近日，中國銀保監(jiān)會辦公廳發(fā)布的《關(guān)于印發(fā)銀行保險機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管辦法的通知》(銀保監(jiān)辦發(fā)〔2021〕141號)明確要求：銀行保險機(jī)構(gòu)不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包，保障網(wǎng)絡(luò)和信息安全，加強(qiáng)重要數(shù)據(jù)和個人信息保護(hù)。

《銀行保險機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》中重要內(nèi)容，一哥做了整理，供大家學(xué)習(xí)參考。

第二條 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社，保險集團(tuán)(控股)公司、保險公司、保險資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監(jiān)會及其派出機(jī)構(gòu)監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。

第五條 銀行保險機(jī)構(gòu)在實施信息科技外包時應(yīng)當(dāng)堅持以下原則：

(一)不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包;

(二)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;

(三)保持外包風(fēng)險、成本和效益的平衡;

(四)保障網(wǎng)絡(luò)和信息安全，加強(qiáng)重要數(shù)據(jù)和個人信息保護(hù);

(五)強(qiáng)調(diào)事前控制和事中監(jiān)督;

(六)持續(xù)改進(jìn)外包策略和風(fēng)險管理措施。

第十三條 銀行保險機(jī)構(gòu)應(yīng)對信息科技外包活動及相關(guān)服務(wù)提供商進(jìn)行分級管理，對重要外包和一般外包采取差異化管控措施。下列信息科技外包活動原則上屬于重要外包：

(一)信息科技工作整體外包，僅保留必要的管理團(tuán)隊和核心職能;

(二)數(shù)據(jù)中心(機(jī)房)整體外包;

(三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的信息科技外包;

(四)核心業(yè)務(wù)系統(tǒng)開發(fā)測試和運行維護(hù)的整體外包;

(五)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;

(六)安全運營的整體外包;

(七)涉及集中存儲或處理銀行保險機(jī)構(gòu)重要數(shù)據(jù)和客戶個人敏感信息的外包;

(八)直接影響實時服務(wù)、影響賬務(wù)準(zhǔn)確性的重要信息系統(tǒng)外包;

(九)其它對機(jī)構(gòu)業(yè)務(wù)運營具有重要影響的外包。

第三十二條 銀行保險機(jī)構(gòu)應(yīng)當(dāng)制定和落實網(wǎng)絡(luò)和信息安全管理措施，包括但不限于：

(一)對服務(wù)提供商和外包人員進(jìn)行網(wǎng)絡(luò)和信息安全教育或培訓(xùn)，增強(qiáng)網(wǎng)絡(luò)和信息安全意識，服務(wù)提供商應(yīng)與銀行保險機(jī)構(gòu)簽訂安全保密協(xié)議，外包人員應(yīng)簽署安全保密承諾書;

(二)明確外包活動需要訪問或使用的信息資產(chǎn)，按“必須知道”和“最小授權(quán)”原則進(jìn)行訪問授權(quán)，嚴(yán)格管控遠(yuǎn)程維護(hù)行為;

(三)對信息系統(tǒng)開發(fā)交付物(含擁有知識產(chǎn)權(quán)的源代碼)進(jìn)行安全掃描和檢查;

(四)對客戶信息、源代碼和文檔等敏感信息采取嚴(yán)格管控措施，對敏感信息泄露風(fēng)險進(jìn)行持續(xù)監(jiān)測;

(五)對服務(wù)提供商所提供的模型、算法及相關(guān)信息系統(tǒng)加強(qiáng)管理，確保模型和算法遵循可解釋、可驗證、透明、公平的原則;

(六)定期對外包活動進(jìn)行網(wǎng)絡(luò)和信息安全評估。

第三十三條 銀行保險機(jī)構(gòu)應(yīng)識別對本機(jī)構(gòu)具有集中度風(fēng)險的外包服務(wù)及其提供商，積極采用分散外包活動、注重外包項目知識產(chǎn)權(quán)保護(hù)、提高自身研發(fā)運維能力、儲備潛在替代服務(wù)提供商等手段，減少對個別外包服務(wù)提供商的依賴，降低集中度風(fēng)險。

第三十七條 銀行保險機(jī)構(gòu)開展以下信息科技外包活動時，應(yīng)當(dāng)在外包合同簽訂前二十個工作日向銀保監(jiān)會或其派出機(jī)構(gòu)的信息科技監(jiān)管部門報告(目錄見附件)：

(一)信息科技工作整體外包;

(二)數(shù)據(jù)中心(機(jī)房)整體外包;

(三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的外包;

(四)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;

(五)符合重要外包條件的非駐場外包、關(guān)聯(lián)外包和跨境外包;

(六)其他銀保監(jiān)會認(rèn)為重要的信息科技外包。

第三十八條 銀行保險機(jī)構(gòu)信息科技外包活動中發(fā)生以下重大風(fēng)險事件時，應(yīng)當(dāng)按照相關(guān)突發(fā)事件監(jiān)管報告要求，向銀保監(jiān)會或其派出機(jī)構(gòu)報告：

(一)銀行保險機(jī)構(gòu)重要數(shù)據(jù)或客戶個人信息泄露;

(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運營中斷;

(三)由于不可抗力或服務(wù)提供商重大經(jīng)營、財務(wù)問題，導(dǎo)致或可能導(dǎo)致多家銀行保險機(jī)構(gòu)外包服務(wù)中斷;

(四)重要外包服務(wù)非正常中斷、終止或其服務(wù)提供商非正常退出;

(五)因服務(wù)提供商不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊或其他原因，造成銀行保險機(jī)構(gòu)客戶重大資金損失;

(六)發(fā)現(xiàn)重大的服務(wù)提供商違法違規(guī)事件;

(七)銀保監(jiān)會規(guī)定需要報告的其他重大事件。

相關(guān)突發(fā)事件報告要求中沒有規(guī)定的，在24小時內(nèi)向銀保監(jiān)會或其派出機(jī)構(gòu)報告。

來源：等級保護(hù)測評