近期部分银行保险机构的外包服务商发生多起安全风险事件，金融监管总局发布通知，银行保险机构开展风险自查，加强科技风险统筹管理，7月10日前，将风险自查和整改情况上报。

　　日前，国家金融监督管理总局向银行、保险、理财公司等机构下发《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》)，要求银行保险机构开展风险自查，加强科技风险统筹管理，加强非驻场外包风险监测和监管报告。

　　7月10日前，银行保险机构应按照监管隶属关系，将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局（分局）报告。银保监局汇总后，于7月20日前报送国家金融监管总局。

　　金融监管总局之所以要求银保机构对科技外包服务进行排查，是因为近期部分银行保险机构的外包服务商发生多起安全风险事件，对银行保险机构的网络和数据安全、业务连续性造成一定影响，暴露出银行保险机构在外包服务管理上存在突出风险问题。

　　某微信代理商为多家银行提供企业微信相关服务，将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上，会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意，该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练，并提供给关联公司。银行因未尽到对客户敏感数据保护责任，引发消费者维权投诉。

　　一是银行保险机构对数字生态场景合作情况底数不清，缺乏统筹管理。开展数字生态合作时，银行保险机构外包风险主管部门、科技和数据管理部门未参与，缺乏数据安全风险评估、监控管理等机制，存在突出风险隐患。

　　二是银行保险机构对合作中数据安全风险和责任识别划分不清，存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。

　　一是开展风险自查。针对相关问题，银行保险机构要全面开展一次自查，摸清数字生态场景合作中的网络和数据安全风险底数，开展排查整改。在合同协议中强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内容。

　　二是加强科技风险统筹管理。要将数字生态合作纳入到银行保险机构的外包风险管理范围，加强统筹管理，科技和数据管理部门应加强外包合作的网络和数据安全管理，加强风险评估和事件处置。

　　三是加强非驻场外包风险监测和监管报告。对于集中处理重要数据和客户个人敏感信息的非驻场外包，以及涉及敏感级及以上数据的委托处理的外包合作，银行保险机构应重点关注，加强风险监测，并按《银行保险机构信息科技外包风险监管办法》第三十七条、《银行保险机构数据安全办法》第六十条之规定向国家金融监督管理总局或其派出机构报告。

　　在科技外包风险方面，《通知》列出了多家省联社、一家保险公司、某数据中心托管服务商的相关情况。

　　1）2022年8月，4家省联社托管在某服务商的网银系统因存在越权访问漏洞，被不法分子攻破，大量客户信息和账户信息被窃取。

　　2）某软件开发公司负责程序投产包发布的员工，因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月，黑客登录邮箱并下载了部分邮件内容，在向公司勒索未果后，7月将数据在海外网站售卖，涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。

　　3）某数据中心托管服务商的客户服务系统存在SQL注入和文件上传漏洞。2021年9月黑客入侵该系统并窃取数据库中信息，2023年1月在海外网站售卖，其中包括70余家银行保险机构的数百条员工个人信息。

　　4）某寿险公司采购部署的第三方软件产品“保融第三方签约平台”，在网络攻防演习时被发现其前端管理页面的JS文件中明文写有管理员账号及密码，攻击者可利用该账号绕过前端验证直接登录系统，并查询包含个人敏感信息在内的所有数据，存在敏感数据泄露风险。

　　5）2023年2月，某互联网域名代理商因私自变更失误，导致某银行互联网域名解析失败，在业务高峰期影响金融交易达68分钟。

　　一是切实履行网络和数据安全保护义务。银行保险机构应加强⻛险评估和尽职调查，加大监控力度和违规问责，加强对外包服务商的监督管理和实地检查，合作结束后必须下线相关系统并删除数据；强化合同的网络和数据安全要求条款，验收时严格执行安全⻛险检查，对发生安全生产事件的要按合同约定进行处罚。

　　二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行，系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护，建立与外包服务商的隔离防火墙，不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。梳理外包服务商获取、留存的银行保险机构数据，排查个人信息和程序源代码、系统文档等内部技术资料，排查缺省账户密码、弱口令、未定期更新口令、明文存储口令等问题，排查系统和外部产品的漏洞，整改问题隐患。

　　三是建立健全应急处置机制。银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理，将涉及外包服务商的投诉纳入投诉管理办法，要求外包服务商第一时间报告自身的安全生产事件和投诉举报，报告其产品或服务发现的安全缺陷和漏洞，银行保险机构应将相关风险事件及时报告监管部门，并及时调查处置相关问题。

　　保险业如今已经进入数字化时代，保险机构科技业务外包并不鲜见，涉及领域包括销售系统、获客系统、团队管理系统、风险管理系统都可能。保险业务效率不断提升的同时，网络和数据安全风险也不可避免。

　　2022年1月，原银保监会发布《关于银行业保险业数字化转型的指导意见》（简称《指导意见》），要求到2025年，银行业保险业数字化转型取得明显成效。数字化金融产品和服务方式广泛普及，数字化经营管理体系基本建成，数据治理更加健全，科技能力大幅提升，网络安全、数据安全和风险管理水平全面提升。

　　《指导意见》特别强调要加强操作风险及外包风险管理。有效管控价值链中与第三方合作企业相关的集中度风险和供应链风险，做好业务连续性规划和应急管理，保障关键外部合作方的可替代性。坚持管理责任、核心能力不外包原则，强化对外部合作方的准入管理，加强风险评估、监测、预警和退出管理。

　　2021年12月，原银保监会曾发布《银行保险机构信息科技外包风险监管办法的通知》，规范银行保险机构的信息科技外包活动，加强信息科技外包风险管控，要求不得将信息科技管理责任、网络安全主体责任外包。银行保险机构要设立专业委员会负责推动建立信息科技外包及其风险管理体系、审批信息科技外包战略、审议重大外包决策，高级管理层应负责制定信息科技外包战略，明确信息科技外包风险主管部门和信息科技外包执行团队，明确信息科技外包及其风险管理职责，审议信息科技外包管理流程及制度，监控信息科技外包及其风险管理成效。

　　此次国家金融监管总局的《通知》明确，银行保险机构应强化“服务外包、责任不外包”的主体意识，切实承担数据安全主体责任，统筹管理科技风险，压实外包服务商安全责任，提升整体防控水平。

　　3. 产品评测｜大洗牌，后浪发力！这款终身有现价里高领取的养老年金险来打擂台了！

　　4. 产品评测｜倒计时3天！这款王牌养老年金险，45岁以上人群马上就买不到了！

　　本文仅作为知识分享，不构成任何投资建议，任何人据此做出投资决策，风险自担。返回搜狐，查看更多