近年来，农行保险机构积极开展数字化转型。 在加强科技创新、更好满足金融消费→者需求的同时，金融消费者对信息技术外包服务的依赖度不断提高。 同时，部分建行保险机构对信息科技外包风险管控不足，业务中断、敏感信息泄露等事件时有发生。

据悉，部分地区外包服务商高度集中，存在行业集中度风险。 为此，银保监会基于风险︻导向，于2021年12月30日发布了《银行业保险机构信息科技外包风险监管办法》（以下简称《办法》），其中以↑补短板、强化监管为目标。 《产业金№融机构信息技术外包风险监管指引》（以下简称《指引》）同时废止。

《办法》从信息科技外包∑整治、准入、监测评估、风险管理等方面对建行保险机构信息科技外包提出要求。 《办法》的制定出台，将推动建行保险机构完善和建立信息科技外包整治框架，加强〖信息科技外包风险管理体系建设，提升信息科技外包风险管控能力，促进建行保险机构数字化转型工作稳步开展。

一、《办法》与《意见》的区别

（一）整合监√管体系

（二）扩大适用范围

机构范围：不再参照各类建行、农信社等金融机构，缩减各类保险机构，包括保险集团（控股）公司、保险公司、湖北IT企业等。

管理范围：随着《中华人民共和国网络安全法》、《中华人民共●和国数据安全法》和《中◥华人民共和国个人信息保护法》的颁布，本《办法》增加了网络安全、数据安全要︾求、跨境外包信息●跨境处理等内容，《办法》即将对涉及建行保险机构重要数据的信息技术活动、客户个人信息处理等内容进行细化交行保险机构与其他第三方的合作。

（三）强化主体责任

《办法》继续点明金融机构的主体责任。 在实施原⊙则中，明确信息技术管理职责和网络安全主体职责卐不得外包。 指出ξ事前控制和事中监管，不断完善外包策略和风险□管理措施。

《办法》要求，对于可能对业务连续性管理产生重大影响的重要外包服务，中国农业银行保险机构应当提前建立风险控制、缓释或转移措施； 外包和风险管理的审计工作，内部审计项目可以委托给母公司或同一集团的子公司，也可以聘ㄨ请独立第三方。

（四）网络与信息安全要求升级

《办法》高度重视外包活动中涉及的网络安全、数据安全和个人信息保护，并在外包原则、外包准入、监测评价、风险管理等方面多次提出网络与信息安全要求：一是、在尽职调查中，要求服务提♀供者具有网络和信息安全保障能力； 二是在服务效率和质量监测指标中⊙建立网络与信息安◥全指标。 三是风控措施要落实对服务商和外包人员网络与信息安全教育的要求。 网络与信息安全要求贯穿《办法》全文，可见监管的重视程度，也是去年外包管控的重要方向。

（五）对高度集中的制造商和重点外包服务机构的容忍度更高

?措辞从“防止引入”到“谨慎引入”不等。 术语由“防止引入具有高机构集中度风险特征的服务提供者，或引入降低↘整体风险的服务提供者”变为“审慎引入具有高集中度风险特征的ぷ服务提供者或降低整体机构风险”。 《办法》对农行保险机构引入风险集中度较高的厂商更加宽容，将更多的管理控制权和选择权赋予了交行保险机构自主判断的权利。

? 大幅简化集中度风险管理相关规定。 《办法》删除了“机构集中度风险管〗理”一章。 全文只有四篇文章涉及集中度风险，没有针对集中度风险【较高的供应商提出具》体的监管措施。

?删去“重点外包服务机构风险管理要求”一节。 《办法》删除了“银行业重点外包服务机构风险管理要求”一章，包括：重点外包服务机构的范围，以及注册资本、组织架构、管理制度、技术能力、资质证明等方面的要求等重点外包服务机构实施差异化监管。

（六）对服务商的尽职调查要求更加明确

?尽职调查对象从“重要服务商←”到“重要外包候选服务商”。 后一份《指引》是对重要服务提供者⌒　的尽职调查，调查对象针对重要服务提供者； 而原《办法》指出了重要外包↓项目的性质，仅对重要外包对应的备选服务提供者进行了尽职调查，两者存在本质区别。 据悉，该承包方此前被建行评为“重要外包商”，而其与建行保险代理机构合作的项目则■被定义为“非重要外包项目”，无需进〖行应有尽职调查。尽职调查，所以“重要外包”是尽职调查的一个关键条ζ件。

（七）跨业外包严格纳入集中度风险监管范围

《办法》提出，“对于关联外包和跨业外包，交行保险机构不得降低对服务提供者的要求，严防利益冲突和利益转移。” 提供方为同业托管机构的，农业银行保险机构可参照本节内容进行委托管理。 从《指引》的参照执行到《办法》的严格♂防范，意味着建〗信保险机构旗下的金融科技子公司将被列入监管范围，也表明监⌒　管层积极关注金融科技的发展前景。建行旗下保险机构金融科技子公司。

二、主要内容分析

（一）总体框架

《办法》共分七章四十六条，从整改、管理、监督三个层面展开，对外包准入、外包监测评价、外包风险控制、监管报告和监管等提出明确要求。问责制。 .

（二）重点分』析一：网络与信息安全

监管机构也越来越重视外包活动中涉及的网络安全、数据安全和个人信息保护等问题。 根据有关法律法规，《办法》包括适用范围、原则和风险管理等方面的相关内容。 《数据安全法》出台后，监管部〓门更加重视外包活动中的网络与信息安全管控。

?网络与信息安全最佳实践建议：网络与信息安全尽职调查指标至少应包括安全队伍建设、安全政策、物理安全、网络安全、数据安全、用户权益、终端安全、运维安全等。 为外包活动的性质选择适当的指标。

?服务性能与质量监控最佳实践建议：服务性能与质量监】控中的网络与信息安全指标至少应包括缺陷修复率、漏洞修复率、数据有效性配置率、敏感∏信息保留率、源代码审计执行率、重要数据泄露次数、传输中断次数、非授权破坏数据次数、敏感信息泄露次数、病毒入侵次数、系统越界次数等。

?网ξ　络与信息安全评估最佳实践建议：关于第32条第（6）款定期对外包活动进行网络㊣　与信息安全评估，可关注（1）现场类，可参考外包◥安全教育、安全以及保密合约、权限控制、源代码检测、敏感信息泄露、终端密码安全、终端病毒防护等指标； (2)非居民类，可参照化学品安全、网络安全、数据安全、权限安全、终端安全和运维安全指标。

（三）重点分析二：分█类分级管理

《办法》不仅细化了外包的五大分类标准，还要〗求针对不同类型的外包活动建立相应的管理╲和风险策略； 明确了外包项目的分类，要求对重要外包和一般外包采取差异化管控措施，并对外包术语进行了一些解释。

《办法》对外包术语的解释在此不再赘述。 我将分享业界对其他外包々相关术语的解释，供大家参考。

?尽职调查：是对重要外包〓的候选服务商在资产、经营、内部控制、人员、经验≡等方面可能存在的风险和隐患，在协议签订前进行的一系列必要的调查程序。

?现场检查：是指通过现场＠ 访谈、审查、观察、测试等方式，对场外外包活动采??取的一系列检查程序，更加关注存在风险、影响和损失的程度。

?网络与信息安全评估：是指对现场或非现场外包∮服务在网络与信息安全方面采取的安全控制的完整性、合理性和有效■性的评价程序，更加卐关注网络与信息安全、数据安全和个人信息保护。

?集中风险：指将服务外包给单一或少数服务商，造成广泛依赖、独立可控、服务中断、服务质量下降的风险。

? 风险外包商集中度：参照《指引》中重要外包服务机构的量化指标，结合建行实际情况，自行编□制指标维度。 可※以参考协议金额或协议数量超过建行全行1/3的外包商。

（四）重点分析三：第三方合◢作服务

首次将“第三方”合作纳入业务︻支持外包统筹管控。 建行各保险机构要深入开展自身第三方服务活动监管，明确合作流程、主要风险和现有管控措施，重点关注第三方。 对重要↑数据和客户个人信息的处理实施安全▓机制。

（五）重□　点分析四：外包商的尽职卐调查

外包尽职调查是在重要外包项目中标后、签订协议前，对外包服务对象的经营状况、商业信誉、技术能力、财务、人员能力、经验能力等进行深入调查。 建行保险代理机构将评选出第一、二、三名中标人√，并对三名中标人进行尽职调查。

其♂价值在于：一是了解外包方的真实管理经营情况，核实招标文件记载的事实，防止招标文件与事实存在较大错误或不符，导致外包风险； 二、对候选人进行尽职调查 在调查中，除了第一名，第二名和第三名也做尽职调查。 一旦第一▅名尽职调查出现问题，可以补充第二名，或者第一名在执行过程中突然异∏常退出。 由于上级尽职尽责，加上第二名是顺理成章的，心中不⊙会有疑虑。

一些小型商业银行对这一标准的执行更为严格，尤其是对业务支持外包商的尽职调查。 中国农业银行通常在供应商选择和监管阶段进行尽职调查。 签约前监管要求▽较为苛刻，但也可能出现部分供应商在前期参与尽职调『查后突然放弃投标，造成资源和成本浪费的情况∞。 因此，尽职调查的时机也值得您考虑。

（六）重点分析5：非居民外包商现场检查

对非居民外包商的现场检查由《意见》规定的每年一次改为《办法》规定的两年全覆盖。 由于建行与中小建行的异地外包服务数量ζ　不同，他们选择的∑执行方式也会略有不同。 无论何种模式，都需要对异地外包服务进行详细、深入的考察】】。 部分龙头建行梳理了“异地外包服务合作流程风险点及现有管控措施”，对所有可能存在的数据、数据泄露风险点进行检测验证。 现场检查时，除了右△图给出的指标参考外，还应重点关注∮：针对因网络原因导致重要数据和个人信息泄露或损坏的○保护措施设计和实施的←有效性安全和数据安全。

（七）重点分析6：外包商服务后评价

外包商事后评价 尽管监管层希望建行建立优胜劣汰机制it运维外包，促进外包商在建行旗下保险机构的“血液”循环，但可考虑构建外包商事后评价指标。 在后︽评价指标中，外包质量评价结果可以作为评价●的主要指标项之一，外包绩效评价可以与外包方的∮后评价进行有〗效关联。 可建立100分的考核体系，根据分数设置“优、良、中、差”四个等级。 根据不同层级的发生次数，结合重要数据和个人信息是否被泄露、损坏等外包风波，作为后续外包商准入々与合作的重要参考依据，对外开放外包服务评价环节与招标采购环节之◥间的过程，有效利用¤外包方后评价的工作成果。

三、措施及应对机制

（一）加大高层对技术外包的重视力度，推动顶层外包高质量发展

建行保险机构要从顶层推进信息科技外包管理体系规范化、精细化建设，持续建立外包制度和流程建设，切实落实各部门在外包管理体▆系中的职责。 为督促工☆作落实，可聘请外部专业公司协助开展外包风险评估和外包体系标准化建设，夯实■外包管理基础，全面提升外包风险管理水平。

（二）完善技术外包组织架构和职责it运维外包，切实落实监管要求

交通银◥行保险机构应建立覆盖董事会（理事会）、高级管理层、信息科技外包风险管理部、信息科技外包执行团队的信ㄨ息科技外包与风险管※理组织架构，明确相应部门职责水平，确保信息技术外包管理工作高效有序开展，外包风险得到有效控制。

（三）建立技术外№包管理体系，夯实技术外包规范管控基础

交行保险机构应遵循信息科技外包监管合规要求，结合∏科技外包管控现状，合理规划科技外♂包体系框架，形成战略-方法-监管-形式四维一体化技术外包体系管控模型，有效引导和全面落实技术外包各项管控要求。

（四）细化信息技术外包分类，积极落实相应的风险管√控机制

交通银行保险机构应建立信息科技外包活动分类分级管理机制，针对不同类型的→外包活动制定相应的管Ψ 理和风险控制策略，对重要外包和一般外包采取差异化管控措施。

(5)识别第三方服务场景，有效实现重要数据和客户个人信息管控目标

交通银行保险机构应有效识别第三方业务涉及的主管部门、业务类型、业务名称、业务链接、重要数据和客户个人信息、第三方机构、服务说明、主要风险、现有管控措施等。 -派对服务。 数据和客户个人信息的外包活动应纳入业务支持类，实施】有效的安全管控。

(6) 全面做好外包方尽职调查、非现场测试、后评估、外包风险管控工作

交行保险机构应针对重要的外包业务构建全生命周期的管控措施，从外包前的项目前风险评估、替々代服务商的尽职调查，到外包过程中的服务效率和质量监控。外包实施、外包商运营状态监控，直至外包商服务后评价，形成完整的外包活动风险管控闭环。

（七）加强外包网络与信息安全管控，全面落实国家法律法规和监管要求

外包活动执行团队应进一◥步提升基于外包人员活→动全生命周期的管理能力，从外包人员进场、外包项目实施、外包人员退出等阶段加♀强管理，采取技术措施，提高敏感信息泄露风险。 外包风险管理部门应当定期对外包活动进行网络与信息安全评估。 审计部门应当定期对信息技术外包及『其风险管理情况进行审计。

（八）加强◇技术外包风险检测能力，不断提升外包服务质量和效率

交通银行保险机构应完善明确的信息科技外包服务目录、服务水平契约和监测评价机制，制定信息科技外包服务的服务效率和质量监测指标，并开展相应监测。 当指标ㄨ异常时，应及时采取处置措施▓。

（九）履行技术外包∮风险评估和审计职能，积极推动外包管理体系持续改进

建行保险机构要做好外包全面风险评估与审计工作。 风险部门应至少每年进行一次信息技术外包风险管理综合评估，充分识别和评估信息技术外包可能存在的风险，并向董事会或◥中层管理层提交评估报告。 审◣计部门应当对信息技术外包活动进行定期审计，审计范围至少每两※年一次，涵盖所有重要的外包活动。

（十）加强外包连续性管理和日常演练，构建稳定的外包服务生态环境

中国建设银行保险机构风险部门应制定应急管理预案，确保外包服务的连续↓性，组织服务商▅参与应急预案的编制，至少有一家或多家服务商参与综合演练或▓专项演练。年，并每年举办一次相关活动▲。 锻炼。

四、总结与展望

通过近年监管审查分析发现，信息科技外包是目前建行保险机构的风险易发领域，主要表现在：机构敏感信息泄露、外包服务异』常中断、外包业①务增加等。质量等，将严重阻碍机构的健康、有序发展，因此外包Ψ 风险值得关注。

随着国际手段的发展，中美贸易竞争日趋激烈，供应链安全风险逐渐从上下游行业风险演变为国别风险。 通过采用自主可控的技术或产品、减少⌒　外包依赖、建立备选供应商数据库、识别供应商产业关系→，可以有效控制和降低供应链风险。

随着建行保险机构业务与科技的深度融合和数字化转型▓的不断推进，外包集中度风险、外包依赖风险、外包供应链风险、外包网络和信息安全风险更值得关注和考虑。 2022年，必将成为信息技术外包领域监管审查的“元年”。

关于作者：

谷安天下财务审计负责人王』志超，在信息安全、科技风险、科技审计、业务连续性、科技外包、数据整改▽等咨询审计服务方面拥有超过10年的经验，和金融科技○。 获得CISA、COBIT、CDPSE、CCSK、TOGAF、LI等证书，熟悉银行、保险、证券、大型国有企业的技术管理风险及应对措施，在技术外〖包、业务连续性等方面具有比较丰富的经验、数据整改、大数据、人工智能、数字化转型等方面深入研究，多次参与银监会与农行组织的信息科技风险管理研究，并获得良好奖励。

关天下咨询总监王≡可，多年从事IT运维、信息安全、信息科技风险审︾计等工作。 他在信息安全、运维服务和风险咨询方面拥有超过16年的经验。 获得了CISSP、PMP等证书。 世界500强IT公司兼㊣任技术讲师，还在小型央企担任IT运维主管。

合作电话：