加强金融安全防护 央行规范外包评价指标的通知(金融外包业务管理办法)

日前，央行发布了《金融网络安全信息科技外包评价指标数据元》标准(以下简称《标准》)，建立了金融行业信息科技外包服务按服务目的分类体系。

据了解，在数字化转型过程中，软件研发已经成为金融机构业务发展和创新的重要手段。金融机构需要在加强自身信息科技团队建设的同时，扩大IT外包，促进业务转型发展。然而，

外包管理体系的不完善是目前信息技术外包面临的主要问题和挑战。(招聘)

本标准为金融机构开展信息科技外包服务评估提供了实践依据。金融企业可以根据该准则的指引，加强对自身信息技术外包活动的管理，降低信息技术外包风险。

细化外包合作要求

根据标准，信息技术外包服务包括咨询与规划、开发与测试、运维、安全服务和业务支持五个一级子类别，每个一级子类别下又划分了多个二级子类别。

《标准》在提出信息技术外包服务分类体系后，引入了信息技术外包服务评价指标数据元体系，并基于该体系对信息技术外包服务进行评价。

网络安全专家田纪云告诉《中国经营报》记者：“标准中的细节并不新鲜，最初出现在很多金融机构的招标文件中。标准只是统一、量化、规范了各类企业的要求，方便金融机构投标。

同时也方便了供应商供货和服务，促进了金融科技的建设。"

“金融机构信息科技外包发展迅速，涉及范围逐步扩大，涵盖了信息科技相关规划、需求、开发、基础设施建设、运营维护等生命周期的各个阶段。如果外包商的经营出现风险，外包商的服务质量下降，

或者外包商的不当行为可能对金融机构信息系统的稳定运行和业务服务的安全造成严重影响。”一位私人银行家指出。

数据分析师袁帅也坦言，金融机构信息系统的安全运行与IT外包商提供的软硬件产品质量密切相关，IT外包风险贯穿于技术、产品、系统、服务、生产、采购、集成、运维等整个产品供应链的各个阶段。

一旦风险和安全管理失控，将给金融机构的信息系统建设带来损失。

谈及该标准的影响，田纪云分析，主要有两个方面：一是加强供应商质量控制，标准对供应商的服务和产品提供了更全面的要求，促进了供应商服务质量的提升；二是有利于金融机构提高内控安全性。

标准提升了金融机构全过程、全面、细致的流程控制，可以有效防止类似隐患的发生。同时，金融是关键的信息基础设施，通过更加全面、详细、统一的标准要求，进一步保障业务连续性和安全性。

北京金鑫网上银行总经理李崇刚告诉记者，此次发布的标准体现了金融监管高管推动技术手段进行监管的做法，即监管科技化。建议对信息技术公司的监管不仅应该是静态监管，还应该是动态监管。

充分挖掘公司的社会责任、涉及的行政处罚、网络信誉等信息，激活公司的替代数据潜力，对公司进行综合评价。

同时，李崇刚还建议：“监管机构和金融机构可以联合第三方公司对信息科技公司进行监测和评估，借鉴北京的吸烟指数监管经验，建立信息科技风险库和案例库，以此发布标准为基础推进监管的规范化。

加强对外包企业风险的动态感知和深入分析。"

加强对信息技术外包的监管

近年来，金融行业外包风险事件备受关注。信息科技外包风险管理已成为金融机构信息科技风险管理的重要组成部分，也成为金融行业监管的重点之一。

2021年底，中国银监会发布《银行保险机构信息科技外包风险监管办法》(以下简称“《办法》”)，进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提高信息科技外包风险管控能力。

《办法》要求，银行和保险机构应建立与其信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制外包带来的风险。

今年2月，中国人民银行会同市场监管总局、银监会、证监会联合发布《金融标准化“十四五”发展规划》，其中提到加强金融网络安全标准保护。

完善金融行业网络安全和数据安全标准体系；建立健全金融业关键信息基础设施保护标准体系，支持提升安全防护能力。

上海安岩信息技术有限公司撰文指出，目前外包管理制度不完善，对外包服务没有统一的评价标准。外包规模的不断增长给外包资源的有效利用和管理带来了巨大挑战，主要表现为：一是外包管理效率低下。

外包项目和外包人员规模不断增长，管理维度不断扩大，监管要求不断提高。外包人员管理费时费力，管理难度加大；二是IT外包管理体系不完善。随着外包人员的不断增长，外包人员进入和离开市场的频率也在增加。

人员流动较大，工作量确认难度较大，但对外包人员的管控手段较弱，导致IT项目延期，服务水平下降。三是金融机构外包存在信息系统中断、敏感信息泄露等诸多问题。

外包风险作为金融机构信息科技风险的重要组成部分，必须引起重视。

“金融机构必须承担外包风险管理的主要责任。一方面，传统的外包安全管理要求也适用于金融科技公司；另一方面，必须严格要求金融科技公司遵守金融行业的监管要求。

如在账户实名登记制度、客户身份验证、产品宣传销售、投资者适当性管理等方面符合技术要求，保护金融客户合法权益。”前述私人银行家认为。

袁帅建议，金融机构在信息科技外包中要树立系统风险管理的顶层意识，形成有效的风险控制机制和专门的工作委员会，责任到人，做好IT业务风险和安全意识及培训工作。

比如银行数字信息业务外包，要在国家法律法规和公司的制度规范内进行。要建立健全IT业务外包过程中的信息披露、检查、监督和考核机制，建立功能齐全的外包供应商信息管理系统，做好速度、质量、结构和效益。

要建立系统的外包组织架构，建立健全应急预案，不断完善规章制度，使各项外包工作有章可循，工作制度化，管理规范化。(招聘和求职)

来源：中国经营报