银行保险机构信息科技外包风险监管办法
第一章 总则
第一条 为规范银行保险机构的信息科技外包活动,加强信息科技外包风险管控,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,制定本办法。
第二条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。银保监会及其派出机构监管的其他金融机构参照本办法执行。
第三条 本办法所适用的信息科技外包,是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。
银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动,按照本办法相关要求进行管理,法律法规另有要求的除外。
第四条 银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系,将信息科技外包风险纳入全面风险管理体系,有效控制由于外包而引发的风险。
第五条 银行保险机构在实施信息科技外包时应当坚持以下原则:
(一)不得将信息科技管理责任、网络安全主体责任外包;
(二)以不妨碍核心能力建设、积极掌握关键技术为导向;
(三)保持外包风险、成本和效益的平衡;
(四)保障网络和信息安全,加强重要数据和个人信息保护;
(五)强调事前控制和事中监督;
(六)持续改进外包策略和风险管理措施。
第二章 信息科技外包治理
第七章 附则
第四十四条 本办法所称关联外包,是指银行保险机构的母公司或其所属集团子公司、关联公司或附属机构作为服务提供商,为其提供信息科技外包服务的行为。
同业外包,是指依法设立的由银保监会监管的银行保险机构为其他同行业金融机构提供外包服务的行为。
跨境外包,是指服务提供商在境外其他国家或地区实施信息科技外包服务的行为。
非驻场外包,是指服务提供商不在银行保险机构场所提供服务的外包形式。
重要数据,包括但不限于客户资料、交易数据、商业秘密等,参见国家法律法规和国家标准对重要数据的相关定义。
客户个人信息和敏感信息,参见国家法律法规和国家标准对个人信息的相关定义。
第四十五条 本办法由银保监会负责解释和修订。
第四十六条 本办法自公布之日起施行。《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号)、《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》(银监办发〔2014〕187号)、《中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知》(银监办发〔2014〕272号)同时废止。
附件:1.银行保险机构信息科技外包监管报告材料目录
2.信息科技外包服务类型参考
附件1
银行保险机构信息科技外包监管报告
材料目录
一、外包服务基本情况,包括:
1. 外包服务名称;
2. 外包服务类型:咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等;
3. 外包服务的主要内容;
4. 实施方式:驻场外包、非驻场外包;
5. 影响的业务类型:渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类等;
6. 外包服务起止时间。
二、服务提供商基本情况,包括:
1. 服务提供商全称、国别;
2. 尽职调查报告;
3. 法人代表;
4. 注册资本;
5. 上级机构/母机构;
6. 成立时间;
7. 企业性质;
8. 统一社会信用代码。
三、外包风险评估报告。
银保监会规定的其他材料。
附件2
信息科技外包服务类型参考
咨询规划类。包括但不限于:信息科技战略规划(含中长期规划)咨询,数据中心(机房)整体建设咨询和规划,信息科技治理(含数据治理)、信息科技风险管理体系、信息安全管理体系、业务连续性管理体系等管理类咨询和规划,重要信息系统架构和建设相关的咨询和规划,新兴技术应用咨询和规划。
开发测试类。包括但不限于:软硬件开发和测试外包(含人力外包),软件即服务形式的外包。
运行维护类。包括但不限于:数据中心(机房)物理环境的托管或运行维护,软硬件基础设施托管或运行维护,应用系统运行维护,电子机具运行维护,终端等办公设备的运行维护,以及涉及以上运行维护的人力外包。
安全服务类。包括但不限于:安全运营服务,安全加固服务,安全设备运行维护,安全日志处理与分析,安全测试服务,密钥管理及运行维护,数据安全服务,以及涉及以上服务的人力外包。
业务支持类。包括但不限于:市场拓展、业务运营(集中作业、呼叫中心等)、企业管理、资产处置、数据处理、数据利用等业务外包或第三方合作当中涉及银行保险机构的重要数据或客户个人信息处理的信息科技活动,法律法规另有要求的除外。
发表评论