建行、光大、民生银行因信息系统、信息科技外包等问题被罚1310万

《银行科技研究社》消息：近日，有3家全国性银行因信息系统、信息科技外包等相关问题被罚。

9月12日，国家金融监督管理总局发布的行政处罚信息显示：

建设银行因“个别信息系统开发测试不充分、信息科技外包管理存在不足等事项”，被罚款290万元。

光大银行因“信息科技外包管理存在不足、监管数据错报等事项”，被罚款430万元。

民生银行因“系统使用管控不到位、基础软件版本管理不足、生产运维管理不严等”，被罚款590万元。

这3家银行被罚金额之和高达1310万元。

据《银行科技研究社》了解，上次全国性银行因多项信息系统、信息科技外包等问题被国家金融监督管理总局（非派出机构）处罚，是在2024年初，彼时有2家银行收相关罚单，处罚金额同样为数百万元。

2024年1月5日，监管发布的行政处罚信息显示：

中国银行因“部分重要信息系统识别不全面，灾备建设和灾难恢复能力不符合监管要求；重要信息系统投产及变更未向监管部门报告，且投产及变更长期不规范引发重要信息系统较大及以上突发事件；信息系统运行风险识别不到位、处置不及时，引发重要信息系统重大突发事件；监管意见整改落实不到位，引发重要信息系统重大突发事件；信息科技外包管理不审慎；网络安全域未开展安全评估，网络架构重大变更未开展风险评估且未向监管部门报告；信息系统突发事件定级不准确，导致未按监管要求上报；迟报重要信息系统重大突发事件；错报漏报监管标准化（EAST）数据”等9项主要违法违规行为，被罚款430万元。

中信银行因“部分重要信息系统应认定未认定，相关系统未建灾备或灾难恢复能力不符合监管要求；同城数据中心长期存在基础设施风险隐患未得到整改；对外包数据中心的准入前尽职调查和日常管理不符合监管要求，部分数据中心存在风险隐患；数据中心机房演练流于形式，部分演练为虚假演练，实际未开展；数据中心重大变更事项未向监管部门报告；运营中断事件报告不符合监管要求”等6项主要违法违规行为，被罚款400万元。

此外，近2年也有一些中小银行因信息系统等问题被金融监管总局派出机构处罚。例如，2024年8月29日，温州金融监管分局发布的行政处罚信息显示，浙江泰顺温银村镇银行因“重要信息系统风险管理不到位”等5项主要违法违规事实，被罚款175万元。

值得注意的是，上述银行中，中国银行、建设银行、光大银行均涉及信息科技外包问题。

据《银行保险机构信息科技外包风险监管办法》，信息科技外包，是指银行保险机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为。信息科技外包分为咨询规划类、开发测试类、运行维护类、安全服务类、业务支持类等类别。

对于银行信息科技外包，监管要求比较严。《办法》提到，银行保险机构应当建立与本机构信息科技战略目标相适应的信息科技外包管理体系，将信息科技外包风险纳入全面风险管理体系，有效控制由于外包而引发的风险。银行保险机构在实施信息科技外包时应当坚持“不得将信息科技管理责任、网络安全主体责任外包”“保障网络和信息安全，加强重要数据和个人信息保护”等6项原则。

事实上，在银行业，信息科技外包相当常见。因此，银行需要重视相关问题。