监管要求变化

 

2021年12月,《银行业金融机构信息科技外包风险监管指引》(以下简称“指引”)升级为《银行保险机构信息科技外包风险监管办法》(以下简称“办法”),从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出全面要求。

 

与《指引》相比,《办法》在以下几个方面存在不同:

 

01   扩大适用范围

 

适用机构范围机构范围由原来主要针对各类银行、农信社以及参照执行的其他金融机构,《办法》中增加了各类保险机构,包括保险集团(控股)公司、保险公司、保险资产管理公司等。

 

适用管理范围纳入银行保险机构与其他第三方合作当中涉及重要数据和个人信息安全的信息科技活动。

 

适用外包类型细化信息科技外包类型,由原来的研发咨询类外包、系统运行维护类外包、业务外包等类型进一步细分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等。

 

02   强调银行保险机构主体责任

 

实施原则:《办法》中明确了银行保险机构不得将信息科技管理责任、网络安全主体责任外包,强调事前控制和事中监督,持续改进外包策略和风险管理措施。

 

组织架构:《办法》中强调银行保险机构应建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,并进一步细化了相应层级的职责。

 

03   关注网络和信息安全

 

随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的出台,《办法》中对于外包活动中涉及的网络安全、数据安全和个人信息保护十分重视,在外包实施原则、外包准入、监控评价、风险管理中多次强调了网络和信息安全要求:

 

  • 实施原则:保障网络和信息安全,加强重要数据和个人信息保护

  • 外包准入:对服务提供商的网络和信息安全保障能力进行尽职调查;信息科技外包合同或协议中需明确安全保密和消费者权益保护约定

  • 监控评价:相关监控数据保存时间从服务结束后一年延长到服务结束后三年;服务效能和质量监控指标中设立网络和信息安全指标

  • 风险管理:银行保险机构应当制定和落实网络和信息安全管理措施,落实对服务提供商和外包人员的网络和信息安全教育,并与服务提供商签订安全保密协议,与外包人员应签署安全保密承诺书;定期对外包活动进行网络和信息安全评估

 

04   提高重要外包管理要求

 

分级管理要求:由《指引》中的“可以”变为《办法》中的“应当”,强调银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施.

 

重要外包退出策略:《办法》中明确要求银行保险机构应考虑重要外包终止的可能性,并制定退出策略;

  • 可能造成外包终止的情形;

  • 外包终止的业务影响分析;

  • 终止交接安排。

 

监管要求:与《指引》相比,《办法》中强化了对重要外包事前和事中的监管报告措施。银行保险机构开展符合重要外包条件的非驻场外包、关联外包和跨境外包时,应当在外包合同签订前二十个工作日向银保监会或其派出机构的信息科技监管部门报告;银行保险机构开展的重要外包服务非正常中断、终止或其服务提供商非正常退出时,应当按照相关突发事件监管报告要求,向银保监会或其派出机构报告,相关突发事件报告要求中没有规定的,在24小时内向银保监会或其派出机构报告。

 

05   细化服务提供商尽职调查要求

 

尽职调查对象:由 《指引》中的“重要的服务提供商”改为《办法》中的“重要外包的备选服务提供商”,强调重要外包是尽职调查的关键条件。这表明即使合作的服务提供商被银行认为是重要服务提供商,但合作项目为非重要外包项目时,仍无需实施尽职调查。

 

明确银行保险机构对重要外包的尽职调查要求,包括但不限于:

  • 服务提供商的技术和行业经验,人员及能力;

  • 服务提供商的内部控制和管理能力;

  • 服务提供商的网络和信息安全保障能力;

  • 服务提供商的持续经营状况;

  • 服务提供商及其母公司或实际控制人遵守国家和银保监会相关法律法规要求的情况;

  • 服务提供商过往配合银行保险机构审计、评估、检查及监管机构监督检查情况;

  • 服务提供商与银行保险机构的关联性。

 

强调银行保险机构对符合重要外包条件的非驻场外包,应当进一步重点调查如下内容:

  • 服务提供商对银行保险机构与其他机构的设施、系统和数据是否有明确、清晰的边界;

  • 服务提供商是否有管理制度和技术措施保障银行保险机构数据的完整性和保密性;

  • 服务提供商对涉及银行保险机构的服务器、存储、网络设备、操作系统、数据库、中间件等软硬件基础设施是否具有最高访问权限;

  • 服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限,是否能够浏览、获取重要数据或客户个人敏感信息;

  • 服务提供商是否有完善的灾难恢复设施和应急管理体系,是否有业务连续性安排;

  • 服务提供商是否存在不正当竞争或规避监管的情形。

 

06   拉平服务提供商准入门槛

 

《办法》中没有新增任何其他准入门槛,并大幅删减对具有高集中度风险的服务提供商及重点外包服务机构的相关要求,对服务提供商一视同仁,明确由银行保险机构自主决定服务提供商的选择标准和准入方式。

 

信息科技外包审计关注点

 

根据《第3205号内部审计实务指南——信息系统审计》,信息科技外包审计可以包含信息科技外包战略规划、信息科技外包治理、信息科技外包商审计、信息科技外包项目管理审计、信息科技外包人员管理审计、信息科技外包安全管理六个方面。

 

基于《办法》的变化,笔者认为在信息科技外包战略规划、信息科技外包治理、信息科技外包商审计、信息科技外包项目管理审计、信息科技外包安全管理五方面均存在新增的审计关注点。

 

关注点一:信息科技外包战略规划

 

企业信息科技外包战略是指企业对信息科技外包的目标和策略的组合,企业信息科技外包的远景、使命、命题等的全局规划和方针及定位。

 

新增审计关注点:

企业信息科技外包战略中是否包含以下外包原则:

  • 是否明确银行保险机构不得将信息科技管理责任、网络安全主体责任外包;

  • 是否强调事前控制和事中监督;

  • 是否制定持续改进外包策略和风险管理措施。

 

关注点二:信息科技外包治理

 

信息科技外包治理是指组织中的信息科技外包的决策机制、管理方式和管理制度等内容。

 

新增审计关注点:

  • 组织架构:银行保险机构是否建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理要求相符的信息科技外包组织架构;各层级岗位职责是否与《办法》中的要求相符;

  • 信息科技外包管理制度:信息科技外包管理制度中是否包含外包的分类分级管理、重要外包的退出策略、供应商管理等内容;

  • 信息科技外包风险管理:银行保险机构是否制定相应的信息科技外包风险管理制度,是否每年至少开展一次全面的信息科技外包风险管理评估。

 

关注点三:信息科技外包商审计

 

信息科技外包商管理是指对为组织提供信息科技服务的外包商进行准入、外包采购需求管理、外包商选择与尽职调查、外包合同签订等方面的管理工作。

 

新增审计关注点:

  • 第三方合作服务:银行保险机构是否对第三方合作服务活动进行深入调研,识别合作流程、主要风险及现有控制措施,关注第三方在重要数据和客户个人信息处理安全机制的落实情况;

  • 外包商尽职调查:银行保险机构是否对重要外包的备选服务提供商开展尽职调查,对于符合重要外包条件的非驻场外包,是否开展进一步调查;调查内容是否涵盖《办法》列举的相关内容;

  • 信息科技外包合同或协议:合同或协议中是否包含安全保密和消费者权益保护约定。

 

关注点四:信息科技外包项目管理审计

 

信息科技外包项目管理是指对信息科技外包项目运用项目管理的方法和技术工具进行管理。

 

新增审计关注点:

信息科技外包监控评价过程中:

  • 银行保险机构是否建立明确的信息科技外包服务目录、服务水平协议以及服务水平监控评价机制,相关监控信息和评价结果的数据保存时长是否至少为服务结束后三年

  • 银行保险机构是否对信息科技外包服务建立服务效能和质量监控指标,其中是否包含网络和信息安全指标、业务连续性指标,如敏感信息留存率、源代码审计执行率、重要数据泄露次数等。

 

关注点五:信息科技外包安全管理

 

监管机构对于外包活动中涉及的网络安全、数据安全和个人信息保护也越发重视。《办法》根据相关法律法规,在适用范围、原则及风险管理中将相关内容纳入监管要求,《办法》多处提及“网络和信息安全”,可见网络安全法和个人信息保护法、数据安全法出台后,监管机构对于外包活动中的网络和信息安全管控提升了重视程度。

 

新增审计关注点:

  • 应急管理:银行保险机构是否制定退出策略和供应链安全保障方案,是否组织服务提供商参与应急计划编制和应急演练,至少每年在综合性演练或专项演练中纳入一个或多个服务提供商开展一次相关演练;

  • 银行保险机构是否对服务提供商和外包人员进行网络和信息安全教育或培训

  • 银行保险机构是否定期对外包活动进行网络和信息安全评估

 

信息科技外包审计相关监管要求和标准

 

《办法》表示,银行保险机构应承担内部审计职能和责任,内部审计项目可委托母公司或同一集团下属子公司实施,或聘请独立第三方实施。

 

因此,笔者整理了信息科技外包审计相关的部分监管要求和标准等,以期为银行保险机构开展信息科技外包内部审计提供指导。相关监管要求和标准如下:

  • 《银行保险机构信息科技外包风险监管办法》(银监发〔2021〕141号);

  • 《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》(银监办发〔2017〕2号);

  • 《商业银行业务连续性监管指引》(银监发〔2011〕104 号);

  • 《商业银行数据中心监管指引》(银监办发〔2010〕114号);

  • 《商业银行信息科技风险管理指引》(银监发〔2009〕19 号);

  • 《银行业重要信息系统突发事件应急管理规范(试行)》(银监办发〔2008〕53号);

  • JR/T 0044—2008《银行业信息系统灾难恢复管理规范》(中国人民银行发布);

  • 《保险业信息系统灾难恢复管理指引》(保监发〔2008〕20号);

  • 《银行业金融机构信息系统风险管理指引》(银监发〔2006〕63号)。

 

总结

 

近年来,随着银行数字化转型的积极开展,银行对信息科技外包服务的依赖不断增强,银行保险机构信息科技外包风险频发,业务中断、敏感信息泄露等事件时有发生。银行保险机构合规压力显著上升。只有通过对《办法》的充分解读,加深对信息科技外包风险的了解,银行保险机构才能更好进行风险防范,为组织数字化转型工作的稳健开展提供保障。