21世纪经济报道记者李愿北京报道

(资料图片)

6月27日，21世纪经济报道记者获悉，日前国家金融监督管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》（下称《通知》）称，近期，部分银行保险机构的外包服务商发生多起安全险事件，对银行保险机构的网络和数据安全、业务连续性造成一定影响，暴露出银行保险机构在外包服务管理上存在突出险问题。

《通知》明确列示了一家头部平台相关服务风险情况、多家银行保险和数据中心托管服务商的科技外包风险情况，并提出了相应的监管要求。

《通知》强调，各银行保险机构应对照相关问题，深入排查供应链险隐患，切实加强整改。各级派出机构要督促辖内银行保险机构严格落实上述工作要求，严肃处置因管理不当引发的重大险事件。“涉及《通知》通报安全事件的有关银行保险机构，要制定险整改方案和计划，并按照监管隶属关系向总局或派出机构报告，各级派出机构要加强评估，严格督促，确保落实，不留问题死。对整改不力的机构，要及时采取监管措施”，《通知》表示。

摸清数字生态场景合作网络和数据安全险底数

对于一家头部平台相关服务产生的风险事件，《通知》显示，此事件主要暴露了两方面的风险和问题：一是银行保险机构对数字生态场景合作情况底数不清，缺乏统筹管理；二是银行保险机构对合作中数据安全险和责任识别划分不清。

对此，国家金融监督管理总局提出了三方面的监管要求：

一是开展险自查。针对相关问题，银行保险机构要全面开展一次自查，摸清数字生态场景合作中的网络和数据安全险底数，开展排查整改。在合同协议中强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内容。

二是加强科技险统筹管理。要将数字生态合作纳入到银行保险机构的外包险管理范围，加强统筹管理，科技和数据管理部应加强外包合作的网络和数据安全管理，加强险评估和事件处置。

三是加强非驻场外包险监测和监管报告。对于集中处理重要数据和客户个人敏感信息的非驻场外包，以及涉及敏感级及以上数据的委托处理的外包合作，银行保险机构应重点关注，加强险监测，并按《银行保险机构信息科技外包风险监管办法》第三十七条、《银行保险机构数据安全办法》第六十条之规定向国家金融监督管理总局或其派出机构报告。

银行保险机构应按照监管隶属关系，于7月10日前，将险自查和整改情况、上述平台合作情况表向国家金融监督管理总局或银保监局报告。银保监局汇总后，于7月20日前报送国家金融监督管理总局。

压实外包服务商安全责任

在科技外包风险方面，《通知》列出了多家省联社、一家保险公司、某数据中心托管服务商的相关情况。国家金融监督管理总局表示，这些事件暴露了三方面的主要风险和问题：一是银行保险机构在供应链安全管理上履职不到位；二是银行保险机构对外包服务的应急管理机制不健全；三是外包服务商的安全管理和技术防护能力严重不足。

“银行保险机构应强化‘服务外包、责任不外包’的主体意识，切实承担数据安全主体责任，统筹管理科技险，压实外包服务商安全责任，提升整体防控水平。”国家金融监督管理总局表示，并提出了三方面的监管要求：

一是切实履行网络和数据安全保护义务。银行保险机构应加强险评估和尽职调查，加大监控力度和违规问责，加强对外包服务商的监督管理和实地检查，合作结束后必须下线相关系统并删除数据；强化合同的网络和数据安全要求条款，验收时严格执行安全险检查，对发生安全生产事件的要按合同约定进行处罚。

二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行，系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护，建立与外包服务商的隔离防火墙，不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。梳理外包服务商获取、留存的银行保险机构数据，排查个人信息和程序源代码、系统文档等内部技术资料，排查缺省账户密码、弱口令、未定期更新口令、明文存储口令等问题，排查系统和外部产品的漏洞，整改问题隐患。

三是建立健全应急处置机制。银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理，将涉及外包服务商的投诉纳入投诉管理办法，要求外包服务商第一时间报告自身的安全生产事件和投诉举报，报告其产品或服务发现的安全缺陷和漏洞，银行保险机构应将相关风险事件及时报告监管部门，并及时调查处置相关问题。