查看原文
其他

银行保险机构不得将网络安全主体责任外包

一哥 等级保护测评 2022-09-24
整理丨一哥

独家授权,未经许可不得转载


近日,中国银保监会办公厅发布的《关于印发银行保险机构信息科技外包风险监管办法的通知》(银保监办发〔2021〕141号)明确要求:银行保险机构不得将信息科技管理责任、网络安全主体责任外包,保障网络和信息安全,加强重要数据和个人信息保护。



《银行保险机构信息科技外包风险监管办法》中重要内容,一哥做了整理,供大家学习参考。


第二条 在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社,保险集团(控股)公司、保险公司、保险资产管理公司、金融资产管理公司适用本办法。银保监会及其派出机构监管的其他金融机构参照本办法执行。

第五条 银行保险机构在实施信息科技外包时应当坚持以下原则:


(一)不得将信息科技管理责任、网络安全主体责任外包;


(二)以不妨碍核心能力建设、积极掌握关键技术为导向;


(三)保持外包风险、成本和效益的平衡;


(四)保障网络和信息安全,加强重要数据和个人信息保护;


(五)强调事前控制和事中监督;


(六)持续改进外包策略和风险管理措施。


第十三条 银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对重要外包和一般外包采取差异化管控措施。下列信息科技外包活动原则上属于重要外包:

(一)信息科技工作整体外包,仅保留必要的管理团队和核心职能;


(二)数据中心(机房)整体外包;


(三)涉及基础设施和信息系统整体架构发生重大变化的信息科技外包;


(四)核心业务系统开发测试和运行维护的整体外包;


(五)信息科技战略规划(含中长期规划)咨询外包;


(六)安全运营的整体外包;


(七)涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包;


(八)直接影响实时服务、影响账务准确性的重要信息系统外包;


(九)其它对机构业务运营具有重要影响的外包。


第三十二条 银行保险机构应当制定和落实网络和信息安全管理措施,包括但不限于:


(一)对服务提供商和外包人员进行网络和信息安全教育或培训,增强网络和信息安全意识,服务提供商应与银行保险机构签订安全保密协议,外包人员应签署安全保密承诺书;


(二)明确外包活动需要访问或使用的信息资产,按“必须知道”和“最小授权”原则进行访问授权,严格管控远程维护行为;


(三)对信息系统开发交付物(含拥有知识产权的源代码)进行安全扫描和检查;


(四)对客户信息、源代码和文档等敏感信息采取严格管控措施,对敏感信息泄露风险进行持续监测;


(五)对服务提供商所提供的模型、算法及相关信息系统加强管理,确保模型和算法遵循可解释、可验证、透明、公平的原则;


(六)定期对外包活动进行网络和信息安全评估。


第三十三条 银行保险机构应识别对本机构具有集中度风险的外包服务及其提供商,积极采用分散外包活动、注重外包项目知识产权保护、提高自身研发运维能力、储备潜在替代服务提供商等手段,减少对个别外包服务提供商的依赖,降低集中度风险。


第三十七条 银行保险机构开展以下信息科技外包活动时,应当在外包合同签订前二十个工作日向银保监会或其派出机构的信息科技监管部门报告(目录见附件):


(一)信息科技工作整体外包;


(二)数据中心(机房)整体外包;


(三)涉及基础设施和信息系统整体架构发生重大变化的外包;


(四)信息科技战略规划(含中长期规划)咨询外包;


(五)符合重要外包条件的非驻场外包、关联外包和跨境外包;


(六)其他银保监会认为重要的信息科技外包。


第三十八条 银行保险机构信息科技外包活动中发生以下重大风险事件时,应当按照相关突发事件监管报告要求,向银保监会或其派出机构报告:


(一)银行保险机构重要数据或客户个人信息泄露;


(二)数据损毁或者重要业务运营中断;


(三)由于不可抗力或服务提供商重大经营、财务问题,导致或可能导致多家银行保险机构外包服务中断;


(四)重要外包服务非正常中断、终止或其服务提供商非正常退出;


(五)因服务提供商不当行为或其服务的信息系统遭受网络攻击或其他原因,造成银行保险机构客户重大资金损失;


(六)发现重大的服务提供商违法违规事件;


(七)银保监会规定需要报告的其他重大事件。


相关突发事件报告要求中没有规定的,在24小时内向银保监会或其派出机构报告。



关注我们联系我们


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存