银保监会：将信息科技外包风险纳入全面风险管理体系

　　银保监会网站1月21日消息，银保监会日前印发《银行保险机构信息科技外包风险监管办法》，对银行保险机构信息科技外包风险管理提出全面要求。其中提出，银行保险机构在实施信息科技外包时应坚持不得将信息科技管理责任、网络安全主体责任外包，保障网络和信息安全，加强个人信息保护等原则。

　　银保监会有关负责人介绍，《办法》所适用的信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。除了上述外包行为以外，随着近年来银行保险机构在各个领域与第三方的合作越来越多，其中不少合作涉及机构重要数据和客户个人信息处理，为充分保护金融消费者权益，加强第三方合作当中的信息科技风险管理，防止敏感信息泄露和不当使用，对银行保险机构与其他第三方合作当中涉及银行保险机构的重要数据和客户个人信息处理的信息科技活动，需按照《办法》相关要求进行管理。

　　《办法》规定，银行保险机构在实施信息科技外包时应坚持以下原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

　　《办法》提出，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

　　在信息科技外包治理方面，《办法》指出，银行保险机构应建立覆盖董（理）事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构，明确相应层级的职责，确保信息科技外包治理架构权责清晰、运转高效、制衡充分。

　　在信息科技外包准入方面，《办法》强调，银行保险机构应根据信息科技外包战略，结合风险评估情况，明确服务提供商的准入标准，对备选服务提供商进行筛选，审慎引入集中度风险较高或增加机构整体风险的服务提供商。