近年來，農(nóng)行保險機構積極開展數(shù)字化轉(zhuǎn)型。 在加強科技創(chuàng)新、更好滿足金融消費者需求的同時，金融消費者對信息技術外包服務的依賴度不斷提高。 同時，部分建行保險機構對信息科技外包風險管控不足，業(yè)務中斷、敏感信息泄露等事件時有發(fā)生。

據(jù)悉，部分地區(qū)外包服務商高度集中，存在行業(yè)集中度風險。 為此，銀保監(jiān)會基于風險導向，于2021年12月30日發(fā)布了《銀行業(yè)保險機構信息科技外包風險監(jiān)管辦法》（以下簡稱《辦法》），其中以補短板、強化監(jiān)管為目標。 《產(chǎn)業(yè)金融機構信息技術外包風險監(jiān)管指引》（以下簡稱《指引》）同時廢止。

《辦法》從信息科技外包整治、準入、監(jiān)測評估、風險管理等方面對建行保險機構信息科技外包提出要求。 《辦法》的制定出臺，將推動建行保險機構完善和建立信息科技外包整治框架，加強信息科技外包風險管理體系建設，提升信息科技外包風險管控能力，促進建行保險機構數(shù)字化轉(zhuǎn)型工作穩(wěn)步開展。

一、《辦法》與《意見》的區(qū)別

（一）整合監(jiān)管體系

（二）擴大適用范圍

機構范圍：不再參照各類建行、農(nóng)信社等金融機構，縮減各類保險機構，包括保險集團（控股）公司、保險公司、湖北IT企業(yè)等。

管理范圍：隨著《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護法》的頒布，本《辦法》增加了網(wǎng)絡安全、數(shù)據(jù)安全要求、跨境外包信息跨境處理等內(nèi)容，《辦法》即將對涉及建行保險機構重要數(shù)據(jù)的信息技術活動、客戶個人信息處理等內(nèi)容進行細化交行保險機構與其他第三方的合作。

（三）強化主體責任

《辦法》繼續(xù)點明金融機構的主體責任。 在實施原則中，明確信息技術管理職責和網(wǎng)絡安全主體職責不得外包。 指出事前控制和事中監(jiān)管，不斷完善外包策略和風險管理措施。

《辦法》要求，對于可能對業(yè)務連續(xù)性管理產(chǎn)生重大影響的重要外包服務，中國農(nóng)業(yè)銀行保險機構應當提前建立風險控制、緩釋或轉(zhuǎn)移措施； 外包和風險管理的審計工作，內(nèi)部審計項目可以委托給母公司或同一集團的子公司，也可以聘請獨立第三方。

（四）網(wǎng)絡與信息安全要求升級

《辦法》高度重視外包活動中涉及的網(wǎng)絡安全、數(shù)據(jù)安全和個人信息保護，并在外包原則、外包準入、監(jiān)測評價、風險管理等方面多次提出網(wǎng)絡與信息安全要求：一是、在盡職調(diào)查中，要求服務提供者具有網(wǎng)絡和信息安全保障能力； 二是在服務效率和質(zhì)量監(jiān)測指標中建立網(wǎng)絡與信息安全指標。 三是風控措施要落實對服務商和外包人員網(wǎng)絡與信息安全教育的要求。 網(wǎng)絡與信息安全要求貫穿《辦法》全文，可見監(jiān)管的重視程度，也是去年外包管控的重要方向。

（五）對高度集中的制造商和重點外包服務機構的容忍度更高

?措辭從“防止引入”到“謹慎引入”不等。 術語由“防止引入具有高機構集中度風險特征的服務提供者，或引入降低整體風險的服務提供者”變?yōu)椤皩徤饕刖哂懈呒卸蕊L險特征的服務提供者或降低整體機構風險”。 《辦法》對農(nóng)行保險機構引入風險集中度較高的廠商更加寬容，將更多的管理控制權和選擇權賦予了交行保險機構自主判斷的權利。

? 大幅簡化集中度風險管理相關規(guī)定。 《辦法》刪除了“機構集中度風險管理”一章。 全文只有四篇文章涉及集中度風險，沒有針對集中度風險較高的供應商提出具體的監(jiān)管措施。

?刪去“重點外包服務機構風險管理要求”一節(jié)。 《辦法》刪除了“銀行業(yè)重點外包服務機構風險管理要求”一章，包括：重點外包服務機構的范圍，以及注冊資本、組織架構、管理制度、技術能力、資質(zhì)證明等方面的要求等重點外包服務機構實施差異化監(jiān)管。

（六）對服務商的盡職調(diào)查要求更加明確

?盡職調(diào)查對象從“重要服務商”到“重要外包候選服務商”。 后一份《指引》是對重要服務提供者的盡職調(diào)查，調(diào)查對象針對重要服務提供者； 而原《辦法》指出了重要外包項目的性質(zhì)，僅對重要外包對應的備選服務提供者進行了盡職調(diào)查，兩者存在本質(zhì)區(qū)別。 據(jù)悉，該承包方此前被建行評為“重要外包商”，而其與建行保險代理機構合作的項目則被定義為“非重要外包項目”，無需進行應有盡職調(diào)查。盡職調(diào)查，所以“重要外包”是盡職調(diào)查的一個關鍵條件。

（七）跨業(yè)外包嚴格納入集中度風險監(jiān)管范圍

《辦法》提出，“對于關聯(lián)外包和跨業(yè)外包，交行保險機構不得降低對服務提供者的要求，嚴防利益沖突和利益轉(zhuǎn)移。” 提供方為同業(yè)托管機構的，農(nóng)業(yè)銀行保險機構可參照本節(jié)內(nèi)容進行委托管理。 從《指引》的參照執(zhí)行到《辦法》的嚴格防范，意味著建信保險機構旗下的金融科技子公司將被列入監(jiān)管范圍，也表明監(jiān)管層積極關注金融科技的發(fā)展前景。建行旗下保險機構金融科技子公司。

二、主要內(nèi)容分析

（一）總體框架

《辦法》共分七章四十六條，從整改、管理、監(jiān)督三個層面展開，對外包準入、外包監(jiān)測評價、外包風險控制、監(jiān)管報告和監(jiān)管等提出明確要求。問責制。 .

（二）重點分析一：網(wǎng)絡與信息安全

監(jiān)管機構也越來越重視外包活動中涉及的網(wǎng)絡安全、數(shù)據(jù)安全和個人信息保護等問題。 根據(jù)有關法律法規(guī)，《辦法》包括適用范圍、原則和風險管理等方面的相關內(nèi)容。 《數(shù)據(jù)安全法》出臺后，監(jiān)管部門更加重視外包活動中的網(wǎng)絡與信息安全管控。

?網(wǎng)絡與信息安全最佳實踐建議：網(wǎng)絡與信息安全盡職調(diào)查指標至少應包括安全隊伍建設、安全政策、物理安全、網(wǎng)絡安全、數(shù)據(jù)安全、用戶權益、終端安全、運維安全等。 為外包活動的性質(zhì)選擇適當?shù)闹笜恕?/p>

?服務性能與質(zhì)量監(jiān)控最佳實踐建議：服務性能與質(zhì)量監(jiān)控中的網(wǎng)絡與信息安全指標至少應包括缺陷修復率、漏洞修復率、數(shù)據(jù)有效性配置率、敏感信息保留率、源代碼審計執(zhí)行率、重要數(shù)據(jù)泄露次數(shù)、傳輸中斷次數(shù)、非授權破壞數(shù)據(jù)次數(shù)、敏感信息泄露次數(shù)、病毒入侵次數(shù)、系統(tǒng)越界次數(shù)等。

?網(wǎng)絡與信息安全評估最佳實踐建議：關于第32條第（6）款定期對外包活動進行網(wǎng)絡與信息安全評估，可關注（1）現(xiàn)場類，可參考外包安全教育、安全以及保密合約、權限控制、源代碼檢測、敏感信息泄露、終端密碼安全、終端病毒防護等指標； (2)非居民類，可參照化學品安全、網(wǎng)絡安全、數(shù)據(jù)安全、權限安全、終端安全和運維安全指標。

（三）重點分析二：分類分級管理

《辦法》不僅細化了外包的五大分類標準，還要求針對不同類型的外包活動建立相應的管理和風險策略； 明確了外包項目的分類，要求對重要外包和一般外包采取差異化管控措施，并對外包術語進行了一些解釋。

《辦法》對外包術語的解釋在此不再贅述。 我將分享業(yè)界對其他外包相關術語的解釋，供大家參考。

?盡職調(diào)查：是對重要外包的候選服務商在資產(chǎn)、經(jīng)營、內(nèi)部控制、人員、經(jīng)驗等方面可能存在的風險和隱患，在協(xié)議簽訂前進行的一系列必要的調(diào)查程序。

?現(xiàn)場檢查：是指通過現(xiàn)場訪談、審查、觀察、測試等方式，對場外外包活動采??取的一系列檢查程序，更加關注存在風險、影響和損失的程度。

?網(wǎng)絡與信息安全評估：是指對現(xiàn)場或非現(xiàn)場外包服務在網(wǎng)絡與信息安全方面采取的安全控制的完整性、合理性和有效性的評價程序，更加關注網(wǎng)絡與信息安全、數(shù)據(jù)安全和個人信息保護。

?集中風險：指將服務外包給單一或少數(shù)服務商，造成廣泛依賴、獨立可控、服務中斷、服務質(zhì)量下降的風險。

? 風險外包商集中度：參照《指引》中重要外包服務機構的量化指標，結合建行實際情況，自行編制指標維度。 可以參考協(xié)議金額或協(xié)議數(shù)量超過建行全行1/3的外包商。

（四）重點分析三：第三方合作服務

首次將“第三方”合作納入業(yè)務支持外包統(tǒng)籌管控。 建行各保險機構要深入開展自身第三方服務活動監(jiān)管，明確合作流程、主要風險和現(xiàn)有管控措施，重點關注第三方。 對重要數(shù)據(jù)和客戶個人信息的處理實施安全機制。

（五）重點分析四：外包商的盡職調(diào)查

外包盡職調(diào)查是在重要外包項目中標后、簽訂協(xié)議前，對外包服務對象的經(jīng)營狀況、商業(yè)信譽、技術能力、財務、人員能力、經(jīng)驗能力等進行深入調(diào)查。 建行保險代理機構將評選出第一、二、三名中標人，并對三名中標人進行盡職調(diào)查。

其價值在于：一是了解外包方的真實管理經(jīng)營情況，核實招標文件記載的事實，防止招標文件與事實存在較大錯誤或不符，導致外包風險； 二、對候選人進行盡職調(diào)查 在調(diào)查中，除了第一名，第二名和第三名也做盡職調(diào)查。 一旦第一名盡職調(diào)查出現(xiàn)問題，可以補充第二名，或者第一名在執(zhí)行過程中突然異常退出。 由于上級盡職盡責，加上第二名是順理成章的，心中不會有疑慮。

一些小型商業(yè)銀行對這一標準的執(zhí)行更為嚴格，尤其是對業(yè)務支持外包商的盡職調(diào)查。 中國農(nóng)業(yè)銀行通常在供應商選擇和監(jiān)管階段進行盡職調(diào)查。 簽約前監(jiān)管要求較為苛刻，但也可能出現(xiàn)部分供應商在前期參與盡職調(diào)查后突然放棄投標，造成資源和成本浪費的情況。 因此，盡職調(diào)查的時機也值得您考慮。

（六）重點分析5：非居民外包商現(xiàn)場檢查

對非居民外包商的現(xiàn)場檢查由《意見》規(guī)定的每年一次改為《辦法》規(guī)定的兩年全覆蓋。 由于建行與中小建行的異地外包服務數(shù)量不同，他們選擇的執(zhí)行方式也會略有不同。 無論何種模式，都需要對異地外包服務進行詳細、深入的考察。 部分龍頭建行梳理了“異地外包服務合作流程風險點及現(xiàn)有管控措施”，對所有可能存在的數(shù)據(jù)、數(shù)據(jù)泄露風險點進行檢測驗證。 現(xiàn)場檢查時，除了右圖給出的指標參考外，還應重點關注：針對因網(wǎng)絡原因?qū)е轮匾獢?shù)據(jù)和個人信息泄露或損壞的保護措施設計和實施的有效性安全和數(shù)據(jù)安全。

（七）重點分析6：外包商服務后評價

外包商事后評價 盡管監(jiān)管層希望建行建立優(yōu)勝劣汰機制it運維外包，促進外包商在建行旗下保險機構的“血液”循環(huán)，但可考慮構建外包商事后評價指標。 在后評價指標中，外包質(zhì)量評價結果可以作為評價的主要指標項之一，外包績效評價可以與外包方的后評價進行有效關聯(lián)。 可建立100分的考核體系，根據(jù)分數(shù)設置“優(yōu)、良、中、差”四個等級。 根據(jù)不同層級的發(fā)生次數(shù)，結合重要數(shù)據(jù)和個人信息是否被泄露、損壞等外包風波，作為后續(xù)外包商準入與合作的重要參考依據(jù)，對外開放外包服務評價環(huán)節(jié)與招標采購環(huán)節(jié)之間的過程，有效利用外包方后評價的工作成果。

三、措施及應對機制

（一）加大高層對技術外包的重視力度，推動頂層外包高質(zhì)量發(fā)展

建行保險機構要從頂層推進信息科技外包管理體系規(guī)范化、精細化建設，持續(xù)建立外包制度和流程建設，切實落實各部門在外包管理體系中的職責。 為督促工作落實，可聘請外部專業(yè)公司協(xié)助開展外包風險評估和外包體系標準化建設，夯實外包管理基礎，全面提升外包風險管理水平。

（二）完善技術外包組織架構和職責it運維外包，切實落實監(jiān)管要求

交通銀行保險機構應建立覆蓋董事會（理事會）、高級管理層、信息科技外包風險管理部、信息科技外包執(zhí)行團隊的信息科技外包與風險管理組織架構，明確相應部門職責水平，確保信息技術外包管理工作高效有序開展，外包風險得到有效控制。

（三）建立技術外包管理體系，夯實技術外包規(guī)范管控基礎

交行保險機構應遵循信息科技外包監(jiān)管合規(guī)要求，結合科技外包管控現(xiàn)狀，合理規(guī)劃科技外包體系框架，形成戰(zhàn)略-方法-監(jiān)管-形式四維一體化技術外包體系管控模型，有效引導和全面落實技術外包各項管控要求。

（四）細化信息技術外包分類，積極落實相應的風險管控機制

交通銀行保險機構應建立信息科技外包活動分類分級管理機制，針對不同類型的外包活動制定相應的管理和風險控制策略，對重要外包和一般外包采取差異化管控措施。

(5)識別第三方服務場景，有效實現(xiàn)重要數(shù)據(jù)和客戶個人信息管控目標

交通銀行保險機構應有效識別第三方業(yè)務涉及的主管部門、業(yè)務類型、業(yè)務名稱、業(yè)務鏈接、重要數(shù)據(jù)和客戶個人信息、第三方機構、服務說明、主要風險、現(xiàn)有管控措施等。 -派對服務。 數(shù)據(jù)和客戶個人信息的外包活動應納入業(yè)務支持類，實施有效的安全管控。

(6) 全面做好外包方盡職調(diào)查、非現(xiàn)場測試、后評估、外包風險管控工作

交行保險機構應針對重要的外包業(yè)務構建全生命周期的管控措施，從外包前的項目前風險評估、替代服務商的盡職調(diào)查，到外包過程中的服務效率和質(zhì)量監(jiān)控。外包實施、外包商運營狀態(tài)監(jiān)控，直至外包商服務后評價，形成完整的外包活動風險管控閉環(huán)。

（七）加強外包網(wǎng)絡與信息安全管控，全面落實國家法律法規(guī)和監(jiān)管要求

外包活動執(zhí)行團隊應進一步提升基于外包人員活動全生命周期的管理能力，從外包人員進場、外包項目實施、外包人員退出等階段加強管理，采取技術措施，提高敏感信息泄露風險。 外包風險管理部門應當定期對外包活動進行網(wǎng)絡與信息安全評估。 審計部門應當定期對信息技術外包及其風險管理情況進行審計。

（八）加強技術外包風險檢測能力，不斷提升外包服務質(zhì)量和效率

交通銀行保險機構應完善明確的信息科技外包服務目錄、服務水平契約和監(jiān)測評價機制，制定信息科技外包服務的服務效率和質(zhì)量監(jiān)測指標，并開展相應監(jiān)測。 當指標異常時，應及時采取處置措施。

（九）履行技術外包風險評估和審計職能，積極推動外包管理體系持續(xù)改進

建行保險機構要做好外包全面風險評估與審計工作。 風險部門應至少每年進行一次信息技術外包風險管理綜合評估，充分識別和評估信息技術外包可能存在的風險，并向董事會或中層管理層提交評估報告。 審計部門應當對信息技術外包活動進行定期審計，審計范圍至少每兩年一次，涵蓋所有重要的外包活動。

（十）加強外包連續(xù)性管理和日常演練，構建穩(wěn)定的外包服務生態(tài)環(huán)境

中國建設銀行保險機構風險部門應制定應急管理預案，確保外包服務的連續(xù)性，組織服務商參與應急預案的編制，至少有一家或多家服務商參與綜合演練或?qū)ｍ椦菥?。年，并每年舉辦一次相關活動。 鍛煉。

四、總結與展望

通過近年監(jiān)管審查分析發(fā)現(xiàn)，信息科技外包是目前建行保險機構的風險易發(fā)領域，主要表現(xiàn)在：機構敏感信息泄露、外包服務異常中斷、外包業(yè)務增加等。質(zhì)量等，將嚴重阻礙機構的健康、有序發(fā)展，因此外包風險值得關注。

隨著國際手段的發(fā)展，中美貿(mào)易競爭日趨激烈，供應鏈安全風險逐漸從上下游行業(yè)風險演變?yōu)閲鴦e風險。 通過采用自主可控的技術或產(chǎn)品、減少外包依賴、建立備選供應商數(shù)據(jù)庫、識別供應商產(chǎn)業(yè)關系，可以有效控制和降低供應鏈風險。

隨著建行保險機構業(yè)務與科技的深度融合和數(shù)字化轉(zhuǎn)型的不斷推進，外包集中度風險、外包依賴風險、外包供應鏈風險、外包網(wǎng)絡和信息安全風險更值得關注和考慮。 2022年，必將成為信息技術外包領域監(jiān)管審查的“元年”。

關于作者：

谷安天下財務審計負責人王志超，在信息安全、科技風險、科技審計、業(yè)務連續(xù)性、科技外包、數(shù)據(jù)整改等咨詢審計服務方面擁有超過10年的經(jīng)驗，和金融科技。 獲得CISA、COBIT、CDPSE、CCSK、TOGAF、LI等證書，熟悉銀行、保險、證券、大型國有企業(yè)的技術管理風險及應對措施，在技術外包、業(yè)務連續(xù)性等方面具有比較豐富的經(jīng)驗、數(shù)據(jù)整改、大數(shù)據(jù)、人工智能、數(shù)字化轉(zhuǎn)型等方面深入研究，多次參與銀監(jiān)會與農(nóng)行組織的信息科技風險管理研究，并獲得良好獎勵。

關天下咨詢總監(jiān)王可，多年從事IT運維、信息安全、信息科技風險審計等工作。 他在信息安全、運維服務和風險咨詢方面擁有超過16年的經(jīng)驗。 獲得了CISSP、PMP等證書。 世界500強IT公司兼任技術講師，還在小型央企擔任IT運維主管。

合作電話：