银监会信息科技中国银保监会发布《银行保险机构信息科技外包风险监管办法》

用户投稿 2025年06月23日 08:28:03 3 0

中国银保监会发布《银行保险机构信息科技外包风险监管办法》

来源:中国银保监会网站

为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作，中国银保监会近日印发了《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。

《办法》起草工作坚决贯彻落实中央精神，注重把握以下原则：一是坚持风险为本，在深入分析银行保险机构信息科技外包风险发展态势的基础上，提出针对性的监管要求；二是强化监管力度，在总结银行保险业信息科技监管实践经验的基础上，制定体系化的监管措施；三是对接国际标准，《办法》起草工作吸收借鉴了近年来国际组织、国外监管机构相关外包监管原则和良好实践。

《办法》共7章46条，对银行保险机构信息科技外包风险管理提出全面要求。一是在总则中明确信息科技外包风险管理的总体要求，即银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。二是在信息科技外包治理中对银行保险机构的组织和职责、外包战略、外包禁止、服务提供商管理策略、外包分类、外包分级管理、退出策略等提出明确要求。三是对信息科技外包准入提出监管要求，包括准入前评估、尽职调查、合同等进行了规定，并对非驻场集中式外包、跨境外包、同业和关联外包提出附加要求。四是明确信息科技外包监控评价要求，对外包过程监控、效能和质量监控、服务监控及评价、服务提供商经营监控、异常纠正、关联外包评价、外包终止做出规定。五是规范信息科技外包风险管理，对外包风险识别与评估、业务连续性管理、信息安全管理、集中度风险管理、非驻场外包实地检查、年度风险评估和审计提出要求。六是对监管机构实施外包监督管理做出规定，包括事前报告要求、重大事件报告、监管评估和监督检查、风险监测、监管干预、实地核查、监管问责等内容。

下一步，银保监会将加强政策宣贯培训，将信息科技外包纳入对银行保险机构的日常风险监测和现场检查，推动银行保险机构建立有效的信息科技外包风险管理体系，促进《办法》有效落地实施。

数据安全需“动静结合”

新冠疫情发生以来，防疫部门利用多种信息手段收集患者、无症状感染者、密切接触者乃至几乎每个人的信息，以追踪技术定位传染源并加以切断，从而有效地控制、减缓了病毒的传播。但是，这些“尽可能”被收集的数据是否足够安全也成为大家忧虑的问题。因此，在满足新冠肺炎疫情防控信息化的同时，要实现网络安全和个人隐私保护，必然离不开数据脱敏技术。

顾名思义，数据脱敏就是对敏感数据进行变形处理，又称数据漂白、数据去隐私化，其目的是保护隐私数据等信息的安全。生活中不乏数据需要脱敏的例子，比如疫情期间进出超市、商场等公共场被采集个人信息，暑期旅游到酒店登记的信息以及整个旅程的轨迹信息等。

当前，对数据脱敏技术和产品的需要主要来自两方面的动因。首先，数据泄露事件频频发生、规模持续上升。数据泄露是全球最普遍存在的安全事件之一，尤其是一些大型机构核心业务系统中存在的上千万甚至上亿条的数据，在数据趋利的时代，极易引发敏感数据从生产环境、非生产环境泄露的风险，不仅企业损失不可估量，社会影响面也是巨大的；其次，遵从安全合规性要求。为遏制个人信息非法收集、滥用、泄露等乱象，最大程度地保障个人的合法权益和社会公共利益，国家相关部门出台了一系列法规，例如《信息安全等级保护管理办法》、《网络安全法》、《公共及商用服务信息系统个人信息保护指南》、《银监会信息科技风险现场检查指南》等，甚至《刑法》中也对数据安全防护缺失的处罚定义了最高7年有期徒刑的条款。

针对不同行业与场景的实际需求，多维度应用的数据脱敏平台十分有必要。据了解，亚信安全的多维度应用的数据脱敏平台，可以协助用户实现敏感数据分类分级、敏感数据发现、敏感数据审计等几大能力，并且同时支持静态脱敏+动态脱敏的组合应用。

通常而言，静态脱敏一般用于非生产环境，可在测试与开发环境下实现与生产库的关联，同时对存在敏感信息的数据进行脱敏处理，从源头避免了隐私数据的泄露，而在疫情期间最明显的应用就是用于媒体的公开发布；动态脱敏则支持“边脱敏，边使用”的各类生产场景，可有效防范“恶意”盗取数据的不法行为。 □据《科普时报》

来源：兰州日报