近幾年,，銀行保險(xiǎn)機(jī)構(gòu)積極開展數(shù)字化轉(zhuǎn)型，在加大科技創(chuàng)新力度,、更好地滿足金融消費(fèi)者需求的同時(shí),，對(duì)信息科技外包服務(wù)的依賴度不斷加大。與此同時(shí),，部分銀行保險(xiǎn)機(jī)構(gòu)對(duì)信息科技外包風(fēng)險(xiǎn)管控力度不足,，因而導(dǎo)致的業(yè)務(wù)中斷、敏感信息泄露等事件時(shí)有發(fā)生,。

　　此外,，部分領(lǐng)域外包服務(wù)提供商高度集中，形成了行業(yè)集中度風(fēng)險(xiǎn),。為此,，銀保監(jiān)會(huì)按照風(fēng)險(xiǎn)為本的導(dǎo)向，以彌補(bǔ)短板,、強(qiáng)化監(jiān)管為目標(biāo),，于2021年12月30日發(fā)布了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》（以下簡(jiǎn)稱《辦法》），《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》（以下簡(jiǎn)稱《指引》）同時(shí)廢止,。

　　《辦法》從信息科技外包治理,、準(zhǔn)入、監(jiān)控評(píng)價(jià),、風(fēng)險(xiǎn)管理等方面對(duì)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包提出要求,。《辦法》的制定出臺(tái),，將促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)建立并完善信息科技外包治理架構(gòu),，加強(qiáng)信息科技外包風(fēng)險(xiǎn)管理體系建設(shè)，提高信息科技外包風(fēng)險(xiǎn)管控能力,，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)穩(wěn)健開展數(shù)字化轉(zhuǎn)型工作,。

　　一,、《辦法》與《指引》的區(qū)別

　　（一）整合監(jiān)管制度

　?。ǘU(kuò)大適用范圍

　　機(jī)構(gòu)范圍：由原來主要針對(duì)各類銀行,、農(nóng)信社以及參照?qǐng)?zhí)行的其他金融機(jī)構(gòu),，增加了各類保險(xiǎn)機(jī)構(gòu),，包括保險(xiǎn)集團(tuán)（控股）公司、保險(xiǎn)公司,、保險(xiǎn)資產(chǎn)管理公司等,。

　　管理范圍：隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》的出臺(tái)，《辦法》根據(jù)這些法律法規(guī),，新增了網(wǎng)絡(luò)安全,、數(shù)據(jù)安全、跨境外包的信息跨境處理等要求,?！掇k法》也正式將銀行保險(xiǎn)機(jī)構(gòu)與其他第三方合作當(dāng)中，涉及銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人信息處理的信息科技活動(dòng)納入管理適用范圍,。

　?。ㄈ?qiáng)化主體責(zé)任

　　《辦法》繼續(xù)強(qiáng)調(diào)了金融機(jī)構(gòu)的主體責(zé)任，在實(shí)施原則中明確不得將信息科技管理責(zé)任,、網(wǎng)絡(luò)安全主體責(zé)任外包,，強(qiáng)調(diào)事前控制和事中監(jiān)督，持續(xù)改進(jìn)外包策略和風(fēng)險(xiǎn)管理措施,。

　　《辦法》要求針對(duì)可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù),，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)事先建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施,；要求銀行保險(xiǎn)機(jī)構(gòu)應(yīng)承擔(dān)內(nèi)部審計(jì)職能和責(zé)任,，定期開展信息科技外包及其風(fēng)險(xiǎn)管理的審計(jì)工作,，內(nèi)部審計(jì)項(xiàng)目可委托母公司或同一集團(tuán)下屬子公司實(shí)施,，或聘請(qǐng)獨(dú)立第三方實(shí)施。

　?。ㄋ模┚W(wǎng)絡(luò)和信息安全要求升級(jí)

　　《辦法》對(duì)于外包活動(dòng)中涉及的網(wǎng)絡(luò)安全,、數(shù)據(jù)安全和個(gè)人信息保護(hù)十分重視，在外包開展原則,、外包準(zhǔn)入,、監(jiān)控評(píng)價(jià)、風(fēng)險(xiǎn)管理中多次強(qiáng)調(diào)了網(wǎng)絡(luò)和信息安全要求：一是盡職調(diào)查中要求服務(wù)提供商有網(wǎng)絡(luò)和信息安全保障能力,；二是服務(wù)效能和質(zhì)量監(jiān)控指標(biāo)中要設(shè)立網(wǎng)絡(luò)和信息安全指標(biāo),；三是風(fēng)險(xiǎn)管控措施中要落實(shí)對(duì)服務(wù)提供商和外包人員的網(wǎng)絡(luò)和信息安全教育,。網(wǎng)絡(luò)和信息安全要求貫穿《辦法》全文，可見監(jiān)管的重視程度,，也是今年外包管控的重要方向,。

　　（五）對(duì)高集中度廠商和重點(diǎn)外包服務(wù)機(jī)構(gòu)包容度更高

　　用詞從“防范引入”到“謹(jǐn)慎引入”,。從“防范引入高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特點(diǎn)的服務(wù)提供商,、或引入增加整體風(fēng)險(xiǎn)的服務(wù)提供商”到“審慎引入集中度風(fēng)險(xiǎn)較高或增加機(jī)構(gòu)整體風(fēng)險(xiǎn)的服務(wù)提供商”，用詞的變化反映出《辦法》對(duì)銀行保險(xiǎn)機(jī)構(gòu)引入集中度風(fēng)險(xiǎn)較高廠商的包容度更高,，把更多的管理控制和選擇權(quán)交給了銀行保險(xiǎn)機(jī)構(gòu)自行判斷,。

　　大幅簡(jiǎn)化集中度風(fēng)險(xiǎn)管理相關(guān)條款?！掇k法》刪減“機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理”章節(jié),，全文僅有四項(xiàng)條款涉及集中度風(fēng)險(xiǎn)，未對(duì)具有高集中度風(fēng)險(xiǎn)的供應(yīng)商提出具體監(jiān)管措施,。

　　刪減“重點(diǎn)外包服務(wù)機(jī)構(gòu)的風(fēng)險(xiǎn)管理要求”章節(jié),。《辦法》刪減“銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求”章節(jié),，包括：重點(diǎn)外包服務(wù)機(jī)構(gòu)的范圍,，針對(duì)注冊(cè)資本、組織架構(gòu),、管理體系,、技術(shù)能力、資質(zhì)認(rèn)證等方面要求,，不再單獨(dú)針對(duì)重點(diǎn)外包服務(wù)機(jī)構(gòu)實(shí)施差異化監(jiān)管,。

　　（六）服務(wù)提供商盡職調(diào)查要求更明確

　　?  盡調(diào)對(duì)象從“重要的服務(wù)提供商”到“重要外包的備選服務(wù)提供商”,。前者《指引》是對(duì)重要服務(wù)提供商的盡職調(diào)查,，調(diào)查對(duì)象針對(duì)的是重要服務(wù)提供商；而后者《辦法》中強(qiáng)調(diào)了重要外包項(xiàng)目的性質(zhì),，只有是重要外包相對(duì)應(yīng)的備選服務(wù)提供商才做盡職調(diào)查,，這兩者有著本質(zhì)區(qū)別，即使此外包商之前在銀行里的評(píng)級(jí)定為“重要外包商”,，但是它本次和銀行保險(xiǎn)機(jī)構(gòu)合作的項(xiàng)目定義為“非重要外包項(xiàng)目”,，也無需實(shí)施盡職調(diào)查，所以“重要外包”是做盡調(diào)的關(guān)鍵條件,。

　?。ㄆ撸┩瑯I(yè)外包被嚴(yán)格納入集中度風(fēng)險(xiǎn)監(jiān)管范圍

　　《辦法》提出“對(duì)于關(guān)聯(lián)外包和同業(yè)外包，銀行保險(xiǎn)機(jī)構(gòu)不得降低對(duì)服務(wù)提供商的要求，嚴(yán)格防范利益沖突和利益輸送”,，相較于《指引》中“對(duì)于具有機(jī)構(gòu)集中度特點(diǎn)的外包服務(wù)提供商為同業(yè)托管機(jī)構(gòu)的情況,，銀行保險(xiǎn)機(jī)構(gòu)可參照本節(jié)內(nèi)容對(duì)其進(jìn)行外包管理”，從《指引》的參照?qǐng)?zhí)行,，到《辦法》的嚴(yán)格防范,，意味著銀行保險(xiǎn)機(jī)構(gòu)金融科技子公司將被列為監(jiān)管范圍，也表明了監(jiān)管機(jī)構(gòu)積極關(guān)注銀行保險(xiǎn)機(jī)構(gòu)金融科技子公司的發(fā)展前景,。

　　二,、主要內(nèi)容解讀

　　（一）總體框架

　　《辦法》共分為七章,，四十六條,，分別從治理、管理,、監(jiān)督三個(gè)層面展開,，對(duì)外包準(zhǔn)入、外包監(jiān)控評(píng)價(jià),、外包風(fēng)險(xiǎn)管控,、監(jiān)管報(bào)告和問責(zé)等做出了明確的要求。

　?。ǘ┲攸c(diǎn)分析1：網(wǎng)絡(luò)和信息安全

　　監(jiān)管機(jī)構(gòu)對(duì)于外包活動(dòng)中涉及的網(wǎng)絡(luò)安全,、數(shù)據(jù)安全和個(gè)人信息保護(hù)也越發(fā)重視?！掇k法》根據(jù)相關(guān)法律法規(guī),，在適用范圍、原則及風(fēng)險(xiǎn)管理中將相關(guān)內(nèi)容納入監(jiān)管要求,，《辦法》多處提及“網(wǎng)絡(luò)和信息安全”,，可見網(wǎng)絡(luò)安全法和個(gè)人信息保護(hù)法、數(shù)據(jù)安全法出臺(tái)后,，監(jiān)管機(jī)構(gòu)對(duì)于外包活動(dòng)中的網(wǎng)絡(luò)和信息安全管控提升了重視程度,。

　　網(wǎng)絡(luò)和信息安全最佳實(shí)踐建議：網(wǎng)絡(luò)和信息安全盡職調(diào)查指標(biāo)應(yīng)至少包括安全團(tuán)隊(duì)建設(shè)、安全策略,、物理安全,、網(wǎng)絡(luò)安全、數(shù)據(jù)安全,、用戶權(quán)限,、終端安全,、運(yùn)維安全,，可根據(jù)外包活動(dòng)性質(zhì)選擇適合的指標(biāo)。

　　服務(wù)效能和質(zhì)量監(jiān)控最佳實(shí)踐建議：服務(wù)效能和質(zhì)量監(jiān)控中網(wǎng)絡(luò)和信息安全指標(biāo)應(yīng)至少包括缺陷修復(fù)率、漏洞修復(fù)率,、數(shù)據(jù)有效性配置率,、敏感信息留存率、源代碼審計(jì)執(zhí)行率,、重要數(shù)據(jù)泄露次數(shù),、傳輸中斷次數(shù)、數(shù)據(jù)非授權(quán)銷毀次數(shù),、敏感信息暴露次數(shù),、病毒入侵次數(shù)、系統(tǒng)越權(quán)次數(shù)等,。

　　網(wǎng)絡(luò)和信息安全評(píng)估最佳實(shí)踐建議：關(guān)于第三十二條（六）定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)和信息安全評(píng)估,，可關(guān)注（1）駐場(chǎng)類，可參考外包安全教育,、安全保密協(xié)議,、權(quán)限管控、源代碼檢查,、敏感信息泄露,、終端口令安全、終端病毒防護(hù)等指標(biāo),；（2）非駐場(chǎng)類,，可參考物理安全、網(wǎng)絡(luò)安全,、數(shù)據(jù)安全,、權(quán)限安全、終端安全和運(yùn)維安全等指標(biāo),。

　?。ㄈ┲攸c(diǎn)分析2：分類分級(jí)管理

　　《辦法》不僅細(xì)化了外包的五大分類標(biāo)準(zhǔn)，要求針對(duì)不同類型外包活動(dòng)建立相適應(yīng)的管理和風(fēng)險(xiǎn)策略,；更明確了外包項(xiàng)目的分級(jí),，要求對(duì)于重要外包和一般外包采取差異化的管控措施，并給出了部分外包名詞解釋,。

　　《辦法》已給出的外包名詞解釋,，這里不再贅述，分享行業(yè)對(duì)于其他外包相關(guān)名詞的解釋,，可供大家參考,。

　　盡職調(diào)查：是在簽訂合同前，對(duì)重要外包的備選服務(wù)提供商采取的資產(chǎn),、經(jīng)營(yíng),、內(nèi)控、人員和經(jīng)驗(yàn)等存在的潛在風(fēng)險(xiǎn)隱患實(shí)施的一系列必要的調(diào)查程序。

　　實(shí)地檢查：是指通過現(xiàn)場(chǎng)的訪談,、審閱,、觀察、測(cè)試等方式,，對(duì)非駐場(chǎng)外包活動(dòng)所采取的一系列的檢查程序,，更關(guān)注現(xiàn)存風(fēng)險(xiǎn)程度、影響及損失,。

　　網(wǎng)絡(luò)和信息安全評(píng)估：是指對(duì)駐場(chǎng)或非駐場(chǎng)外包服務(wù)在網(wǎng)絡(luò)和信息安全方面所采取的安全控制完整性,、合理性、有效性的評(píng)價(jià)程序,，更關(guān)注網(wǎng)絡(luò)和信息安全,、數(shù)據(jù)安全和個(gè)人信息保護(hù)層面存在的風(fēng)險(xiǎn)。

　　集中度風(fēng)險(xiǎn)：是指將外包服務(wù)集中交由單一或少量服務(wù)提供商承接而產(chǎn)生的廣泛依賴,、自主可控,、服務(wù)中斷及服務(wù)質(zhì)量下降所產(chǎn)生的風(fēng)險(xiǎn)。

　　集中度風(fēng)險(xiǎn)外包商：參考《指引》重要外包服務(wù)機(jī)構(gòu)的定量指標(biāo),，結(jié)合銀行實(shí)際情況設(shè)立自己的指標(biāo)維度,，可參考合同金額或合同數(shù)量超過銀行全行1/3以上的外包商。

　?。ㄋ模┲攸c(diǎn)分析3：第三方合作服務(wù)

　　首次將“第三方”合作納入業(yè)務(wù)支持類外包進(jìn)行統(tǒng)籌管控,，各銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)本機(jī)構(gòu)的第三方服務(wù)活動(dòng)進(jìn)行深入調(diào)研，識(shí)別合作流程,、主要風(fēng)險(xiǎn)及現(xiàn)有控制措施,，重點(diǎn)關(guān)注第三方在重要數(shù)據(jù)和客戶個(gè)人信息處理安全機(jī)制的落實(shí)情況。

　?。ㄎ澹┲攸c(diǎn)分析4：外包商盡職調(diào)查

　　外包商盡職調(diào)查,，就是在重要外包項(xiàng)目中標(biāo)后，簽訂合同前這段時(shí)間內(nèi)對(duì)外包服務(wù)備選商的經(jīng)營(yíng)狀況,、商業(yè)信譽(yù),、技術(shù)能力、財(cái)務(wù),、人員能力,、經(jīng)驗(yàn)?zāi)芰Φ惹闆r進(jìn)行深入調(diào)查，一般銀行保險(xiǎn)機(jī)構(gòu)會(huì)選出第一名,、第二名和第三名的中標(biāo)單位,，會(huì)對(duì)三家備選商均開展盡職調(diào)查。

　　價(jià)值如下：一是了解外包商真實(shí)的管理和經(jīng)營(yíng)情況,，驗(yàn)證投標(biāo)文件所說的事實(shí)情況,，避免出現(xiàn)投標(biāo)文件與事實(shí)產(chǎn)生較大的偏差或不符,，存在外包風(fēng)險(xiǎn)；二是對(duì)備選商實(shí)施盡職調(diào)查,，不僅是對(duì)第一名,，第二,、三名也同樣做盡調(diào),，一旦第一名盡調(diào)出現(xiàn)問題，順序第二名可以補(bǔ)充上,，或者第一名在實(shí)施過程中突然異常退出,，由于前面實(shí)施了盡調(diào)，第二名補(bǔ)上也順理成章,，不會(huì)心里沒有把握,。

　　部分大型商業(yè)銀行對(duì)于此項(xiàng)標(biāo)準(zhǔn)的執(zhí)行更為嚴(yán)格，尤其是對(duì)于業(yè)務(wù)支持類外包商的盡職調(diào)查更為嚴(yán)格,，銀行一般在供應(yīng)商選擇與調(diào)研階段就開展了盡職調(diào)查,，此執(zhí)行措施比監(jiān)管要求的簽訂合同前要求更高，但也存在可能部分供應(yīng)商前期參與了盡職調(diào)查后,，后期突然放棄參標(biāo)的情況,，從而造成資源和成本浪費(fèi)，因此盡職調(diào)查的時(shí)機(jī)選擇也值得大家思考,。

　?。┲攸c(diǎn)分析5：非駐場(chǎng)外包商現(xiàn)場(chǎng)檢查

　　非駐場(chǎng)外包商的現(xiàn)場(chǎng)檢查從《指引》的每年一次，到《辦法》的三年全覆蓋,，整個(gè)監(jiān)管態(tài)勢(shì)發(fā)生了較大的變化,，也更貼合了銀行業(yè)發(fā)展的實(shí)際情況，大型商業(yè)銀行和中小銀行由于自身非駐場(chǎng)外包服務(wù)的數(shù)量差異,，所選擇的執(zhí)行模式也會(huì)略有差別,。無論哪種模式，均需對(duì)非駐場(chǎng)外包服務(wù)進(jìn)行詳細(xì),、深入檢查,，部分領(lǐng)先銀行已梳理完成“非駐場(chǎng)外包服務(wù)的合作流程風(fēng)險(xiǎn)點(diǎn)及現(xiàn)有控制措施”，對(duì)所有可能產(chǎn)生數(shù)據(jù)落地,、數(shù)據(jù)泄露的風(fēng)險(xiǎn)要點(diǎn)進(jìn)行檢查和驗(yàn)證,。在實(shí)施現(xiàn)場(chǎng)檢查時(shí)除下圖給出的指標(biāo)參考外，大家更應(yīng)關(guān)注：由于網(wǎng)絡(luò)安全,、數(shù)據(jù)安全所引發(fā)的重要數(shù)據(jù)和個(gè)人信息泄露或損壞的防護(hù)措施設(shè)計(jì)和執(zhí)行有效性,。

　　（七）重點(diǎn)分析6：外包商服務(wù)后評(píng)價(jià)

　　外包商服務(wù)后評(píng)價(jià),，其實(shí)是監(jiān)管機(jī)構(gòu)希望銀行建立一個(gè)優(yōu)勝劣汰的機(jī)制,，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)外包商的“血液”循環(huán),，可考慮建立外包商后評(píng)價(jià)指標(biāo)。后評(píng)價(jià)指標(biāo)中可將外包質(zhì)量考核結(jié)果作為其中一個(gè)大的指標(biāo)項(xiàng)進(jìn)行評(píng)價(jià),，將外包績(jī)效評(píng)價(jià)與外包商后評(píng)價(jià)有效關(guān)聯(lián),。可設(shè)立考評(píng)百分制,，根據(jù)分值設(shè)定“優(yōu),、良、中,、差”四個(gè)級(jí)別,，根據(jù)不同級(jí)別出現(xiàn)的次數(shù)，結(jié)合是否產(chǎn)生了重要數(shù)據(jù)和個(gè)人信息泄露,、損壞等外包事件情況,，作為后續(xù)外包商準(zhǔn)入合作的重要參考依據(jù)，并打通外包服務(wù)評(píng)價(jià)環(huán)節(jié)與招標(biāo)采購環(huán)節(jié)之間的流程,，有效利用外包商后評(píng)價(jià)的工作成果,。

　　三、辦法應(yīng)對(duì)機(jī)制

　?。ㄒ唬┨嵘吖軐訉?duì)科技外包重視程度,，頂層推動(dòng)外包高質(zhì)量發(fā)展

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)從頂層推動(dòng)開展信息科技外包管理體系的標(biāo)準(zhǔn)化和精細(xì)化建設(shè)，持續(xù)完善外包制度和流程建設(shè),，有效落實(shí)各部門在外包管理體系中的職責(zé),，理事會(huì)與高管層應(yīng)定期對(duì)外包管理工作落實(shí)情況進(jìn)行監(jiān)督，可聘請(qǐng)外部專業(yè)公司協(xié)助開展外包風(fēng)險(xiǎn)評(píng)估和外包體系標(biāo)準(zhǔn)化建設(shè),，夯實(shí)外包管理基礎(chǔ),，全面提升外包風(fēng)險(xiǎn)管理水平。

　?。ǘ┙∪萍纪獍M織架構(gòu)及職責(zé),，有效落實(shí)監(jiān)管各項(xiàng)職責(zé)要求

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立覆蓋董（理）事會(huì)、高管層,、信息科技外包風(fēng)險(xiǎn)主管部門,、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包及風(fēng)險(xiǎn)管理組織架構(gòu)，明確相應(yīng)層級(jí)的職責(zé),，確保信息科技外包管理工作高效,、有序開展，對(duì)外包風(fēng)險(xiǎn)進(jìn)行有效控制,。

　?。ㄈ┙ㄔO(shè)科技外包管理制度體系，夯實(shí)科技外包規(guī)范化管控基礎(chǔ)

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)根據(jù)信息科技外包監(jiān)管合規(guī)要求,，結(jié)合科技外包管控現(xiàn)狀,，合理規(guī)劃科技外包制度體系框架,，形成戰(zhàn)略-辦法-細(xì)則-表單四維一體的科技外包制度體系管控模式，有效指導(dǎo)和全面落實(shí)科技外包各項(xiàng)管控要求,。

　?。ㄋ模┘?xì)化信息科技外包分類，積極落實(shí)對(duì)應(yīng)風(fēng)險(xiǎn)管控機(jī)制

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包活動(dòng)分類分級(jí)管理機(jī)制,，針對(duì)不同類型的外包活動(dòng)建立相應(yīng)的管理和風(fēng)控策略,，對(duì)重要外包和一般外包采取差異化管控措施。

　?。ㄎ澹┳R(shí)別第三方服務(wù)場(chǎng)景,，有效落實(shí)重要數(shù)據(jù)和客戶個(gè)人信息管控目標(biāo)

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)有效識(shí)別第三方服務(wù)所涉及的主管部門,、業(yè)務(wù)類型,、業(yè)務(wù)名稱、業(yè)務(wù)環(huán)節(jié),、重要數(shù)據(jù)和客戶個(gè)人信息,、第三方機(jī)構(gòu)、服務(wù)說明,、主要風(fēng)險(xiǎn),、現(xiàn)有管控措施等方面，涉及重要數(shù)據(jù)和客戶個(gè)人信息的外包活動(dòng)應(yīng)納入業(yè)務(wù)支持類實(shí)施有效的安全管控,。

　?。┏浞致男斜M職調(diào)查、非現(xiàn)場(chǎng)檢查,、外包商后評(píng)價(jià),，外包整體風(fēng)險(xiǎn)管控

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)重要外包活動(dòng)建立全生命周期的管控措施，從外包開展前的立項(xiàng)前風(fēng)險(xiǎn)評(píng)估,、備選服務(wù)商盡職調(diào)查,，到外包實(shí)施時(shí)的服務(wù)效能和質(zhì)量監(jiān)控、外包商運(yùn)營(yíng)狀況監(jiān)控,，直至外包商服務(wù)后評(píng)價(jià),，形成完整的外包活動(dòng)風(fēng)險(xiǎn)閉環(huán)管控。

　?。ㄆ撸┘訌?qiáng)外包網(wǎng)絡(luò)與信息安全管控,，充分落實(shí)國(guó)家法規(guī)及監(jiān)管要求

　　外包活動(dòng)執(zhí)行團(tuán)隊(duì)?wèi)?yīng)進(jìn)一步提升基于外包人員活動(dòng)全生命周期的管理能力，從外包人員入場(chǎng),、外包項(xiàng)目實(shí)施,、外包人員離場(chǎng)等階段，加強(qiáng)管理與采取技術(shù)措施,，降低敏感信息泄露風(fēng)險(xiǎn),。外包風(fēng)險(xiǎn)管理部門應(yīng)定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)和信息安全評(píng)估,。審計(jì)部門應(yīng)定期開展信息科技外包及其風(fēng)險(xiǎn)管理的審計(jì)工作。

　?。ò耍┨岣呖萍纪獍L(fēng)險(xiǎn)監(jiān)測(cè)能力,，持續(xù)提升外包服務(wù)質(zhì)量與效能

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議與監(jiān)控評(píng)價(jià)機(jī)制,，對(duì)信息科技外包服務(wù)制定服務(wù)效能和質(zhì)量監(jiān)控指標(biāo),，并進(jìn)行相應(yīng)監(jiān)控，當(dāng)指標(biāo)出現(xiàn)異常時(shí),，應(yīng)及時(shí)采取處置措施,。

　　（九）履行科技外包風(fēng)險(xiǎn)評(píng)估及審計(jì)職能,，積極促進(jìn)外包管理體系持續(xù)提升

　　銀行保險(xiǎn)機(jī)構(gòu)應(yīng)有效落實(shí)外包全面風(fēng)險(xiǎn)評(píng)估與審計(jì),。風(fēng)險(xiǎn)部門每年應(yīng)至少開展一次全面的信息科技外包風(fēng)險(xiǎn)管理評(píng)估，應(yīng)充分識(shí)別并評(píng)估信息科技外包可能產(chǎn)生的風(fēng)險(xiǎn),，并向理事會(huì)或高級(jí)管理層提交評(píng)估報(bào)告,。審計(jì)部門應(yīng)定期對(duì)信息科技外包活動(dòng)進(jìn)行審計(jì)，至少每三年覆蓋所有重要外包,。

　?。ㄊ┘訌?qiáng)外包連續(xù)性管理與日常演練，打造穩(wěn)定的外包服務(wù)生態(tài)環(huán)境

　　銀行保險(xiǎn)機(jī)構(gòu)風(fēng)險(xiǎn)部門應(yīng)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,，組織服務(wù)提供商參與編制應(yīng)急計(jì)劃,，至少每年在綜合性演練或?qū)ｍ?xiàng)演練中納入一個(gè)或多個(gè)服務(wù)提供商，并開展一次相關(guān)演練,。

　　四,、總結(jié)與展望

　　通過對(duì)近幾年監(jiān)管檢查的分析發(fā)現(xiàn)，信息科技外包是當(dāng)前銀行保險(xiǎn)機(jī)構(gòu)的風(fēng)險(xiǎn)多發(fā)區(qū)域,，主要表現(xiàn)為：機(jī)構(gòu)敏感信息泄露,、外包服務(wù)異常中斷、外包質(zhì)量降低等方面,，將嚴(yán)重制約機(jī)構(gòu)的健康,、有序發(fā)展，因此外包風(fēng)險(xiǎn)值得關(guān)注,。

　　隨著國(guó)際形式的發(fā)展,，中國(guó)與國(guó)外貿(mào)易競(jìng)爭(zhēng)日趨激烈，供應(yīng)鏈安全風(fēng)險(xiǎn)已從上下游產(chǎn)業(yè)風(fēng)險(xiǎn)逐步演變?yōu)閲?guó)別風(fēng)險(xiǎn),。采用自主可控技術(shù)或產(chǎn)品,、降低外包依賴、建立備選供應(yīng)商庫,、識(shí)別供應(yīng)商產(chǎn)業(yè)關(guān)系等手段可有效控制和降低供應(yīng)鏈風(fēng)險(xiǎn),。

　　隨著銀行保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)與科技的深度融合及數(shù)字化轉(zhuǎn)型不斷深化,，外包集中度風(fēng)險(xiǎn)、外包依賴風(fēng)險(xiǎn),、外包供應(yīng)鏈風(fēng)險(xiǎn),、外包網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)更值得關(guān)注與思考，2022年必將成為信息科技外包領(lǐng)域監(jiān)管檢查“元年”,。