中新经纬1月4日电 据银保监会网站消息,近日银保监会制定并引发《银行保险机构信息科技外包风险监管办法》(下称《监管办法》)。其中指出,银行保险机构在实施信息科技外包时应当坚持不得将信息科技管理责任、网络安全主体责任外包;以不妨碍核心能力建设、积极掌握关键技术为导向等原则。
《监管办法》称,银行保险机构应当基于机构的业务战略、信息科技战略、总体外包战略、外包市场环境、自身风险控制能力和风险偏好制定信息科技外包战略,包括但不限于:外包原则和策略、不能外包的职能、资源能力建设方案等。
《监管办法》强调,银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施。
根据《监管办法》,下列信息科技外包活动原则上属于重要外包:信息科技工作整体外包,仅保留必要的管理团队和核心职能;数据中心(机房)整体外包;涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;核心业务系统开发测试和运行维护的整体外包;信息科技战略规划(含中长期规划)咨询外包;安全运营的整体外包;涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;直接影响实时服务、影响账务准确性的重要信息系统外包;其它对机构业务运营具有重要影响的外包。
《监管办法》还要求,银行保险机构应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
此外,《监管办法》还提到,银保监会及其派出机构对银行保险机构信息科技外包风险进行独立评估,对银行保险机构信息科技外包工作进行监督和检查,并纳入监管综合评价体系。对于检查发现涉嫌违法事项的有关单位和个人,依照相关法律规定实施延伸检查。(中新经纬APP)