銀行保險機構不得將網絡安全主體責任外包

近日，中國銀保監會辦公廳發布的《關于印發銀行保險機構信息科技外包風險監管辦法的通知》（銀保監辦發〔2021〕141號）明確要求： 銀行保險機構不得將信息科技管理責任、網絡安全主體責任外包，保障網絡和信息安全，加強重要數據和個人信息保護。

《銀行保險機構信息科技外包風險監管辦法》中重要內容，一哥做了整理，供大家學習參考。

第二條 在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、省（自治區）農村信用社聯合社，保險集團（控股）公司、保險公司、保險資產管理公司、金融資產管理公司適用本辦法。銀保監會及其派出機構監管的其他金融機構參照本辦法執行。

第五條 銀行保險機構在實施信息科技外包時應當堅持以下原則：

（一）不得將信息科技管理責任、網絡安全主體責任外包；

（二）以不妨礙核心能力建設、積極掌握關鍵技術為導向；

（三）保持外包風險、成本和效益的平衡；

（四）保障網絡和信息安全，加強重要數據和個人信息保護；

（五）強調事前控制和事中監督；

（六）持續改進外包策略和風險管理措施。

第十三條 銀行保險機構應對信息科技外包活動及相關服務提供商進行分級管理，對重要外包和一般外包采取差異化管控措施。 下列信息科技外包活動原則上屬于重要外包：

（一）信息科技工作整體外包，僅保留必要的管理團隊和核心職能；

（二）數據中心（機房）整體外包；

（三）涉及基礎設施和信息系統整體架構發生重大變化的信息科技外包；

（四）核心業務系統開發測試和運行維護的整體外包；

（五）信息科技戰略規劃（含中長期規劃）咨詢外包；

（六）安全運營的整體外包；

（七）涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息的外包；

（八）直接影響實時服務、影響賬務準確性的重要信息系統外包；

（九）其它對機構業務運營具有重要影響的外包。

第三十二條 銀行保險機構應當制定和落實網絡和信息安全管理措施，包括但不限于：

（一）對服務提供商和外包人員進行網絡和信息安全教育或培訓，增強網絡和信息安全意識，服務提供商應與銀行保險機構簽訂安全保密協議，外包人員應簽署安全保密承諾書；

（二）明確外包活動需要訪問或使用的信息資產，按“必須知道”和“最小授權”原則進行訪問授權，嚴格管控遠程維護行為；

（三）對信息系統開發交付物（含擁有知識產權的源代碼）進行安全掃描和檢查；

（四）對客戶信息、源代碼和文檔等敏感信息采取嚴格管控措施，對敏感信息泄露風險進行持續監測；

（五）對服務提供商所提供的模型、算法及相關信息系統加強管理，確保模型和算法遵循可解釋、可驗證、透明、公平的原則；

（六）定期對外包活動進行網絡和信息安全評估。

第三十三條 銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商，積極采用分散外包活動、注重外包項目知識產權保護、提高自身研發運維能力、儲備潛在替代服務提供商等手段， 減少對個別外包服務提供商的依賴，降低集中度風險。

第三十七條 銀行保險機構開展以下信息科技外包活動時，應當在外包合同簽訂前二十個工作日向銀保監會或其派出機構的信息科技監管部門報告 （目錄見附件）：

（一）信息科技工作整體外包；

（二）數據中心（機房）整體外包；

（三）涉及基礎設施和信息系統整體架構發生重大變化的外包；

（四）信息科技戰略規劃（含中長期規劃）咨詢外包；

（五）符合重要外包條件的非駐場外包、關聯外包和跨境外包；

（六）其他銀保監會認為重要的信息科技外包。

第三十八條 銀行保險機構信息科技外包活動中發生以下重大風險事件時，應當按照相關突發事件監管報告要求，向銀保監會或其派出機構報告：

（一）銀行保險機構重要數據或客戶個人信息泄露；

（二）數據損毀或者重要業務運營中斷；

（三）由于不可抗力或服務提供商重大經營、財務問題，導致或可能導致多家銀行保險機構外包服務中斷;

（四）重要外包服務非正常中斷、終止或其服務提供商非正常退出；

（五）因服務提供商不當行為或其服務的信息系統遭受網絡攻擊或其他原因，造成銀行保險機構客戶重大資金損失；

（六）發現重大的服務提供商違法違規事件；

（七）銀保監會規定需要報告的其他重大事件。

相關突發事件報告要求中沒有規定的，在24小時內向銀保監會或其派出機構報告。