近幾年，銀行保險(xiǎn)機(jī)構(gòu)積極開(kāi)展數(shù)字化轉(zhuǎn)型，在加大科技創(chuàng)新力度、更好地滿足金融消費(fèi)者需求的同時(shí)，對(duì)信息科技外包服務(wù)的依賴(lài)度不斷加大。與此同時(shí)，部分銀行保險(xiǎn)機(jī)構(gòu)對(duì)信息科技外包風(fēng)險(xiǎn)管控力度不足，因而導(dǎo)致的業(yè)務(wù)中斷、敏感信息泄露等事件時(shí)有發(fā)生。

　　此外，部分領(lǐng)域外包服務(wù)提供商高度集中，形成了行業(yè)集中度風(fēng)險(xiǎn)。為此，銀保監(jiān)會(huì)按照風(fēng)險(xiǎn)為本的導(dǎo)向，以彌補(bǔ)短板、強(qiáng)化監(jiān)管為目標(biāo)，于2021年12月30日發(fā)布了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》（以下簡(jiǎn)稱(chēng)《辦法》），《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》（以下簡(jiǎn)稱(chēng)《指引》）同時(shí)廢止。

　　《辦法》從信息科技外包治理、準(zhǔn)入、監(jiān)控評(píng)價(jià)、風(fēng)險(xiǎn)管理等方面對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包提出要求?！掇k法》的制定出臺(tái)，將促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)建立并完善信息科技外包治理架構(gòu)，加強(qiáng)信息科技外包風(fēng)險(xiǎn)管理體系建設(shè)，提高信息科技外包風(fēng)險(xiǎn)管控能力，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)穩(wěn)健開(kāi)展數(shù)字化轉(zhuǎn)型工作。

　　一、《辦法》與《指引》的區(qū)別

　?。ㄒ唬┱媳O(jiān)管制度

　?。ǘU(kuò)大適用范圍

　　機(jī)構(gòu)范圍：由原來(lái)主要針對(duì)各類(lèi)銀行、農(nóng)信社以及參照?qǐng)?zhí)行的其他金融機(jī)構(gòu)，增加了各類(lèi)保險(xiǎn)機(jī)構(gòu)，包括保險(xiǎn)集團(tuán)（控股）公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司等。

　　管理范圍：隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》的出臺(tái)，《辦法》根據(jù)這些法律法規(guī)，新增了網(wǎng)絡(luò)安全、數(shù)據(jù)安全、跨境外包的信息跨境處理等要求?！掇k法》也正式將銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作當(dāng)中，涉及銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人信息處理的信息科技活動(dòng)納入管理適用范圍。

　?。ㄈ?qiáng)化主體責(zé)任

　　《辦法》繼續(xù)強(qiáng)調(diào)了金融機(jī)構(gòu)的主體責(zé)任，在實(shí)施原則中明確不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包，強(qiáng)調(diào)事前控制和事中監(jiān)督，持續(xù)改進(jìn)外包策略和風(fēng)險(xiǎn)管理措施。

　　《辦法》要求針對(duì)可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù)，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)事先建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施；要求銀行保險(xiǎn)機(jī)構(gòu)應(yīng)承擔(dān)內(nèi)部審計(jì)職能和責(zé)任，定期開(kāi)展信息科技外包及其風(fēng)險(xiǎn)管理的審計(jì)工作，內(nèi)部審計(jì)項(xiàng)目可委托母公司或同一集團(tuán)下屬子公司實(shí)施，或聘請(qǐng)獨(dú)立第三方實(shí)施。

　?。ㄋ模┚W(wǎng)絡(luò)和信息安全要求升級(jí)

　　《辦法》對(duì)于外包活動(dòng)中涉及的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)十分重視，在外包開(kāi)展原則、外包準(zhǔn)入、監(jiān)控評(píng)價(jià)、風(fēng)險(xiǎn)管理中多次強(qiáng)調(diào)了網(wǎng)絡(luò)和信息安全要求：一是盡職調(diào)查中要求服務(wù)提供商有網(wǎng)絡(luò)和信息安全保障能力；二是服務(wù)效能和質(zhì)量監(jiān)控指標(biāo)中要設(shè)立網(wǎng)絡(luò)和信息安全指標(biāo)；三是風(fēng)險(xiǎn)管控措施中要落實(shí)對(duì)服務(wù)提供商和外包人員的網(wǎng)絡(luò)和信息安全教育。網(wǎng)絡(luò)和信息安全要求貫穿《辦法》全文，可見(jiàn)監(jiān)管的重視程度，也是今年外包管控的重要方向。

　?。ㄎ澹?duì)高集中度廠商和重點(diǎn)外包服務(wù)機(jī)構(gòu)包容度更高

　　用詞從“防范引入”到“謹(jǐn)慎引入”。從“防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商”到“審慎引入集中度風(fēng)險(xiǎn)較高或增加機(jī)構(gòu)整體風(fēng)險(xiǎn)的服務(wù)提供商”，用詞的變化反映出《辦法》對(duì)銀行保險(xiǎn)機(jī)構(gòu)引入集中度風(fēng)險(xiǎn)較高廠商的包容度更高，把更多的管理控制和選擇權(quán)交給了銀行保險(xiǎn)機(jī)構(gòu)自行判斷。

　　大幅簡(jiǎn)化集中度風(fēng)險(xiǎn)管理相關(guān)條款?！掇k法》刪減“機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理”章節(jié)，全文僅有四項(xiàng)條款涉及集中度風(fēng)險(xiǎn)，未對(duì)具有高集中度風(fēng)險(xiǎn)的供應(yīng)商提出具體監(jiān)管措施。

　　刪減“重點(diǎn)外包服務(wù)機(jī)構(gòu)的風(fēng)險(xiǎn)管理要求”章節(jié)?！掇k法》刪減“銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求”章節(jié)，包括：重點(diǎn)外包服務(wù)機(jī)構(gòu)的范圍，針對(duì)注冊(cè)資本、組織架構(gòu)、管理體系、技術(shù)能力、資質(zhì)認(rèn)證等方面要求，不再單獨(dú)針對(duì)重點(diǎn)外包服務(wù)機(jī)構(gòu)實(shí)施差異化監(jiān)管。

　?。┓?wù)提供商盡職調(diào)查要求更明確

　　?  盡調(diào)對(duì)象從“重要的服務(wù)提供商”到“重要外包的備選服務(wù)提供商”。前者《指引》是對(duì)重要服務(wù)提供商的盡職調(diào)查，調(diào)查對(duì)象針對(duì)的是重要服務(wù)提供商；而后者《辦法》中強(qiáng)調(diào)了重要外包項(xiàng)目的性質(zhì)，只有是重要外包相對(duì)應(yīng)的備選服務(wù)提供商才做盡職調(diào)查，這兩者有著本質(zhì)區(qū)別，即使此外包商之前在銀行里的評(píng)級(jí)定為“重要外包商”，但是它本次和銀行保險(xiǎn)機(jī)構(gòu)合作的項(xiàng)目定義為“非重要外包項(xiàng)目”，也無(wú)需實(shí)施盡職調(diào)查，所以“重要外包”是做盡調(diào)的關(guān)鍵條件。

　?。ㄆ撸┩瑯I(yè)外包被嚴(yán)格納入集中度風(fēng)險(xiǎn)監(jiān)管范圍

　　《辦法》提出“對(duì)于關(guān)聯(lián)外包和同業(yè)外包，銀行保險(xiǎn)機(jī)構(gòu)不得降低對(duì)服務(wù)提供商的要求，嚴(yán)格防范利益沖突和利益輸送”，相較于《指引》中“對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況，銀行保險(xiǎn)機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理”，從《指引》的參照?qǐng)?zhí)行，到《辦法》的嚴(yán)格防范，意味著銀行保險(xiǎn)機(jī)構(gòu)金融科技子公司將被列為監(jiān)管范圍，也表明了監(jiān)管機(jī)構(gòu)積極關(guān)注銀行保險(xiǎn)機(jī)構(gòu)金融科技子公司的發(fā)展前景。

　　二、主要內(nèi)容解讀

　?。ㄒ唬┛傮w框架

　　《辦法》共分為七章，四十六條，分別從治理、管理、監(jiān)督三個(gè)層面展開(kāi)，對(duì)外包準(zhǔn)入、外包監(jiān)控評(píng)價(jià)、外包風(fēng)險(xiǎn)管控、監(jiān)管報(bào)告和問(wèn)責(zé)等做出了明確的要求。

　?。ǘ┲攸c(diǎn)分析1：網(wǎng)絡(luò)和信息安全

　　監(jiān)管機(jī)構(gòu)對(duì)于外包活動(dòng)中涉及的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)也越發(fā)重視?！掇k法》根據(jù)相關(guān)法律法規(guī)，在適用范圍、原則及風(fēng)險(xiǎn)管理中將相關(guān)內(nèi)容納入監(jiān)管要求，《辦法》多處提及“網(wǎng)絡(luò)和信息安全”，可見(jiàn)網(wǎng)絡(luò)安全法和個(gè)人信息保護(hù)法、數(shù)據(jù)安全法出臺(tái)后，監(jiān)管機(jī)構(gòu)對(duì)于外包活動(dòng)中的網(wǎng)絡(luò)和信息安全管控提升了重視程度。

　　網(wǎng)絡(luò)和信息安全最佳實(shí)踐建議：網(wǎng)絡(luò)和信息安全盡職調(diào)查指標(biāo)應(yīng)至少包括安全團(tuán)隊(duì)建設(shè)、安全策略、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、用戶權(quán)限、終端安全、運(yùn)維安全，可根據(jù)外包活動(dòng)性質(zhì)選擇適合的指標(biāo)。

　　服務(wù)效能和質(zhì)量監(jiān)控最佳實(shí)踐建議：服務(wù)效能和質(zhì)量監(jiān)控中網(wǎng)絡(luò)和信息安全指標(biāo)應(yīng)至少包括缺陷修復(fù)率、漏洞修復(fù)率、數(shù)據(jù)有效性配置率、敏感信息留存率、源代碼審計(jì)執(zhí)行率、重要數(shù)據(jù)泄露次數(shù)、傳輸中斷次數(shù)、數(shù)據(jù)非授權(quán)銷(xiāo)毀次數(shù)、敏感信息暴露次數(shù)、病毒入侵次數(shù)、系統(tǒng)越權(quán)次數(shù)等。

　　網(wǎng)絡(luò)和信息安全評(píng)估最佳實(shí)踐建議：關(guān)于第三十二條（六）定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)和信息安全評(píng)估，可關(guān)注（1）駐場(chǎng)類(lèi)，可參考外包安全教育、安全保密協(xié)議、權(quán)限管控、源代碼檢查、敏感信息泄露、終端口令安全、終端病毒防護(hù)等指標(biāo)；（2）非駐場(chǎng)類(lèi)，可參考物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、權(quán)限安全、終端安全和運(yùn)維安全等指標(biāo)。

　?。ㄈ┲攸c(diǎn)分析2：分類(lèi)分級(jí)管理

　　《辦法》不僅細(xì)化了外包的五大分類(lèi)標(biāo)準(zhǔn)，要求針對(duì)不同類(lèi)型外包活動(dòng)建立相適應(yīng)的管理和風(fēng)險(xiǎn)策略；更明確了外包項(xiàng)目的分級(jí)，要求對(duì)于重要外包和一般外包采取差異化的管控措施，并給出了部分外包名詞解釋。

　　《辦法》已給出的外包名詞解釋?zhuān)@里不再贅述，分享行業(yè)對(duì)于其他外包相關(guān)名詞的解釋?zhuān)晒┐蠹覅⒖肌?/p>

　　盡職調(diào)查：是在簽訂合同前，對(duì)重要外包的備選服務(wù)提供商采取的資產(chǎn)、經(jīng)營(yíng)、內(nèi)控、人員和經(jīng)驗(yàn)等存在的潛在風(fēng)險(xiǎn)隱患實(shí)施的一系列必要的調(diào)查程序。

　　實(shí)地檢查：是指通過(guò)現(xiàn)場(chǎng)的訪談、審閱、觀察、測(cè)試等方式，對(duì)非駐場(chǎng)外包活動(dòng)所采取的一系列的檢查程序，更關(guān)注現(xiàn)存風(fēng)險(xiǎn)程度、影響及損失。

　　網(wǎng)絡(luò)和信息安全評(píng)估：是指對(duì)駐場(chǎng)或非駐場(chǎng)外包服務(wù)在網(wǎng)絡(luò)和信息安全方面所采取的安全控制完整性、合理性、有效性的評(píng)價(jià)程序，更關(guān)注網(wǎng)絡(luò)和信息安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)層面存在的風(fēng)險(xiǎn)。

　　集中度風(fēng)險(xiǎn)：是指將外包服務(wù)集中交由單一或少量服務(wù)提供商承接而產(chǎn)生的廣泛依賴(lài)、自主可控、服務(wù)中斷及服務(wù)質(zhì)量下降所產(chǎn)生的風(fēng)險(xiǎn)。

　　集中度風(fēng)險(xiǎn)外包商：參考《指引》重要外包服務(wù)機(jī)構(gòu)的定量指標(biāo)，結(jié)合銀行實(shí)際情況設(shè)立自己的指標(biāo)維度，可參考合同金額或合同數(shù)量超過(guò)銀行全行1/3以上的外包商。

　?。ㄋ模┲攸c(diǎn)分析3：第三方合作服務(wù)

　　首次將“第三方”合作納入業(yè)務(wù)支持類(lèi)外包進(jìn)行統(tǒng)籌管控，各銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)本機(jī)構(gòu)的第三方服務(wù)活動(dòng)進(jìn)行深入調(diào)研，識(shí)別合作流程、主要風(fēng)險(xiǎn)及現(xiàn)有控制措施，重點(diǎn)關(guān)注第三方在重要數(shù)據(jù)和客戶個(gè)人信息處理安全機(jī)制的落實(shí)情況。

　?。ㄎ澹┲攸c(diǎn)分析4：外包商盡職調(diào)查

　　外包商盡職調(diào)查，就是在重要外包項(xiàng)目中標(biāo)后，簽訂合同前這段時(shí)間內(nèi)對(duì)外包服務(wù)備選商的經(jīng)營(yíng)狀況、商業(yè)信譽(yù)、技術(shù)能力、財(cái)務(wù)、人員能力、經(jīng)驗(yàn)?zāi)芰Φ惹闆r進(jìn)行深入調(diào)查，一般銀行保險(xiǎn)機(jī)構(gòu)會(huì)選出第一名、第二名和第三名的中標(biāo)單位，會(huì)對(duì)三家備選商均開(kāi)展盡職調(diào)查。

　　價(jià)值如下：一是了解外包商真實(shí)的管理和經(jīng)營(yíng)情況，驗(yàn)證投標(biāo)文件所說(shuō)的事實(shí)情況，避免出現(xiàn)投標(biāo)文件與事實(shí)產(chǎn)生較大的偏差或不符，存在外包風(fēng)險(xiǎn)；二是對(duì)備選商實(shí)施盡職調(diào)查，不僅是對(duì)第一名，第二、三名也同樣做盡調(diào)，一旦第一名盡調(diào)出現(xiàn)問(wèn)題，順序第二名可以補(bǔ)充上，或者第一名在實(shí)施過(guò)程中突然異常退出，由于前面實(shí)施了盡調(diào)，第二名補(bǔ)上也順理成章，不會(huì)心里沒(méi)有把握。

　　部分大型商業(yè)銀行對(duì)于此項(xiàng)標(biāo)準(zhǔn)的執(zhí)行更為嚴(yán)格，尤其是對(duì)于業(yè)務(wù)支持類(lèi)外包商的盡職調(diào)查更為嚴(yán)格，銀行一般在供應(yīng)商選擇與調(diào)研階段就開(kāi)展了盡職調(diào)查，此執(zhí)行措施比監(jiān)管要求的簽訂合同前要求更高，但也存在可能部分供應(yīng)商前期參與了盡職調(diào)查后，后期突然放棄參標(biāo)的情況，從而造成資源和成本浪費(fèi)，因此盡職調(diào)查的時(shí)機(jī)選擇也值得大家思考。

　?。┲攸c(diǎn)分析5：非駐場(chǎng)外包商現(xiàn)場(chǎng)檢查

　　非駐場(chǎng)外包商的現(xiàn)場(chǎng)檢查從《指引》的每年一次，到《辦法》的三年全覆蓋，整個(gè)監(jiān)管態(tài)勢(shì)發(fā)生了較大的變化，也更貼合了銀行業(yè)發(fā)展的實(shí)際情況，大型商業(yè)銀行和中小銀行由于自身非駐場(chǎng)外包服務(wù)的數(shù)量差異，所選擇的執(zhí)行模式也會(huì)略有差別。無(wú)論哪種模式，均需對(duì)非駐場(chǎng)外包服務(wù)進(jìn)行詳細(xì)、深入檢查，部分領(lǐng)先銀行已梳理完成“非駐場(chǎng)外包服務(wù)的合作流程風(fēng)險(xiǎn)點(diǎn)及現(xiàn)有控制措施”，對(duì)所有可能產(chǎn)生數(shù)據(jù)落地、數(shù)據(jù)泄露的風(fēng)險(xiǎn)要點(diǎn)進(jìn)行檢查和驗(yàn)證。在實(shí)施現(xiàn)場(chǎng)檢查時(shí)除下圖給出的指標(biāo)參考外，大家更應(yīng)關(guān)注：由于網(wǎng)絡(luò)安全、數(shù)據(jù)安全所引發(fā)的重要數(shù)據(jù)和個(gè)人信息泄露或損壞的防護(hù)措施設(shè)計(jì)和執(zhí)行有效性。

　　（七）重點(diǎn)分析6：外包商服務(wù)后評(píng)價(jià)

　　外包商服務(wù)后評(píng)價(jià)，其實(shí)是監(jiān)管機(jī)構(gòu)希望銀行建立一個(gè)優(yōu)勝劣汰的機(jī)制，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)外包商的“血液”循環(huán)，可考慮建立外包商后評(píng)價(jià)指標(biāo)。后評(píng)價(jià)指標(biāo)中可將外包質(zhì)量考核結(jié)果作為其中一個(gè)大的指標(biāo)項(xiàng)進(jìn)行評(píng)價(jià)，將外包績(jī)效評(píng)價(jià)與外包商后評(píng)價(jià)有效關(guān)聯(lián)?？稍O(shè)立考評(píng)百分制，根據(jù)分值設(shè)定“優(yōu)、良、中、差”四個(gè)級(jí)別，根據(jù)不同級(jí)別出現(xiàn)的次數(shù)，結(jié)合是否產(chǎn)生了重要數(shù)據(jù)和個(gè)人信息泄露、損壞等外包事件情況，作為后續(xù)外包商準(zhǔn)入合作的重要參考依據(jù)，并打通外包服務(wù)評(píng)價(jià)環(huán)節(jié)與招標(biāo)采購(gòu)環(huán)節(jié)之間的流程，有效利用外包商后評(píng)價(jià)的工作成果。

　　三、辦法應(yīng)對(duì)機(jī)制

　?。ㄒ唬┨嵘吖軐訉?duì)科技外包重視程度，頂層推動(dòng)外包高質(zhì)量發(fā)展

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)從頂層推動(dòng)開(kāi)展信息科技外包管理體系的標(biāo)準(zhǔn)化和精細(xì)化建設(shè)，持續(xù)完善外包制度和流程建設(shè)，有效落實(shí)各部門(mén)在外包管理體系中的職責(zé)，理事會(huì)與高管層應(yīng)定期對(duì)外包管理工作落實(shí)情況進(jìn)行監(jiān)督，可聘請(qǐng)外部專(zhuān)業(yè)公司協(xié)助開(kāi)展外包風(fēng)險(xiǎn)評(píng)估和外包體系標(biāo)準(zhǔn)化建設(shè)，夯實(shí)外包管理基礎(chǔ)，全面提升外包風(fēng)險(xiǎn)管理水平。

　?。ǘ┙∪萍纪獍M織架構(gòu)及職責(zé)，有效落實(shí)監(jiān)管各項(xiàng)職責(zé)要求

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立覆蓋董（理）事會(huì)、高管層、信息科技外包風(fēng)險(xiǎn)主管部門(mén)、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包及風(fēng)險(xiǎn)管理組織架構(gòu)，明確相應(yīng)層級(jí)的職責(zé)，確保信息科技外包管理工作高效、有序開(kāi)展，對(duì)外包風(fēng)險(xiǎn)進(jìn)行有效控制。

　?。ㄈ┙ㄔO(shè)科技外包管理制度體系，夯實(shí)科技外包規(guī)范化管控基礎(chǔ)

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)根據(jù)信息科技外包監(jiān)管合規(guī)要求，結(jié)合科技外包管控現(xiàn)狀，合理規(guī)劃科技外包制度體系框架，形成戰(zhàn)略-辦法-細(xì)則-表單四維一體的科技外包制度體系管控模式，有效指導(dǎo)和全面落實(shí)科技外包各項(xiàng)管控要求。

　?。ㄋ模┘?xì)化信息科技外包分類(lèi)，積極落實(shí)對(duì)應(yīng)風(fēng)險(xiǎn)管控機(jī)制

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包活動(dòng)分類(lèi)分級(jí)管理機(jī)制，針對(duì)不同類(lèi)型的外包活動(dòng)建立相應(yīng)的管理和風(fēng)控策略，對(duì)重要外包和一般外包采取差異化管控措施。

　?。ㄎ澹┳R(shí)別第三方服務(wù)場(chǎng)景，有效落實(shí)重要數(shù)據(jù)和客戶個(gè)人信息管控目標(biāo)

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)有效識(shí)別第三方服務(wù)所涉及的主管部門(mén)、業(yè)務(wù)類(lèi)型、業(yè)務(wù)名稱(chēng)、業(yè)務(wù)環(huán)節(jié)、重要數(shù)據(jù)和客戶個(gè)人信息、第三方機(jī)構(gòu)、服務(wù)說(shuō)明、主要風(fēng)險(xiǎn)、現(xiàn)有管控措施等方面，涉及重要數(shù)據(jù)和客戶個(gè)人信息的外包活動(dòng)應(yīng)納入業(yè)務(wù)支持類(lèi)實(shí)施有效的安全管控。

　?。┏浞致男斜M職調(diào)查、非現(xiàn)場(chǎng)檢查、外包商后評(píng)價(jià)，外包整體風(fēng)險(xiǎn)管控

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)重要外包活動(dòng)建立全生命周期的管控措施，從外包開(kāi)展前的立項(xiàng)前風(fēng)險(xiǎn)評(píng)估、備選服務(wù)商盡職調(diào)查，到外包實(shí)施時(shí)的服務(wù)效能和質(zhì)量監(jiān)控、外包商運(yùn)營(yíng)狀況監(jiān)控，直至外包商服務(wù)后評(píng)價(jià)，形成完整的外包活動(dòng)風(fēng)險(xiǎn)閉環(huán)管控。

　?。ㄆ撸┘訌?qiáng)外包網(wǎng)絡(luò)與信息安全管控，充分落實(shí)國(guó)家法規(guī)及監(jiān)管要求

　　外包活動(dòng)執(zhí)行團(tuán)隊(duì)?wèi)?yīng)進(jìn)一步提升基于外包人員活動(dòng)全生命周期的管理能力，從外包人員入場(chǎng)、外包項(xiàng)目實(shí)施、外包人員離場(chǎng)等階段，加強(qiáng)管理與采取技術(shù)措施，降低敏感信息泄露風(fēng)險(xiǎn)。外包風(fēng)險(xiǎn)管理部門(mén)應(yīng)定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)和信息安全評(píng)估。審計(jì)部門(mén)應(yīng)定期開(kāi)展信息科技外包及其風(fēng)險(xiǎn)管理的審計(jì)工作。

　?。ò耍┨岣呖萍纪獍L(fēng)險(xiǎn)監(jiān)測(cè)能力，持續(xù)提升外包服務(wù)質(zhì)量與效能

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議與監(jiān)控評(píng)價(jià)機(jī)制，對(duì)信息科技外包服務(wù)制定服務(wù)效能和質(zhì)量監(jiān)控指標(biāo)，并進(jìn)行相應(yīng)監(jiān)控，當(dāng)指標(biāo)出現(xiàn)異常時(shí)，應(yīng)及時(shí)采取處置措施。

　?。ň牛┞男锌萍纪獍L(fēng)險(xiǎn)評(píng)估及審計(jì)職能，積極促進(jìn)外包管理體系持續(xù)提升

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)有效落實(shí)外包全面風(fēng)險(xiǎn)評(píng)估與審計(jì)。風(fēng)險(xiǎn)部門(mén)每年應(yīng)至少開(kāi)展一次全面的信息科技外包風(fēng)險(xiǎn)管理評(píng)估，應(yīng)充分識(shí)別并評(píng)估信息科技外包可能產(chǎn)生的風(fēng)險(xiǎn)，并向理事會(huì)或高級(jí)管理層提交評(píng)估報(bào)告。審計(jì)部門(mén)應(yīng)定期對(duì)信息科技外包活動(dòng)進(jìn)行審計(jì)，至少每三年覆蓋所有重要外包。

　　（十）加強(qiáng)外包連續(xù)性管理與日常演練，打造穩(wěn)定的外包服務(wù)生態(tài)環(huán)境

　　銀行保險(xiǎn)機(jī)構(gòu)風(fēng)險(xiǎn)部門(mén)應(yīng)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案，組織服務(wù)提供商參與編制應(yīng)急計(jì)劃，至少每年在綜合性演練或?qū)ｍ?xiàng)演練中納入一個(gè)或多個(gè)服務(wù)提供商，并開(kāi)展一次相關(guān)演練。

　　四、總結(jié)與展望

　　通過(guò)對(duì)近幾年監(jiān)管檢查的分析發(fā)現(xiàn)，信息科技外包是當(dāng)前銀行保險(xiǎn)機(jī)構(gòu)的風(fēng)險(xiǎn)多發(fā)區(qū)域，主要表現(xiàn)為：機(jī)構(gòu)敏感信息泄露、外包服務(wù)異常中斷、外包質(zhì)量降低等方面，將嚴(yán)重制約機(jī)構(gòu)的健康、有序發(fā)展，因此外包風(fēng)險(xiǎn)值得關(guān)注。

　　隨著國(guó)際形式的發(fā)展，中國(guó)與國(guó)外貿(mào)易競(jìng)爭(zhēng)日趨激烈，供應(yīng)鏈安全風(fēng)險(xiǎn)已從上下游產(chǎn)業(yè)風(fēng)險(xiǎn)逐步演變?yōu)閲?guó)別風(fēng)險(xiǎn)。采用自主可控技術(shù)或產(chǎn)品、降低外包依賴(lài)、建立備選供應(yīng)商庫(kù)、識(shí)別供應(yīng)商產(chǎn)業(yè)關(guān)系等手段可有效控制和降低供應(yīng)鏈風(fēng)險(xiǎn)。

　　隨著銀行保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)與科技的深度融合及數(shù)字化轉(zhuǎn)型不斷深化，外包集中度風(fēng)險(xiǎn)、外包依賴(lài)風(fēng)險(xiǎn)、外包供應(yīng)鏈風(fēng)險(xiǎn)、外包網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)更值得關(guān)注與思考，2022年必將成為信息科技外包領(lǐng)域監(jiān)管檢查“元年”。