您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
銀行保險機構不得將網(wǎng)絡安全主體責任外包
近日,中國銀保監(jiān)會辦公廳發(fā)布的《關于印發(fā)銀行保險機構信息科技外包風險監(jiān)管辦法的通知》(銀保監(jiān)辦發(fā)〔2021〕141號)明確要求:銀行保險機構不得將信息科技管理責任、網(wǎng)絡安全主體責任外包,保障網(wǎng)絡和信息安全,加強重要數(shù)據(jù)和個人信息保護。
《銀行保險機構信息科技外包風險監(jiān)管辦法》中重要內(nèi)容,一哥做了整理,供大家學習參考。
第二條 在中華人民共和國境內(nèi)設立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社,保險集團(控股)公司、保險公司、保險資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監(jiān)會及其派出機構監(jiān)管的其他金融機構參照本辦法執(zhí)行。
第五條 銀行保險機構在實施信息科技外包時應當堅持以下原則:
(一)不得將信息科技管理責任、網(wǎng)絡安全主體責任外包;
(二)以不妨礙核心能力建設、積極掌握關鍵技術為導向;
(三)保持外包風險、成本和效益的平衡;
(四)保障網(wǎng)絡和信息安全,加強重要數(shù)據(jù)和個人信息保護;
(五)強調(diào)事前控制和事中監(jiān)督;
(六)持續(xù)改進外包策略和風險管理措施。
第十三條 銀行保險機構應對信息科技外包活動及相關服務提供商進行分級管理,對重要外包和一般外包采取差異化管控措施。下列信息科技外包活動原則上屬于重要外包:
(一)信息科技工作整體外包,僅保留必要的管理團隊和核心職能;
(二)數(shù)據(jù)中心(機房)整體外包;
(三)涉及基礎設施和信息系統(tǒng)整體架構發(fā)生重大變化的信息科技外包;
(四)核心業(yè)務系統(tǒng)開發(fā)測試和運行維護的整體外包;
(五)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;
(六)安全運營的整體外包;
(七)涉及集中存儲或處理銀行保險機構重要數(shù)據(jù)和客戶個人敏感信息的外包;
(八)直接影響實時服務、影響賬務準確性的重要信息系統(tǒng)外包;
(九)其它對機構業(yè)務運營具有重要影響的外包。
第三十二條 銀行保險機構應當制定和落實網(wǎng)絡和信息安全管理措施,包括但不限于:
(一)對服務提供商和外包人員進行網(wǎng)絡和信息安全教育或培訓,增強網(wǎng)絡和信息安全意識,服務提供商應與銀行保險機構簽訂安全保密協(xié)議,外包人員應簽署安全保密承諾書;
(二)明確外包活動需要訪問或使用的信息資產(chǎn),按“必須知道”和“最小授權”原則進行訪問授權,嚴格管控遠程維護行為;
(三)對信息系統(tǒng)開發(fā)交付物(含擁有知識產(chǎn)權的源代碼)進行安全掃描和檢查;
(四)對客戶信息、源代碼和文檔等敏感信息采取嚴格管控措施,對敏感信息泄露風險進行持續(xù)監(jiān)測;
(五)對服務提供商所提供的模型、算法及相關信息系統(tǒng)加強管理,確保模型和算法遵循可解釋、可驗證、透明、公平的原則;
(六)定期對外包活動進行網(wǎng)絡和信息安全評估。
第三十三條 銀行保險機構應識別對本機構具有集中度風險的外包服務及其提供商,積極采用分散外包活動、注重外包項目知識產(chǎn)權保護、提高自身研發(fā)運維能力、儲備潛在替代服務提供商等手段,減少對個別外包服務提供商的依賴,降低集中度風險。
第三十七條 銀行保險機構開展以下信息科技外包活動時,應當在外包合同簽訂前二十個工作日向銀保監(jiān)會或其派出機構的信息科技監(jiān)管部門報告(目錄見附件):
(一)信息科技工作整體外包;
(二)數(shù)據(jù)中心(機房)整體外包;
(三)涉及基礎設施和信息系統(tǒng)整體架構發(fā)生重大變化的外包;
(四)信息科技戰(zhàn)略規(guī)劃(含中長期規(guī)劃)咨詢外包;
(五)符合重要外包條件的非駐場外包、關聯(lián)外包和跨境外包;
(六)其他銀保監(jiān)會認為重要的信息科技外包。
第三十八條 銀行保險機構信息科技外包活動中發(fā)生以下重大風險事件時,應當按照相關突發(fā)事件監(jiān)管報告要求,向銀保監(jiān)會或其派出機構報告:
(一)銀行保險機構重要數(shù)據(jù)或客戶個人信息泄露;
(二)數(shù)據(jù)損毀或者重要業(yè)務運營中斷;
(三)由于不可抗力或服務提供商重大經(jīng)營、財務問題,導致或可能導致多家銀行保險機構外包服務中斷;
(四)重要外包服務非正常中斷、終止或其服務提供商非正常退出;
(五)因服務提供商不當行為或其服務的信息系統(tǒng)遭受網(wǎng)絡攻擊或其他原因,造成銀行保險機構客戶重大資金損失;
(六)發(fā)現(xiàn)重大的服務提供商違法違規(guī)事件;
(七)銀保監(jiān)會規(guī)定需要報告的其他重大事件。
相關突發(fā)事件報告要求中沒有規(guī)定的,在24小時內(nèi)向銀保監(jiān)會或其派出機構報告。
來源:等級保護測評