銀保監會：銀行保險機構不得將信息科技管理責任、網絡安全主體責任外包

中國銀保監會近日印發了《銀行保險機構信息科技外包風險監管辦法》。《辦法》共7章46條，對銀行保險機構信息科技外包風險管理提出全面要求。

《辦法》明確，銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系，將信息科技外包風險納入全面風險管理體系，有效控制由于外包而引發的風險。銀行保險機構在實施信息科技外包時應當堅持以下原則：（一）不得將信息科技管理責任、網絡安全主體責任外包；（二）以不妨礙核心能力建設、積極掌握關鍵技術為導向；（三）保持外包風險、成本和效益的平衡；（四）保障網絡和信息安全，加強個人信息保護；（五）強調事前控制和事中監督；（六）持續改進外包策略和風險管理措施。

《辦法》規定，銀行保險機構在信息科技外包合同或協議中應當明確安全保密和消費者權益保護約定，包括但不限于：禁止服務提供商在合同允許范圍外使用或者披露銀行保險機構的信息，服務提供商不得將銀行保險機構數據以任何形式轉移、挪用或謀取外包合同約定以外的利益。銀行保險機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包或變相轉包。

銀保監會有關部門負責人表示，近幾年，銀行保險機構積極開展數字化轉型，在加大科技創新力度、更好地滿足金融消費者需求的同時，對信息科技外包服務的依賴度不斷加大。與此同時，部分銀行保險機構對信息科技外包風險管控不力，因而導致的業務中斷、敏感信息泄露等事件時有發生。此外，部分領域外包服務提供商高度集中，形成了行業集中度風險。為此，按照風險為本的導向，以彌補短板、強化監管為目標，擬通過制定《辦法》，從信息科技外包治理、準入、監控評價、風險管理等方面對銀行保險機構信息科技外包提出要求。

《辦法》的制定出臺，將促進銀行保險機構建立并完善信息科技外包治理架構，加強信息科技外包風險管理體系建設，提升信息科技外包風險管控能力，促進銀行保險機構穩健開展數字化轉型工作。

下一步，銀保監會將加強政策宣貫培訓，將信息科技外包納入對銀行保險機構的日常風險監測和現場檢查，推動銀行保險機構建立有效的信息科技外包風險管理體系，促進《辦法》有效落地實施。（總臺央視記者 王雷）