银行保险机构信息科技外包风险监管办法
2024-09-05
中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知
银保监办发〔2021〕141号
各银保监局,各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司,各保险集团(控股)公司、保险公司、保险资产管理公司、养老金管理公司、保险专业中介机构:
为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息科技外包风险管控能力,银保监会制定了《银行保险机构信息科技外包风险监管办法》,现予印发,请遵照执行。
中国银保监会办公厅
2021年12月30日
银行保险机构信息科技外包风险监管办法
第一章 总则
第一条 为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。银保监会及其派出机构监管的其他金融机构参照本办法执行。
第三条 本办法所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,按照本办法相关要求进行管理,法律法规另有要求的除外。
第四条 银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
第五条 银行保险机构在实施信息科技外包时应当坚持以下原则:
(一)不得将信息科技管理责任、网络安全主体责任外包;
(二)以不妨碍核心能力建设、积极掌握关键技术为导向;
(三)保持外包风险、成本和效益的平衡;
(四)保障网络和信息安全,加强重要数据和个人信息保护;
(五)强调事前控制和事中监督;
(六)持续改进外包策略和风险管理措施。
第二章 信息科技外包治理
第六条 银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包治理架构权责清晰、运转高效、制衡充分。
第七条 银行保险机构董(理)事会或其授权设立的专业委员会应负责推动建立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策,高级管理层应负责制定信息科技外包战略,明确信息科技外包风险主管部门和信息科技外包执行团队,明确信息科技外包及其风险管理职责,审议信息科技外包管理流程及制度,监控信息科技外包及其风险管理成效。
第八条 银行保险机构应指定信息科技外包风险主管部门,该部门主要职责包括:
(一)根据机构总体风险政策和外包战略,制定信息科技外包风险管理策略、制度和流程;
(二)统筹信息科技外包风险的识别、评估、监测、预警、报告及处置工作;
(三)制定保障外包服务持续性的应急管理方案,并定期组织实施演练;
(四)监督、评价外包执行团队的管理工作,并督促外包风险管理的持续改善;
(五)向董(理)事会(或其专门委员会)或高级管理层汇报信息科技外包相关风险及管理情况。
第九条 银行保险机构应在信息科技管理部门或信息科技外包活动执行部门内部建立信息科技外包执行团队,并配备足够的具有相应能力和经验的人员履行以下职责:
(一)落实信息科技外包战略;
(二)执行信息科技外包管理制度与流程;
(三)执行服务提供商准入、尽职调查、服务评价和退出管理工作,建立并维护服务提供商关系管理策略;
(四)持续监测外包服务的水平和质量,及时处理服务提供商出现的相关违规和用户投诉;
(五)对外包过程中的关键管理活动进行监控及分析,定期与信息科技外包风险主管部门沟通外包活动及有关风险情况。
第十条 银行保险机构应当基于机构的业务战略、信息科技战略、总体外包战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括但不限于:外包原则和策略、不能外包的职能、资源能……
