此,按照風險為本的導向,以彌補短板、強化監管為目標,擬通過制定《辦法》,從信息科技外包治理、準入、監控評價、風險管理等方面對銀行保險機構信息科技外包提出要求。
《辦法》的制定出臺,將促進銀行保險機構建立并完善信息科技外包治理架構,加強信息科技外包風險管理體系建設,提升信息科技外包風險管控能力,促進銀行保險機構穩健開展數字化轉型工作。
二、《辦法》的主要內容是什么?
答:《辦法》共7章46條,對銀行保險機構信息科技外包風險管理提出全面要求。一是在總則中明確《辦法》的制定目的和依據、適用范圍、一般原則,明確信息科技外包風險管理的總體要求,即銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系,將信息科技外包風險納入全面風險管理體系,有效控制由于外包而引發的風險。二是在信息科技外包治理中對銀行保險機構的組織和職責、外包戰略、外包禁止、服務提供商管理策略、外包分類、外包分級管理、退出策略等提出明確要求。三是對信息科技外包準入提出監管要求,包括準入前評估、盡職調查、合同等進行了規定,并對非駐場集中式外包、跨境外包、同業和關聯外包提出附加要求。四是明確信息科技外包監控評價要求,對外包過程監控、效能和質量監控、服務監控及評價、服務提供商經營監控、異常糾正、關聯外包評價、外包終止做出規定。五是規范信息科技外包風險管理,對外包風險識別與評估、業務連續性管理、信息安全管理、集中度風險管理、非駐場外包實地檢查、年度風險評估和審計提出要求。六是對監管機構實施外包監督管理做出規定,包括事前報告要求、重大事件報告、監管評估和監督檢查、風險監測、監管干預、實地核查、監管問責等內容。七是在附則中對名詞定義、解釋權、生效時間和文件廢止做出規定。
三、《辦法》所規范的信息科技外包行為怎么界定?
答:《辦法》所適用的信息科技外包,是指銀行保險機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為。除了上述外包行為以外,隨著近年來銀行保險機構在各個領域與第三方的合作越來越多,其中不少合作涉及機構重要數據和客戶個人信息處理,為充分保護金融消費者權益,加強第三方合作當中的信息科技風險管理,防止敏感信息泄露和不當使用,對銀行保險機構與其他第三方合作當中涉及銀行保險機構的重要數據和客戶個人信息處理的信息科技活動,需按照《辦法》相關要求進行管理。
四、銀行保險機構實施信息科技外包應當遵循哪些原則?
答:《辦法》規定,銀行保險機構在實施信息科技外包時應當堅持以下原則:(一)不得將信息科技管理責任、網絡安全主體責任外包;(二)以不妨礙核心能力建設、積極掌握關鍵技術為導向;(三)保持外包風險、成本和效益的平衡;(四)保障網絡和信息安全,加強個人信息保護;(五)強調事前控制和事中監督;(六)持續改進外包策略和風險管理措施。
五、《辦法》是否會提高服務提供商的準入門檻?
答:《辦法》所約束的對象是銀保監會監管的銀行保險機構,對所有服務提供商一視同仁,沒有新增任何其他準入門檻,銀行保險機構自主決定服務提供商的選擇標準和準入方式。
六、銀行業之前有專門的信息科技外包風險監管指引,《辦法》發布后之前的監管指引是否還繼續有效?
答:《辦法》自發布之日起實施,《銀行業金融機構信息科技外包風險監管指引》(銀監發〔2013〕5號)、《中國銀監會辦公廳關于加強銀行業金融機構非駐場集中式外包風險管理的通知》(銀監辦發〔2014〕187號)、《中國銀監會辦公廳關于開展銀行業金融機構信息科技非駐場集中式外包監管評估工作的通知》(銀監辦發〔2014〕272號)同時廢止。
附:中國銀保監會辦公廳關于印發銀行保險機構信息科技外包風險監管辦法的通知