银行保险机构数据安全管理办法（2024年）第三十一条

第四章数据安全管理

第三十一条银行保险机构应当将数据委托处理纳入信息科技外包管理范围，在实施过程中不得将信息科技管理责任、数据安全主体责任外包，涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。供应链服务中涉及敏感级及以上数据处理的，银行保险机构应当加强对供应商的准入和安全管理。