快三平台最新

  • <tr id='EMV0uk'><strong id='EMV0uk'></strong><small id='EMV0uk'></small><button id='EMV0uk'></button><li id='EMV0uk'><noscript id='EMV0uk'><big id='EMV0uk'></big><dt id='EMV0uk'></dt></noscript></li></tr><ol id='EMV0uk'><option id='EMV0uk'><table id='EMV0uk'><blockquote id='EMV0uk'><tbody id='EMV0uk'></tbody></blockquote></table></option></ol><u id='EMV0uk'></u><kbd id='EMV0uk'><kbd id='EMV0uk'></kbd></kbd>

    <code id='EMV0uk'><strong id='EMV0uk'></strong></code>

    <fieldset id='EMV0uk'></fieldset>
          <span id='EMV0uk'></span>

              <ins id='EMV0uk'></ins>
              <acronym id='EMV0uk'><em id='EMV0uk'></em><td id='EMV0uk'><div id='EMV0uk'></div></td></acronym><address id='EMV0uk'><big id='EMV0uk'><big id='EMV0uk'></big><legend id='EMV0uk'></legend></big></address>

              <i id='EMV0uk'><div id='EMV0uk'><ins id='EMV0uk'></ins></div></i>
              <i id='EMV0uk'></i>
            1. <dl id='EMV0uk'></dl>
              1. <blockquote id='EMV0uk'><q id='EMV0uk'><noscript id='EMV0uk'></noscript><dt id='EMV0uk'></dt></q></blockquote><noframes id='EMV0uk'><i id='EMV0uk'></i>

                行业动态

                了解最新公司动态及行业资讯

                当前位置:首页>新闻中心>行业动态
                全部 3197 公司动态 90 行业动态 3107

                《银行保险机构信息科技外包风险监管办法》与《指引》的区别

                时间:2023-04-26   访问量:1112

                it运维外包公司_linux服♂务器运维外包_it运维外包

                近年来,农行保险机构积极开展数字化转型。 在加强科技创新、更好满足金融消费者需求的同时,金融消费者对信息技术外包服务的依赖度不断提高。 同时,部分建行保险机构对信息科技外包风险管控不足,业务中断、敏感信息泄露ζ 等事件时有发生。

                据悉,部分地区外包服务商高度集中,存在行业集中度风险。 为此,银保监会基于风险导向,于2021年12月30日发布了《银行业保险机构信息科技外包风险监管办法》(以下简称《办法》),其中以补短板、强化监管为目标。 《产业金融机构信息技术外包风险监管指引》(以下简称《指引》)同时废止。

                《办法》从信息科技外包整治、准入、监测评估、风险管理等方面对建行保险机构信息科技外包提出要求。 《办法》的制定出台,将推动建行保险机构完善和建立信息科技外包整治框架,加强信息科技外包风险管理体系建设,提升信息科技外包风险管控能力,促进建行保险机构数字化转型工作稳步开展。

                一、《办法》与《意见》的区别

                (一)整合监管体系

                it运维外包_it运维外包公司_linux服务器运维外包

                (二)扩大适用范围

                机构范围:不再参照各类∩建行、农信社等金融机构,缩减各类保险︽机构,包括保险集团(控股)公司、保险公司、湖北IT企业等。

                管理范围:随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》的颁布,本《办法》增加了网络安全、数据安全要求、跨境外包信息跨境处理等内容,《办法》即将对涉及建行保险机构重要数据的信息技术〓活动、客户个人信息处理等内容进行细化交行保险机构与其他第三方的合作。

                (三)强化主体责任

                《办法》继续点明金融机构的主体责任。 在实施原则∩中,明确信息技术管理职责和网络安全主体职责不得外包。 指出事前控制和事中监管,不断完善外包策略和风险管理措施。

                《办法》要求,对于可能对业务连续性管理产生重大影响的重要外包服务,中国农业银行保险机构应当提前建立风险控制、缓释或◣转移措施; 外包和风险管理的审计工作,内部审计项目可以委托给母公司或同一集团的子公司,也可以聘请独立第三方。

                (四)网络与信息安全要求升级

                《办法》高度重视外包活动中涉及的网※络安全、数据安全和个人信息保护,并在外包原则、外包准入、监测评价、风险管理等方面多次提出网络与信息安全要求:一是、在尽职调查中,要求服务提供者具有网络和信息安全保障能力; 二是在服务效率和质量监测︼指标中建立网络与信息安全指标。 三是风控措施要落实对服务商和外包人员网络与信息安全教育的要求。 网络与信息安全要求贯穿《办法》全文,可见监管的重视程度,也是去年外包管控的重要方向。

                (五)对高度集中的制造商和重点外包服务机构的容忍度更高

                ?措辞从“防止引入”到“谨慎引入”不等。 术语由“防止引入具有高机构集中度风险特∴征的服务提供者,或引入降低整体风险的服务提供者”变为“审慎引入具有高集中度风险特征的服务提供者或降低整体机构风险”。 《办法》对农行保险机构引入风险集中度较高的厂商更加宽容,将更多的管理控制权和选择权赋予了交行保险机构自主卐判断的权利。

                it运维外包_linux服务器运维外包_it运维外包公司

                ? 大幅简化集中度风险管理相关规定。 《办法》删除了“机构集中度风险管理”一章。 全文只有四篇文章涉及集中度风险,没有针对集中度风险较高的供应商提出具体的监管措施。

                ?删去“重点外包服务机构风险管理要求”一节。 《办法》删除了“银行业重点外包服务机构风险管理要求”一章,包括:重点外包服务机构的范围,以及注册资本、组织架构、管理制度、技术能力、资质证明等方面的要求等重点外包服务机构实施差异化监管。

                (六)对服务商的尽职调查要求更加明确

                ?尽职调查对⌒ 象从“重要服务商”到“重要外包候选服务商”。 后一份《指引》是对重要服务提供者的尽职调查,调查对象针对重要服务提供者; 而原《办法》指出了重要外包项目的性质,仅对重要外包对应的备选服务提供者进行了尽职调查,两者存∏在本质区别。 据悉,该承包方☆此前被建行评为“重要外包商”,而其与建行保险代理机构合作的项目则被定义为“非重要外包项目”,无需进行应有尽职调查。尽职调查,所以“重要外包”是尽职调查的一个关键条件。

                (七)跨业外包严格纳入集中度风险监管范围

                《办法》提出,“对于关联外包和跨业外包,交行保险机构不得降低对服务提供者的要求,严防利益冲突和利益转移。” 提供方为同业托管机构的,农业银行保险机构可参照本节内容进行委托管理。 从《指引》的参〗照执行到《办法》的严格防范,意味着建信保险机构旗下的金融科技子公司将被列入监管范围,也表明监管层积极关注金融科技的发展前景。建行旗下保险机构金融科技子公司。

                二、主要内容分析

                (一)总体框架

                《办法》共分七章四十六条,从整改、管理、监督三个层面展开,对外包准入、外包监测评价、外包风险控制、监管报告和监管等提出明确要求。问责制。 .

                it运维外包_linux服务器运维外包_it运维外包公司

                (二)重点分析一:网络与信息安全

                监管机构也越来越重视外包活动中涉及的网络安全、数据安全和个人信息保护等问题。 根据有关法律法规,《办法》包括适用范围、原则和风险管理等方面的相关内容。 《数据安全法》出台后,监管部门更加重视外包活动中的网络与信息安全管控。

                it运维外包_linux服务器运维外包_it运维外包公司

                ?网络与信息安全最佳实践建议:网络与信息安全尽职调查指标至少应包括安全队伍建设、安全政策、物理安全、网络安全、数据安全、用户权益、终端安全、运维安全等。 为外包活动的性质】选择适当的指标。

                ?服务性能与质量监控最佳实践建议:服务性能与质量监控中的网络与信息安全指标至少应包括缺陷修复率、漏洞修复率、数据有效性配置率、敏感信息保留率、源代码审计执行率、重要数据泄露次数、传输中断次数、非授权破坏数据次数、敏感信息泄露次数、病毒入↑侵次数、系统越界次数等。

                ?网络与信息安全评估最佳实践建议:关于第32条第(6)款定期对外包活动进行网络与信息安全评估,可关注(1)现场类,可参考外包安全教育、安全以及保密合约、权限控制、源代码检测、敏感信息泄露、终端密码安全、终端病毒防护等指标; (2)非居民类,可参照化学品安全、网络安全、数据安全、权限安全、终端█安全和运维安全指标。

                (三)重点分析二:分类『分级管理

                《办法》不仅细化了外包的五大分类标准,还要求针对不同类型的外包活动建立相应的管理和风险策略; 明确了外包项目的分类,要求对重要外包和一般外包采取差异化管控措施,并对外包术语进行了一△些解释。

                it运维外包_linux服务器运维外包_it运维外包公司

                《办法》对外包术语的解释在此不再赘述。 我将分享业界对其他外包相ㄨ关术语的解释,供大家参考。

                ?尽职调查:是对重要外包的候选服务商在资产、经营、内部控制、人员、经验等方面可能存在的风险和隐患,在协议签订前进行的一系列必要的调查程序。

                ?现场检查:是指通过现场访谈、审查、观察、测试等方式,对场外外包活动采??取的一系列检查程序,更加关注存在风险、影响和损失的程度。

                ?网络与信息安全评估:是指对现场或非现场外包服务在网络与信息安全方面采取的安全控制的完整性、合理性和有效性的评价程序,更加关注网络与信息安全、数据安全和个人信息保护。

                ?集中风险:指将服务外包给单一或少数服务商,造成广泛依赖、独立可控、服务中断、服务质量下降的风险。

                ? 风险外包商集中度:参照《指引》中重要外包服务机构的量化指标,结合建行实际情况,自行编制指标维度。 可以参考协议金额或协议数量超过建行全行1/3的外包商。

                (四)重点分析三:第三方合作服务

                首次将“第三方”合作纳入业务支持外包统筹管控。 建行各保险机构要深入开展自身第三方服务活动监管,明确合作流程、主要风险和现有管控措施,重点关注第三方。 对重要数据和客户个人信息的处理实施安全机制。

                it运维外包_it运维外包公司_linux服务器运维外包

                (五)重点分析四:外包商的尽职调查

                外包尽职调查是在重要外包项目中标后、签订协议前,对外包服务对象的经营状况、商业信誉、技术能力、财务、人员能力、经验能力等进行深入调查√。 建行保险代理机构将评选出第一、二、三名中标人,并对三名中标人进行尽职调查。

                it运维外包公司_it运维外包_linux服务器运维外包

                其价值在于:一是了解外包方的真实管理经营情况,核实招标文件记载的事实,防止招标文件与事实存在较大错误或不符,导致外包风险; 二、对候选人进行尽【职调查 在调查中,除了第一名,第二名和第三名也做尽职调查。 一旦第一名尽职调查出现问题,可以补充第二名,或者第一名在执行过程中突然异常退出。 由于上级尽职尽责,加上第二名是顺理成章的,心中不会有疑虑。

                一些小型商业银行对这一标准的执行更为严格,尤其是对业务支持外▼包商的尽职调查。 中国农业银行通常在供应商选择和监管阶段进行尽职调查。 签约前监管要求◤较为苛刻,但也可能出现部分供应商在前期参与尽职调查后突然放弃投标,造成资源和成本浪费的情况。 因此,尽职调查的时机也值得您考虑。

                it运维外包_linux服务器运维外包_it运维外包公司

                (六)重点分析5:非居民外包商现场检查

                对非居民外包商的现场检查由《意见》规定的每年一次改为《办法》规定的两年全覆盖。 由于建行与中小建行的异地外包服务数量不同,他们选择的执行方式也◣会略有不同。 无论何种模式,都需要对异地外包服务进行详细、深入的考察。 部分龙头建行梳理了“异地外包服务合作流程风险点及现有管控措施”,对所有可能存在的数据、数据泄露风险点进行检测验证。 现场检查时,除了右图给出的指标参考外,还应重点关注:针对因网络原因导致重要数据和个人信息泄露或损坏的保护措施设计和实施的有效性安全和数据安全。

                it运维外包_linux服务器运维外包_it运维外包公司

                (七)重点分析6:外包商服务后评价

                外包商事后评价 尽管监管层希望建行建立优胜劣汰机制it运维外包,促进外包商在建行旗下保险机构的“血液”循环,但可考虑构建外包商事后评价指标。 在后评价指标中,外包质量评价结果可以作为评价△的主要指标项之一,外包绩效评价可以与外包方的后评价进行有效关联。 可建立100分的考核体系,根据分数设置“优、良、中、差”四个等级。 根据不同层级的发生次数,结合重要数据和个人信息是否被泄露、损坏等外包风波,作为后续外包商准入与合作的重要参考依据,对外开放外包服务评价环节与招标采购环节之间的过程,有效利用外包方后评价的工作成果。

                it运维外包_it运维外包公司_linux服务器运维外包

                三、措施及应对机制

                (一)加大高层对技术外包的重视力度,推动顶层外包高质量发展

                建行保险机构要从顶层推进信息科技外包管理体系规范化、精细化建设,持续建立外包制度和流程建设,切实落实各部门在外包管理体系中的职责。 为督促工作落实,可聘请外部专业公司协助开展外包风险评估和外包体系标准化建设,夯实外包管理基础,全面提升外包风险管理水平。

                it运维外包公司_it运维外包_linux服务器运维外包

                (二)完善技术外包组织架构和职责it运维外包,切实落实监管要求

                交通银行保险机构◥应建立覆盖董事会(理事会)、高级管理层、信息科技外包风险管理部、信息科技外包执行团队的信息科技外包与风险管理组织架构,明确相应部门职责水平,确保信息技术外包管理工作高效有序开展,外包风险得到有效控制。

                it运维外包公司_it运维外包_linux服务器运维外包

                it运维外包_it运维外包公司_linux服务器运维外包

                (三)建立技术外包管理体系,夯实技术外包规范管控基础

                交行保险◥机构应遵循信息科技外包监管合规要求,结合科技外包管控现状,合理规划科技外包体系框架,形成战略-方法-监管-形式四维一体化技术外包体系管控模型,有效引导和全面落实技术外包各项管控要求。

                it运维外包_linux服务器运维外包_it运维外包公司

                (四)细化信息技术外包分类,积极落实相应的风险管控≡机制

                交通银行保险机构应建立信息科技外包活动分类分级管理机制,针对不同类型的外包活动制定相应的管理和风险控制策略,对重要外包和一般外包采取差异化管控措施。

                it运维外包_linux服务器运维外包_it运维外包公司

                (5)识别第三方服务场景,有效实现重要数据和客户个人信息管控目标

                交通银行保险机构应有效识别第三方业务涉及的主管部门、业务类型、业务名称、业务链接、重要数据和客户个人信息、第三方机构、服务说明、主要风险、现有管控措施等。 -派对服务。 数据和客户个人信息的外包活动应纳入业务支持类,实施有效的安全管控。

                it运维外包_linux服务器运维外包_it运维外包公司

                (6) 全面做好外包方尽职调查、非现场测试、后评估、外包风险管控工作

                交行保险机构应№针对重要的外包业务构建全生命周期的管控措施,从外包前的项目前风险评估、替代服务商的尽职调查,到外包过程中的服务效率和质量监控。外包实施、外包商运营状态监控,直至外包商服务后评价,形成完整的外包活动风险管控闭环。

                linux服务器运维外包_it运维外包公司_it运维外包

                (七)加强外包网络与信息安全管控,全面落实国家法律法规和监管要求

                外包活动执行团队应进一步提升基于外包人员活动全生命周期的管理能力,从外包人员进场、外包项目实施、外包人员退出等阶段加强管理,采取技术措施,提高敏感信息泄露风险。 外包风险管理部门应当定期对外包活动进行网络与信息安全评估。 审计部门应当定期对信息技术外包及其风险管理情况进行审计。

                linux服务器运维外包_it运维外包公司_it运维外包

                linux服务器运维外包_it运维外包公司_it运维外包

                (八)加强技术外包风险检测能力,不断提升外包服务质量和效率

                交通银行保险机构应完善明确的信息科技外包服务目录、服务水平契约和监测评价机制,制定信息科技外包服务的★服务效率和质量监测指标,并开展相应监测。 当指标异常时,应及时采取处置措施。

                it运维外包公司_linux服务器运维外包_it运维外包

                (九)履行技术外包风险评估和审计职能,积极推动外包管理体系持续改进

                建行保险机构要做好外包全面风险评估与审计工作。 风险部门应至少每年进行一次信息技术外包风险管理综合评估,充分识别和评估信息技〓术外包可能存在的风险,并向董事会或中层管理层提交评估报告。 审计部门应当对信息技术外包活动进行定期审计,审计范围至少每两年一次,涵盖所有重要的外包活动。

                it运维外包公司_linux服务器运维外包_it运维外包

                (十)加强外包连续性管理和日常演练,构建稳定的外包服务生态环境

                中国建设银行保险机构风险部门应制定应急管理预案,确保外包服务的连续性,组织服务商参与应急预案的编制,至少有一家或多家服务商参与综合演练或专项演练。年,并每年举办一次相关活动。 锻炼。

                it运维外包_linux服务器运维外包_it运维外包公司

                四、总结与展望

                通过近年监管审查分析发现,信息科技外包是目前建行保险机构的风险易发领域,主要表现在:机构敏感信息泄露、外包服务异常中断、外包业务增加等。质量等,将严重阻碍机构的健康、有序发展,因此外包风险值得关注。

                随着国际手段的发展,中美贸易竞争日趋激烈,供应链安全风险逐渐从上下游行●业风险演变为国别风险。 通过采用自主可控的技术或产品、减少外包依赖、建立备选供应商数据库、识别供应商产业关系,可以有效控制和降低供应链风险。

                随着建行保险机构业务与科技的深度融合和数字化转型的不断推进,外包集中度风险、外包依赖风险、外包供应链风险、外包网络和信息安全风险更值得关注和考虑。 2022年,必将成为信息技术外包领域监管审查的“元年”。

                关于作者:

                谷安天下财务审计负责人王志〒超,在信息安全、科技风险、科技审计、业务连续性、科技外包、数据整改等咨询审计服务方面拥有超过10年的经验,和金融科技。 获得CISA、COBIT、CDPSE、CCSK、TOGAF、LI等证书,熟悉银行、保险、证券、大型国有企业的技术管理风险及应对措施,在技术外包、业务连续性等方面具有比较丰富的经验、数据整改、大数据、人工智能、数字化转型等方面深入研究,多次参与银监会与农ξ 行组织的信息科技风险管理研究,并获得良好奖励。

                关天下咨询总监王可,多年从事IT运维、信息安全、信息科技风险审计等工作。 他在信息安全、运维服务和风险咨询方面拥有超过16年的经验。 获得了CISSP、PMP等证书。 世界500强IT公司兼任技术讲师,还在小型央企担任IT运维主管。

                合作电话:

                上一篇:2015年阿里巴巴应用运维开始“监管控一体化”的体∏系建设

                下一篇:《高性能Linux服务器构建实战:运维监控、性能调优与集群应用》

                发表评论:

                评论记录:

                未查询到任何数据!

                在线咨询

                点击这里给我发消息 售前咨询专员

                点击这里给我发消息 售后服务专员

                在线咨询

                免费通话

                24小时免费咨询

                请输入您的联系电Ψ 话,座机请加区号

                免费通话

                微信扫一扫

                微信联系
                返回顶部