鑽石舞台

近幾年，銀行保險機構積極開展數字化轉型，在加大科技創新力度、更好地滿足金融消費者需求的同時，對信息科技外包服務的依賴度不斷加大。與此同時，部分銀行保險機構對信息科技外包風險管控力度不足，因而導致的業務中斷、敏感信息泄露等事件時有發生。

此外，部分領域外包服務提供商高度集中，形成了行業集中度風險。為此，銀保監會按照風險為本的導向，以彌補短板、強化監管為目標，於2021年12月30日發布了《銀行保險機構信息科技外包風險監管辦法》（以下簡稱《辦法》），《銀行業金融機構信息科技外包風險監管指引》（以下簡稱《指引》）同時廢止。

《辦法》從信息科技外包治理、准入、監控評價、風險管理等方面對銀行保險機構信息科技外包提出要求。《辦法》的制定出台，將促進銀行保險機構建立並完善信息科技外包治理架構，加強信息科技外包風險管理體系建設，提高信息科技外包風險管控能力，促進銀行保險機構穩健開展數字化轉型工作。

（一）整合監管制度

（二）擴大適用範圍

機構範圍：由原來主要針對各類銀行、農信社以及參照執行的其他金融機構，增加了各類保險機構，包括保險集團（控股）公司、保險公司、保險資產管理公司等。

管理範圍：隨着《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》的出台，《辦法》根據這些法律法規，新增了網絡安全、數據安全、跨境外包的信息跨境處理等要求。《辦法》也正式將銀行保險機構與其他第三方合作當中，涉及銀行保險機構重要數據和客戶個人信息處理的信息科技活動納入管理適用範圍。

（三）強化主體責任

《辦法》繼續強調了金融機構的主體責任，在實施原則中明確不得將信息科技管理責任、網絡安全主體責任外包，強調事前控制和事中監督，持續改進外包策略和風險管理措施。

《辦法》要求針對可能給業務連續性管理造成重大影響的重要外包服務，銀行保險機構應當事先建立風險控制、緩釋或轉移措施；要求銀行保險機構應承擔內部審計職能和責任，定期開展信息科技外包及其風險管理的審計工作，內部審計項目可委託母公司或同一集團下屬子公司實施，或聘請獨立第三方實施。

（四）網絡和信息安全要求升級

《辦法》對於外包活動中涉及的網絡安全、數據安全和個人信息保護十分重視，在外包開展原則、外包準入、監控評價、風險管理中多次強調了網絡和信息安全要求：一是盡職調查中要求服務提供商有網絡和信息安全保障能力；二是服務效能和質量監控指標中要設立網絡和信息安全指標；三是風險管控措施中要落實對服務提供商和外包人員的網絡和信息安全教育。網絡和信息安全要求貫穿《辦法》全文，可見監管的重視程度，也是今年外包管控的重要方向。

（五）對高集中度廠商和重點外包服務機構包容度更高

▶ 用詞從「防範引入」到「謹慎引入」。從「防範引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商」到「審慎引入集中度風險較高或增加機構整體風險的服務提供商」，用詞的變化反映出《辦法》對銀行保險機構引入集中度風險較高廠商的包容度更高，把更多的管理控制和選擇權交給了銀行保險機構自行判斷。

▶ 大幅簡化集中度風險管理相關條款。《辦法》刪減「機構集中度風險管理」章節，全文僅有四項條款涉及集中度風險，未對具有高集中度風險的供應商提出具體監管措施。

▶ 刪減「重點外包服務機構的風險管理要求」章節。《辦法》刪減「銀行業重點外包服務機構風險管理要求」章節，包括：重點外包服務機構的範圍，針對註冊資本、組織架構、管理體系、技術能力、資質認證等方面要求，不再單獨針對重點外包服務機構實施差異化監管。

（六）服務提供商盡職調查要求更明確

▶ 盡調對象從「重要的服務提供商」到「重要外包的備選服務提供商」。前者《指引》是對重要服務提供商的盡職調查，調查對象針對的是重要服務提供商；而後者《辦法》中強調了重要外包項目的性質，只有是重要外包相對應的備選服務提供商才做盡職調查，這兩者有着本質區別，即使此外包商之前在銀行里的評級定為「重要外包商」，但是它本次和銀行保險機構合作的項目定義為「非重要外包項目」，也無需實施盡職調查，所以「重要外包」是做盡調的關鍵條件。

（七）同業外包被嚴格納入集中度風險監管範圍

《辦法》提出「對於關聯外包和同業外包，銀行保險機構不得降低對服務提供商的要求，嚴格防範利益衝突和利益輸送」，相較於《指引》中「對於具有機構集中度特點的外包服務提供商為同業託管機構的情況，銀行保險機構可參照本節內容對其進行外包管理」，從《指引》的參照執行，到《辦法》的嚴格防範，意味着銀行保險機構金融科技子公司將被列為監管範圍，也表明了監管機構積極關注銀行保險機構金融科技子公司的發展前景。

（一）總體框架

《辦法》共分為七章，四十六條，分別從治理、管理、監督三個層面展開，對外包準入、外包監控評價、外包風險管控、監管報告和問責等做出了明確的要求。

（二）重點分析1：網絡和信息安全

監管機構對於外包活動中涉及的網絡安全、數據安全和個人信息保護也越發重視。《辦法》根據相關法律法規，在適用範圍、原則及風險管理中將相關內容納入監管要求，《辦法》多處提及「網絡和信息安全」，可見網絡安全法和個人信息保護法、數據安全法出台後，監管機構對於外包活動中的網絡和信息安全管控提升了重視程度。

▶ 網絡和信息安全最佳實踐建議：網絡和信息安全盡職調查指標應至少包括安全團隊建設、安全策略、物理安全、網絡安全、數據安全、用戶權限、終端安全、運維安全，可根據外包活動性質選擇適合的指標。

▶ 服務效能和質量監控最佳實踐建議：服務效能和質量監控中網絡和信息安全指標應至少包括缺陷修復率、漏洞修復率、數據有效性配置率、敏感信息留存率、源代碼審計執行率、重要數據泄露次數、傳輸中斷次數、數據非授權銷毀次數、敏感信息暴露次數、病毒入侵次數、系統越權次數等。

▶ 網絡和信息安全評估最佳實踐建議：關於第三十二條（六）定期對外包活動進行網絡和信息安全評估，可關注（1）駐場類，可參考外包安全教育、安全保密協議、權限管控、源代碼檢查、敏感信息泄露、終端口令安全、終端病毒防護等指標；（2）非駐場類，可參考物理安全、網絡安全、數據安全、權限安全、終端安全和運維安全等指標。

（三）重點分析2：分類分級管理

《辦法》不僅細化了外包的五大分類標準，要求針對不同類型外包活動建立相適應的管理和風險策略；更明確了外包項目的分級，要求對於重要外包和一般外包採取差異化的管控措施，並給出了部分外包名詞解釋。

《辦法》已給出的外包名詞解釋，這裡不再贅述，分享行業對於其他外包相關名詞的解釋，可供大家參考。

▶ 盡職調查：是在簽訂合同前，對重要外包的備選服務提供商採取的資產、經營、內控、人員和經驗等存在的潛在風險隱患實施的一系列必要的調查程序。

▶ 實地檢查：是指通過現場的訪談、審閱、觀察、測試等方式，對非駐場外包活動所採取的一系列的檢查程序，更關注現存風險程度、影響及損失。

▶ 網絡和信息安全評估：是指對駐場或非駐場外包服務在網絡和信息安全方面所採取的安全控制完整性、合理性、有效性的評價程序，更關注網絡和信息安全、數據安全和個人信息保護層面存在的風險。

▶ 集中度風險：是指將外包服務集中交由單一或少量服務提供商承接而產生的廣泛依賴、自主可控、服務中斷及服務質量下降所產生的風險。

▶ 集中度風險外包商：參考《指引》重要外包服務機構的定量指標，結合銀行實際情況設立自己的指標維度，可參考合同金額或合同數量超過銀行全行1/3以上的外包商。

（四）重點分析3：第三方合作服務

首次將「第三方」合作納入業務支持類外包進行統籌管控，各銀行保險機構應對本機構的第三方服務活動進行深入調研，識別合作流程、主要風險及現有控制措施，重點關注第三方在重要數據和客戶個人信息處理安全機制的落實情況。

（五）重點分析4：外包商盡職調查

外包商盡職調查，就是在重要外包項目中標後，簽訂合同前這段時間內對外包服務備選商的經營狀況、商業信譽、技術能力、財務、人員能力、經驗能力等情況進行深入調查，一般銀行保險機構會選出第一名、第二名和第三名的中標單位，會對三家備選商均開展盡職調查。

價值如下：一是了解外包商真實的管理和經營情況，驗證投標文件所說的事實情況，避免出現投標文件與事實產生較大的偏差或不符，存在外包風險；二是對備選商實施盡職調查，不僅是對第一名，第二、三名也同樣做盡調，一旦第一名盡調出現問題，順序第二名可以補充上，或者第一名在實施過程中突然異常退出，由於前面實施了盡調，第二名補上也順理成章，不會心裡沒有把握。

部分大型商業銀行對於此項標準的執行更為嚴格，尤其是對於業務支持類外包商的盡職調查更為嚴格，銀行一般在供應商選擇與調研階段就開展了盡職調查，此執行措施比監管要求的簽訂合同前要求更高，但也存在可能部分供應商前期參與了盡職調查後，後期突然放棄參標的情況，從而造成資源和成本浪費，因此盡職調查的時機選擇也值得大家思考。

（六）重點分析5：非駐場外包商現場檢查

非駐場外包商的現場檢查從《指引》的每年一次，到《辦法》的三年全覆蓋，整個監管態勢發生了較大的變化，也更貼合了銀行業發展的實際情況，大型商業銀行和中小銀行由於自身非駐場外包服務的數量差異，所選擇的執行模式也會略有差別。無論哪種模式，均需對非駐場外包服務進行詳細、深入檢查，部分領先銀行已梳理完成「非駐場外包服務的合作流程風險點及現有控制措施」，對所有可能產生數據落地、數據泄露的風險要點進行檢查和驗證。在實施現場檢查時除下圖給出的指標參考外，大家更應關註：由於網絡安全、數據安全所引發的重要數據和個人信息泄露或損壞的防護措施設計和執行有效性。

（七）重點分析6：外包商服務後評價

外包商服務後評價，其實是監管機構希望銀行建立一個優勝劣汰的機制，促進銀行保險機構外包商的「血液」循環，可考慮建立外包商後評價指標。後評價指標中可將外包質量考核結果作為其中一個大的指標項進行評價，將外包績效評價與外包商後評價有效關聯。可設立考評百分制，根據分值設定「優、良、中、差」四個級別，根據不同級別出現的次數，結合是否產生了重要數據和個人信息泄露、損壞等外包事件情況，作為後續外包商准入合作的重要參考依據，並打通外包服務評價環節與招標採購環節之間的流程，有效利用外包商後評價的工作成果。

（一）提升高管層對科技外包重視程度，頂層推動外包高質量發展

銀行保險機構應從頂層推動開展信息科技外包管理體系的標準化和精細化建設，持續完善外包制度和流程建設，有效落實各部門在外包管理體系中的職責，理事會與高管層應定期對外包管理工作落實情況進行監督，可聘請外部專業公司協助開展外包風險評估和外包體系標準化建設，夯實外包管理基礎，全面提升外包風險管理水平。

（二）健全科技外包組織架構及職責，有效落實監管各項職責要求

銀行保險機構應當建立覆蓋董（理）事會、高管層、信息科技外包風險主管部門、信息科技外包執行團隊的信息科技外包及風險管理組織架構，明確相應層級的職責，確保信息科技外包管理工作高效、有序開展，對外包風險進行有效控制。

（三）建設科技外包管理制度體系，夯實科技外包規範化管控基礎

銀行保險機構應根據信息科技外包監管合規要求，結合科技外包管控現狀，合理規劃科技外包制度體系框架，形成戰略-辦法-細則-表單四維一體的科技外包制度體系管控模式，有效指導和全面落實科技外包各項管控要求。

（四）細化信息科技外包分類，積極落實對應風險管控機制

銀行保險機構應當建立信息科技外包活動分類分級管理機制，針對不同類型的外包活動建立相應的管理和風控策略，對重要外包和一般外包採取差異化管控措施。

（五）識別第三方服務場景，有效落實重要數據和客戶個人信息管控目標

銀行保險機構應有效識別第三方服務所涉及的主管部門、業務類型、業務名稱、業務環節、重要數據和客戶個人信息、第三方機構、服務說明、主要風險、現有管控措施等方面，涉及重要數據和客戶個人信息的外包活動應納入業務支持類實施有效的安全管控。

（六）充分履行盡職調查、非現場檢查、外包商後評價，外包整體風險管控

銀行保險機構應對重要外包活動建立全生命周期的管控措施，從外包開展前的立項前風險評估、備選服務商盡職調查，到外包實施時的服務效能和質量監控、外包商運營狀況監控，直至外包商服務後評價，形成完整的外包活動風險閉環管控。

（七）加強外包網絡與信息安全管控，充分落實國家法規及監管要求

外包活動執行團隊應進一步提升基於外包人員活動全生命周期的管理能力，從外包人員入場、外包項目實施、外包人員離場等階段，加強管理與採取技術措施，降低敏感信息泄露風險。外包風險管理部門應定期對外包活動進行網絡和信息安全評估。審計部門應定期開展信息科技外包及其風險管理的審計工作。

（八）提高科技外包風險監測能力，持續提升外包服務質量與效能

銀行保險機構應建立明確的信息科技外包服務目錄、服務水平協議與監控評價機制，對信息科技外包服務制定服務效能和質量監控指標，並進行相應監控，當指標出現異常時，應及時採取處置措施。

（九）履行科技外包風險評估及審計職能，積極促進外包管理體系持續提升

銀行保險機構應有效落實外包全面風險評估與審計。風險部門每年應至少開展一次全面的信息科技外包風險管理評估，應充分識別並評估信息科技外包可能產生的風險，並向理事會或高級管理層提交評估報告。審計部門應定期對信息科技外包活動進行審計，至少每三年覆蓋所有重要外包。

（十）加強外包連續性管理與日常演練，打造穩定的外包服務生態環境

銀行保險機構風險部門應制定保障外包服務持續性的應急管理方案，組織服務提供商參與編制應急計劃，至少每年在綜合性演練或專項演練中納入一個或多個服務提供商，並開展一次相關演練。

通過對近幾年監管檢查的分析發現，信息科技外包是當前銀行保險機構的風險多發區域，主要表現為：機構敏感信息泄露、外包服務異常中斷、外包質量降低等方面，將嚴重製約機構的健康、有序發展，因此外包風險值得關注。

隨着國際形式的發展，中國與國外貿易競爭日趨激烈，供應鏈安全風險已從上下游產業風險逐步演變為國別風險。採用自主可控技術或產品、降低外包依賴、建立備選供應商庫、識別供應商產業關係等手段可有效控制和降低供應鏈風險。

隨着銀行保險機構業務與科技的深度融合及數字化轉型不斷深化，外包集中度風險、外包依賴風險、外包供應鏈風險、外包網絡與信息安全風險更值得關注與思考，2022年必將成為信息科技外包領域監管檢查「元年」。