银行保险机构信息科技外包有了风险监管办法。(1).pdfVIP

为规范银行保险机构的信息科技外包活动，加强信息科技外包风险管控，银保

监会网站近日发布了《银行保险机构信息科技外包风险监管办法》（下称《办

法》）。《办法》适用于在中国境内设立的政策性银行、商业银行、农村合作

银行、省（自治区）农村信用社联合社，保险集团（控股）公司、保险公司、

保险资产管理公司、金融资产管理公司等。

所谓信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动

委托给服务提供商进行处理的行为。《办法》要求，银行保险机构应当建立与

本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风

险纳入全面风险管理体系，有效控制由于外包而引发的风险。

根据《办法》，银行保险机构在实施信息科技外包时应当坚持以下原则：不得

将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极

掌握关键技术为导向；要保持外包风险、成本和效益的平衡；保障网络和信息

安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外

包策略和风险管理措施。

在治理层面，《办法》要求，银行保险机构应指定信息科技外包风险主管部

门，主要负责根据机构总体风险政策和外包战略，制定信息科技外包风险管理

策略、制度和流程；统筹信息科技外包风险的识别、评估、监测、预警、报告

及处置工作等。

《办法》指出，银行保险机构应当明确不能外包的信息科技职能。涉及信息科

技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心

竞争力的职能不得外包。同时，银行保险机构应当建立信息科技外包活动分类

管理机制，针对不同类型的外包活动建立相应的管理和风控策略。信息科技外

包原则上划分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支

持类等类别。

对于信息科技外包活动及相关服务提供商，银行保险机构应进行分级管理，对

重要外包和一般外包采取差异化管控措施。下列信息科技外包活动原则上属于

重要外包：

（一）信息科技工作整体外包，仅保留必要的管理团队和核心职能；

（二）数据中心（机房）整体外包；

（三）涉及基础设施和信息系统整体架构发生重大变化的信息科技外包；

（四）核心业务系统开发测试和运行维护的整体外包；

（五）信息科技战略规划（含中长期规划）咨询外包；

（六）安全运营的整体外包；

（七）涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外

包；

（八）直接影响实时服务、影响账务准确性的重要信息系统外包；

（九）其它对机构业务运营具有重要影响的外包。

在准入方面，银行保险机构应根据信息科技外包战略，结合风险评估情况，明

确服务提供商的准入标准，对备选服务提供商进行筛选，审慎引入集中度风险

较高或增加机构整体风险的服务提供商。对于关联外包和同业外包，银行保险

机构不得降低对服务提供商的要求，严格防范利益冲突和利益输送。

《办法》要求，银行保险机构应当对外包服务过程进行持续监控，及时发现和

纠正服务过程中存在的各类异常情况；还应当建立明确的信息科技外包服务目

录、服务水平协议以及服务水平监控评价机制，确保相关监控信息和评价结果

的真实性和完整性，且数据至少保存到服务结束后三年。

针对可能给业务连续性管理造成重大影响的重要外包服务，银行保险机构应当

事先建立风险控制、缓释或转移措施。银行保险机构还应识别对本机构具有集

中度风险的外包服务及其提供商，积极采用分散外包活动、注重外包项目知识

产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段，减少对

个别外包服务提供商的依赖，降低集中度风险。

在监督管理上，银行保险机构在开展信息科技工作整体外包、数据中心（机

房）整体外包、涉及基础设施和信息系统整体架构发生重大变化的外包等信息

科技外包活动时，应当在外包合同签订前二十个工作日向银保监会或其派出机

构的信息科技监管部门报告。

附银行保险机构信息科技外包风险监管办法

第一章总则

第一条为规范银行保险机构的信息科技外包活动，加强信息科技外包风险管

控，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行

法》《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共

和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，制定本办

法。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、

省（自治区）农村信用社联合社，保险集团（控股）公司、保险公司、保险资

产管理公司、金融资产管理公司适用本办法。银保监会及其派出机构监管的其

他金融机构参照本办法执行。

第三条本办法所适用的信息科技外包，是指银行保险机构将原本由自身负