我们的优势
不忘初心,挚梦前行
-
专业的数据研发团队
-
领先的行业技术特点
-
高标准的质量交付体系
-
完善的售后服务体系
Auditsys助力企业《银行保险机构信息科技外包风险监管办法》
概述
为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息技外包风险管控能力,推动银行保险机构稳健开展数字化转型工作,中国银保监会 2021 年 12 月 30 日印发了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)。
近几年,银行保险机构积极开展数字化转型,在加大科技创新力度、更好地满足金融消费者需求的同时,对信息科技外包服务的依赖度不断加大。与此同时,部分银行保险机构对信息科技外包风险管控不力,因而导致的业务中断、敏感信息泄露等事件时有发生。此外,部分领域外包服务提供商高度集中,形成了行业集中度风险。为此,按照风险为本的导向,以弥补短板、强化监管为目标,拟通过制定《办法》,从信息科技外包治理、准入、监控评
价、风险管理等方面对银行保险机构信息科技外包提出要求。
《办法》的制定出台,将促进银行保险机构建立并完善信息科技外包治理架构,加强外信息科技外包风险管理体系建设,提升信息科技外包风险管控能力,促进银行保险机构稳健开展数字化转型工作。
华夏威科产品方案完美契合《银行保险机构信息科技外包风险监管办法》银保监办发〔2021〕141 号规定的管理要求,AuditSys 是专业的用户行为安全风险管理系统,能够自动记录所有外包用户的操作行为,帮助企业实现对
外包人员比如:外包运维人员、数据库管理员、外包研发与设计人员、业务人员的操作行为进行行为记录、行为检索、行为风险监控、行为风险趋势分析、高危行为自动告警、敏感信息识别、外包人员工作效率分析等,从而帮助
企业防范合规风险,提高信息系统安全性、稳定性,实现法规遵从。
总结
AuditSys 能够很好的满足《银行保险机构信息科技外包风险监管办法》关于风险管控的要求,AuditSys 能够覆盖所有外包工作人员,通过行为风险监控应用、SinoSDP(敏感数据保护)应用、录屏审计应用、工作效率分析应用等功能模块,全方位的帮助企业用户做好信息科技外包风险监控,加强内控管理,合理量化外包人员工作状态,实现法规遵从。
行为风险监控应用:强调事中监督,能够及时发现、有效控制由于外包人员的操作行为而引发的风险,对外包人员的操作行为进行可视化,为持续改进外包策略和风险管理措施提供事实依据和数据保障。
SinoSDP(敏感数据保护)应用:基于 UEBA 理念的数据泄露管理,个人信息泄露风险全程监控、企业敏感信息外发风险全程监控、、所有外发文件内容可以追溯、员工的个人信息泄露风险画像,提前发现可疑人员,帮助做好敏感信息保护。
录屏审计应用:记录外包人员的所有操作行为,所有操作行为可以监控、分析、审计追溯
工作效率分析应用:对外包人员工作状态进行量化管理,持续监测外包服务的水平和质量,确保对外包人员工作饱和率、考核评价的客观和公正。
详细内容,请参阅附录。
附录
下文对《银行保险机构信息科技外包风险监管办法》的相关条文进行了描述,以及 AuditSys 如何满足提出的具体要求。在下表中,显示的是 AuditSys 满足项相关的内容。
| 第四章 信息科技外包监控评价 | ||
| 第二十三条 | 要求 银行保险机构应当对外包服务过程进行持续 监控,及时发现和纠正服务过程中存在的各 类异常情况。 | AuditSys 录屏审计应用实现 可以帮助银行保险机构对外包服务过程全 程进行持续监控,能够及时发现和进一步 采取措施纠正服务过程中存在的各类异常 情况 AuditSys 行为风险监控应用实现 能够对外包服务过程进行持续监控,能够 及时发现和纠正过程中存在的风险异常情 况 |
| 第二十五条 | 要求 银行保险机构应当对信息科技外包服务建立 服务效能和质量监控指标,并进行相应监 控。常见指标包括: (五)外包人员工作饱和率、外包人员的考 核合格率; | AuditSys工作效率分析应用实现 通过提供实际工作效率分析数据,能够帮 助信息科技外包执行团队持续监测外包服 务的水平和质量,确保对外包人员工作饱 和率、考核评价的客观和公正 |
| 第五章 信息科技外包风险管理 | ||
| 第三十条 | 要求 AuditSys SinoSDP(敏感数据保护)应 用实现 银行保险机构应建立并持续完善风险管理制 度和流程,充分识别并评估信息科技外包可 能产生的风险,包括但不限于: (三)数据泄露、丢失和篡改。因服务提供 商的不当行为或其服务的信息系统遭受网络 攻击,导致银行保险机构重要数据或客户个 人信息泄露、丢失和篡改。 | AuditSys SinoSDP(敏感数据保护)应 用实现 能够及时发现服务提供商不当行为导致银 行保险机构重要数据或客户个人信息的泄 露、丢失和篡改,有效保证客户数据安全 AuditSys 行为风险监控应用实现 能够对数据泄露、丢失和篡改等风险进行 持续监控、分析和告警,能够及时发现和 进一步采取措施,阻止和预防数据使用和 处理过程中存在的各类风险情况 AuditSys 录屏审计应用实现 帮助银行保险机构实时记录数据泄露、丢 失和篡改全过程,并能快速精确检索和定 位,为审计追溯提供有力保障 |
| 第三十二条 | 要求 银行保险机构应当制定和落实网络和信息安 全管理措施,包括但不限于: (二)明确外包活动需要访问或使用的信息 资产,按“必需知道”和“最小授权”原则 进行访问授权,严格管控远程维护行为; | AuditSys行为风险监控应用实现 对远程维护行为进行严格监控与管理,能 够及时发现和进一步采取措施,阻止和预 防远程维护过程中存在的各类风险情况 AuditSys 录屏审计应用实现 对于必须采取远程维护的操作行为进行全 程数据采集监控,自动生成行为日志,并 录屏取证,实现所有远程运维行为可审计 回溯,确保远程维护操作行为的安全可靠 |
| 第三十二条 | 要求 银行保险机构应当制定和落实网络和信息安 全管理措施,包括但不限于: (四)对客户信息、源代码和文档等敏感信 息采取严格管控措施,对敏感信息泄露风险 进行持续监测; | AuditSys SinoSDP(敏感数据保护)应 用实现 能够实现对客户信息、源代码和文档等敏 感信息泄露风险进行持续实时监测,最大 限度保护银行保险机构敏感数据安全。 |
不忘初心,挚梦前行
专业的数据研发团队
领先的行业技术特点
高标准的质量交付体系
完善的售后服务体系
