大桥未久av在线播放,色一情一交一乱一区二区三区,国产一区二区91,天堂中文av在线,亚洲色图亚洲色图,国产在线观看99,国产精品尤物视频

近期，銀保監(jiān)會針對銀行保險機構(gòu)外包風(fēng)險問題的進一步強調(diào)以及金融機構(gòu)信息科技外包風(fēng)險管理行業(yè)標準的發(fā)布，可見有關(guān)部門關(guān)于銀行保險機構(gòu)信息科技外包風(fēng)險管理的監(jiān)管趨勢愈加嚴格。在此背景之下，銀行保險機構(gòu)應(yīng)當(dāng)進一步重視關(guān)于信息科技外包活動的風(fēng)險管控，全面遵循法律法規(guī)的有關(guān)規(guī)定，落實信息科技外包風(fēng)險管理責(zé)任。本文擬從金融合規(guī)治理視角，解析銀行保險機構(gòu)應(yīng)當(dāng)如何實現(xiàn)信息科技外包風(fēng)險管理。

一、近期監(jiān)管規(guī)定及動態(tài)

2021年12月30日，中國銀行保險監(jiān)督管理委員會（以下簡稱“銀保監(jiān)會”）發(fā)布了《銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》（以下簡稱“監(jiān)管辦法”），旨在規(guī)范銀行保險機構(gòu)的信息科技外包活動，加強信息科技外包風(fēng)險管控。

2022年8月3日，銀保監(jiān)會辦公廳非公開發(fā)布《關(guān)于開展銀行保險機構(gòu)侵害個人信息權(quán)益亂象專項整治工作的通知（銀保監(jiān)辦法〔2022〕80號）》（以下簡稱“通知”），羅列了7類22項侵害個人信息權(quán)益的行為，其中再次突出了銀行保險機構(gòu)在與第三方合作過程中出現(xiàn)的問題，包括但不限于與第三方合作機構(gòu)合作不審慎，違反規(guī)定向第三方合作機構(gòu)提供個人信息等。

2022年8月29日，中國人民銀行（以下簡稱“央行”）發(fā)布《金融網(wǎng)絡(luò)安全 信息科技外包評價指標數(shù)據(jù)元》（JR/T 0254—2022）（以下簡稱“標準”），該標準結(jié)合金融行業(yè)信息科技外包服務(wù)特點，從基本情況、協(xié)議履行、服務(wù)質(zhì)量、安全保障等方面提出信息科技外包服務(wù)評價指標，并給出評價指標數(shù)據(jù)元定義，為金融機構(gòu)針對信息科技外包服務(wù)的評價工作提供指導(dǎo)。

二、合規(guī)治理框架體系建設(shè)

結(jié)合相關(guān)法律法規(guī)規(guī)定以及過往的服務(wù)實踐經(jīng)驗，我們認為銀行保險機構(gòu)應(yīng)當(dāng)從管理組織、外包戰(zhàn)略、風(fēng)控策略以及全流程管理制度去構(gòu)建“1+3”合規(guī)治理框架體系從而實現(xiàn)信息科技外包風(fēng)險管控。

 

圖1：關(guān)于信息科技外包的“1+3”合規(guī)治理框架體系

（一）建立信息科技外包及風(fēng)險管理組織架構(gòu)

管理組織是合規(guī)治理實施的保障，銀行保險機構(gòu)應(yīng)建立覆蓋董（理）事會、高管層、信息科技外包風(fēng)險主管部門、信息科技外包執(zhí)行團隊的信息科技外包及風(fēng)險管理組織架構(gòu)，確保信息科技外包治理架構(gòu)權(quán)責(zé)清晰、運轉(zhuǎn)高效、制衡充分。關(guān)于組織機構(gòu)的設(shè)置和職能要求，銀行保險機構(gòu)可以參考監(jiān)管辦法，如下圖所示：

 

圖2：組織機構(gòu)的設(shè)置和職能要求

監(jiān)管辦法規(guī)定的詳細職責(zé)如下表所示：

表1：監(jiān)管辦法規(guī)定的組織機構(gòu)設(shè)置與相應(yīng)職責(zé)

（二）制定信息科技外包戰(zhàn)略

外包戰(zhàn)略是合規(guī)治理運行的綱領(lǐng)，銀行保險機構(gòu)應(yīng)當(dāng)基于機構(gòu)的業(yè)務(wù)戰(zhàn)略、信息科技戰(zhàn)略、總體外包戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力和風(fēng)險偏好制定信息科技外包戰(zhàn)略。銀行保險機構(gòu)在制定信息科技外包戰(zhàn)略時，應(yīng)至少包含以下幾個方面：

?  明確外包原則和策略

?  明確不能外包的信息科技職能

?  擬定資源能力建設(shè)方案

 

（三）建立信息科技外包管理和風(fēng)控策略

風(fēng)控策略是合規(guī)治理實現(xiàn)分類分級管理的抓手，銀行保險機構(gòu)應(yīng)當(dāng)建立信息科技外包活動分類分級管理機制，針對不同類型的外包活動建立相應(yīng)的管理和風(fēng)控策略。目前，監(jiān)管辦法將信息科技外包服務(wù)根據(jù)服務(wù)用途分為五類，根據(jù)對機構(gòu)業(yè)務(wù)運營的影響程度分為一般外包和重要外包兩個級別。銀行保險機構(gòu)在建立外包管理和風(fēng)控策略時，應(yīng)當(dāng)根據(jù)外包服務(wù)的類型以及級別進行確定，不可并為一談。此外，央行于今年8月底發(fā)布的行業(yè)標準針對金融業(yè)信息科技外包服務(wù)分類做了進一步細化，在監(jiān)管辦法的分類基礎(chǔ)上，對五類信息科技外包服務(wù)下分了若干個二級子類，詳見下圖：

 

圖3：信息科技外包的分類與分級

（四）建立信息科技外包全流程風(fēng)險管理制度

管理制度是合規(guī)治理落實的基礎(chǔ)，要實現(xiàn)對信息科技外包的風(fēng)險管理，銀行保險機構(gòu)需要加強對外包準入、外包合同、外包服務(wù)以及外包終止整個流程的風(fēng)險控制。因此，銀行保險機構(gòu)需建立健全關(guān)于信息科技外包的全流程風(fēng)險管理制度。

1.信息科技外包準入

在今年8月初銀保監(jiān)辦公廳發(fā)布的通知中，與第三方合作機構(gòu)合作不審慎被列為侵犯個人信息權(quán)益的典型亂象之一。因此，銀行保險機構(gòu)應(yīng)注重與第三方機構(gòu)的審慎合作，其首先應(yīng)當(dāng)加強信息科技外包準入環(huán)節(jié)的風(fēng)險管控。根據(jù)監(jiān)管辦法及相關(guān)法律規(guī)定，銀行保險機構(gòu)在開展信息科技外包活動前，應(yīng)當(dāng)評估擬開展的信息科技外包活動相關(guān)風(fēng)險，判斷是否屬于不能外包的職能，是否屬于重要外包等。在決定進行信息科技外包之后，銀行保險機構(gòu)還應(yīng)當(dāng)明確服務(wù)提供商的準入標準，對備選服務(wù)提供商的經(jīng)營資質(zhì)、數(shù)據(jù)合規(guī)風(fēng)險以及數(shù)據(jù)安全能力等進行綜合評估，審慎引進第三方信息科技服務(wù)提供商。建議銀行保險機構(gòu)在科技外包準入環(huán)節(jié)的制度設(shè)計至少包含以下內(nèi)容：

?  評估擬開展的信息科技外包活動相關(guān)風(fēng)險

?  明確服務(wù)提供商的準入標準

?  針對備選服務(wù)提供商開展盡職調(diào)查

2.信息科技外包合同約束

合同作為明確雙方權(quán)利義務(wù)的重要文件，銀行保險機構(gòu)在與信息科技外包機構(gòu)簽訂的合同中，應(yīng)盡可能清楚地載明對服務(wù)提供商在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險管理要求，服務(wù)質(zhì)量考核評價，安全保密等內(nèi)容。根據(jù)監(jiān)管辦法及相關(guān)法律規(guī)定，建議銀行保險機構(gòu)在信息科技外包合同或協(xié)議中應(yīng)當(dāng)至少明確以下內(nèi)容：

?  服務(wù)范圍、服務(wù)內(nèi)容、服務(wù)要求、工作時限及安排、責(zé)任分配、交付物要求、后續(xù)合作中的相關(guān)限定條件和服務(wù)質(zhì)量考核評價約定

?  合規(guī)、內(nèi)控及風(fēng)險管理要求

?  服務(wù)持續(xù)性要求

?  對服務(wù)提供商進行風(fēng)險評估、監(jiān)測、檢查和審計的權(quán)利

?  同意接受銀保監(jiān)會的監(jiān)督檢查

?  合同變更或終止的觸發(fā)條件，合同變更或終止的過渡安排

?  知識產(chǎn)權(quán)條款

?  資源保障條款

?  安全保密和消費者權(quán)益保護約定

?  爭端解決機制、違約及賠償條款

?  報告條款

?  外包服務(wù)的轉(zhuǎn)包與分包條款

若在合作過程中涉及向服務(wù)提供商進行個人信息傳輸?shù)?，還需要根據(jù)《個人信息保護法》的相關(guān)規(guī)定，約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務(wù)等。

3.信息科技外包服務(wù)過程中的安全管理

服務(wù)提供商在提供信息科技相關(guān)服務(wù)過程中，銀行保險機構(gòu)應(yīng)加強對本階段的安全管理，對外包服務(wù)過程進行持續(xù)監(jiān)控，及時發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況。此外，銀行保險機構(gòu)還需制定和落實網(wǎng)絡(luò)和信息安全管理措施，盡可能降低服務(wù)過程中的網(wǎng)絡(luò)和信息安全風(fēng)險。建議銀行保險機構(gòu)在科技外包服務(wù)過程中的安全管理制度設(shè)計至少包含以下內(nèi)容：

?  事先建立風(fēng)險管理制度和流程

?  制定和落實網(wǎng)絡(luò)和信息安全管理措施

?  針對信息科技外包活動進行持續(xù)監(jiān)控

?  建立明確的信息科技外包服務(wù)目錄、服務(wù)水平協(xié)議和服務(wù)水平監(jiān)控評價機制

?  建立服務(wù)效能和質(zhì)量監(jiān)控指標

?  制定應(yīng)急處理預(yù)案

?  定期開展信息科技外包風(fēng)險管理評估

?  定期開展信息科技外包及其風(fēng)險管理的審計

4.外包服務(wù)的終止

根據(jù)監(jiān)管辦法的相關(guān)規(guī)定，銀行保險機構(gòu)應(yīng)在信息科技外包服務(wù)到期前，就是否繼續(xù)外包進行評估決策。央行近期發(fā)布的標準構(gòu)建了針對金融業(yè)信息科技外包的評價指標數(shù)據(jù)元體系，主要由企業(yè)基本情況、協(xié)議履行、服務(wù)質(zhì)量和安全保障四個一級維度構(gòu)成，一級維度下又劃分了若干二級維度，該體系可供銀行保險機構(gòu)等金融機構(gòu)在對服務(wù)提供商進行外包評價時參考。如經(jīng)過評估，銀行保險機構(gòu)決定終止外包，此時應(yīng)與服務(wù)提供商進行業(yè)務(wù)交接。需要注意的是，相關(guān)的保密義務(wù)并不隨著外包服務(wù)的終止而終止。建議銀行保險機構(gòu)在科技外包終止環(huán)節(jié)的制度設(shè)計至少包含以下內(nèi)容：

?  事先制定外包終止的退出策略和交接計劃

?  設(shè)置針對服務(wù)提供商的評價程序

?  明確外包終止后保密義務(wù)的履行

?  相關(guān)數(shù)據(jù)的刪除與銷毀