近年來，農(nóng)行保險(xiǎn)機(jī)構(gòu)積極開展數(shù)字化轉(zhuǎn)型。 在加強(qiáng)科技創(chuàng)新、更好滿足金融消費(fèi)者需求的同時(shí)，金融消費(fèi)者對(duì)信息技術(shù)外包服務(wù)的依賴度不斷提高。 同時(shí)，部分建行保險(xiǎn)機(jī)構(gòu)對(duì)信息科技外包風(fēng)險(xiǎn)管控不足，業(yè)務(wù)中斷、敏感信息泄露等事件時(shí)有發(fā)生。

據(jù)悉，部分地區(qū)外包服務(wù)商高度集中，存在行業(yè)集中度風(fēng)險(xiǎn)。 為此，銀保監(jiān)會(huì)基于風(fēng)險(xiǎn)導(dǎo)向，于2021年12月30日發(fā)布了《銀行業(yè)保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》（以下簡(jiǎn)稱《辦法》），其中以補(bǔ)短板、強(qiáng)化監(jiān)管為目標(biāo)。 《產(chǎn)業(yè)金融機(jī)構(gòu)信息技術(shù)外包風(fēng)險(xiǎn)監(jiān)管指引》（以下簡(jiǎn)稱《指引》）同時(shí)廢止。

《辦法》從信息科技外包整治、準(zhǔn)入、監(jiān)測(cè)評(píng)估、風(fēng)險(xiǎn)管理等方面對(duì)建行保險(xiǎn)機(jī)構(gòu)信息科技外包提出要求。 《辦法》的制定出臺(tái)，將推動(dòng)建行保險(xiǎn)機(jī)構(gòu)完善和建立信息科技外包整治框架，加強(qiáng)信息科技外包風(fēng)險(xiǎn)管理體系建設(shè)，提升信息科技外包風(fēng)險(xiǎn)管控能力，促進(jìn)建行保險(xiǎn)機(jī)構(gòu)數(shù)字化轉(zhuǎn)型工作穩(wěn)步開展。

一、《辦法》與《意見》的區(qū)別

（一）整合監(jiān)管體系

（二）擴(kuò)大適用范圍

機(jī)構(gòu)范圍：不再參照各類建行、農(nóng)信社等金融機(jī)構(gòu)，縮減各類保險(xiǎn)機(jī)構(gòu)，包括保險(xiǎn)集團(tuán)（控股）公司、保險(xiǎn)公司、湖北IT企業(yè)等。

管理范圍：隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》的頒布，本《辦法》增加了網(wǎng)絡(luò)安全、數(shù)據(jù)安全要求、跨境外包信息跨境處理等內(nèi)容，《辦法》即將對(duì)涉及建行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)的信息技術(shù)活動(dòng)、客戶個(gè)人信息處理等內(nèi)容進(jìn)行細(xì)化交行保險(xiǎn)機(jī)構(gòu)與其他第三方的合作。

（三）強(qiáng)化主體責(zé)任

《辦法》繼續(xù)點(diǎn)明金融機(jī)構(gòu)的主體責(zé)任。 在實(shí)施原則中，明確信息技術(shù)管理職責(zé)和網(wǎng)絡(luò)安全主體職責(zé)不得外包。 指出事前控制和事中監(jiān)管，不斷完善外包策略和風(fēng)險(xiǎn)管理措施。

《辦法》要求，對(duì)于可能對(duì)業(yè)務(wù)連續(xù)性管理產(chǎn)生重大影響的重要外包服務(wù)，中國(guó)農(nóng)業(yè)銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)提前建立風(fēng)險(xiǎn)控制、緩釋或轉(zhuǎn)移措施； 外包和風(fēng)險(xiǎn)管理的審計(jì)工作，內(nèi)部審計(jì)項(xiàng)目可以委托給母公司或同一集團(tuán)的子公司，也可以聘請(qǐng)獨(dú)立第三方。

（四）網(wǎng)絡(luò)與信息安全要求升級(jí)

《辦法》高度重視外包活動(dòng)中涉及的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)，并在外包原則、外包準(zhǔn)入、監(jiān)測(cè)評(píng)價(jià)、風(fēng)險(xiǎn)管理等方面多次提出網(wǎng)絡(luò)與信息安全要求：一是、在盡職調(diào)查中，要求服務(wù)提供者具有網(wǎng)絡(luò)和信息安全保障能力； 二是在服務(wù)效率和質(zhì)量監(jiān)測(cè)指標(biāo)中建立網(wǎng)絡(luò)與信息安全指標(biāo)。 三是風(fēng)控措施要落實(shí)對(duì)服務(wù)商和外包人員網(wǎng)絡(luò)與信息安全教育的要求。 網(wǎng)絡(luò)與信息安全要求貫穿《辦法》全文，可見監(jiān)管的重視程度，也是去年外包管控的重要方向。

（五）對(duì)高度集中的制造商和重點(diǎn)外包服務(wù)機(jī)構(gòu)的容忍度更高

?措辭從“防止引入”到“謹(jǐn)慎引入”不等。 術(shù)語由“防止引入具有高機(jī)構(gòu)集中度風(fēng)險(xiǎn)特征的服務(wù)提供者，或引入降低整體風(fēng)險(xiǎn)的服務(wù)提供者”變?yōu)椤皩徤饕刖哂懈呒卸蕊L(fēng)險(xiǎn)特征的服務(wù)提供者或降低整體機(jī)構(gòu)風(fēng)險(xiǎn)”。 《辦法》對(duì)農(nóng)行保險(xiǎn)機(jī)構(gòu)引入風(fēng)險(xiǎn)集中度較高的廠商更加寬容，將更多的管理控制權(quán)和選擇權(quán)賦予了交行保險(xiǎn)機(jī)構(gòu)自主判斷的權(quán)利。

? 大幅簡(jiǎn)化集中度風(fēng)險(xiǎn)管理相關(guān)規(guī)定。 《辦法》刪除了“機(jī)構(gòu)集中度風(fēng)險(xiǎn)管理”一章。 全文只有四篇文章涉及集中度風(fēng)險(xiǎn)，沒有針對(duì)集中度風(fēng)險(xiǎn)較高的供應(yīng)商提出具體的監(jiān)管措施。

?刪去“重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求”一節(jié)。 《辦法》刪除了“銀行業(yè)重點(diǎn)外包服務(wù)機(jī)構(gòu)風(fēng)險(xiǎn)管理要求”一章，包括：重點(diǎn)外包服務(wù)機(jī)構(gòu)的范圍，以及注冊(cè)資本、組織架構(gòu)、管理制度、技術(shù)能力、資質(zhì)證明等方面的要求等重點(diǎn)外包服務(wù)機(jī)構(gòu)實(shí)施差異化監(jiān)管。

（六）對(duì)服務(wù)商的盡職調(diào)查要求更加明確

?盡職調(diào)查對(duì)象從“重要服務(wù)商”到“重要外包候選服務(wù)商”。 后一份《指引》是對(duì)重要服務(wù)提供者的盡職調(diào)查，調(diào)查對(duì)象針對(duì)重要服務(wù)提供者； 而原《辦法》指出了重要外包項(xiàng)目的性質(zhì)，僅對(duì)重要外包對(duì)應(yīng)的備選服務(wù)提供者進(jìn)行了盡職調(diào)查，兩者存在本質(zhì)區(qū)別。 據(jù)悉，該承包方此前被建行評(píng)為“重要外包商”，而其與建行保險(xiǎn)代理機(jī)構(gòu)合作的項(xiàng)目則被定義為“非重要外包項(xiàng)目”，無需進(jìn)行應(yīng)有盡職調(diào)查。盡職調(diào)查，所以“重要外包”是盡職調(diào)查的一個(gè)關(guān)鍵條件。

（七）跨業(yè)外包嚴(yán)格納入集中度風(fēng)險(xiǎn)監(jiān)管范圍

《辦法》提出，“對(duì)于關(guān)聯(lián)外包和跨業(yè)外包，交行保險(xiǎn)機(jī)構(gòu)不得降低對(duì)服務(wù)提供者的要求，嚴(yán)防利益沖突和利益轉(zhuǎn)移。” 提供方為同業(yè)托管機(jī)構(gòu)的，農(nóng)業(yè)銀行保險(xiǎn)機(jī)構(gòu)可參照本節(jié)內(nèi)容進(jìn)行委托管理。 從《指引》的參照?qǐng)?zhí)行到《辦法》的嚴(yán)格防范，意味著建信保險(xiǎn)機(jī)構(gòu)旗下的金融科技子公司將被列入監(jiān)管范圍，也表明監(jiān)管層積極關(guān)注金融科技的發(fā)展前景。建行旗下保險(xiǎn)機(jī)構(gòu)金融科技子公司。

二、主要內(nèi)容分析

（一）總體框架

《辦法》共分七章四十六條，從整改、管理、監(jiān)督三個(gè)層面展開，對(duì)外包準(zhǔn)入、外包監(jiān)測(cè)評(píng)價(jià)、外包風(fēng)險(xiǎn)控制、監(jiān)管報(bào)告和監(jiān)管等提出明確要求。問責(zé)制。 .

（二）重點(diǎn)分析一：網(wǎng)絡(luò)與信息安全

監(jiān)管機(jī)構(gòu)也越來越重視外包活動(dòng)中涉及的網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)等問題。 根據(jù)有關(guān)法律法規(guī)，《辦法》包括適用范圍、原則和風(fēng)險(xiǎn)管理等方面的相關(guān)內(nèi)容。 《數(shù)據(jù)安全法》出臺(tái)后，監(jiān)管部門更加重視外包活動(dòng)中的網(wǎng)絡(luò)與信息安全管控。

?網(wǎng)絡(luò)與信息安全最佳實(shí)踐建議：網(wǎng)絡(luò)與信息安全盡職調(diào)查指標(biāo)至少應(yīng)包括安全隊(duì)伍建設(shè)、安全政策、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、用戶權(quán)益、終端安全、運(yùn)維安全等。 為外包活動(dòng)的性質(zhì)選擇適當(dāng)?shù)闹笜?biāo)。

?服務(wù)性能與質(zhì)量監(jiān)控最佳實(shí)踐建議：服務(wù)性能與質(zhì)量監(jiān)控中的網(wǎng)絡(luò)與信息安全指標(biāo)至少應(yīng)包括缺陷修復(fù)率、漏洞修復(fù)率、數(shù)據(jù)有效性配置率、敏感信息保留率、源代碼審計(jì)執(zhí)行率、重要數(shù)據(jù)泄露次數(shù)、傳輸中斷次數(shù)、非授權(quán)破壞數(shù)據(jù)次數(shù)、敏感信息泄露次數(shù)、病毒入侵次數(shù)、系統(tǒng)越界次數(shù)等。

?網(wǎng)絡(luò)與信息安全評(píng)估最佳實(shí)踐建議：關(guān)于第32條第（6）款定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)與信息安全評(píng)估，可關(guān)注（1）現(xiàn)場(chǎng)類，可參考外包安全教育、安全以及保密合約、權(quán)限控制、源代碼檢測(cè)、敏感信息泄露、終端密碼安全、終端病毒防護(hù)等指標(biāo)； (2)非居民類，可參照化學(xué)品安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、權(quán)限安全、終端安全和運(yùn)維安全指標(biāo)。

（三）重點(diǎn)分析二：分類分級(jí)管理

《辦法》不僅細(xì)化了外包的五大分類標(biāo)準(zhǔn)，還要求針對(duì)不同類型的外包活動(dòng)建立相應(yīng)的管理和風(fēng)險(xiǎn)策略； 明確了外包項(xiàng)目的分類，要求對(duì)重要外包和一般外包采取差異化管控措施，并對(duì)外包術(shù)語進(jìn)行了一些解釋。

《辦法》對(duì)外包術(shù)語的解釋在此不再贅述。 我將分享業(yè)界對(duì)其他外包相關(guān)術(shù)語的解釋，供大家參考。

?盡職調(diào)查：是對(duì)重要外包的候選服務(wù)商在資產(chǎn)、經(jīng)營(yíng)、內(nèi)部控制、人員、經(jīng)驗(yàn)等方面可能存在的風(fēng)險(xiǎn)和隱患，在協(xié)議簽訂前進(jìn)行的一系列必要的調(diào)查程序。

?現(xiàn)場(chǎng)檢查：是指通過現(xiàn)場(chǎng)訪談、審查、觀察、測(cè)試等方式，對(duì)場(chǎng)外外包活動(dòng)采??取的一系列檢查程序，更加關(guān)注存在風(fēng)險(xiǎn)、影響和損失的程度。

?網(wǎng)絡(luò)與信息安全評(píng)估：是指對(duì)現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)外包服務(wù)在網(wǎng)絡(luò)與信息安全方面采取的安全控制的完整性、合理性和有效性的評(píng)價(jià)程序，更加關(guān)注網(wǎng)絡(luò)與信息安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)。

?集中風(fēng)險(xiǎn)：指將服務(wù)外包給單一或少數(shù)服務(wù)商，造成廣泛依賴、獨(dú)立可控、服務(wù)中斷、服務(wù)質(zhì)量下降的風(fēng)險(xiǎn)。

? 風(fēng)險(xiǎn)外包商集中度：參照《指引》中重要外包服務(wù)機(jī)構(gòu)的量化指標(biāo)，結(jié)合建行實(shí)際情況，自行編制指標(biāo)維度。 可以參考協(xié)議金額或協(xié)議數(shù)量超過建行全行1/3的外包商。

（四）重點(diǎn)分析三：第三方合作服務(wù)

首次將“第三方”合作納入業(yè)務(wù)支持外包統(tǒng)籌管控。 建行各保險(xiǎn)機(jī)構(gòu)要深入開展自身第三方服務(wù)活動(dòng)監(jiān)管，明確合作流程、主要風(fēng)險(xiǎn)和現(xiàn)有管控措施，重點(diǎn)關(guān)注第三方。 對(duì)重要數(shù)據(jù)和客戶個(gè)人信息的處理實(shí)施安全機(jī)制。

（五）重點(diǎn)分析四：外包商的盡職調(diào)查

外包盡職調(diào)查是在重要外包項(xiàng)目中標(biāo)后、簽訂協(xié)議前，對(duì)外包服務(wù)對(duì)象的經(jīng)營(yíng)狀況、商業(yè)信譽(yù)、技術(shù)能力、財(cái)務(wù)、人員能力、經(jīng)驗(yàn)?zāi)芰Φ冗M(jìn)行深入調(diào)查。 建行保險(xiǎn)代理機(jī)構(gòu)將評(píng)選出第一、二、三名中標(biāo)人，并對(duì)三名中標(biāo)人進(jìn)行盡職調(diào)查。

其價(jià)值在于：一是了解外包方的真實(shí)管理經(jīng)營(yíng)情況，核實(shí)招標(biāo)文件記載的事實(shí)，防止招標(biāo)文件與事實(shí)存在較大錯(cuò)誤或不符，導(dǎo)致外包風(fēng)險(xiǎn)； 二、對(duì)候選人進(jìn)行盡職調(diào)查 在調(diào)查中，除了第一名，第二名和第三名也做盡職調(diào)查。 一旦第一名盡職調(diào)查出現(xiàn)問題，可以補(bǔ)充第二名，或者第一名在執(zhí)行過程中突然異常退出。 由于上級(jí)盡職盡責(zé)，加上第二名是順理成章的，心中不會(huì)有疑慮。

一些小型商業(yè)銀行對(duì)這一標(biāo)準(zhǔn)的執(zhí)行更為嚴(yán)格，尤其是對(duì)業(yè)務(wù)支持外包商的盡職調(diào)查。 中國(guó)農(nóng)業(yè)銀行通常在供應(yīng)商選擇和監(jiān)管階段進(jìn)行盡職調(diào)查。 簽約前監(jiān)管要求較為苛刻，但也可能出現(xiàn)部分供應(yīng)商在前期參與盡職調(diào)查后突然放棄投標(biāo)，造成資源和成本浪費(fèi)的情況。 因此，盡職調(diào)查的時(shí)機(jī)也值得您考慮。

（六）重點(diǎn)分析5：非居民外包商現(xiàn)場(chǎng)檢查

對(duì)非居民外包商的現(xiàn)場(chǎng)檢查由《意見》規(guī)定的每年一次改為《辦法》規(guī)定的兩年全覆蓋。 由于建行與中小建行的異地外包服務(wù)數(shù)量不同，他們選擇的執(zhí)行方式也會(huì)略有不同。 無論何種模式，都需要對(duì)異地外包服務(wù)進(jìn)行詳細(xì)、深入的考察。 部分龍頭建行梳理了“異地外包服務(wù)合作流程風(fēng)險(xiǎn)點(diǎn)及現(xiàn)有管控措施”，對(duì)所有可能存在的數(shù)據(jù)、數(shù)據(jù)泄露風(fēng)險(xiǎn)點(diǎn)進(jìn)行檢測(cè)驗(yàn)證。 現(xiàn)場(chǎng)檢查時(shí)，除了右圖給出的指標(biāo)參考外，還應(yīng)重點(diǎn)關(guān)注：針對(duì)因網(wǎng)絡(luò)原因?qū)е轮匾獢?shù)據(jù)和個(gè)人信息泄露或損壞的保護(hù)措施設(shè)計(jì)和實(shí)施的有效性安全和數(shù)據(jù)安全。

（七）重點(diǎn)分析6：外包商服務(wù)后評(píng)價(jià)

外包商事后評(píng)價(jià) 盡管監(jiān)管層希望建行建立優(yōu)勝劣汰機(jī)制it運(yùn)維外包，促進(jìn)外包商在建行旗下保險(xiǎn)機(jī)構(gòu)的“血液”循環(huán)，但可考慮構(gòu)建外包商事后評(píng)價(jià)指標(biāo)。 在后評(píng)價(jià)指標(biāo)中，外包質(zhì)量評(píng)價(jià)結(jié)果可以作為評(píng)價(jià)的主要指標(biāo)項(xiàng)之一，外包績(jī)效評(píng)價(jià)可以與外包方的后評(píng)價(jià)進(jìn)行有效關(guān)聯(lián)。 可建立100分的考核體系，根據(jù)分?jǐn)?shù)設(shè)置“優(yōu)、良、中、差”四個(gè)等級(jí)。 根據(jù)不同層級(jí)的發(fā)生次數(shù)，結(jié)合重要數(shù)據(jù)和個(gè)人信息是否被泄露、損壞等外包風(fēng)波，作為后續(xù)外包商準(zhǔn)入與合作的重要參考依據(jù)，對(duì)外開放外包服務(wù)評(píng)價(jià)環(huán)節(jié)與招標(biāo)采購環(huán)節(jié)之間的過程，有效利用外包方后評(píng)價(jià)的工作成果。

三、措施及應(yīng)對(duì)機(jī)制

（一）加大高層對(duì)技術(shù)外包的重視力度，推動(dòng)頂層外包高質(zhì)量發(fā)展

建行保險(xiǎn)機(jī)構(gòu)要從頂層推進(jìn)信息科技外包管理體系規(guī)范化、精細(xì)化建設(shè)，持續(xù)建立外包制度和流程建設(shè)，切實(shí)落實(shí)各部門在外包管理體系中的職責(zé)。 為督促工作落實(shí)，可聘請(qǐng)外部專業(yè)公司協(xié)助開展外包風(fēng)險(xiǎn)評(píng)估和外包體系標(biāo)準(zhǔn)化建設(shè)，夯實(shí)外包管理基礎(chǔ)，全面提升外包風(fēng)險(xiǎn)管理水平。

（二）完善技術(shù)外包組織架構(gòu)和職責(zé)it運(yùn)維外包，切實(shí)落實(shí)監(jiān)管要求

交通銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立覆蓋董事會(huì)（理事會(huì)）、高級(jí)管理層、信息科技外包風(fēng)險(xiǎn)管理部、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包與風(fēng)險(xiǎn)管理組織架構(gòu)，明確相應(yīng)部門職責(zé)水平，確保信息技術(shù)外包管理工作高效有序開展，外包風(fēng)險(xiǎn)得到有效控制。

（三）建立技術(shù)外包管理體系，夯實(shí)技術(shù)外包規(guī)范管控基礎(chǔ)

交行保險(xiǎn)機(jī)構(gòu)應(yīng)遵循信息科技外包監(jiān)管合規(guī)要求，結(jié)合科技外包管控現(xiàn)狀，合理規(guī)劃科技外包體系框架，形成戰(zhàn)略-方法-監(jiān)管-形式四維一體化技術(shù)外包體系管控模型，有效引導(dǎo)和全面落實(shí)技術(shù)外包各項(xiàng)管控要求。

（四）細(xì)化信息技術(shù)外包分類，積極落實(shí)相應(yīng)的風(fēng)險(xiǎn)管控機(jī)制

交通銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立信息科技外包活動(dòng)分類分級(jí)管理機(jī)制，針對(duì)不同類型的外包活動(dòng)制定相應(yīng)的管理和風(fēng)險(xiǎn)控制策略，對(duì)重要外包和一般外包采取差異化管控措施。

(5)識(shí)別第三方服務(wù)場(chǎng)景，有效實(shí)現(xiàn)重要數(shù)據(jù)和客戶個(gè)人信息管控目標(biāo)

交通銀行保險(xiǎn)機(jī)構(gòu)應(yīng)有效識(shí)別第三方業(yè)務(wù)涉及的主管部門、業(yè)務(wù)類型、業(yè)務(wù)名稱、業(yè)務(wù)鏈接、重要數(shù)據(jù)和客戶個(gè)人信息、第三方機(jī)構(gòu)、服務(wù)說明、主要風(fēng)險(xiǎn)、現(xiàn)有管控措施等。 -派對(duì)服務(wù)。 數(shù)據(jù)和客戶個(gè)人信息的外包活動(dòng)應(yīng)納入業(yè)務(wù)支持類，實(shí)施有效的安全管控。

(6) 全面做好外包方盡職調(diào)查、非現(xiàn)場(chǎng)測(cè)試、后評(píng)估、外包風(fēng)險(xiǎn)管控工作

交行保險(xiǎn)機(jī)構(gòu)應(yīng)針對(duì)重要的外包業(yè)務(wù)構(gòu)建全生命周期的管控措施，從外包前的項(xiàng)目前風(fēng)險(xiǎn)評(píng)估、替代服務(wù)商的盡職調(diào)查，到外包過程中的服務(wù)效率和質(zhì)量監(jiān)控。外包實(shí)施、外包商運(yùn)營(yíng)狀態(tài)監(jiān)控，直至外包商服務(wù)后評(píng)價(jià)，形成完整的外包活動(dòng)風(fēng)險(xiǎn)管控閉環(huán)。

（七）加強(qiáng)外包網(wǎng)絡(luò)與信息安全管控，全面落實(shí)國(guó)家法律法規(guī)和監(jiān)管要求

外包活動(dòng)執(zhí)行團(tuán)隊(duì)?wèi)?yīng)進(jìn)一步提升基于外包人員活動(dòng)全生命周期的管理能力，從外包人員進(jìn)場(chǎng)、外包項(xiàng)目實(shí)施、外包人員退出等階段加強(qiáng)管理，采取技術(shù)措施，提高敏感信息泄露風(fēng)險(xiǎn)。 外包風(fēng)險(xiǎn)管理部門應(yīng)當(dāng)定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)與信息安全評(píng)估。 審計(jì)部門應(yīng)當(dāng)定期對(duì)信息技術(shù)外包及其風(fēng)險(xiǎn)管理情況進(jìn)行審計(jì)。

（八）加強(qiáng)技術(shù)外包風(fēng)險(xiǎn)檢測(cè)能力，不斷提升外包服務(wù)質(zhì)量和效率

交通銀行保險(xiǎn)機(jī)構(gòu)應(yīng)完善明確的信息科技外包服務(wù)目錄、服務(wù)水平契約和監(jiān)測(cè)評(píng)價(jià)機(jī)制，制定信息科技外包服務(wù)的服務(wù)效率和質(zhì)量監(jiān)測(cè)指標(biāo)，并開展相應(yīng)監(jiān)測(cè)。 當(dāng)指標(biāo)異常時(shí)，應(yīng)及時(shí)采取處置措施。

（九）履行技術(shù)外包風(fēng)險(xiǎn)評(píng)估和審計(jì)職能，積極推動(dòng)外包管理體系持續(xù)改進(jìn)

建行保險(xiǎn)機(jī)構(gòu)要做好外包全面風(fēng)險(xiǎn)評(píng)估與審計(jì)工作。 風(fēng)險(xiǎn)部門應(yīng)至少每年進(jìn)行一次信息技術(shù)外包風(fēng)險(xiǎn)管理綜合評(píng)估，充分識(shí)別和評(píng)估信息技術(shù)外包可能存在的風(fēng)險(xiǎn)，并向董事會(huì)或中層管理層提交評(píng)估報(bào)告。 審計(jì)部門應(yīng)當(dāng)對(duì)信息技術(shù)外包活動(dòng)進(jìn)行定期審計(jì)，審計(jì)范圍至少每?jī)赡暌淮危w所有重要的外包活動(dòng)。

（十）加強(qiáng)外包連續(xù)性管理和日常演練，構(gòu)建穩(wěn)定的外包服務(wù)生態(tài)環(huán)境

中國(guó)建設(shè)銀行保險(xiǎn)機(jī)構(gòu)風(fēng)險(xiǎn)部門應(yīng)制定應(yīng)急管理預(yù)案，確保外包服務(wù)的連續(xù)性，組織服務(wù)商參與應(yīng)急預(yù)案的編制，至少有一家或多家服務(wù)商參與綜合演練或?qū)ｍ?xiàng)演練。年，并每年舉辦一次相關(guān)活動(dòng)。 鍛煉。

四、總結(jié)與展望

通過近年監(jiān)管審查分析發(fā)現(xiàn)，信息科技外包是目前建行保險(xiǎn)機(jī)構(gòu)的風(fēng)險(xiǎn)易發(fā)領(lǐng)域，主要表現(xiàn)在：機(jī)構(gòu)敏感信息泄露、外包服務(wù)異常中斷、外包業(yè)務(wù)增加等。質(zhì)量等，將嚴(yán)重阻礙機(jī)構(gòu)的健康、有序發(fā)展，因此外包風(fēng)險(xiǎn)值得關(guān)注。

隨著國(guó)際手段的發(fā)展，中美貿(mào)易競(jìng)爭(zhēng)日趨激烈，供應(yīng)鏈安全風(fēng)險(xiǎn)逐漸從上下游行業(yè)風(fēng)險(xiǎn)演變?yōu)閲?guó)別風(fēng)險(xiǎn)。 通過采用自主可控的技術(shù)或產(chǎn)品、減少外包依賴、建立備選供應(yīng)商數(shù)據(jù)庫、識(shí)別供應(yīng)商產(chǎn)業(yè)關(guān)系，可以有效控制和降低供應(yīng)鏈風(fēng)險(xiǎn)。

隨著建行保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)與科技的深度融合和數(shù)字化轉(zhuǎn)型的不斷推進(jìn)，外包集中度風(fēng)險(xiǎn)、外包依賴風(fēng)險(xiǎn)、外包供應(yīng)鏈風(fēng)險(xiǎn)、外包網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)更值得關(guān)注和考慮。 2022年，必將成為信息技術(shù)外包領(lǐng)域監(jiān)管審查的“元年”。

關(guān)于作者：

谷安天下財(cái)務(wù)審計(jì)負(fù)責(zé)人王志超，在信息安全、科技風(fēng)險(xiǎn)、科技審計(jì)、業(yè)務(wù)連續(xù)性、科技外包、數(shù)據(jù)整改等咨詢審計(jì)服務(wù)方面擁有超過10年的經(jīng)驗(yàn)，和金融科技。 獲得CISA、COBIT、CDPSE、CCSK、TOGAF、LI等證書，熟悉銀行、保險(xiǎn)、證券、大型國(guó)有企業(yè)的技術(shù)管理風(fēng)險(xiǎn)及應(yīng)對(duì)措施，在技術(shù)外包、業(yè)務(wù)連續(xù)性等方面具有比較豐富的經(jīng)驗(yàn)、數(shù)據(jù)整改、大數(shù)據(jù)、人工智能、數(shù)字化轉(zhuǎn)型等方面深入研究，多次參與銀監(jiān)會(huì)與農(nóng)行組織的信息科技風(fēng)險(xiǎn)管理研究，并獲得良好獎(jiǎng)勵(lì)。

關(guān)天下咨詢總監(jiān)王可，多年從事IT運(yùn)維、信息安全、信息科技風(fēng)險(xiǎn)審計(jì)等工作。 他在信息安全、運(yùn)維服務(wù)和風(fēng)險(xiǎn)咨詢方面擁有超過16年的經(jīng)驗(yàn)。 獲得了CISSP、PMP等證書。 世界500強(qiáng)IT公司兼任技術(shù)講師，還在小型央企擔(dān)任IT運(yùn)維主管。

合作電話：