银保监会：银行保险机构应将信息科技外包风险纳入全面风险管理体系，建立分类管理机制

（原标题：银保监会：银行保险机构应将信息科技外包风险纳入全面风险管理体系，建立分类管理机制）

近日，银保监会发布《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）称，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

《办法》明确，银行保险机构在实施信息科技外包时应坚持六大原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

《办法》要求，银行保险机构应当基于机构的业务战略、信息科技战略、总体外包战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略，包括但不限于：外包原则和策略、不能外包的职能、资源能力建设方案等。

银行保险机构应当明确不能外包的信息科技职能。涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。应当建立信息科技外包活动分类管理机制，针对不同类型的外包活动建立相应的管理和风控策略。信息科技外包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。

银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理，对重要外包和一般外包采取差异化管控措施。

银行保险机构在信息科技外包合同或协议中应当明确，服务提供商禁止在合同允许范围外使用或者披露银行保险机构的信息，不得将银行保险机构数据以任何形式转移、挪用或谋取外包合同约定以外的利益。

此外，《办法》还指出，银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估，对银行保险机构信息科技外包工作进行监督和检查，并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人，依照相关法律规定实施延伸检查。

对于经监管评估、监督检查或现场核查风险较高的信息科技外包服务，银保监会及其派出机构可以对银行保险机构采取风险提示、约见谈话、监管质询、要求暂缓和停止相关外包活动等措施。对具有重大违法违规情形的服务提供商，银保监会可通报行业，必要时将有关情况移交司法机关。（蓝鲸保险 李丹萍 lidanping@lanjinger.com）