北京华夏威科软件技术有限公司

首页 >
解决方案
> 信息科技外包风险监管

RISK SUPERVISION

信息科技外包风险监管

法规遵从

IT OUTSOURCING RISK SUPERVISION

Auditsys助力金融机构实现法规遵从：银保监会关于《银行保险机构信息科技外包风险监管办法》

>> 概述 <<

为进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息技外包风险管控能力，推动银行保险机构稳健开展数字化转型工作，中国银保监会 2021 年 12 月 30 日印发了《银行保险机构信息科技外包风险监管办法》（以下简称《办法》）。近几年，银行保险机构积极开展数字化转型，在加大科技创新力度、更好地满足金融消费者需求的同时，对信息科技外包服务的依赖度不断加大。与此同时，部分银行保险机构对信息科技外包风险管控不力，因而导致的业务中断、敏感信息泄露等事件时有发生。此外，部分领域外包服务提供商高度集中，形成了行业集中度风险。为此，按照风险为本的导向，以弥补短板、强化监管为目标，拟通过制定《办法》，从信息科技外包治理、准入、监控评价、风险管理等方面对银行保险机构信息科技外包提出要求。

《办法》的制定出台，将促进银行保险机构建立并完善信息科技外包治理架构，加强外信息科技外包风险管理体系建设，提升信息科技外包风险管控能力，促进银行保险机构稳健开展数字化转型工作。华夏威科产品方案完美契合《银行保险机构信息科技外包风险监管办法》银保监办发〔2021〕141 号规定的管理要求，AuditSys 是专业的用户行为安全风险管理系统，能够自动记录所有外包用户的操作行为，帮助企业实现对各类外包人员的监管，如：外包运维人员、数据库管理员、外包研发与设计人员、业务人员等，对外包人员的各种操作行为进行行为记录、行为检索、行为风险监控、行为风险趋势分析、高危行为自动告警、敏感信息识别，以及实现外包人员的工作效率分析，从而帮助企业防范合规风险，提高信息系统安全性、稳定性，实现法规遵从。

>> 总结 <<

AuditSys 能够很好的满足《银行保险机构信息科技外包风险监管办法》关于风险管控的要求，AuditSys 能够覆盖所有外包工作人员，通过录屏审计应用、行为风险监控应用、SinoSDP 敏感数据保护应用、工作效率分析应用等功能模块，全方位的帮助企业用户做好信息科技外包风险监控，加强内控管理，合理量化外包人员工作状态，实现法规遵从。详细内容，请参阅附录。

录屏审计应用记录外包人员的所有操作行为，所有操作行为可以监控、分析、审计追溯。
行为风险监控应用强调事中监督，能够及时发现、有效控制由于外包人员的操作行为而引发的风险，对外包人员的操作行为进行可视化，为持续改进外包策略和风险管理措施提供事实依据和数据保障。

SinoSDP（敏感数据保护）应用基于 UEBA 理念的数据泄露管理，个人信息泄露风险全程监控、企业敏感信息外发风险全程监控、、所有外发文件内容可以追溯、员工的个人信息泄露风险画像，提前发现可疑人员，帮助做好敏感信息保护。
工作效率分析应用对外包人员工作状态进行量化管理，持续监测外包服务的水平和质量，确保对外包人员工作饱和率、考核评价的客观和公正。

>> 附录 <<

下文对《银行保险机构信息科技外包风险监管办法》的相关条文进行了描述，以及 AuditSys 如何满足提出的具体要求。在下表中，显示的是 AuditSys 满足项相关的内容。

第四章信息科技外包监控评价
第二十三条要求银行保险机构应当对外包服务过程进行持续监控，及时发现和纠正服务过程中存在的各类异常情况。	解决方案：录屏审计应用实现可以帮助银行保险机构对外包服务过程全程进行持续监控，能够及时发现和进一步采取措施纠正服务过程中存在的各类异常情况。解决方案：行为风险监控应用实现能够对外包服务过程进行持续监控，能够及时发现和纠正过程中存在的风险异常情况。
第二十五条要求银行保险机构应当对信息科技外包服务建立服务效能和质量监控指标，并进行相应监控。常见指标包括：（五）外包人员工作饱和率、外包人员的考核合格率；	解决方案：工作效率分析应用实现通过提供实际工作效率分析数据，能够帮助信息科技外包执行团队持续监测外包服务的水平和质量，确保对外包人员工作饱和率、考核评价的客观和公正。
第五章信息科技外包风险管理
第三十条要求银行保险机构应建立并持续完善风险管理制度和流程，充分识别并评估信息科技外包可能产生的风险，包括但不限于：（三）数据泄露、丢失和篡改。因服务提供商的不当行为或其服务的信息系统遭受网络攻击，导致银行保险机构重要数据或客户个人信息泄露、丢失和篡改。	解决方案：SinoSDP（敏感数据保护）应用实现能够及时发现服务提供商不当行为导致银行保险机构重要数据或客户个人信息的泄露、丢失和篡改，有效保证客户数据安全。解决方案：行为风险监控应用实现能够对数据泄露、丢失和篡改等风险进行持续监控、分析和告警，能够及时发现和进一步采取措施，阻止和预防数据使用和处理过程中存在的各类风险情况。解决方案：录屏审计应用实现帮助银行保险机构实时记录数据泄露、丢失和篡改全过程，并能快速精确检索和定位，为审计追溯提供有力保障。
第三十二条要求银行保险机构应当制定和落实网络和信息安全管理措施，包括但不限于：（二）明确外包活动需要访问或使用的信息资产，按“必需知道”和“最小授权”原则进行访问授权，严格管控远程维护行为；	解决方案：行为风险监控应用实现对远程维护行为进行严格监控与管理，能够及时发现和进一步采取措施，阻止和预防远程维护过程中存在的各类风险情况。解决方案：录屏审计应用实现对于必须采取远程维护的操作行为进行全程数据采集监控，自动生成行为日志，并录屏取证，实现所有远程运维行为可审计回溯，确保远程维护操作行为的安全可靠。
第三十二条要求银行保险机构应当制定和落实网络和信息安全管理措施，包括但不限于：（四）对客户信息、源代码和文档等敏感信息采取严格管控措施，对敏感信息泄露风险进行持续监测；	解决方案：SinoSDP（敏感数据保护）应用实现能够实现对客户信息、源代码和文档等敏感信息泄露风险进行持续实时监测，包括敏感信息的外发、打印、浏览等，并对外包人员进行信息泄漏风险画像，最大限度保护银行保险机构敏感数据安全。。

我们的优势

不忘初心,挚梦前行

专业的数据研发团队
领先的行业技术特点
高标准的质量交付体系
完善的售后服务体系

4项专利发明

拥有多项知识产权

助力企业快速成长

7*24免费技术支持

以优质的高效的技术服务协助企业快速发展

电话:010-88572646

邮编:100094

地址:北京市海淀区西三环中国外文大厦11层B座1102

版权所有© 2011北京华夏威科软件技术有限公司

京ICP备11040586号-1 京公安备案11010802014629号

华夏威科公众号

华夏博格公众号