一、金融行业监管政策解读

银保监会于2021年12月30日发布实施《银行保险机构信息科技外包风险监管办法》（银保监办发〔2021〕141号）（下称《办法》），以进一步加强银行保险机构信息科技外包风险监管，促进银行保险机构提升信息科技外包风险管控能力。

新的《办法》形成统一的信息科技外包管理机制，其管理核心是对外包生命周期内各种活动的风险识别、评估、监测和控制。《办法》对原《指引》框架结构进行调整，分别从治理层面、管理层面（信息科技外包准入和监控评价）、风险层面和监管层面对信息科技外包管理提出要求。

本次《办法》的重点变化在于：

1.扩大适用机构

机构范围由原来主要针对各类银行、农信社以及参照执行的其他金融机构，增加了各类保险机构，包括保险集团（控股）公司、保险公司、保险资产管理公司等。

2.整合监管规制

以原银监会出台的3个指引和通知为基础，形成相对统一的信息科技外包管理监管规制。对3个指引和通知中的跨境外包、非驻场外包、非驻场集中式外包、重点外包机构等内容进行整合，明确管理要求。

3.重视信息安全

随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》的出台，《办法》根据这些法律法规新增了网络安全、数据安全、跨境外包的信息跨境处理等要求。《办法》也正式将银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动纳入管理适用范围。

4.强化主体责任

《办法》继续强调了金融机构的主体责任，在实施原则中明确不得将信息科技管理责任、网络安全主体责任外包，强调事前控制和事中监督，持续改进外包策略和风险管理措施。《办法》要求针对可能给业务连续性管理造成重大影响的重要外包服务，银行保险机构应当事先建立风险控制、缓释或转移措施；要求银行保险机构应承担内部审计职能和责任，定期开展信息科技外包及其风险管理的审计工作，内部审计项目可委托母公司或同一集团下属子公司实施，或聘请独立第三方实施。

《办法》总体框架如下：

二、网络安全和数据安全监管分析

随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的出台，监管对于外包活动中涉及的网络安全、数据安全和个人信息保护也越发重视。《办法》根据相关法律法规，在适用范围、原则及风险管理中将相关内容纳入监管要求。

《办法》所适用的信息科技外包，包含银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。银行保险机构与其他第三方合作当中涉及银行保险机构重要数据和客户个人信息处理的信息科技活动，按照《办法》相关要求进行管理，法律法规另有要求的除外。

《办法》同时强调，银行保险机构在实施信息科技外包时应当坚持以下原则：不得将信息科技管理责任、网络安全主体责任外包；以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；保障网络和信息安全，加强重要数据和个人信息保护；强调事前控制和事中监督；持续改进外包策略和风险管理措施。

《办法》第三十二条，具体对外包活动中网络和信息安全管理措施提出要求：

三、全息金融行业信息科技外包解决方案

全息安全风险感知系统以数据资产为核心，通过对企业业务运营，安全运营的全息刻画，采用大数据、人工智能、机器学习技术，对用户和设备的行为进行多维度分析，发现危害数据安全的异常行为，定位威胁。针对内部威胁、高级安全威胁、未知风险等导致的数据泄漏，数据违规行为，提供全周期的监控、审计、预警、追溯和取证。

（一）监管场景

1.测试开发数据安全

【安全风险】：

金融业务系统的日趋复杂以及对开发周期要求不断缩短，金融机构在对科技外包项目中的开发和测试要求随之提高。为了验证实用性和有效性，在对业务系统的功能和性能测试时往往需要准备大量高质的真实数据，其中可能包括重要的业务数据以及敏感的个人信息，而因为开发测试环境中使用生产数据造成的数据泄露却时有发生。

【解决方案】：

首先，通过部署全息采集器，对网络全流量进行预处理，可以动态发现网络中流动的数据，对数据内容进行扫描，实现数据资产自动分级、分类；同时采集与数据关联的用户、设备和应用的信息；把获取的信息以日志形式上传到分析平台做大数据分析。

其次，全息数据分析平台把数据和与之相关的用户、设备，应用按照时间轴进行关联分析，形成“数据情报”， 精确描述数据资产的业务属性、安全属性，对数据实时画像：“什么时间，什么地点，谁（人员、设备），通过什么应用，访问了什么数据”，从而监控数据在生命周期的每个环节是否被安全的传输、使用和处理、转移和交换。例如：是否按业务需求脱敏，是否发生数据泄漏，是否发生违规访问，或者用于风险审计目的的数据追溯和取证。

2．第三方开发/运维人员安全

【安全风险】：

金融机构为了便于管理通常将第三方外包驻场人员安排在不同或独立的网段，虽然对网段的访问权限做了配置限制，但仍存在数据安全风险，包括：

权限失控风险：外包人员被赋予过多的超出其工作所需的权限；外包人员没有开启足够的权限；权限被恶意使用。一旦权限失控，越权者将带来巨大的安全威胁，造成金融机构巨大损失的同时还不留痕迹。

运维人员篡改拖库风险：运维人员使用数据库账号运维管理，而该账号权限又超出实际运维管理需求。若未对其访问行为控制管理，运维人员当受利益驱动可直接篡改交易、窃取敏感数据、泄露大量个人隐私信息。

【解决方案】：

要实现《办法》中的“事中监督”，就必须能够做到对所有外包人员行为的实时追踪监控，对异常行为及时报警。

全息风险感知系统长周期、连续不断地实时采集、处理网络流量，通过把信息系统抽象化为“用户、设备、应用、数据”四个维度的画像，并将四个维度关联，构建以用户、设备行为分析，以及业务系统描述为基点的数据安全情报系统，形成对数据资产的全息画像。在“数据全息画像”的基础上，利用UEBA，通过机器学习的方式“捕获”异常的用户和设备行为，定位威胁，实现数据安全风险预警，从而保护数据安全，即，通过对用户和实体的行为的刻画，以时间轴为基准，采用机器学习技术，对用户和设备行为建立基线，实现多个场景的异常行为发现和告警。

3．数据安全合规审计

【安全风险】：

审计线索不足，数据泄露无法追溯：数据访问实时监控是追查取证的重要手段。一旦无法监视数据操作合规性异常，无法收集数据库活动的审计详细信息，将会造成在安全事件后无法追溯取证。

《办法》中明确规定对符合条件的非驻场外包服务供应商，应重点调查其是否拥有业务系统的最高管理权限或访问权限，是否能够浏览、获取重要数据或客户个人敏感信息。

【解决方案】：

全息风险感知系统支持导入的数据安全分级、分类标准和安全规范，可以根据客户具体的合规场景进行合规审计策略，从而实现以策略为核心的数据合规监控、审计系统。

全息数据采集器按照预定义的策略（个人金融信息定义、分级规则，数据脱敏规则，受控信息定义、分级规则等）对网路流量进行实时处理，对数据进行发现、分级、分类，并抽取与数据关联的用户、设备、应用的信息，形成“情报”发送给数据分析平台，全息数据分析平台根据获取的“情报”与预定义的合规审计策略匹配，从而实现数据合规的监控、审计、告警。

全息数据采集器的轻量级以及全息数据分析平台的大数据分析能力，使全息风险感知系统可以提供长周期内金融机构的数据生命周期画像（什么时间，什么地点，谁（人员/设备），通过什么应用，访问了什么数据），可以作为数据合规的审计、追溯、取证工具，便于金融机构数据合规“追责，去责”。

（二）方案价值

• 动态数据资产发现和分级、分类：对于金融机构“热”数据的实时发现、动态数据分级、分类和权属标记，专注于关键、核心资产，是数据安全治理的重要工具。
• 数据资产的全面精确描述：在数据资产发现、分级、分类的同时，提取与数据关联的用户、设备和应用（业务系统），全面、精确描述数据资产，实现数据内容、业务属性、安全属性的关联。
• 满足业务数据安全和金融大数据安全需求：满足金融机构基础业务、核心流程，以及金融大数据平台和应用的数据安全生命周期的全程监控和审计需求；
• 满足安全合规需求：满足国家和行业数据安全法律、法规和规范的合规监管、审计、追溯和合规取证需求；
• 抵御外部、内部安全威胁：采用全息UEBA技术发现内部威胁，实现数据安全预警、阻止数据盗取，保证数据安全。