您所在的位置: 首頁(yè) >
新聞資訊 >
政策法規(guī) >
銀行保險(xiǎn)機(jī)構(gòu)不得將網(wǎng)絡(luò)安全主體責(zé)任外包
近日,中國(guó)銀保監(jiān)會(huì)辦公廳發(fā)布的《關(guān)于印發(fā)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法的通知》(銀保監(jiān)辦發(fā)〔2021〕141號(hào))明確要求:銀行保險(xiǎn)機(jī)構(gòu)不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包,保障網(wǎng)絡(luò)和信息安全,加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù)。
《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》中重要內(nèi)容,一哥做了整理,供大家學(xué)習(xí)參考。
第二條 在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、商業(yè)銀行、農(nóng)村合作銀行、省(自治區(qū))農(nóng)村信用社聯(lián)合社,保險(xiǎn)集團(tuán)(控股)公司、保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司、金融資產(chǎn)管理公司適用本辦法。銀保監(jiān)會(huì)及其派出機(jī)構(gòu)監(jiān)管的其他金融機(jī)構(gòu)參照本辦法執(zhí)行。
第五條 銀行保險(xiǎn)機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則:
(一)不得將信息科技管理責(zé)任、網(wǎng)絡(luò)安全主體責(zé)任外包;
(二)以不妨礙核心能力建設(shè)、積極掌握關(guān)鍵技術(shù)為導(dǎo)向;
(三)保持外包風(fēng)險(xiǎn)、成本和效益的平衡;
(四)保障網(wǎng)絡(luò)和信息安全,加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù);
(五)強(qiáng)調(diào)事前控制和事中監(jiān)督;
(六)持續(xù)改進(jìn)外包策略和風(fēng)險(xiǎn)管理措施。
第十三條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行分級(jí)管理,對(duì)重要外包和一般外包采取差異化管控措施。下列信息科技外包活動(dòng)原則上屬于重要外包:
(一)信息科技工作整體外包,僅保留必要的管理團(tuán)隊(duì)和核心職能;
(二)數(shù)據(jù)中心(機(jī)房)整體外包;
(三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的信息科技外包;
(四)核心業(yè)務(wù)系統(tǒng)開(kāi)發(fā)測(cè)試和運(yùn)行維護(hù)的整體外包;
(五)信息科技戰(zhàn)略規(guī)劃(含中長(zhǎng)期規(guī)劃)咨詢(xún)外包;
(六)安全運(yùn)營(yíng)的整體外包;
(七)涉及集中存儲(chǔ)或處理銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶(hù)個(gè)人敏感信息的外包;
(八)直接影響實(shí)時(shí)服務(wù)、影響賬務(wù)準(zhǔn)確性的重要信息系統(tǒng)外包;
(九)其它對(duì)機(jī)構(gòu)業(yè)務(wù)運(yùn)營(yíng)具有重要影響的外包。
第三十二條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施,包括但不限于:
(一)對(duì)服務(wù)提供商和外包人員進(jìn)行網(wǎng)絡(luò)和信息安全教育或培訓(xùn),增強(qiáng)網(wǎng)絡(luò)和信息安全意識(shí),服務(wù)提供商應(yīng)與銀行保險(xiǎn)機(jī)構(gòu)簽訂安全保密協(xié)議,外包人員應(yīng)簽署安全保密承諾書(shū);
(二)明確外包活動(dòng)需要訪(fǎng)問(wèn)或使用的信息資產(chǎn),按“必須知道”和“最小授權(quán)”原則進(jìn)行訪(fǎng)問(wèn)授權(quán),嚴(yán)格管控遠(yuǎn)程維護(hù)行為;
(三)對(duì)信息系統(tǒng)開(kāi)發(fā)交付物(含擁有知識(shí)產(chǎn)權(quán)的源代碼)進(jìn)行安全掃描和檢查;
(四)對(duì)客戶(hù)信息、源代碼和文檔等敏感信息采取嚴(yán)格管控措施,對(duì)敏感信息泄露風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè);
(五)對(duì)服務(wù)提供商所提供的模型、算法及相關(guān)信息系統(tǒng)加強(qiáng)管理,確保模型和算法遵循可解釋、可驗(yàn)證、透明、公平的原則;
(六)定期對(duì)外包活動(dòng)進(jìn)行網(wǎng)絡(luò)和信息安全評(píng)估。
第三十三條 銀行保險(xiǎn)機(jī)構(gòu)應(yīng)識(shí)別對(duì)本機(jī)構(gòu)具有集中度風(fēng)險(xiǎn)的外包服務(wù)及其提供商,積極采用分散外包活動(dòng)、注重外包項(xiàng)目知識(shí)產(chǎn)權(quán)保護(hù)、提高自身研發(fā)運(yùn)維能力、儲(chǔ)備潛在替代服務(wù)提供商等手段,減少對(duì)個(gè)別外包服務(wù)提供商的依賴(lài),降低集中度風(fēng)險(xiǎn)。
第三十七條 銀行保險(xiǎn)機(jī)構(gòu)開(kāi)展以下信息科技外包活動(dòng)時(shí),應(yīng)當(dāng)在外包合同簽訂前二十個(gè)工作日向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)的信息科技監(jiān)管部門(mén)報(bào)告(目錄見(jiàn)附件):
(一)信息科技工作整體外包;
(二)數(shù)據(jù)中心(機(jī)房)整體外包;
(三)涉及基礎(chǔ)設(shè)施和信息系統(tǒng)整體架構(gòu)發(fā)生重大變化的外包;
(四)信息科技戰(zhàn)略規(guī)劃(含中長(zhǎng)期規(guī)劃)咨詢(xún)外包;
(五)符合重要外包條件的非駐場(chǎng)外包、關(guān)聯(lián)外包和跨境外包;
(六)其他銀保監(jiān)會(huì)認(rèn)為重要的信息科技外包。
第三十八條 銀行保險(xiǎn)機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生以下重大風(fēng)險(xiǎn)事件時(shí),應(yīng)當(dāng)按照相關(guān)突發(fā)事件監(jiān)管報(bào)告要求,向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告:
(一)銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)或客戶(hù)個(gè)人信息泄露;
(二)數(shù)據(jù)損毀或者重要業(yè)務(wù)運(yùn)營(yíng)中斷;
(三)由于不可抗力或服務(wù)提供商重大經(jīng)營(yíng)、財(cái)務(wù)問(wèn)題,導(dǎo)致或可能導(dǎo)致多家銀行保險(xiǎn)機(jī)構(gòu)外包服務(wù)中斷;
(四)重要外包服務(wù)非正常中斷、終止或其服務(wù)提供商非正常退出;
(五)因服務(wù)提供商不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊或其他原因,造成銀行保險(xiǎn)機(jī)構(gòu)客戶(hù)重大資金損失;
(六)發(fā)現(xiàn)重大的服務(wù)提供商違法違規(guī)事件;
(七)銀保監(jiān)會(huì)規(guī)定需要報(bào)告的其他重大事件。
相關(guān)突發(fā)事件報(bào)告要求中沒(méi)有規(guī)定的,在24小時(shí)內(nèi)向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
來(lái)源:等級(jí)保護(hù)測(cè)評(píng)