注意了!银保监会强化金融机构监管:独立评估,必要时移交司法
信息科技外包是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为,同时银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,按照该办法相关要求进行管理,法律法规另有要求的除外。
《通知》要求,银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
21世纪经济报道记者了解到,早在2021年一季度,监管部门组织银行业金融机构对重要外包服务开展了联合核查,结果发现部分外包服务存在突出的风险隐患,包括安全意识淡薄、服务水平不高、管理不严格等问题。
对外包采取差异化管控措施
《通知》明确,银行保险机构在实施信息科技外包时应当坚持六大原则:不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向;保持外包风险、成本和效益的平衡;保障网络和信息安全,加强重要数据和个人信息保护;强调事前控制和事中监督;持续改进外包策略和风险管理措施。
《通知》要求,银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。
信息科技外包风险主管部门主要职责包括:根据机构总体风险政策和外包战略,制定信息科技外包风险管理策略、制度和流程;统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作;制定保障外包服务持续性的应急管理方案,并定期组织实施演练;监督、评价外包执行团队的管理工作,并督促外包风险管理的持续改善;向董(理)事会(或其专门委员会)或高级管理层汇报信息科技外包相关风险及管理情况。
《通知》还要求,银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,
同时,银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段,
监管独立评估机构外包风险
《通知》银行保险机构应建立并持续完善风险管理制度和流程,充分识别并评估信息科技外包可能产生的风险,包括但不限于:
科技能力丧失。过度依赖外包导致失去科技控制及创新能力,影响业务创新与发展。
业务中断。支持业务运营的外包服务无法持续提供导致业务中断。
数据泄露、丢失和篡改。因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行保险机构重要数据或客户个人信息泄露、丢失和篡改。
资金损失。因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行保险机构客户资金被盗取。
服务水平下降。由于外包服务质量问题或内外部协作效率低下,使得信息科技服务水平下降。可能导致的战略、声誉、合规等其他风险。
“针对可能给业务连续性管理造成重大影响的重要外包服务,银行保险机构应当事先建立风险控制、缓释或转移措施。”《通知》规定。
《通知》还规定,
对于经监管评估、监督检查或现场核查风险较高的信息科技外包服务,
《通知》明确,对于关联外包和同业外包,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送。关联外包是指银行保险机构的母公司或其所属集团子公司、关联公司或附属机构作为服务提供商,为其提供信息科技外包服务的行为;同业外包是指依法设立的由银保监会监管的银行保险机构为其他同行业金融机构提供外包服务的行为。
(作者:李愿编辑:马春园)