㈠ 信息科技外包風險監管辦法
信息科技外包風險管理提出全面要求:
1.在總則中明確信息科技外包風險管理的總體要求,即銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系,將信息科技外包風險納入全面風險管理體系,有效控制由於外包而引發的風險。
2.在信息科技外包治理中對銀行保險機構的組織和職責、外包戰略、外包禁止、服務提供商管理策略、外包分類、外包分級管理、退出策略等提出明確要求。
3.對信息科技外包準入提出監管要求,包括准入前評估、盡職調查、合同等進行了規定,並對非駐場集中式外包、跨境外包、同業和關聯外包提出附加要求。
4.明確信息科技外包監控評價要求,對外包過程監控、效能和質量監控、服務監控及評價、服務提供商經營監控、異常糾正、關聯外包評價、外包終止做出規定。
5.規范信息科技外包風險管理,對外包風險識別與評估、業務連續性管理、信息安全管理、集中度風險管理、非駐場外包實地檢查、年度風險評估和審計提出要求。
6.對監管機構實施外包監督管理做出規定,包括事前報告要求、重大事件報告、監管評估和監督檢查、風險監測、監管幹預、實地核查、監管問責等內容。
銀行保險機構實施信息科技外包應當遵循原則:
1.不得將信息科技管理責任、網路安全主體責任外包
2.以不妨礙核心能力建設、積極掌握關鍵技術為導向;
3.保持外包風險、成本和效益的平衡;
4.保障網路和信息安全,加強個人信息保護;
5.強調事前控制和事中監督;
6.持續改進外包策略和風險管理措施。
法律依據:
《中華人民共和國銀行保險機構信息科技外包風險監管辦法》第三條本辦法所適用的信息科技外包,是指銀行保險機構將原本由自身負責處理的信息科技活動委託給服務提供商進行處理的行為。
銀行保險機構與其他第三方合作當中涉及銀行保險機構重要數據和客戶個人信息處理的信息科技活動,按照本辦法相關要求進行管理,法律法規另有要求的除外。
第四條銀行保險機構應當建立與本機構信息科技戰略目標相適應的信息科技外包管理體系,將信息科技外包風險納入全面風險管理體系,有效控制由於外包而引發的風險。
第五條銀行保險機構在實施信息科技外包時應當堅持以下原則:
(一)不得將信息科技管理責任、網路安全主體責任外包;
(二)以不妨礙核心能力建設、積極掌握關鍵技術為導向;
(三)保持外包風險、成本和效益的平衡;
(四)保障網路和信息安全,加強重要數據和個人信息保護;
(五)強調事前控制和事中監督;
(六)持續改進外包策略和風險管理措施。