2013年12月3日，中国银行业信息科技风险管理2013年会暨银行业信息科技风险管理高层指导委员会全体会议在浙江杭州召开。会议的主题是“安全可控促发展，自主创新推转型”。

会上，银监会副主席郭利根作了重要讲话。指出，2013年以来，银行业信息科技工作在围绕“自主可控、持续发展、科技创新”三大战略上取得了较好成绩，但也面临核心技术受限、网络安全形势严峻、金融创新压力加大等挑战，为此，银监会将深入贯彻落实十八届三中全会精神，创新监管机制，充分发挥市场的决定性作用，着力解决关乎全局、影响长远的问题。

会议要求，银行业信息科技工作要牢牢守住信息安全底线，切实开展信息科技顶层设计，深入落实“创新驱动”发展战略，深化银行科技工作体制机制改革，全面激发自主创新活力，以科技创新推动银行业发展转型，引领提升核心竞争力，不断增强风险抵御能力。

会议还举办了“外包——风险与发展”论坛，联盟负责人作为论坛嘉宾参加了论坛。联盟负责人结合联盟近年来的发展实际和经验积累，就如何防范外包业务风险、外包发展的趋势等与监管部门、股份制银行的嘉宾进行了讨论，就防范外包业务风险、外包发展趋势发表了看法。

一是采取更多的专业化外包服务是大势所趋。尤其是对中小银行来说，在科技人员、科技投入、科技能力、信息科技风险管控等方面都无法与全国性大银行和股份制银行相比，要达到较高水平的、持续化的信息化建设和运营水平，必须采取外包方式进行系统建设和风险防控。

二是外包服务采购方式发生了较大的变化。近年来，随着监管标准的提高，银行业外包服务采购也发生了较大的变化，从过去单纯项目开发外包向基础设施托管外包服务，甚至是应用托管外包转变。通过将自身的基础设施、应用系统托管给专业的机构，借助专业机构的专业化运维，中小银行提升了自身的信息科技建设和运营水平，增强了信息科技风险的防控水平，保障了信息系统的安全平稳运营。

三是外包风险集中趋势明显，应采取更严格的风险防控措施避免信息科技风险。随着基础设施托管、应用托管的银行越来越多，银行的信息科技风险逐步转移到了外包托管服务提供商，为有效控制银行信息科技风险，外包服务提供商应该采取比单体银行更加严格、完善地信息科技风险防控措施，才能有效地防范因外包服务提供商可能引发的银行信息科技风险。

会上，联盟负责人向与会嘉宾介绍了联盟的基本情况及近年来的信息科技风险防控工作。联盟作为银监会批准成立的第一家专门为中小银行提供后台共享服务的非银行金融机构，始终将信息科技风险的管控放在第一位去考虑，已按照监管要求建立了完善的“三道防线”信息科技风险治理架构；在信息科技管理、信息安全、研发测试管理、运维管理、数据管理、业务连续性管理等方面都建立了严格完善的制度、规范和流程，并在系统建设和运营过程中得到了落地执行和监督审计；在研发测试管理方面建立并借助工具实现的完整了基于全面风险管理框架的软件生命周期管理，有效地控制了软件开发和运维过程中的风险；在业务连续性方面，建立了较为完善的业务连续性管理策略和业务连续性计划，建立了“两地三中心”的灾备体系；每年都开展内部审计工作，定期邀请德勤、安永等知名中介机构开展外部审计评估工作，同时接受银监会和山东银监局的现场检查。通过这些信息科技风险防控措施的建设，有效提升联盟自身的信息科技风险防控能力，经过实践，有效地控制了风险事件的发生。

现在很多外包服务提供商并不接受银监会的监管，监管要求得不到执行的情况比比皆是。但是，2013年11月26日，在银监会信科部的推动之下，银行业信息科技外包服务监督检查联合工作平台和银行业信息科技外包服务组织正式成立了，包括联盟在内的国内第一批27家业内主要的应用托管、基础设施托管、项目和人力外包服务提供商参加了外包服务组织，并签署了自律公约，承诺积极贯彻落实银行业信息科技风险的监管政策要求，定期开展信息安全自查、自评估以及第三方评估，促进银行业监管政策落实，并接受联合工作平台的风险监测、评估和处置。联合工作平台和外包服务组织的成立，一方面使得外包服务组织在开展对银行的信息科技外包活动中，有了信息科技风险防控的责任，要采取满足监管要求的信息科技风险防控措施，确保银行信息科技运营的安全、稳定，另一方面监管部门也可以通过联合工作平台对外包服务提供商进行监督检查，以便提前掌控、识别和处置风险，真正做到监管部门、银行、外包服务提供商“三位一体”，共同防范银行业信息科技风险，对于有效防控银行业的信息科技风险具有重要的、甚至是里程碑的意义。