为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作,中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)。
《办法》起草工作坚决贯彻落实中央精神,注重把握以下原则:一是坚持风险为本,在深入分析银行保险机构信息科技外包风险发展态势的基础上,提出针对性的监管要求;二是强化监管力度,在总结银行保险业信息科技监管实践经验的基础上,制定体系化的监管措施;三是对接国际标准,《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。
《办法》共7章46条,对银行保险机构信息科技外包风险管理提出全面要求。一是在总则中明确信息科技外包风险管理的总体要求,即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。三是对信息科技外包准入提出监管要求,包括准入前评估、尽职调查、合同等进行了规定,并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。四是明确信息科技外包监控评价要求,对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。五是规范信息科技外包风险管理,对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。六是对监管机构实施外包监督管理做出规定,包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等内容。
下一步,银保监会将加强政策宣贯培训,将信息科技外包纳入对银行保险机构的日常风险监测和现场检查,推动银行保险机构建立有效的信息科技外包风险管理体系,促进《办法》有效落地实施。
银行保险机构信息科技外包风险监管办法
第一章 总则
第一条为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。银保监会及其派出机构监管的其他金融机构参照本办法执行。
第三条本办法所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,按照本办法相关要求进行管理,法律法规另有要求的除外。
第四条银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
第五条银行保险机构在实施信息科技外包时应当坚持以下原则:
(一)不得将信息科技管理责任、网络安全主体责任外包;
(二)以不妨碍核心能力建设、积极掌握关键技术为导向;
(三)保持外包风险、成本和效益的平衡;
(四)保障网络和信息安全,加强重要数据和个人信息保护;
(五)强调事前控制和事中监督;
(六)持续改进外包策略和风险管理措施。
第二章 信息科技外包治理
第六条银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。
第七条银行保险机构董(理)事会或其授权设立的专业委员会应负责推动建立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策,高级管理层应负责制定信息科技外包战略,明确信息科技外包风险主管部门和信息科技外包执行团队,明确信息科技外包及其风险管理职责,审议信息科技外包管理流程及制度,监控信息科技外包及其风险管理成效。
第八条银行保险机构应指定信息科技外包风险主管部门,该部门主要职责包括:
(一)根据机构总体风险政策和外包战略,制定信息科技外包风险管理策略、制度和流程;
(二)统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作;
(三)制定保障外包服务持续性的应急管理方案,并定期组织实施演练;
(四)监督、评价外包执行团队的管理工作,并督促外包风险管理的持续改善;
(五)向董(理)事会(或其专门委员会)或高级管理层汇报信息科技外包相关风险及管理情况。
第九条银行保险机构应在信息科技管理部门或信息科技外包活动执行部门内部建立信息科技外包执行团队,并配备足够的具有相应能力和经验的人员履行以下职责:
(一)落实信息科技外包战略;
(二)执行信息科技外包管理制度与流程;
(三)执行服务提供商准入、尽职调查、服务评价和退出管理工作,建立并维护服务提供商关系管理策略;
(四)持续监测外包服务的水平和质量,及时处理服务提供商出现的相关违规和用户投诉;
(五)对外包过程中的关键管理活动进行监控及分析,定期与信息科技外包风险主管部门沟通外包活动及有关风险情况。
第十条银行保险机构应当基于机构的业务战略、信息科技战略、总体外包战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括但不限于:外包原则和策略、不能外包的职能、资源能力建设方案等。
第十一条银行保险机构应当明确不能外包的信息科技职能。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。
第十二条银行保险机构应当建立信息科技外包活动分类管理机制,针对不同类型的外包活动建立相应的管理和风控策略。信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。
第十三条银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施。下列信息科技外包活动原则上属于重要外包:
(一)信息科技工作整体外包,仅保留必要的管理团队和核心职能;
(二)数据中心(机房)整体外包;
(三)涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;
(四)核心业务系统开发测试和运行维护的整体外包;
(五)信息科技战略规划(含中长期规划)咨询外包;
(六)安全运营的整体外包;
(七)涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;
(八)直接影响实时服务、影响账务准确性的重要信息系统外包;
(九)其它对机构业务运营具有重要影响的外包。
第十四条银行保险机构应考虑重要外包终止的可能性,并制定退出策略。退出策略应至少明确:
(一)可能造成外包终止的情形;
(二)外包终止的业务影响分析;
(三)终止交接安排。
第三章 信息科技外包准入
第十五条银行保险机构应当充分评估拟开展的信息科技外包活动与信息科技外包战略的一致性,充分评估拟开展的信息科技外包活动相关风险,就是否实施外包作出审慎决策。重要外包应至少向高管层报告并经过审批。
第十六条银行保险机构应根据信息科技外包战略,结合风险评估情况,明确服务提供商的准入标准,对备选服务提供商进行筛选,审慎引入集中度风险较高或增加机构整体风险的服务提供商。
第十七条银行保险机构应在签订合同前,对重要外包的备选服务提供商深入开展尽职调查,必要时可聘请第三方机构协助调查。在服务提供商经营状况未发生重大变化的前提下,尽职调查结果原则上一年内有效。尽职调查应包括但不限于:
(一)服务提供商的技术和行业经验,人员及能力;
(二)服务提供商的内部控制和管理能力;
(三)服务提供商的网络和信息安全保障能力;
(四)服务提供商的持续经营状况;
(五)服务提供商及其母公司或实际控制人遵守国家和银保监会相关法律法规要求的情况;
(六)服务提供商过往配合银行保险机构审计、评估、检查及监管机构监督检查情况;
(七)服务提供商与银行保险机构的关联性。
第十八条对于符合重要外包条件的非驻场外包,应当进一步重点调查如下内容:
(一)服务提供商对银行保险机构与其他机构的设施、系统和数据是否有明确、清晰的边界;
(二)服务提供商是否有管理制度和技术措施保障银行保险机构数据的完整性和保密性;
(三)服务提供商对涉及银行保险机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限;
(四)服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限,是否能够浏览、获取重要数据或客户个人敏感信息;
(五)服务提供商是否有完善的灾难恢复设施和应急管理体系,是否有业务连续性安排;
(六)服务提供商是否存在不正当竞争或规避监管的情形。
第十九条银行保险机构在选择跨境外包时,应当充分评估服务提供商所在国家或地区的政治、经济、社会、法律、文化等经营环境。涉及信息跨境存储、处理和分析的,应遵守我国有关法律法规的规定。
第二十条对于关联外包和同业外包,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。
第二十一条银行保险机构在信息科技外包合同或协议中应当明确以下内容,包括但不限于:
(一)服务范围、服务内容、服务要求、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件,服务质量考核评价约定。
(二)合规、内控及风险管理要求,对法律法规及银行保险机构内部管理制度的遵守要求,监管政策的通报贯彻机制。
(三)服务持续性要求,服务提供商的服务持续性管理目标应当满足银行保险机构业务连续性目标要求。
(四)银行保险机构对服务提供商进行风险评估、监测、检查和审计的权利,及服务提供商承诺接受银保监会对其所承担的银行保险机构外包服务的监督检查。
(五)合同变更或终止的触发条件,合同变更或终止的过渡安排。
(六)外包活动中相关信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求。
(七)资源保障条款。
(八)安全保密和消费者权益保护约定,包括但不限于:禁止服务提供商在合同允许范围外使用或者披露银行保险机构的信息,服务提供商不得将银行保险机构数据以任何形式转移、挪用或谋取外包合同约定以外的利益。
(九)争端解决机制、违约及赔偿条款,跨境外包应明确争议解决时所适用的法律及司法管辖权,原则上应当选择中国仲裁机构、中国法院管辖,适用中国法律解决纠纷。
(十)报告条款,至少包括常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求。
第二十二条银行保险机构应当在合同或协议中明确要求服务提供商不得将外包服务转包或变相转包。在涉及外包服务分包时应当要求:
(一)不得将外包服务的主要业务分包;
(二)主服务提供商对服务水平负总责,确保分包服务提供商能够严格遵守外包合同或协议;
(三)主服务提供商对分包服务提供商进行监控,并对分包服务提供商的变更履行通知或报告审批义务。
第四章 信息科技外包监控评价
第二十三条银行保险机构应当对外包服务过程进行持续监控,及时发现和纠正服务过程中存在的各类异常情况。
第二十四条银行保险机构应当建立明确的信息科技外包服务目录、服务水平协议以及服务水平监控评价机制,确保相关监控信息和评价结果的真实性和完整性,且数据至少保存到服务结束后三年。
第二十五条银行保险机构应当对信息科技外包服务建立服务效能和质量监控指标,并进行相应监控。常见指标包括:
(一)信息系统和设备及基础设施的可用率;
(二)故障次数、故障解决率、故障的响应时间、故障的解决时间;
(三)服务的次数、客户满意度;
(四)业务需求的及时完成率、程序的缺陷数、需求变更率;
(五)外包人员工作饱和率、外包人员的考核合格率;
(六)网络和信息安全指标、业务连续性指标。
第二十六条银行保险机构应当对服务提供商的财务、内控及安全管理进行持续监控,