为应对日益严格的信息科技外包监管要求,银行需对外包商进行信息安全检查,涵盖物理安全、网络安全等多个方面,确保合规并降低风险。
一、背景
2021年出台《中华人民共和国个人信息保护法》《银行保险机构信息科技外包风险的监管办法》后,监管部门对银行开展信息科技外包活动的监管在不断加强,同时银行自身对信息科技外包的安全也越来越重视。
二、目的
通过对外包商的信息安全检查,可排查外包商存在的信息安全风险隐患,防范因外包风险传导至行内,对发现问题及时整改,保护银行的合法利益。同时也落实监管的要求。
三、检查范围
收集涉及信息科技外包业务的外包商清单,确定检查范围的原则,对整体外包商清单进行分类,然后对每一类外包商进行分级,对重要科技外包商分为驻场和非驻场。主要对非驻场外包商进行检查。对符合一定条件的外包商,加入到外包商检查清单内。
检查范围的确定,确定原则主要是对曾经被监控通报、处罚,被监管加入黑名单,被客户大量投诉,外包服务质量下降,外包服务中断,发生外包信息泄露等情况的外包商作为检查对象,同时对外包业务量大,外包合同金额大的外包商也纳入检查范围。
四、检查工具
根据不同业务类型制定相应的检查表、检查清单。
五、检查内容
主要对外包商的物理安全、网络安全、主机安全、应用安全、数据安全,以及业务连续性进行检查。
物理安全检查主要是对外包商机房、开展外包业务所涉及的核心基础设施区域、外包业务办公区域的安全环境进行检查。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
