银保监会：银行保险机构不得将信息科技管理责任、网络安全主体责任外包

原标题：银保监会：银行保险机构不得将信息科技管理责任、网络安全主体责任外包

中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》。《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。

《办法》明确，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。银行保险机构在实施信息科技外包时应当坚持以下原则：（一）不得将信息科技管理责任、网络安全主体责任外包；（二）以不妨碍核心能力建设、积极掌握关键技术为导向；（三）保持外包风险、成本和效益的平衡；（四）保障网络和信息安全，加强个人信息保护；（五）强调事前控制和事中监督；（六）持续改进外包策略和风险管理措施。

《办法》规定，银行保险机构在信息科技外包合同或协议中应当明确安全保密和消费者权益保护约定，包括但不限于：禁止服务提供商在合同允许范围外使用或者披露银行保险机构的信息，服务提供商不得将银行保险机构数据以任何形式转移、挪用或谋取外包合同约定以外的利益。银行保险机构应当在合同或协议中明确要求服务提供商不得将外包服务转包或变相转包。

银保监会有关部门负责人表示，近几年，银行保险机构积极开展数字化转型，在加大科技创新力度、更好地满足金融消费者需求的同时，对信息科技外包服务的依赖度不断加大。与此同时，部分银行保险机构对信息科技外包风险管控不力，因而导致的业务中断、敏感信息泄露等事件时有发生。此外，部分领域外包服务提供商高度集中，形成了行业集中度风险。为此，按照风险为本的导向，以弥补短板、强化监管为目标，拟通过制定《办法》，从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。

《办法》的制定出台，将促进银行保险机构建立并完善信息科技外包治理架构，加强信息科技外包风险管理体系建设，提升信息科技外包风险管控能力，促进银行保险机构稳健开展数字化转型工作。

下一步，银保监会将加强政策宣贯培训，将信息科技外包纳入对银行保险机构的日常风险监测和现场检查，推动银行保险机构建立有效的信息科技外包风险管理体系，促进《办法》有效落地实施。（总台央视记者 王雷）