安永:金融机构如何应对外包风险监管升级 防范供应链安全风险

前言

近年来，随着金融行业不断深化改革，开拓创新，金融服务水平和资产规模大幅提升，总体实力不断增强。不少金融机构将部分信息科技建设工作及业务运营委托给专业服务提供商，并已成为各家金融机构各项业务运营的重要组成部分，一旦出现外包服务异常，将会对企业及客户的利益产生严重的影响。原银监会为规范银行业外包管理于2010年和2013年分别发布了《银行业金融机构外包风险管理指引》和《银行业金融机构信息科技外包风险监管指引》（已废止）。2021年底，原银保监会发布《银行保险机构信息科技外包风险监管办法》（以下简称“141号文”），首次将适用范围扩大到保险及资管公司，要求金融机构提升信息科技外包风险管控能力。同时，随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的实施，中央网信办、公安部、工信部等国家网络安全监管部门加强了对我国公民数据安全和个人信息保护执法力度。金融监管针对银行业金融机构的重要外包服务也开展了多次联合检查，并连续发布多个信息科技外包风险提示函。近期，国家金融监督管理总局办公厅下发《关于加强第三方合作中网络和数据安全管理的通知》（以下简称“通知”），对外包服务管理上存在的突出风险问题进行警示，并提出风险排查、加强防控的要求。对于金融机构而言，建立信息科技外包管理及其风险管理体系既是监管合规的必然要求，又是保障企业正常运营的重要工作。

01外包风险隐患

在金融科技蓬勃发展的背景下，传统的银行保险业务逐步向线上化、数字化、智能化方面转型蜕变。银行保险机构让技术和数据应用成为支撑产品服务创新及提升客户服务体验、运营管理效率的利器。业务与科技高度融合，使得银行保险机构与第三方的合作逐渐增多，数据生态场景合作并不鲜见，同时也引入了新的挑战和风险。

数据安全风险

《关于加强第三方合作中网络和数据安全管理的通知》指出多家银行使用服务代理商，将包含客户信息的会话存档存储在公有云服务器中，服务代理商私自使用银行数据进行模型训练，并提供给关联方，造成多家银行客户数据的泄露。上述事件揭露出主要风险和问题为，一是银行保险机构对数字生态场景合作情况底数不清，缺乏统筹管理，二是银行保险机构对合作中数据安全风险和责任识别划分不清。

系统运行与网络安全风险

《关于加强第三方合作中网络和数据安全管理的通知》通报了5个系统运行和网络安全事件，均由于信息科技外包管理不当引发：如托管系统的越权访问、系统漏洞；外包人员违规使用邮件代理工具；未严格规范第三方软件开发安全操作要求等。由于银行保险机构对信息科技外包相关的生产运行、人员安全管理等方面控制不足，缺少相关监控和考核，“重交付，轻安全”的外包服务商同样会给银行保险机构的安全运行带来严重隐患。

供应链安全风险

随着业务需求与应用场景的复杂化，银行保险机构自有人员的研发能力不足，银行机构采购第三方信息化产品和服务的需求愈加迫切，软件供应链规模不断增大，面临的供应链安全风险更加复杂多样。在软件开发过程中随意使用开源组件，开源组件之间依赖关系错综复杂，攻击者可以通过篡改或伪造组件绕过安全监测，进而实现非授权访问等其他威胁系统安全运行的攻击活动。同时，由于软件供应商提供服务过程中，供应商也经常使用第三方公司的产品和服务，随着供应链层级的增长，供应商信息安全意识不足，疏于第三方数据安全管理，也会导致银行保险机构数据资产面临泄露、丢失或篡改的风险。

服务中断风险

如果银行保险机构尚未识别可能针对业务连续性管理造成重大影响的重要外包服务，对重要信息科技外包突发事件应急管理缺乏评估与统筹，信息科技外包应急预案存在内容粗糙、操作程序不清晰等问题，将导致银行保险机构难以快速有效地应对重要外包服务商突然停止服务，将严重影响银行保险机构业务的稳定运行，也可能由此引发声誉风险。

02银行保险机构应如何应对信息科技外包风险与挑战

全面盘点外包活动，形成外包服务目录

141号文进一步明确了业务支持类外包服务类型的定义。141号文增加了“第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，按照本办法相关要求进行管理。”结合最新下发的《通知》，国家金融监督管理总局再次强调银行保险机构需将数字生态合作纳入外包风险管理范围。银行保险机构应该全面摸排数字生态合作场景，并按照监管要求进行分类和分级。值得注意的是，业务部门也应加强此方面的意识，考虑本部门的外包业务是否涉及数字生态合作场景，并及时报告信息科技外包风险主管部门、科技和数据部门参与风险评估与管控。

结合安永对银行保险机构业务流程与外包实践的了解，银行保险机构常见业务支持类信息科技外包包括：

上述类型外包服务均需要纳入银行保险机构信息科技外包范围进行管理。

识别重要外包，开展尽职调查和风险评估

基于盘点结果，结合监管要求，开展重要外包识别工作。常见的重要外包包括重要信息系统建设与托管运维、生产中心与灾备中心机房租赁、银行卡制卡、电话催收等。针对重要外包需认真开展尽职调查及风险评估工作，并按监管要求及时上报，对非驻场重要外包需进行实地检查，每三年覆盖所有重要的非驻场外包。特别是针对合作过程中第三方被委托处理银行保险机构敏感级以上数据的数据生态合作方，应重点对服务提供商的网络和数据安全保障能力、业务连续性保障能力展开调查和评估，积极防范服务中断风险，确保数据安全。

排查数据安全风险，加强敏感信息管控

结合监管要求重点排查数据安全风险。对于驻场外包应全面梳理数据泄漏风险，检查账号密码策略，排查互联网+邮箱和即时通讯工具的使用和监控情况。特别关注能够接触到银行保险机构重要数据和客户个人敏感信息的外包人员，加强数据防泄漏管控手段，重点关注入场安全、访问安全、网络安全、终端安全、操作安全、物理安全、离场安全。

对集中处理重要数据和客户个人敏感信息的非驻场外包、涉及敏感级及以上数据的委托处理的合作外包，结合数据全生命周期，重点排查数据传输安全、数据部署与存储安全、数据访问安全、数据删除与销毁、敏感数据委托处理授权等方面的风险并加强管控。

开展风险评估，摸清自身管控水平

结合最新的信息科技外包风险监管要求和同业实践，通过资料调研、问卷、访谈等方式，对信息科技外包管理现状开展评估，分析信息科技外包管理现状与同业实践，以及监管要求特别是监管新规之间的差异，有效揭示外包管控方面存在的问题与隐患，找准各层面问题根源，提出改进建议，形成评估报告，并可作为信息科技外包风险管理体系优化的依据。

完善管理体系，提升管控能力

银行保险机构应基于监管要求及同业实践，结合公司自身情况，尽快建立全方位立体式的信息科技外包及其风险管理体系，识别信息科技外包管理全生命周期各个阶段存在的风险及其管理要点。包括但不限于分类分级管理、准入控制、合同管理、尽职调查、实地检查、监控评价、外包项目及人员考核、业务连续性、应急管理、外包安全管理、风险监测、监管监督等环节。基于对监管的理解及多年行业经验，安永已形成成熟的信息科技外包管理体系框架：

开展外包审计工作，有效发挥监督作用

围绕公司信息科技外包治理、准入、监控评价、风险管理以及监督管理等领域开展，分析信息科技外包及其风险管理现状，提出可落地可执行的建议。

03安永服务

安永金融业科技风险咨询团队长期服务银行保险机构，专注于提供信息科技风险管理咨询服务。我们的专业团队拥有丰富的信息科技外包风险管理咨询经验，能够助力银行保险机构全面提升信息科技外包风险管理能力，有效管理和控制信息科技外包风险。

► 信息科技外包管理体系建设

► 信息科技外包管理风险评估

► 信息科技外包安全风险评估

► 重要外包尽职调查和风险评估

► 外包数据安全风险评估

► 信息科技外包审计

► 外包管理系统建设