《银行保险机构信息科技外包风险监管办法》解读
日期:2022年03月14日 阅:71
近几年,银行保险机构积极开展数字化转型,在加大科技创新力度、更好地满足金融消费者需求的同时,对信息科技外包服务的依赖度不断加大。与此同时,部分银行保险机构对信息科技外包风险管控力度不足,因而导致的业务中断、敏感信息泄露等事件时有发生。
此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。为此,银保监会按照风险为本的导向,以弥补短板、强化监管为目标,于2021年12月30日发布了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》),《银行业金融机构信息科技外包风险监管指引》(以下简称《指引》)同时废止。
《办法》从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。《办法》的制定出台,将促进银行保险机构建立并完善信息科技外包治理架构,加强信息科技外包风险管理体系建设,提高信息科技外包风险管控能力,促进银行保险机构稳健开展数字化转型工作。
一、《办法》与《指引》的区别
(一)整合监管制度
(二)扩大适用范围
机构范围:由原来主要针对各类银行、农信社以及参照执行的其他金融机构,增加了各类保险机构,包括保险集团(控股)公司、保险公司、保险资产管理公司等。
管理范围:随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的出台,《办法》根据这些法律法规,新增了网络安全、数据安全、跨境外包的信息跨境处理等要求。《办法》也正式将银行保险机构与其他第三方合作当中,涉及银行保险机构重要数据和客户个人信息处理的信息科技活动纳入管理适用范围。
(三)强化主体责任
《办法》继续强调了金融机构的主体责任,在实施原则中明确不得将信息科技管理责任、网络安全主体责任外包,强调事前控制和事中监督,持续改进外包策略和风险管理措施。
《办法》要求针对可能给业务连续性管理造成重大影响的重要外包服务,银行保险机构应当事先建立风险控制、缓释或转移措施;要求银行保险机构应承担内部审计职能和责任,定期开展信息科技外包及其风险管理的审计工作,内部审计项目可委托母公司或同一集团下属子公司实施,或聘请独立第三方实施。
(四)网络和信息安全要求升级
《办法》对于外包活动中涉及的网络安全、数据安全和个人信息保护十分重视,在外包开展原则、外包准入、监控评价、风险管理中多次强调了网络和信息安全要求:一是尽职调查中要求服务提供商有网络和信息安全保障能力;二是服务效能和质量监控指标中要设立网络和信息安全指标;三是风险管控措施中要落实对服务提供商和外包人员的网络和信息安全教育。网络和信息安全要求贯穿《办法》全文,可见监管的重视程度,也是今年外包管控的重要方向。
(五)对高集中度厂商和重点外包服务机构包容度更高
▶ 用词从“防范引入”到“谨慎引入”。从“防范引入高机构集中度风险特点的服务提供商、或引入增加整体风险的服务提供商”到“审慎引入集中度风险较高或增加机构整体风险的服务提供商”,用词的变化反映出《办法》对银行保险机构引入集中度风险较高厂商的包容度更高,把更多的管理控制和选择权交给了银行保险机构自行判断。
▶ 大幅简化集中度风险管理相关条款。《办法》删减“机构集中度风险管理”章节,全文仅有四项条款涉及集中度风险,未对具有高集中度风险的供应商提出具体监管措施。
▶ 删减“重点外包服务机构的风险管理要求”章节。《办法》删减“银行业重点外包服务机构风险管理要求”章节,包括:重点外包服务机构的范围,针对注册资本、组织架构、管理体系、技术能力、资质认证等方面要求,不再单独针对重点外包服务机构实施差异化监管。
(六)服务提供商尽职调查要求更明确
▶ 尽调对象从“重要的服务提供商”到“重要外包的备选服务提供商”。前者《指引》是对重要服务提供商的尽职调查,调查对象针对的是重要服务提供商;而后者《办法》中强调了重要外包项目的性质,只有是重要外包相对应的备选服务提供商才做尽职调查,这两者有着本质区别,即使此外包商之前在银行里的评级定为“重要外包商”,但是它本次和银行保险机构合作的项目定义为“非重要外包项目”,也无需实施尽职调查,所以“重要外包”是做尽调的关键条件。
(七)同业外包被严格纳入集中度风险监管范围
《办法》提出“对于关联外包和同业外包,银行保险机构不得降低对服务提供商的要求,严格防范利益冲突和利益输送”,相较于《指引》中“对于具有机构集中度特点的外包服务提供商为同业托管机构的情况,银行保险机构可参照本节内容对其进行外包管理”,从《指引》的参照执行,到《办法》的严格防范,意味着银行保险机构金融科技子公司将被列为监管范围,也表明了监管机构积极关注银行保险机构金融科技子公司的发展前景。
二、主要内容解读
(一)总体框架
《办法》共分为七章,四十六条,分别从治理、管理、监督三个层面展开,对外包准入、外包监控评价、外包风险管控、监管报告和问责等做出了明确的要求。
(二)重点分析1:网络和信息安全
监管机构对于外包活动中涉及的网络安全、数据安全和个人信息保护也越发重视。《办法》根据相关法律法规,在适用范围、原则及风险管理中将相关内容纳入监管要求,《办法》多处提及“网络和信息安全”,可见网络安全法和个人信息保护法、数据安全法出台后,监管机构对于外包活动中的网络和信息安全管控提升了重视程度。
▶ 网络和信息安全最佳实践建议:网络和信息安全尽职调查指标应至少包括安全团队建设、安全策略、物理安全、网络安全、数据安全、用户权限、终端安全、运维安全,可根据外包活动性质选择适合的指标。
▶ 服务效能和质量监控最佳实践建议:服务效能和质量监控中网络和信息安全指标应至少包括缺陷修复率、漏洞修复率、数据有效性配置率、敏感信息留存率、源代码审计执行率、重要数据泄露次数、传输中断次数、数据非授权销毁次数、敏感信息暴露次数、病毒入侵次数、系统越权次数等。
▶ 网络和信息安全评估最佳实践建议:关于第三十二条(六)定期对外包活动进行网络和信息安全评估,可关注(1)驻场类,可参考外包安全教育、安全保密协议、权限管控、源代码检查、敏感信息泄露、终端口令安全、终端病毒防护等指标;(2)非驻场类,可参考物理安全、网络安全、数据安全、权限安全、终端安全和运维安全等指标。
(三)重点分析2:分类分级管理
《办法》不仅细化了外包的五大分类标准,要求针对不同类型外包活动建立相适应的管理和风险策略;更明确了外包项目的分级,要求对于重要外包和一般外包采取差异化的管控措施,并给出了部分外包名词解释。
《办法》已给出的外包名词解释,这里不再赘述,分享行业对于其他外包相关名词的解释,可供大家参考。
▶ 尽职调查:是在签订合同前,对重要外包的备选服务提供商采取的资产、经营、内控、人员和经验等存在的潜在风险隐患实施的一系列必要的调查程序。
▶ 实地检查:是指通过现场的访谈、审阅、观察、测试等方式,对非驻场外包活动所采取的一系列的检查程序,更关注现存风险程度、影响及损失。
▶ 网络和信息安全评估:是指对驻场或非驻场外包服务在网络和信息安全方面所采取的安全控制完整性、合理性、有效性的评价程序,更关注网络和信息安全、数据安全和个人信息保护层面存在的风险。
▶ 集中度风险:是指将外包服务集中交由单一或少量服务提供商承接而产生的广泛依赖、自主可控、服务中断及服务质量下降所产生的风险。
▶ 集中度风险外包商:参考《指引》重要外包服务机构的定量指标,结合银行实际情况设立自己的指标维度,可参考合同金额或合同数量超过银行全行1/3以上的外包商。
(四)重点分析3:第三方合作服务
首次将“第三方”合作纳入业务支持类外包进行统筹管控,各银行保险机构应对本机构的第三方服务活动进行深入调研,识别合作流程、主要风险及现有控制措施,重点关注第三方在重要数据和客户个人信息处理安全机制的落实情况。
(五)重点分析4:外包商尽职调查
外包商尽职调查,就是在重要外包项目中标后,签订合同前这段时间内对外包服务备选商的经营状况、商业信誉、技术能力、财务、人员能力、经验能力等情况进行深入调查,一般银行保险机构会选出第一名、第二名和第三名的中标单位,会对三家备选商均开展尽职调查。
价值如下:一是了解外包商真实的管理和经营情况,验证投标文件所说的事实情况,避免出现投标文件与事实产生较大的偏差或不符,存在外包风险;二是对备选商实施尽职调查,不仅是对第一名,第二、三名也同样做尽调,一旦第一名尽调出现问题,顺序第二名可以补充上,或者第一名在实施过程中突然异常退出,由于前面实施了尽调,第二名补上也顺理成章,不会心里没有把握。
部分大型商业银行对于此项标准的执行更为严格,尤其是对于业务支持类外包商的尽职调查更为严格,银行一般在供应商选择与调研阶段就开展了尽职调查,此执行措施比监管要求的签订合同前要求更高,但也存在可能部分供应商前期参与了尽职调查后,后期突然放弃参标的情况,从而造成资源和成本浪费,因此尽职调查的时机选择也值得大家思考。
(六)重点分析5:非驻场外包商现场检查
非驻场外包商的现场检查从《指引》的每年一次,到《办法》的三年全覆盖,整个监管态势发生了较大的变化,也更贴合了银行业发展的实际情况,大型商业银行和中小银行由于自身非驻场外包服务的数量差异,所选择的执行模式也会略有差别。无论哪种模式,均需对非驻场外包服务进行详细、深入检查,部分领先银行已梳理完成“非驻场外包服务的合作流程风险点及现有控制措施”,对所有可能产生数据落地、数据泄露的风险要点进行检查和验证。在实施现场检查时除下图给出的指标参考外,大家更应关注:由于网络安全、数据安全所引发的重要数据和个人信息泄露或损坏的防护措施设计和执行有效性。
(七)重点分析6:外包商服务后评价
外包商服务后评价,其实是监管机构希望银行建立一个优胜劣汰的机制,促进银行保险机构外包商的“血液”循环,可考虑建立外包商后评价指标。后评价指标中可将外包质量考核结果作为其中一个大的指标项进行评价,将外包绩效评价与外包商后评价有效关联。可设立考评百分制,根据分值设定“优、良、中、差”四个级别,根据不同级别出现的次数,结合是否产生了重要数据和个人信息泄露、损坏等外包事件情况,作为后续外包商准入合作的重要参考依据,并打通外包服务评价环节与招标采购环节之间的流程,有效利用外包商后评价的工作成果。
三、办法应对机制
(一)提升高管层对科技外包重视程度,顶层推动外包高质量发展
银行保险机构应从顶层推动开展信息科技外包管理体系的标准化和精细化建设,持续完善外包制度和流程建设,有效落实各部门在外包管理体系中的职责,理事会与高管层应定期对外包管理工作落实情况进行监督,可聘请外部专业公司协助开展外包风险评估和外包体系标准化建设,夯实外包管理基础,全面提升外包风险管理水平。
(二)健全科技外包组织架构及职责,有效落实监管各项职责要求
银行保险机构应当建立覆盖董(理)事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构,明确相应层级的职责,确保信息科技外包管理工作高效、有序开展,对外包风险进行有效控制。
(三)建设科技外包管理制度体系,夯实科技外包规范化管控基础
银行保险机构应根据信息科技外包监管合规要求,结合科技外包管控现状,合理规划科技外包制度体系框架,形成战略-办法-细则-表单四维一体的科技外包制度体系管控模式,有效指导和全面落实科技外包各项管控要求。
(四)细化信息科技外包分类,积极落实对应风险管控机制
银行保险机构应当建立信息科技外包活动分类分级管理机制,针对不同类型的外包活动建立相应的管理和风控策略,对重要外包和一般外包采取差异化管控措施。
(五)识别第三方服务场景,有效落实重要数据和客户个人信息管控目标
银行保险机构应有效识别第三方服务所涉及的主管部门、业务类型、业务名称、业务环节、重要数据和客户个人信息、第三方机构、服务说明、主要风险、现有管控措施等方面,涉及重要数据和客户个人信息的外包活动应纳入业务支持类实施有效的安全管控。
(六)充分履行尽职调查、非现场检查、外包商后评价,外包整体风险管控
银行保险机构应对重要外包活动建立全生命周期的管控措施,从外包开展前的立项前风险评估、备选服务商尽职调查,到外包实施时的服务效能和质量监控、外包商运营状况监控,直至外包商服务后评价,形成完整的外包活动风险闭环管控。
(七)加强外包网络与信息安全管控,充分落实国家法规及监管要求
外包活动执行团队应进一步提升基于外包人员活动全生命周期的管理能力,从外包人员入场、外包项目实施、外包人员离场等阶段,加强管理与采取技术措施,降低敏感信息泄露风险。外包风险管理部门应定期对外包活动进行网络和信息安全评估。审计部门应定期开展信息科技外包及其风险管理的审计工作。
(八)提高科技外包风险监测能力,持续提升外包服务质量与效能
银行保险机构应建立明确的信息科技外包服务目录、服务水平协议与监控评价机制,对信息科技外包服务制定服务效能和质量监控指标,并进行相应监控,当指标出现异常时,应及时采取处置措施。
(九)履行科技外包风险评估及审计职能,积极促进外包管理体系持续提升
银行保险机构应有效落实外包全面风险评估与审计。风险部门每年应至少开展一次全面的信息科技外包风险管理评估,应充分识别并评估信息科技外包可能产生的风险,并向理事会或高级管理层提交评估报告。审计部门应定期对信息科技外包活动进行审计,至少每三年覆盖所有重要外包。
(十)加强外包连续性管理与日常演练,打造稳定的外包服务生态环境
银行保险机构风险部门应制定保障外包服务持续性的应急管理方案,组织服务提供商参与编制应急计划,至少每年在综合性演练或专项演练中纳入一个或多个服务提供商,并开展一次相关演练。
四、总结与展望
通过对近几年监管检查的分析发现,信息科技外包是当前银行保险机构的风险多发区域,主要表现为:机构敏感信息泄露、外包服务异常中断、外包质量降低等方面,将严重制约机构的健康、有序发展,因此外包风险值得关注。
随着国际形式的发展,中国与国外贸易竞争日趋激烈,供应链安全风险已从上下游产业风险逐步演变为国别风险。采用自主可控技术或产品、降低外包依赖、建立备选供应商库、识别供应商产业关系等手段可有效控制和降低供应链风险。
随着银行保险机构业务与科技的深度融合及数字化转型不断深化,外包集中度风险、外包依赖风险、外包供应链风险、外包网络与信息安全风险更值得关注与思考,2022年必将成为信息科技外包领域监管检查“元年”。
作者简介:
王志超,谷安天下金融审计负责人,10多年的信息安全、科技风险、科技审计、业务连续性、科技外包、数据治理、金融科技等咨询及审计服务经验,获得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对科技外包、业务连续性、数据治理、大数据、人工智能、数字化转型等领域均有着较为深入的研究,多次与银行共同参与银保监会组织的信息科技风险管理课题研究,并获得不错的奖项。
王科,谷安天下咨询经理,长期从事IT运维、信息安全和信息科技风险审计等工作,拥有16年以上信息安全、运维服务和风险咨询经验,获得CISSP、PMP、ISO27001等证书,曾在世界500强IT公司担任技术讲师,在某大型国企担任IT运维主管。
谷安天下是国内中立性网络安全与风险服务机构,成立十年来专注于信息安全与 IT 风险管理领域的研究与实践,致力于全面提升中国企业的安全能力与风险管控能力,为数百个金融、政府、运营商、央企、能源客户提供了咨询服务,并为国内信息安全及IT 审计领域培养了大批专业人才。谷安公司经过十余年的不懈努力,已成为国内专业的安全与风险服务品牌。安全牛也成为行业内具有影响力的媒体品牌。