91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

近期，銀保監(jiān)會(huì)針對(duì)銀行保險(xiǎn)機(jī)構(gòu)外包風(fēng)險(xiǎn)問題的進(jìn)一步強(qiáng)調(diào)以及金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理行業(yè)標(biāo)準(zhǔn)的發(fā)布，可見有關(guān)部門關(guān)于銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理的監(jiān)管趨勢(shì)愈加嚴(yán)格。在此背景之下，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)進(jìn)一步重視關(guān)于信息科技外包活動(dòng)的風(fēng)險(xiǎn)管控，全面遵循法律法規(guī)的有關(guān)規(guī)定，落實(shí)信息科技外包風(fēng)險(xiǎn)管理責(zé)任。本文擬從金融合規(guī)治理視角，解析銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)如何實(shí)現(xiàn)信息科技外包風(fēng)險(xiǎn)管理。

一、近期監(jiān)管規(guī)定及動(dòng)態(tài)

2021年12月30日，中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱“銀保監(jiān)會(huì)”）發(fā)布了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》（以下簡(jiǎn)稱“監(jiān)管辦法”），旨在規(guī)范銀行保險(xiǎn)機(jī)構(gòu)的信息科技外包活動(dòng)，加強(qiáng)信息科技外包風(fēng)險(xiǎn)管控。

2022年8月3日，銀保監(jiān)會(huì)辦公廳非公開發(fā)布《關(guān)于開展銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益亂象專項(xiàng)整治工作的通知（銀保監(jiān)辦法〔2022〕80號(hào)）》（以下簡(jiǎn)稱“通知”），羅列了7類22項(xiàng)侵害個(gè)人信息權(quán)益的行為，其中再次突出了銀行保險(xiǎn)機(jī)構(gòu)在與第三方合作過程中出現(xiàn)的問題，包括但不限于與第三方合作機(jī)構(gòu)合作不審慎，違反規(guī)定向第三方合作機(jī)構(gòu)提供個(gè)人信息等。

2022年8月29日，中國(guó)人民銀行（以下簡(jiǎn)稱“央行”）發(fā)布《金融網(wǎng)絡(luò)安全 信息科技外包評(píng)價(jià)指標(biāo)數(shù)據(jù)元》（JR/T 0254—2022）（以下簡(jiǎn)稱“標(biāo)準(zhǔn)”），該標(biāo)準(zhǔn)結(jié)合金融行業(yè)信息科技外包服務(wù)特點(diǎn)，從基本情況、協(xié)議履行、服務(wù)質(zhì)量、安全保障等方面提出信息科技外包服務(wù)評(píng)價(jià)指標(biāo)，并給出評(píng)價(jià)指標(biāo)數(shù)據(jù)元定義，為金融機(jī)構(gòu)針對(duì)信息科技外包服務(wù)的評(píng)價(jià)工作提供指導(dǎo)。

二、合規(guī)治理框架體系建設(shè)

結(jié)合相關(guān)法律法規(guī)規(guī)定以及過往的服務(wù)實(shí)踐經(jīng)驗(yàn)，我們認(rèn)為銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)從管理組織、外包戰(zhàn)略、風(fēng)控策略以及全流程管理制度去構(gòu)建“1+3”合規(guī)治理框架體系從而實(shí)現(xiàn)信息科技外包風(fēng)險(xiǎn)管控。

 

圖1：關(guān)于信息科技外包的“1+3”合規(guī)治理框架體系

（一）建立信息科技外包及風(fēng)險(xiǎn)管理組織架構(gòu)

管理組織是合規(guī)治理實(shí)施的保障，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立覆蓋董（理）事會(huì)、高管層、信息科技外包風(fēng)險(xiǎn)主管部門、信息科技外包執(zhí)行團(tuán)隊(duì)的信息科技外包及風(fēng)險(xiǎn)管理組織架構(gòu)，確保信息科技外包治理架構(gòu)權(quán)責(zé)清晰、運(yùn)轉(zhuǎn)高效、制衡充分。關(guān)于組織機(jī)構(gòu)的設(shè)置和職能要求，銀行保險(xiǎn)機(jī)構(gòu)可以參考監(jiān)管辦法，如下圖所示：

 

圖2：組織機(jī)構(gòu)的設(shè)置和職能要求

監(jiān)管辦法規(guī)定的詳細(xì)職責(zé)如下表所示：

表1：監(jiān)管辦法規(guī)定的組織機(jī)構(gòu)設(shè)置與相應(yīng)職責(zé)

（二）制定信息科技外包戰(zhàn)略

外包戰(zhàn)略是合規(guī)治理運(yùn)行的綱領(lǐng)，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)基于機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略、信息科技戰(zhàn)略、總體外包戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力和風(fēng)險(xiǎn)偏好制定信息科技外包戰(zhàn)略。銀行保險(xiǎn)機(jī)構(gòu)在制定信息科技外包戰(zhàn)略時(shí)，應(yīng)至少包含以下幾個(gè)方面：

?  明確外包原則和策略

?  明確不能外包的信息科技職能

?  擬定資源能力建設(shè)方案

 

（三）建立信息科技外包管理和風(fēng)控策略

風(fēng)控策略是合規(guī)治理實(shí)現(xiàn)分類分級(jí)管理的抓手，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立信息科技外包活動(dòng)分類分級(jí)管理機(jī)制，針對(duì)不同類型的外包活動(dòng)建立相應(yīng)的管理和風(fēng)控策略。目前，監(jiān)管辦法將信息科技外包服務(wù)根據(jù)服務(wù)用途分為五類，根據(jù)對(duì)機(jī)構(gòu)業(yè)務(wù)運(yùn)營(yíng)的影響程度分為一般外包和重要外包兩個(gè)級(jí)別。銀行保險(xiǎn)機(jī)構(gòu)在建立外包管理和風(fēng)控策略時(shí)，應(yīng)當(dāng)根據(jù)外包服務(wù)的類型以及級(jí)別進(jìn)行確定，不可并為一談。此外，央行于今年8月底發(fā)布的行業(yè)標(biāo)準(zhǔn)針對(duì)金融業(yè)信息科技外包服務(wù)分類做了進(jìn)一步細(xì)化，在監(jiān)管辦法的分類基礎(chǔ)上，對(duì)五類信息科技外包服務(wù)下分了若干個(gè)二級(jí)子類，詳見下圖：

 

圖3：信息科技外包的分類與分級(jí)

（四）建立信息科技外包全流程風(fēng)險(xiǎn)管理制度

管理制度是合規(guī)治理落實(shí)的基礎(chǔ)，要實(shí)現(xiàn)對(duì)信息科技外包的風(fēng)險(xiǎn)管理，銀行保險(xiǎn)機(jī)構(gòu)需要加強(qiáng)對(duì)外包準(zhǔn)入、外包合同、外包服務(wù)以及外包終止整個(gè)流程的風(fēng)險(xiǎn)控制。因此，銀行保險(xiǎn)機(jī)構(gòu)需建立健全關(guān)于信息科技外包的全流程風(fēng)險(xiǎn)管理制度。

1.信息科技外包準(zhǔn)入

在今年8月初銀保監(jiān)辦公廳發(fā)布的通知中，與第三方合作機(jī)構(gòu)合作不審慎被列為侵犯?jìng)€(gè)人信息權(quán)益的典型亂象之一。因此，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)注重與第三方機(jī)構(gòu)的審慎合作，其首先應(yīng)當(dāng)加強(qiáng)信息科技外包準(zhǔn)入環(huán)節(jié)的風(fēng)險(xiǎn)管控。根據(jù)監(jiān)管辦法及相關(guān)法律規(guī)定，銀行保險(xiǎn)機(jī)構(gòu)在開展信息科技外包活動(dòng)前，應(yīng)當(dāng)評(píng)估擬開展的信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)，判斷是否屬于不能外包的職能，是否屬于重要外包等。在決定進(jìn)行信息科技外包之后，銀行保險(xiǎn)機(jī)構(gòu)還應(yīng)當(dāng)明確服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)，對(duì)備選服務(wù)提供商的經(jīng)營(yíng)資質(zhì)、數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)以及數(shù)據(jù)安全能力等進(jìn)行綜合評(píng)估，審慎引進(jìn)第三方信息科技服務(wù)提供商。建議銀行保險(xiǎn)機(jī)構(gòu)在科技外包準(zhǔn)入環(huán)節(jié)的制度設(shè)計(jì)至少包含以下內(nèi)容：

?  評(píng)估擬開展的信息科技外包活動(dòng)相關(guān)風(fēng)險(xiǎn)

?  明確服務(wù)提供商的準(zhǔn)入標(biāo)準(zhǔn)

?  針對(duì)備選服務(wù)提供商開展盡職調(diào)查

2.信息科技外包合同約束

合同作為明確雙方權(quán)利義務(wù)的重要文件，銀行保險(xiǎn)機(jī)構(gòu)在與信息科技外包機(jī)構(gòu)簽訂的合同中，應(yīng)盡可能清楚地載明對(duì)服務(wù)提供商在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求，服務(wù)質(zhì)量考核評(píng)價(jià)，安全保密等內(nèi)容。根據(jù)監(jiān)管辦法及相關(guān)法律規(guī)定，建議銀行保險(xiǎn)機(jī)構(gòu)在信息科技外包合同或協(xié)議中應(yīng)當(dāng)至少明確以下內(nèi)容：

?  服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)要求、工作時(shí)限及安排、責(zé)任分配、交付物要求、后續(xù)合作中的相關(guān)限定條件和服務(wù)質(zhì)量考核評(píng)價(jià)約定

?  合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求

?  服務(wù)持續(xù)性要求

?  對(duì)服務(wù)提供商進(jìn)行風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)、檢查和審計(jì)的權(quán)利

?  同意接受銀保監(jiān)會(huì)的監(jiān)督檢查

?  合同變更或終止的觸發(fā)條件，合同變更或終止的過渡安排

?  知識(shí)產(chǎn)權(quán)條款

?  資源保障條款

?  安全保密和消費(fèi)者權(quán)益保護(hù)約定

?  爭(zhēng)端解決機(jī)制、違約及賠償條款

?  報(bào)告條款

?  外包服務(wù)的轉(zhuǎn)包與分包條款

若在合作過程中涉及向服務(wù)提供商進(jìn)行個(gè)人信息傳輸?shù)?，還需要根據(jù)《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定，約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等。

3.信息科技外包服務(wù)過程中的安全管理

服務(wù)提供商在提供信息科技相關(guān)服務(wù)過程中，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)本階段的安全管理，對(duì)外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。此外，銀行保險(xiǎn)機(jī)構(gòu)還需制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施，盡可能降低服務(wù)過程中的網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)。建議銀行保險(xiǎn)機(jī)構(gòu)在科技外包服務(wù)過程中的安全管理制度設(shè)計(jì)至少包含以下內(nèi)容：

?  事先建立風(fēng)險(xiǎn)管理制度和流程

?  制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施

?  針對(duì)信息科技外包活動(dòng)進(jìn)行持續(xù)監(jiān)控

?  建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議和服務(wù)水平監(jiān)控評(píng)價(jià)機(jī)制

?  建立服務(wù)效能和質(zhì)量監(jiān)控指標(biāo)

?  制定應(yīng)急處理預(yù)案

?  定期開展信息科技外包風(fēng)險(xiǎn)管理評(píng)估

?  定期開展信息科技外包及其風(fēng)險(xiǎn)管理的審計(jì)

4.外包服務(wù)的終止

根據(jù)監(jiān)管辦法的相關(guān)規(guī)定，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)在信息科技外包服務(wù)到期前，就是否繼續(xù)外包進(jìn)行評(píng)估決策。央行近期發(fā)布的標(biāo)準(zhǔn)構(gòu)建了針對(duì)金融業(yè)信息科技外包的評(píng)價(jià)指標(biāo)數(shù)據(jù)元體系，主要由企業(yè)基本情況、協(xié)議履行、服務(wù)質(zhì)量和安全保障四個(gè)一級(jí)維度構(gòu)成，一級(jí)維度下又劃分了若干二級(jí)維度，該體系可供銀行保險(xiǎn)機(jī)構(gòu)等金融機(jī)構(gòu)在對(duì)服務(wù)提供商進(jìn)行外包評(píng)價(jià)時(shí)參考。如經(jīng)過評(píng)估，銀行保險(xiǎn)機(jī)構(gòu)決定終止外包，此時(shí)應(yīng)與服務(wù)提供商進(jìn)行業(yè)務(wù)交接。需要注意的是，相關(guān)的保密義務(wù)并不隨著外包服務(wù)的終止而終止。建議銀行保險(xiǎn)機(jī)構(gòu)在科技外包終止環(huán)節(jié)的制度設(shè)計(jì)至少包含以下內(nèi)容：

?  事先制定外包終止的退出策略和交接計(jì)劃

?  設(shè)置針對(duì)服務(wù)提供商的評(píng)價(jià)程序

?  明確外包終止后保密義務(wù)的履行

?  相關(guān)數(shù)據(jù)的刪除與銷毀