近幾年,銀行保險機構(gòu)積極開展數(shù)字化轉(zhuǎn)型,,在加大科技創(chuàng)新力度,、更好地滿足金融消費者需求的同時,對信息科技外包服務(wù)的依賴度不斷加大,。與此同時,,部分銀行保險機構(gòu)對信息科技外包風險管控力度不足,,因而導(dǎo)致的業(yè)務(wù)中斷、敏感信息泄露等事件時有發(fā)生,。
此外,,部分領(lǐng)域外包服務(wù)提供商高度集中,形成了行業(yè)集中度風險,。為此,,銀保監(jiān)會按照風險為本的導(dǎo)向,以彌補短板,、強化監(jiān)管為目標,,于2021年12月30日發(fā)布了《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》(以下簡稱《辦法》),《銀行業(yè)金融機構(gòu)信息科技外包風險監(jiān)管指引》(以下簡稱《指引》)同時廢止,。
《辦法》從信息科技外包治理,、準入、監(jiān)控評價,、風險管理等方面對銀行保險機構(gòu)信息科技外包提出要求,。《辦法》的制定出臺,,將促進銀行保險機構(gòu)建立并完善信息科技外包治理架構(gòu),加強信息科技外包風險管理體系建設(shè),,提高信息科技外包風險管控能力,,促進銀行保險機構(gòu)穩(wěn)健開展數(shù)字化轉(zhuǎn)型工作。
一,、《辦法》與《指引》的區(qū)別
?。ㄒ唬┱媳O(jiān)管制度
(二)擴大適用范圍
機構(gòu)范圍:由原來主要針對各類銀行,、農(nóng)信社以及參照執(zhí)行的其他金融機構(gòu),,增加了各類保險機構(gòu),包括保險集團(控股)公司,、保險公司,、保險資產(chǎn)管理公司等。
管理范圍:隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》的出臺,,《辦法》根據(jù)這些法律法規(guī),,新增了網(wǎng)絡(luò)安全、數(shù)據(jù)安全,、跨境外包的信息跨境處理等要求,。《辦法》也正式將銀行保險機構(gòu)與其他第三方合作當中,,涉及銀行保險機構(gòu)重要數(shù)據(jù)和客戶個人信息處理的信息科技活動納入管理適用范圍,。
?。ㄈ娀黧w責任
《辦法》繼續(xù)強調(diào)了金融機構(gòu)的主體責任,在實施原則中明確不得將信息科技管理責任,、網(wǎng)絡(luò)安全主體責任外包,,強調(diào)事前控制和事中監(jiān)督,持續(xù)改進外包策略和風險管理措施,。
《辦法》要求針對可能給業(yè)務(wù)連續(xù)性管理造成重大影響的重要外包服務(wù),,銀行保險機構(gòu)應(yīng)當事先建立風險控制、緩釋或轉(zhuǎn)移措施,;要求銀行保險機構(gòu)應(yīng)承擔內(nèi)部審計職能和責任,,定期開展信息科技外包及其風險管理的審計工作,內(nèi)部審計項目可委托母公司或同一集團下屬子公司實施,,或聘請獨立第三方實施,。
(四)網(wǎng)絡(luò)和信息安全要求升級
《辦法》對于外包活動中涉及的網(wǎng)絡(luò)安全,、數(shù)據(jù)安全和個人信息保護十分重視,,在外包開展原則、外包準入,、監(jiān)控評價,、風險管理中多次強調(diào)了網(wǎng)絡(luò)和信息安全要求:一是盡職調(diào)查中要求服務(wù)提供商有網(wǎng)絡(luò)和信息安全保障能力;二是服務(wù)效能和質(zhì)量監(jiān)控指標中要設(shè)立網(wǎng)絡(luò)和信息安全指標,;三是風險管控措施中要落實對服務(wù)提供商和外包人員的網(wǎng)絡(luò)和信息安全教育,。網(wǎng)絡(luò)和信息安全要求貫穿《辦法》全文,可見監(jiān)管的重視程度,,也是今年外包管控的重要方向,。
(五)對高集中度廠商和重點外包服務(wù)機構(gòu)包容度更高
用詞從“防范引入”到“謹慎引入”,。從“防范引入高機構(gòu)集中度風險特點的服務(wù)提供商,、或引入增加整體風險的服務(wù)提供商”到“審慎引入集中度風險較高或增加機構(gòu)整體風險的服務(wù)提供商”,用詞的變化反映出《辦法》對銀行保險機構(gòu)引入集中度風險較高廠商的包容度更高,,把更多的管理控制和選擇權(quán)交給了銀行保險機構(gòu)自行判斷,。
大幅簡化集中度風險管理相關(guān)條款?!掇k法》刪減“機構(gòu)集中度風險管理”章節(jié),,全文僅有四項條款涉及集中度風險,未對具有高集中度風險的供應(yīng)商提出具體監(jiān)管措施,。
刪減“重點外包服務(wù)機構(gòu)的風險管理要求”章節(jié),。《辦法》刪減“銀行業(yè)重點外包服務(wù)機構(gòu)風險管理要求”章節(jié),,包括:重點外包服務(wù)機構(gòu)的范圍,,針對注冊資本,、組織架構(gòu)、管理體系,、技術(shù)能力,、資質(zhì)認證等方面要求,不再單獨針對重點外包服務(wù)機構(gòu)實施差異化監(jiān)管,。
?。┓?wù)提供商盡職調(diào)查要求更明確
? 盡調(diào)對象從“重要的服務(wù)提供商”到“重要外包的備選服務(wù)提供商”。前者《指引》是對重要服務(wù)提供商的盡職調(diào)查,,調(diào)查對象針對的是重要服務(wù)提供商,;而后者《辦法》中強調(diào)了重要外包項目的性質(zhì),只有是重要外包相對應(yīng)的備選服務(wù)提供商才做盡職調(diào)查,,這兩者有著本質(zhì)區(qū)別,,即使此外包商之前在銀行里的評級定為“重要外包商”,但是它本次和銀行保險機構(gòu)合作的項目定義為“非重要外包項目”,,也無需實施盡職調(diào)查,,所以“重要外包”是做盡調(diào)的關(guān)鍵條件。
?。ㄆ撸┩瑯I(yè)外包被嚴格納入集中度風險監(jiān)管范圍
《辦法》提出“對于關(guān)聯(lián)外包和同業(yè)外包,,銀行保險機構(gòu)不得降低對服務(wù)提供商的要求,嚴格防范利益沖突和利益輸送”,,相較于《指引》中“對于具有機構(gòu)集中度特點的外包服務(wù)提供商為同業(yè)托管機構(gòu)的情況,,銀行保險機構(gòu)可參照本節(jié)內(nèi)容對其進行外包管理”,從《指引》的參照執(zhí)行,,到《辦法》的嚴格防范,意味著銀行保險機構(gòu)金融科技子公司將被列為監(jiān)管范圍,,也表明了監(jiān)管機構(gòu)積極關(guān)注銀行保險機構(gòu)金融科技子公司的發(fā)展前景,。
二、主要內(nèi)容解讀
?。ㄒ唬┛傮w框架
《辦法》共分為七章,,四十六條,分別從治理,、管理,、監(jiān)督三個層面展開,對外包準入,、外包監(jiān)控評價,、外包風險管控、監(jiān)管報告和問責等做出了明確的要求,。
?。ǘ┲攸c分析1:網(wǎng)絡(luò)和信息安全
監(jiān)管機構(gòu)對于外包活動中涉及的網(wǎng)絡(luò)安全,、數(shù)據(jù)安全和個人信息保護也越發(fā)重視?!掇k法》根據(jù)相關(guān)法律法規(guī),,在適用范圍、原則及風險管理中將相關(guān)內(nèi)容納入監(jiān)管要求,,《辦法》多處提及“網(wǎng)絡(luò)和信息安全”,,可見網(wǎng)絡(luò)安全法和個人信息保護法、數(shù)據(jù)安全法出臺后,,監(jiān)管機構(gòu)對于外包活動中的網(wǎng)絡(luò)和信息安全管控提升了重視程度,。
網(wǎng)絡(luò)和信息安全最佳實踐建議:網(wǎng)絡(luò)和信息安全盡職調(diào)查指標應(yīng)至少包括安全團隊建設(shè)、安全策略,、物理安全,、網(wǎng)絡(luò)安全、數(shù)據(jù)安全,、用戶權(quán)限,、終端安全、運維安全,,可根據(jù)外包活動性質(zhì)選擇適合的指標,。
服務(wù)效能和質(zhì)量監(jiān)控最佳實踐建議:服務(wù)效能和質(zhì)量監(jiān)控中網(wǎng)絡(luò)和信息安全指標應(yīng)至少包括缺陷修復(fù)率、漏洞修復(fù)率,、數(shù)據(jù)有效性配置率,、敏感信息留存率、源代碼審計執(zhí)行率,、重要數(shù)據(jù)泄露次數(shù),、傳輸中斷次數(shù)、數(shù)據(jù)非授權(quán)銷毀次數(shù),、敏感信息暴露次數(shù),、病毒入侵次數(shù)、系統(tǒng)越權(quán)次數(shù)等,。
網(wǎng)絡(luò)和信息安全評估最佳實踐建議:關(guān)于第三十二條(六)定期對外包活動進行網(wǎng)絡(luò)和信息安全評估,,可關(guān)注(1)駐場類,可參考外包安全教育,、安全保密協(xié)議,、權(quán)限管控、源代碼檢查,、敏感信息泄露,、終端口令安全、終端病毒防護等指標,;(2)非駐場類,,可參考物理安全,、網(wǎng)絡(luò)安全、數(shù)據(jù)安全,、權(quán)限安全,、終端安全和運維安全等指標。
?。ㄈ┲攸c分析2:分類分級管理
《辦法》不僅細化了外包的五大分類標準,,要求針對不同類型外包活動建立相適應(yīng)的管理和風險策略;更明確了外包項目的分級,,要求對于重要外包和一般外包采取差異化的管控措施,,并給出了部分外包名詞解釋。
《辦法》已給出的外包名詞解釋,,這里不再贅述,,分享行業(yè)對于其他外包相關(guān)名詞的解釋,可供大家參考,。
盡職調(diào)查:是在簽訂合同前,,對重要外包的備選服務(wù)提供商采取的資產(chǎn)、經(jīng)營,、內(nèi)控,、人員和經(jīng)驗等存在的潛在風險隱患實施的一系列必要的調(diào)查程序。
實地檢查:是指通過現(xiàn)場的訪談,、審閱,、觀察、測試等方式,,對非駐場外包活動所采取的一系列的檢查程序,,更關(guān)注現(xiàn)存風險程度、影響及損失,。
網(wǎng)絡(luò)和信息安全評估:是指對駐場或非駐場外包服務(wù)在網(wǎng)絡(luò)和信息安全方面所采取的安全控制完整性,、合理性、有效性的評價程序,,更關(guān)注網(wǎng)絡(luò)和信息安全、數(shù)據(jù)安全和個人信息保護層面存在的風險,。
集中度風險:是指將外包服務(wù)集中交由單一或少量服務(wù)提供商承接而產(chǎn)生的廣泛依賴,、自主可控、服務(wù)中斷及服務(wù)質(zhì)量下降所產(chǎn)生的風險,。
集中度風險外包商:參考《指引》重要外包服務(wù)機構(gòu)的定量指標,,結(jié)合銀行實際情況設(shè)立自己的指標維度,可參考合同金額或合同數(shù)量超過銀行全行1/3以上的外包商,。
?。ㄋ模┲攸c分析3:第三方合作服務(wù)
首次將“第三方”合作納入業(yè)務(wù)支持類外包進行統(tǒng)籌管控,,各銀行保險機構(gòu)應(yīng)對本機構(gòu)的第三方服務(wù)活動進行深入調(diào)研,識別合作流程,、主要風險及現(xiàn)有控制措施,,重點關(guān)注第三方在重要數(shù)據(jù)和客戶個人信息處理安全機制的落實情況。
?。ㄎ澹┲攸c分析4:外包商盡職調(diào)查
外包商盡職調(diào)查,,就是在重要外包項目中標后,簽訂合同前這段時間內(nèi)對外包服務(wù)備選商的經(jīng)營狀況,、商業(yè)信譽,、技術(shù)能力、財務(wù),、人員能力,、經(jīng)驗?zāi)芰Φ惹闆r進行深入調(diào)查,一般銀行保險機構(gòu)會選出第一名,、第二名和第三名的中標單位,,會對三家備選商均開展盡職調(diào)查。
價值如下:一是了解外包商真實的管理和經(jīng)營情況,,驗證投標文件所說的事實情況,,避免出現(xiàn)投標文件與事實產(chǎn)生較大的偏差或不符,存在外包風險,;二是對備選商實施盡職調(diào)查,,不僅是對第一名,第二,、三名也同樣做盡調(diào),,一旦第一名盡調(diào)出現(xiàn)問題,順序第二名可以補充上,,或者第一名在實施過程中突然異常退出,,由于前面實施了盡調(diào),第二名補上也順理成章,,不會心里沒有把握,。
部分大型商業(yè)銀行對于此項標準的執(zhí)行更為嚴格,尤其是對于業(yè)務(wù)支持類外包商的盡職調(diào)查更為嚴格,,銀行一般在供應(yīng)商選擇與調(diào)研階段就開展了盡職調(diào)查,,此執(zhí)行措施比監(jiān)管要求的簽訂合同前要求更高,但也存在可能部分供應(yīng)商前期參與了盡職調(diào)查后,,后期突然放棄參標的情況,,從而造成資源和成本浪費,因此盡職調(diào)查的時機選擇也值得大家思考。
?。┲攸c分析5:非駐場外包商現(xiàn)場檢查
非駐場外包商的現(xiàn)場檢查從《指引》的每年一次,,到《辦法》的三年全覆蓋,整個監(jiān)管態(tài)勢發(fā)生了較大的變化,,也更貼合了銀行業(yè)發(fā)展的實際情況,,大型商業(yè)銀行和中小銀行由于自身非駐場外包服務(wù)的數(shù)量差異,所選擇的執(zhí)行模式也會略有差別,。無論哪種模式,,均需對非駐場外包服務(wù)進行詳細、深入檢查,,部分領(lǐng)先銀行已梳理完成“非駐場外包服務(wù)的合作流程風險點及現(xiàn)有控制措施”,,對所有可能產(chǎn)生數(shù)據(jù)落地、數(shù)據(jù)泄露的風險要點進行檢查和驗證,。在實施現(xiàn)場檢查時除下圖給出的指標參考外,,大家更應(yīng)關(guān)注:由于網(wǎng)絡(luò)安全、數(shù)據(jù)安全所引發(fā)的重要數(shù)據(jù)和個人信息泄露或損壞的防護措施設(shè)計和執(zhí)行有效性,。
?。ㄆ撸┲攸c分析6:外包商服務(wù)后評價
外包商服務(wù)后評價,其實是監(jiān)管機構(gòu)希望銀行建立一個優(yōu)勝劣汰的機制,,促進銀行保險機構(gòu)外包商的“血液”循環(huán),,可考慮建立外包商后評價指標。后評價指標中可將外包質(zhì)量考核結(jié)果作為其中一個大的指標項進行評價,,將外包績效評價與外包商后評價有效關(guān)聯(lián),。可設(shè)立考評百分制,,根據(jù)分值設(shè)定“優(yōu),、良、中,、差”四個級別,,根據(jù)不同級別出現(xiàn)的次數(shù),結(jié)合是否產(chǎn)生了重要數(shù)據(jù)和個人信息泄露,、損壞等外包事件情況,,作為后續(xù)外包商準入合作的重要參考依據(jù),并打通外包服務(wù)評價環(huán)節(jié)與招標采購環(huán)節(jié)之間的流程,,有效利用外包商后評價的工作成果,。
三、辦法應(yīng)對機制
?。ㄒ唬┨嵘吖軐訉萍纪獍匾暢潭龋攲油苿油獍哔|(zhì)量發(fā)展
銀行保險機構(gòu)應(yīng)從頂層推動開展信息科技外包管理體系的標準化和精細化建設(shè),持續(xù)完善外包制度和流程建設(shè),,有效落實各部門在外包管理體系中的職責,,理事會與高管層應(yīng)定期對外包管理工作落實情況進行監(jiān)督,可聘請外部專業(yè)公司協(xié)助開展外包風險評估和外包體系標準化建設(shè),,夯實外包管理基礎(chǔ),,全面提升外包風險管理水平。
?。ǘ┙∪萍纪獍M織架構(gòu)及職責,,有效落實監(jiān)管各項職責要求
銀行保險機構(gòu)應(yīng)當建立覆蓋董(理)事會、高管層,、信息科技外包風險主管部門,、信息科技外包執(zhí)行團隊的信息科技外包及風險管理組織架構(gòu),明確相應(yīng)層級的職責,,確保信息科技外包管理工作高效,、有序開展,對外包風險進行有效控制,。
?。ㄈ┙ㄔO(shè)科技外包管理制度體系,夯實科技外包規(guī)范化管控基礎(chǔ)
銀行保險機構(gòu)應(yīng)根據(jù)信息科技外包監(jiān)管合規(guī)要求,,結(jié)合科技外包管控現(xiàn)狀,,合理規(guī)劃科技外包制度體系框架,形成戰(zhàn)略-辦法-細則-表單四維一體的科技外包制度體系管控模式,,有效指導(dǎo)和全面落實科技外包各項管控要求,。
(四)細化信息科技外包分類,,積極落實對應(yīng)風險管控機制
銀行保險機構(gòu)應(yīng)當建立信息科技外包活動分類分級管理機制,,針對不同類型的外包活動建立相應(yīng)的管理和風控策略,對重要外包和一般外包采取差異化管控措施,。
?。ㄎ澹┳R別第三方服務(wù)場景,有效落實重要數(shù)據(jù)和客戶個人信息管控目標
銀行保險機構(gòu)應(yīng)有效識別第三方服務(wù)所涉及的主管部門,、業(yè)務(wù)類型,、業(yè)務(wù)名稱、業(yè)務(wù)環(huán)節(jié),、重要數(shù)據(jù)和客戶個人信息,、第三方機構(gòu)、服務(wù)說明,、主要風險,、現(xiàn)有管控措施等方面,涉及重要數(shù)據(jù)和客戶個人信息的外包活動應(yīng)納入業(yè)務(wù)支持類實施有效的安全管控。
?。┏浞致男斜M職調(diào)查,、非現(xiàn)場檢查、外包商后評價,,外包整體風險管控
銀行保險機構(gòu)應(yīng)對重要外包活動建立全生命周期的管控措施,,從外包開展前的立項前風險評估、備選服務(wù)商盡職調(diào)查,,到外包實施時的服務(wù)效能和質(zhì)量監(jiān)控,、外包商運營狀況監(jiān)控,直至外包商服務(wù)后評價,,形成完整的外包活動風險閉環(huán)管控,。
(七)加強外包網(wǎng)絡(luò)與信息安全管控,,充分落實國家法規(guī)及監(jiān)管要求
外包活動執(zhí)行團隊應(yīng)進一步提升基于外包人員活動全生命周期的管理能力,,從外包人員入場、外包項目實施,、外包人員離場等階段,,加強管理與采取技術(shù)措施,降低敏感信息泄露風險,。外包風險管理部門應(yīng)定期對外包活動進行網(wǎng)絡(luò)和信息安全評估,。審計部門應(yīng)定期開展信息科技外包及其風險管理的審計工作。
?。ò耍┨岣呖萍纪獍L險監(jiān)測能力,,持續(xù)提升外包服務(wù)質(zhì)量與效能
銀行保險機構(gòu)應(yīng)建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議與監(jiān)控評價機制,,對信息科技外包服務(wù)制定服務(wù)效能和質(zhì)量監(jiān)控指標,,并進行相應(yīng)監(jiān)控,當指標出現(xiàn)異常時,,應(yīng)及時采取處置措施,。
(九)履行科技外包風險評估及審計職能,,積極促進外包管理體系持續(xù)提升
銀行保險機構(gòu)應(yīng)有效落實外包全面風險評估與審計,。風險部門每年應(yīng)至少開展一次全面的信息科技外包風險管理評估,應(yīng)充分識別并評估信息科技外包可能產(chǎn)生的風險,,并向理事會或高級管理層提交評估報告,。審計部門應(yīng)定期對信息科技外包活動進行審計,至少每三年覆蓋所有重要外包,。
?。ㄊ┘訌娡獍B續(xù)性管理與日常演練,,打造穩(wěn)定的外包服務(wù)生態(tài)環(huán)境
銀行保險機構(gòu)風險部門應(yīng)制定保障外包服務(wù)持續(xù)性的應(yīng)急管理方案,組織服務(wù)提供商參與編制應(yīng)急計劃,,至少每年在綜合性演練或?qū)m椦菥氈屑{入一個或多個服務(wù)提供商,,并開展一次相關(guān)演練。
四,、總結(jié)與展望
通過對近幾年監(jiān)管檢查的分析發(fā)現(xiàn),信息科技外包是當前銀行保險機構(gòu)的風險多發(fā)區(qū)域,,主要表現(xiàn)為:機構(gòu)敏感信息泄露,、外包服務(wù)異常中斷、外包質(zhì)量降低等方面,,將嚴重制約機構(gòu)的健康,、有序發(fā)展,因此外包風險值得關(guān)注,。
隨著國際形式的發(fā)展,,中國與國外貿(mào)易競爭日趨激烈,供應(yīng)鏈安全風險已從上下游產(chǎn)業(yè)風險逐步演變?yōu)閲鴦e風險,。采用自主可控技術(shù)或產(chǎn)品,、降低外包依賴、建立備選供應(yīng)商庫,、識別供應(yīng)商產(chǎn)業(yè)關(guān)系等手段可有效控制和降低供應(yīng)鏈風險,。
隨著銀行保險機構(gòu)業(yè)務(wù)與科技的深度融合及數(shù)字化轉(zhuǎn)型不斷深化,外包集中度風險,、外包依賴風險,、外包供應(yīng)鏈風險、外包網(wǎng)絡(luò)與信息安全風險更值得關(guān)注與思考,,2022年必將成為信息科技外包領(lǐng)域監(jiān)管檢查“元年”,。