【记者 仇兆燕】

2022年1月21日，银保监会发布《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。

近几年，银行保险机构积极开展数字化转型，在加大科技创新力度、更好满足金融消费者需求的同时，对信息科技外包服务的依赖度不断加大。与此同时，部分银行保险机构对信息科技外包风险管控不力，因此导致的业务中断、敏感信息泄露等事件时有发生，部分领域外包服务提供商高度集中，形成了行业集中度风险。

银保监会有关部门负责人表示，按照防控风险为本的导向，以弥补短板、强化监管为目标，拟通过制定《办法》，从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。

《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。在总则中，《办法》明确总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。

《办法》所适用的信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。银保监会有关部门负责人进一步指出，除了上述外包行为以外，随着近年来银行保险机构在各个领域与第三方的合作越来越多，其中不少合作涉及银行保险机构重要数据和客户个人信息处理，为充分保护金融消费者权益，加强第三方合作当中的信息科技风险管理，防止敏感信息泄露和不当使用，对银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，需按照《办法》相关要求进行管理。

《办法》对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。

《办法》同时规范了信息科技外包风险管理，对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。

银保监会有关部门负责人表示，《办法》的制定出台，将促进银行保险机构建立并完善信息科技外包治理架构，加强信息科技外包风险管理体系建设，提升信息科技外包风险管控能力，促进银行保险机构稳健开展数字化转型工作。

据悉，下一步，银保监会还将加强政策宣贯培训，将信息科技外包纳入对银行保险机构的日常风险监测和现场检查，推动银行保险机构建立有效的信息科技外包风险管理体系，促进《办法》有效落地实施。