久久精品国产色蜜蜜麻豆_日韩精品视频免费观看_91精品在线视频_成人高辣h视频一区二区在线观看

對《保險機(jī)構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》公開征求意見

　為了加強(qiáng)對保險機(jī)構(gòu)信息化工作的監(jiān)督管理，促進(jìn)信息化工作規(guī)范化與標(biāo)準(zhǔn)化建設(shè)，我會起草了《保險機(jī)構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》，現(xiàn)向社會公開征求意見。公眾可通過以下途徑和方式提出反饋意見：　

　　一、通過電子郵件將意見發(fā)送至：law＠circ.gov.cn。

　　二、通過信函方式將意見寄至：北京市西城區(qū)金融大街15號中國保監(jiān)會法規(guī)部法規(guī)處（郵政編碼：100033），并請在信封上注明“信息化監(jiān)管規(guī)定征求意見”字樣。

　　三、通過傳真方式將意見發(fā)送至：010-66288161。

　　意見反饋截止時間為2015年10月31日?！　?/p>

　　保險機(jī)構(gòu)信息化監(jiān)管規(guī)定
(征求意見稿)

第一章總則

　　第一條[制訂目的]為了加強(qiáng)對保險機(jī)構(gòu)信息化工作的監(jiān)督管理，促進(jìn)信息化工作規(guī)范化與標(biāo)準(zhǔn)化建設(shè)，有效防范和化解新技術(shù)風(fēng)險，切實維護(hù)保險業(yè)信息安全，根據(jù)《中華人民共和國保險法》、《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律、行政法規(guī)，制定本規(guī)定。

　　第二條[適用范圍]本規(guī)定適用于在中華人民共和國境內(nèi)依法設(shè)立的保險機(jī)構(gòu)，包括保險集團(tuán)（控股）公司、保險公司和保險資產(chǎn)管理公司。

　　第三條[名詞釋義]本規(guī)定所稱保險機(jī)構(gòu)信息化，是指保險機(jī)構(gòu)將計算機(jī)、通信、網(wǎng)絡(luò)等現(xiàn)代信息技術(shù)，應(yīng)用于業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面，持續(xù)提高運營效率、優(yōu)化內(nèi)部資源配置和提升風(fēng)險防范水平的過程。

　　信息化工作內(nèi)容包括建立健全信息化治理機(jī)制、制定實施信息化管理制度、規(guī)劃建設(shè)信息化基礎(chǔ)設(shè)施、采購開發(fā)信息化系統(tǒng)，以及建立相應(yīng)的安全保障體系等。

　　第四條[基本原則]保險機(jī)構(gòu)信息化工作要遵循安全性、可靠性和有效性相統(tǒng)一的原則，堅持信息化戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相融合、技術(shù)路線與科技發(fā)展方向相一致、應(yīng)用系統(tǒng)與管理需求相適應(yīng)的基本要求，統(tǒng)籌規(guī)劃本機(jī)構(gòu)的信息化工作，處理好安全與發(fā)展、安全與建設(shè)、安全與運營的關(guān)系，保障本機(jī)構(gòu)信息系統(tǒng)安全穩(wěn)定持續(xù)運行。

　　第五條[執(zhí)行標(biāo)準(zhǔn)]保險機(jī)構(gòu)信息化工作應(yīng)當(dāng)符合國家有關(guān)規(guī)定和中國保險監(jiān)督管理委員會（以下簡稱中國保監(jiān)會）的要求。

　　保險機(jī)構(gòu)是信息化工作的責(zé)任主體。保險機(jī)構(gòu)法定代表人對本機(jī)構(gòu)信息化工作承擔(dān)首要責(zé)任。

　　第六條[監(jiān)督管理]中國保監(jiān)會依法對保險機(jī)構(gòu)的信息化工作實施監(jiān)督管理?！　?/p>

第二章 信息化治理　　

　　第七條[名詞釋義]信息化治理是指保險機(jī)構(gòu)通過明確有關(guān)信息化決策權(quán)歸屬機(jī)制和信息化責(zé)任承擔(dān)機(jī)制，合理利用信息化資源，達(dá)到推動業(yè)務(wù)發(fā)展、促進(jìn)收益最大化等戰(zhàn)略目標(biāo)的過程。

　　第八條[董事會職責(zé)]保險機(jī)構(gòu)董事會應(yīng)當(dāng)履行以下信息化工作管理職責(zé)：

　　（一）貫徹國家信息化工作的法律、行政法規(guī)、技術(shù)標(biāo)準(zhǔn)和中國保監(jiān)會的要求；

　　（二）審查批準(zhǔn)本機(jī)構(gòu)信息化工作戰(zhàn)略規(guī)劃，確保與總體業(yè)務(wù)戰(zhàn)略和重大策略相一致；

　　（三）建立分工合理、職責(zé)明確、相互制衡、報告關(guān)系清晰的信息化治理組織架構(gòu)；

　?。ㄋ模┍Ｕ闲畔⒒ぷ魉栀Y金；

　?。ㄎ澹┱莆展局饕男畔⒒ぷ髑闆r，審閱并向中國保監(jiān)會報送信息化工作年度報告；

　　（六）強(qiáng)化本機(jī)構(gòu)人員的信息化意識和信息安全意識，加強(qiáng)信息技術(shù)專業(yè)隊伍建設(shè)，建立人才激勵機(jī)制；

　?。ㄆ撸┍Ｕ蟽?nèi)部審計部門進(jìn)行獨立有效的信息化工作審計，對審計報告進(jìn)行確認(rèn)并組織整改；

　　（八）確保本機(jī)構(gòu)涉及客戶、賬務(wù)，以及產(chǎn)品等信息的核心系統(tǒng)在中華人民共和國境內(nèi)獨立運行，并保持最高的管理權(quán)限，符合中國保監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求；

　?。ň牛┘皶r向中國保監(jiān)會報告本機(jī)構(gòu)發(fā)生的重大信息安全事故或者突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)；

　　（十）配合中國保監(jiān)會做好信息化工作監(jiān)督檢查，并按照監(jiān)管意見進(jìn)行整改；

　?。ㄊ唬﹪蚁嚓P(guān)部門、中國保監(jiān)會要求的其他信息化工作。

　　第九條[信息化工作委員會]保險機(jī)構(gòu)應(yīng)當(dāng)設(shè)立由董事會直接領(lǐng)導(dǎo)管理下的信息化工作委員會。信息化工作委員會主任由董事長、總經(jīng)理或者執(zhí)行董事?lián)危蓡T應(yīng)當(dāng)包括首席信息官、信息技術(shù)部門和主要業(yè)務(wù)部門代表。

　　信息化工作委員會有權(quán)向董事會直接報告和提出建議。由其負(fù)責(zé)承辦董事會交辦的信息化工作事項并監(jiān)督落實，并定期向董事會和高級管理層匯報信息化工作整體情況。

　　第十條[首席信息官]保險機(jī)構(gòu)應(yīng)當(dāng)設(shè)立首席信息官。首席信息官直接對信息化工作委員會主任負(fù)責(zé)，參與本機(jī)構(gòu)決策。首席信息官、信息化工作委員會主任對信息化工作承擔(dān)主要責(zé)任。

　　首席信息官的職責(zé)包括：

　?。ㄒ唬┲苯訁⑴c本機(jī)構(gòu)信息化工作有關(guān)的業(yè)務(wù)發(fā)展和經(jīng)營管理決策；

　　（二）推動信息化戰(zhàn)略規(guī)劃納入本機(jī)構(gòu)全面發(fā)展框架，信息系統(tǒng)開發(fā)戰(zhàn)略規(guī)劃應(yīng)當(dāng)符合本機(jī)構(gòu)的總體業(yè)務(wù)戰(zhàn)略規(guī)劃和風(fēng)險管理策略；

　?。ㄈ┴?fù)責(zé)信息技術(shù)部門的領(lǐng)導(dǎo)與管理，承擔(dān)本機(jī)構(gòu)的信息化工作職責(zé)；

　?。ㄋ模┴?fù)責(zé)建立健全信息化制度規(guī)則體系；

　?。ㄎ澹┍Ｕ闲畔⒒ぷ鞴芾淼挠行?，并使有關(guān)管理措施落實到內(nèi)設(shè)部門和分支機(jī)構(gòu)；

　　（六）組織公司專業(yè)培訓(xùn)，提高人才隊伍的專業(yè)技能；

　?。ㄆ撸┞男袊蚁嚓P(guān)部門、中國保監(jiān)會要求的其他信息化工作職責(zé)。

　　第十一條[任職條件]保險機(jī)構(gòu)首席信息官應(yīng)當(dāng)由本機(jī)構(gòu)董事會成員或者高級管理人員擔(dān)任，并應(yīng)當(dāng)具備以下條件：

　?。ㄒ唬┚哂姓\實信用的職業(yè)操守、良好的合規(guī)意識，具備履行職務(wù)必需的知識結(jié)構(gòu)和專業(yè)技術(shù)能力；

　?。ǘ氖滦畔⒓夹g(shù)工作五年以上，且在金融機(jī)構(gòu)工作三年以上;或者其他足以證明其具有擬任職務(wù)所需知識、能力、經(jīng)驗的職業(yè)經(jīng)歷。

　　第十二條[信息技術(shù)部門]保險機(jī)構(gòu)應(yīng)當(dāng)設(shè)立信息技術(shù)部門，統(tǒng)一負(fù)責(zé)本機(jī)構(gòu)信息化工作規(guī)劃、建設(shè)、管理和運行維護(hù)等，承擔(dān)本機(jī)構(gòu)信息化工作委員會日常工作。

　　第十三條[明確職責(zé)]保險機(jī)構(gòu)應(yīng)當(dāng)明確本機(jī)構(gòu)內(nèi)設(shè)部門及分支機(jī)構(gòu)信息化工作職責(zé)，并加強(qiáng)指導(dǎo)與監(jiān)督。

　　第十四條[規(guī)劃制訂]保險機(jī)構(gòu)應(yīng)當(dāng)建立信息化規(guī)劃的制定、實施、評估和修訂的工作機(jī)制。根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略，制定明確的中長期信息化規(guī)劃，規(guī)劃期為三至五年。

　　規(guī)劃的制定、實施、修訂應(yīng)當(dāng)由本機(jī)構(gòu)信息化工作委員會提交董事會審議批準(zhǔn)。

　　第十五條[執(zhí)行機(jī)制]保險機(jī)構(gòu)應(yīng)當(dāng)制定明確的信息化工作制度，明確實施標(biāo)準(zhǔn)和操作流程，及時更新、發(fā)布。

　　保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)公司總體業(yè)務(wù)規(guī)劃和信息化工作需要，制定專門的信息化經(jīng)費預(yù)算，確保資金投入，有效支持業(yè)務(wù)發(fā)展。

　　保險機(jī)構(gòu)應(yīng)當(dāng)制定有利于公司可持續(xù)發(fā)展的信息化人力資源政策，健全信息技術(shù)專業(yè)人才激勵機(jī)制，合理配備信息技術(shù)人員，并定期對信息技術(shù)人員和公司其他人員分別開展專業(yè)技術(shù)培訓(xùn)。

　　第十六條[內(nèi)部審計]保險機(jī)構(gòu)應(yīng)當(dāng)在內(nèi)部審計部門設(shè)立專門的信息化風(fēng)險審計崗位，配備足夠的資源和具有專業(yè)能力的信息化工作審計人員，對本機(jī)構(gòu)信息化工作進(jìn)行全面、獨立審計。

　　第十七條[集團(tuán)管理]保險集團(tuán)（控股）公司根據(jù)自身總體業(yè)務(wù)規(guī)劃和風(fēng)險管控要求，可以對各子公司信息化工作實行集中管理，但各法人機(jī)構(gòu)之間的信息系統(tǒng)、原始數(shù)據(jù)等應(yīng)當(dāng)有效隔離，并各自承擔(dān)信息安全風(fēng)險管理責(zé)任。

　　保險集團(tuán)（控股）公司和子公司依法對信息安全關(guān)聯(lián)風(fēng)險事故承擔(dān)責(zé)任?！　?/p>

第三章 信息系統(tǒng)建設(shè)與運行維護(hù)　

　　第十八條[架構(gòu)規(guī)劃]保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本機(jī)構(gòu)的總體業(yè)務(wù)發(fā)展戰(zhàn)略和信息化風(fēng)險管理策略，對信息系統(tǒng)建設(shè)與運行維護(hù)進(jìn)行總體規(guī)劃，加強(qiáng)各信息系統(tǒng)之間的集成與整合，實現(xiàn)財務(wù)、業(yè)務(wù)等核心系統(tǒng)的無縫對接，促進(jìn)經(jīng)營管理流程信息化，滿足保險監(jiān)管數(shù)據(jù)采集要求和保險業(yè)信息共享需要。

　　第十九條[制度框架]保險機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息系統(tǒng)管理組織，制定覆蓋信息系統(tǒng)全生命周期的管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)范，保障信息系統(tǒng)規(guī)劃、建設(shè)和運行維護(hù)各項工作的安全實施。

　　第二十條[安全定級]保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)國家信息安全等級保護(hù)有關(guān)規(guī)定和所涉信息對機(jī)構(gòu)經(jīng)營管理的重要程度，合理確定信息系統(tǒng)的安全等級。涉及國家安全、本機(jī)構(gòu)商業(yè)秘密和客戶隱私等敏感信息的核心系統(tǒng)應(yīng)當(dāng)參照高等級標(biāo)準(zhǔn)定級，并按照相應(yīng)等級要求對信息系統(tǒng)進(jìn)行建設(shè)和運行維護(hù)。重要信息系統(tǒng)定級情況應(yīng)當(dāng)根據(jù)中國保監(jiān)會要求進(jìn)行備案。

　　第二十一條[開發(fā)形式]保險機(jī)構(gòu)應(yīng)當(dāng)增強(qiáng)信息系統(tǒng)的自主研發(fā)能力。根據(jù)自身情況，信息系統(tǒng)開發(fā)還可以采取合作開發(fā)、定制開發(fā)和外包開發(fā)等形式。

　　對合作開發(fā)和外包開發(fā)，保險機(jī)構(gòu)應(yīng)當(dāng)通過合同約定源代碼所有權(quán)歸屬，確保擁有合理的源代碼使用授權(quán)或者所有權(quán)，嚴(yán)格防范合作開發(fā)商或者外包商終止服務(wù)導(dǎo)致的風(fēng)險。

　　第二十二條[開發(fā)測試]保險機(jī)構(gòu)信息系統(tǒng)的開發(fā)測試應(yīng)當(dāng)與生產(chǎn)管理嚴(yán)格分離，不得使用未脫敏的生產(chǎn)數(shù)據(jù)用于開發(fā)、測試環(huán)境。嚴(yán)格限制開發(fā)人員訪問源代碼的權(quán)限，并保障核心系統(tǒng)開發(fā)實施安全。

　　信息系統(tǒng)正式上線運行前，應(yīng)當(dāng)對其功能、性能及安全性進(jìn)行測試，核心系統(tǒng)原則上應(yīng)當(dāng)通過第三方測試機(jī)構(gòu)測試；面向互聯(lián)網(wǎng)應(yīng)用的系統(tǒng)還應(yīng)當(dāng)通過第三方安全測試。信息系統(tǒng)的重大改造升級應(yīng)當(dāng)按照新信息系統(tǒng)建設(shè)標(biāo)準(zhǔn)進(jìn)行測試。

　　信息系統(tǒng)經(jīng)測試合格，并由本機(jī)構(gòu)信息技術(shù)部門和業(yè)務(wù)部門共同批準(zhǔn)后方可上線運行。

　　第二十三條[系統(tǒng)運行維護(hù)]保險機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息系統(tǒng)運行維護(hù)管理流程，清晰界定信息技術(shù)部門和業(yè)務(wù)部門的運行維護(hù)職責(zé)，并按照下列要求建立信息系統(tǒng)的身份鑒別、權(quán)限分配、操作審計、故障處理規(guī)范：

　?。ㄒ唬┌凑盏燃壉Ｗo(hù)要求建立相應(yīng)的身份鑒別機(jī)制；

　?。ǘ﹪?yán)格規(guī)范帳號權(quán)限分配、使用和回收管理流程；

　　（三）信息系統(tǒng)運行維護(hù)操作日志應(yīng)當(dāng)按照國家有關(guān)要求和業(yè)務(wù)經(jīng)營需要進(jìn)行分類保存；

　?。ㄋ模┙⑿畔⑾到y(tǒng)故障全面記錄、分析和解決機(jī)制。

　　第二十四條[系統(tǒng)變更與數(shù)據(jù)遷移、修改]信息系統(tǒng)變更和數(shù)據(jù)遷移時，應(yīng)當(dāng)制定合理的技術(shù)方案，充分測試，做好備份，保證信息系統(tǒng)及數(shù)據(jù)安全。嚴(yán)格控制后臺修改系統(tǒng)數(shù)據(jù)，確需修改的要做到事前批準(zhǔn)、事中監(jiān)控和事后留痕。

　　第二十五條[安全防護(hù)]保險機(jī)構(gòu)應(yīng)當(dāng)按照下列要求建立健全信息系統(tǒng)備份及災(zāi)難恢復(fù)、防病毒、密碼管理、入侵檢測、審計等安全管理機(jī)制：

　?。ㄒ唬└鶕?jù)數(shù)據(jù)及系統(tǒng)的重要性，明確數(shù)據(jù)及系統(tǒng)的備份與災(zāi)難恢復(fù)策略；

　?。ǘ┘訌?qiáng)密碼設(shè)備及使用人員管理，使用符合國家標(biāo)準(zhǔn)和加密要求的技術(shù)和產(chǎn)品；

　?。ㄈ┎扇阂獯a防范措施，確保具備主動發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力；

　?。ㄋ模┬畔⑾到y(tǒng)日志在保存期限內(nèi)內(nèi)容不得刪除、修改或者覆蓋，并實現(xiàn)對關(guān)鍵崗位、異常操作等高風(fēng)險因素的審計。

　　第二十六條[互聯(lián)網(wǎng)應(yīng)用]保險機(jī)構(gòu)應(yīng)當(dāng)按照下列要求加強(qiáng)對門戶網(wǎng)站、社交網(wǎng)絡(luò)公眾賬號等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的管理：

　?。ㄒ唬└鶕?jù)國家有關(guān)規(guī)定備案；

　?。ǘ┙⒕W(wǎng)站信息發(fā)布審批制度，嚴(yán)格控制網(wǎng)站內(nèi)容發(fā)布權(quán)限；

　?。ㄈ┘訌?qiáng)技術(shù)保障和運行監(jiān)控，保障網(wǎng)絡(luò)交易安全和交易記錄可追溯。

　　第二十七條[文檔完備]保險機(jī)構(gòu)的重要信息系統(tǒng)有關(guān)資料和信息系統(tǒng)的重要信息應(yīng)當(dāng)按照中國保監(jiān)會要求備案。

　　保險機(jī)構(gòu)要建立覆蓋信息系統(tǒng)全生命周期的文檔管理體系，確保文檔記錄完整、及時、有效?！?/p>

第四章 基礎(chǔ)設(shè)施建設(shè)與保障　

　　第二十八條[基礎(chǔ)設(shè)施]基礎(chǔ)設(shè)施指保障信息系統(tǒng)運行的物理環(huán)境，主要包括數(shù)據(jù)中心和網(wǎng)絡(luò)資源。

　　本規(guī)定所稱數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心（以下簡稱災(zāi)備中心）。

　　生產(chǎn)中心是指保險機(jī)構(gòu)對全部業(yè)務(wù)、客戶和管理等重要信息進(jìn)行集中存儲、處理和維護(hù)，具備專用場所，為業(yè)務(wù)運營及管理提供信息化支撐服務(wù)的組織。

　　災(zāi)備中心是指保險機(jī)構(gòu)為保障其業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、停頓或者癱瘓后，能夠接替生產(chǎn)中心運行，具備專用場所，進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運行的組織。

　　災(zāi)備中心同城模式（以下簡稱同城災(zāi)備）是指災(zāi)備中心與生產(chǎn)中心位于同一地理區(qū)域，一般距離數(shù)十公里，可防范火災(zāi)、建筑物破壞、電力或者通信系統(tǒng)中斷等事件。災(zāi)備中心異地模式（以下簡稱異地災(zāi)備）是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域，一般距離在數(shù)百公里以上，不會同時面臨同類區(qū)域性災(zāi)難風(fēng)險，如地震、臺風(fēng)和洪水等。

　　本規(guī)定所稱網(wǎng)絡(luò)資源是指支撐系統(tǒng)運行的網(wǎng)絡(luò)專線、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)地址、網(wǎng)絡(luò)域名以及相關(guān)網(wǎng)絡(luò)設(shè)備等虛擬及物理設(shè)施。

　　第二十九條[規(guī)劃設(shè)計]保險機(jī)構(gòu)應(yīng)當(dāng)以本機(jī)構(gòu)業(yè)務(wù)總體規(guī)劃為根本,圍繞數(shù)據(jù)資產(chǎn)的管理和應(yīng)用,科學(xué)規(guī)劃數(shù)據(jù)中心的總體架構(gòu)和實施路線,保證網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、安全各要素有機(jī)結(jié)合。

　　數(shù)據(jù)中心規(guī)劃應(yīng)當(dāng)報中國保監(jiān)會備案。

　　第三十條[建設(shè)時間]保險機(jī)構(gòu)在籌備時，應(yīng)當(dāng)按照中國保監(jiān)會規(guī)定的信息化建設(shè)準(zhǔn)入標(biāo)準(zhǔn)設(shè)立生產(chǎn)中心。生產(chǎn)中心運行五年內(nèi)建立災(zāi)備中心，災(zāi)備中心的建設(shè)與管理必須達(dá)到中國保監(jiān)會規(guī)定的標(biāo)準(zhǔn)。

　　保險機(jī)構(gòu)應(yīng)當(dāng)不斷完善生產(chǎn)中心、同城災(zāi)備、異地災(zāi)備的災(zāi)難備份體系，逐步實現(xiàn)更高安全水平的信息系統(tǒng)運行模式，切實提高防災(zāi)減災(zāi)能力，保障業(yè)務(wù)連續(xù)性。

　　第三十一條[建設(shè)標(biāo)準(zhǔn)]保險機(jī)構(gòu)可以采取自建、共建、外包的方式設(shè)立數(shù)據(jù)中心，數(shù)據(jù)中心的機(jī)房設(shè)計標(biāo)準(zhǔn)必須符合國家標(biāo)準(zhǔn)規(guī)范和中國保監(jiān)會的要求。

　　數(shù)據(jù)來源于中華人民共和國境內(nèi)的，數(shù)據(jù)中心的物理位置應(yīng)當(dāng)位于境內(nèi)。

　　第三十二條[人員管理]保險機(jī)構(gòu)應(yīng)當(dāng)指定專門機(jī)構(gòu)和專業(yè)隊伍負(fù)責(zé)數(shù)據(jù)中心運營與管理，明確數(shù)據(jù)中心各崗位人員職責(zé)，建立完善運行指標(biāo)體系和服務(wù)評價體系，保證運行維護(hù)隊伍人員穩(wěn)定、工作高效。

　　第三十三條[管理制度]保險機(jī)構(gòu)應(yīng)當(dāng)建立健全并嚴(yán)格執(zhí)行數(shù)據(jù)中心管理制度、技術(shù)規(guī)范、操作指南，包括機(jī)房管理、運行管理、設(shè)備管理、數(shù)據(jù)管理、應(yīng)急管理等。

　　第三十四條[安全管理]保險機(jī)構(gòu)數(shù)據(jù)中心應(yīng)當(dāng)設(shè)置安全工作機(jī)構(gòu)，加強(qiáng)人員安全、物理環(huán)境安全、設(shè)備資產(chǎn)安全、操作安全、運行維護(hù)安全、鏈路安全、網(wǎng)絡(luò)安全及應(yīng)用安全等方面的安全管理。

　　第三十五條[設(shè)施監(jiān)控]保險機(jī)構(gòu)應(yīng)當(dāng)對信息化基礎(chǔ)設(shè)施實施有效監(jiān)控。數(shù)據(jù)中心基礎(chǔ)設(shè)施安全防護(hù)和保障應(yīng)當(dāng)按功能區(qū)域劃分安全控制級別，不同級別區(qū)域采用獨立的出入控制設(shè)備并集中監(jiān)控。應(yīng)當(dāng)對基礎(chǔ)設(shè)施設(shè)備、機(jī)房環(huán)境狀況、安全防護(hù)系統(tǒng)狀況實行7×24小時實時監(jiān)測。深入應(yīng)用自動控制、虛擬化管理等新技術(shù)，提高監(jiān)控水平和效率。

　　第三十六條[網(wǎng)絡(luò)規(guī)劃]保險機(jī)構(gòu)網(wǎng)絡(luò)資源應(yīng)當(dāng)滿足高性能、高可用性、高安全性、可擴(kuò)展性等要求，為信息系統(tǒng)提供安全、穩(wěn)定、高效的運行環(huán)境。數(shù)據(jù)中心應(yīng)當(dāng)用兩條或者多條通信線路互為備份，互為備份的通信線路不得經(jīng)過同一路由節(jié)點。

　　第三十七條[外聯(lián)管理]保險機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)與保險中介機(jī)構(gòu)、第三方機(jī)構(gòu)等外聯(lián)單位網(wǎng)絡(luò)連接時，應(yīng)當(dāng)明確網(wǎng)絡(luò)外聯(lián)種類方式，采用可靠連接策略及技術(shù)手段，實現(xiàn)彼此有效隔離，并對跨網(wǎng)絡(luò)流量、網(wǎng)絡(luò)用戶行為等進(jìn)行記錄和定期審計?！?/p>

第五章 外包管理　

　　第三十八條[名詞釋義]本規(guī)定所稱外包是指保險機(jī)構(gòu)將本機(jī)構(gòu)信息化工作委托給服務(wù)提供商進(jìn)行處理的行為，包括咨詢外包、系統(tǒng)建設(shè)外包、系統(tǒng)運行維護(hù)外包、基礎(chǔ)設(shè)施外包和信息安全外包等。

　　第三十九條[建立制度]保險機(jī)構(gòu)實行信息化工作外包，應(yīng)當(dāng)制定完備的外包服務(wù)管理制度和風(fēng)險評估機(jī)制，確保有效應(yīng)對和處置外包風(fēng)險。

　　第四十條[審慎要求]保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)涉及信息資產(chǎn)的關(guān)鍵性和敏感程度，審慎確定外包服務(wù)范圍。信息系統(tǒng)安全管理責(zé)任不得外包。

　　下列外包實施前應(yīng)當(dāng)經(jīng)過本機(jī)構(gòu)董事會批準(zhǔn)，并按照中國保監(jiān)會要求報告：

　　（一）保險機(jī)構(gòu)對數(shù)據(jù)中心等基礎(chǔ)設(shè)施實施的整體外包；

　?。ǘι婕皣野踩⒈緳C(jī)構(gòu)商業(yè)秘密，以及客戶隱私等敏感內(nèi)容的信息系統(tǒng)外包。

　　第四十一條[外包資質(zhì)]保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)不同的外包業(yè)務(wù)要求，優(yōu)先選用具備信息安全管理體系認(rèn)證資質(zhì)的信息技術(shù)服務(wù)機(jī)構(gòu)提供外包服務(wù)。數(shù)據(jù)中心外包服務(wù)提供商應(yīng)當(dāng)符合本規(guī)定第四章所規(guī)定的標(biāo)準(zhǔn)和要求。

　　第四十二條[外包合同]保險機(jī)構(gòu)與外包服務(wù)提供商簽訂書面外包服務(wù)合同，合同應(yīng)當(dāng)包括外包服務(wù)范圍、安全保密、知識產(chǎn)權(quán)、業(yè)務(wù)連續(xù)性要求、爭端解決機(jī)制、合同變更或者終止的過渡安排、違約責(zé)任等條款。

　　保險機(jī)構(gòu)必須要求外包服務(wù)提供商承諾接受和配合中國保監(jiān)會對保險機(jī)構(gòu)信息化工作相關(guān)的現(xiàn)場檢查和日常監(jiān)督。

　　第四十三條[分包要求]保險機(jī)構(gòu)要嚴(yán)格控制外包服務(wù)提供商的轉(zhuǎn)包和分包行為。對于確有第三方外包服務(wù)提供商參與實施的項目應(yīng)當(dāng)采取嚴(yán)密措施，保證外包服務(wù)質(zhì)量和安全不受影響。

　　第四十四條[外包監(jiān)督]保險機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)外包服務(wù)提供商及其服務(wù)人員的管理，與外包服務(wù)提供商建立起有效的信息交流與溝通機(jī)制，保證外包服務(wù)人員的相對穩(wěn)定。

　　第四十五條[股東影響]保險機(jī)構(gòu)信息化建設(shè)和管理與其非保險類股東有重大關(guān)聯(lián)的，保險機(jī)構(gòu)信息化治理與規(guī)劃、業(yè)務(wù)、財務(wù)等核心系統(tǒng)和重要數(shù)據(jù)信息及其管理必須保持獨立完整。其他信息化事項外包給股東的，按照本規(guī)定外包要求實施管理。

　　第四十六條[購買保險]保險機(jī)構(gòu)應(yīng)當(dāng)優(yōu)先選擇購買相應(yīng)商業(yè)保險的外包服務(wù)提供商，以保障安全事件發(fā)生時外包服務(wù)提供商有足夠的經(jīng)濟(jì)賠償能力。

　　第四十七條[定期評估]保險機(jī)構(gòu)應(yīng)當(dāng)建立評估考核機(jī)制，定期對外包服務(wù)提供商的財務(wù)狀況、技術(shù)實力、安全資質(zhì)、風(fēng)險控制水平和誠信記錄等進(jìn)行審查、評估與考核，確保其設(shè)施和能力滿足外包要求?！　?/p>

第六章 信息安全管理　

　　第四十八條[信息安全]本規(guī)定所稱信息安全是指利用信息技術(shù)及管理手段，保護(hù)信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性。

　　信息安全包括網(wǎng)絡(luò)安全、系統(tǒng)安全和內(nèi)容安全，涵蓋物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、應(yīng)用、存儲、災(zāi)備、安全事件管理、人員等各層面安全。

　　第四十九條[基本要求]保險機(jī)構(gòu)要將信息安全置于信息化工作的首位，按照“積極防御、綜合防范”的原則，加強(qiáng)信息安全與信息系統(tǒng)的同步規(guī)劃、同步建設(shè)和同步使用，加強(qiáng)風(fēng)險管理與控制，充分利用管理機(jī)制和技術(shù)手段，增強(qiáng)安全防護(hù)能力，構(gòu)建完善的信息安全保障體系，確保重要信息系統(tǒng)持續(xù)穩(wěn)定運行，保障業(yè)務(wù)活動的連續(xù)性。

　　第五十條[機(jī)構(gòu)職責(zé)]保險機(jī)構(gòu)應(yīng)當(dāng)按照“誰主管、誰負(fù)責(zé)，誰運營、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”的原則，明確信息安全責(zé)任，強(qiáng)化安全意識，加強(qiáng)安全管理，全面落實信息安全管理責(zé)任制。

　　保險機(jī)構(gòu)法定代表人對本機(jī)構(gòu)信息安全承擔(dān)首要責(zé)任，首席信息官、信息化工作委員會主任對本機(jī)構(gòu)信息安全承擔(dān)主要責(zé)任。

　　保險機(jī)構(gòu)應(yīng)當(dāng)在信息技術(shù)部門設(shè)置專門機(jī)構(gòu)，并配備專職人員，履行以下安全職責(zé)：

　?。ㄒ唬┴瀼芈鋵崌液椭袊１O(jiān)會有關(guān)信息系統(tǒng)安全管理的法律、行政法規(guī)、技術(shù)標(biāo)準(zhǔn)和相關(guān)要求；

　?。ǘ┙M織公司信息系統(tǒng)安全規(guī)劃與建設(shè)工作，制定相關(guān)管理規(guī)定；

　?。ㄈ┙M織制定信息化風(fēng)險管理制度，建立風(fēng)險識別、計量、監(jiān)測和控制體系；

　?。ㄋ模┙⒂行У男畔⑾到y(tǒng)安全保障體系并定期或者根據(jù)工作需要及時進(jìn)行檢查、評估、審計、改進(jìn)、監(jiān)控等工作；

　　（五）對信息系統(tǒng)安全事件進(jìn)行管理、處置和上報；

　　（六）組織配備足夠具有專業(yè)知識和技能的信息安全工作人員；

　?。ㄆ撸┙M織公司員工信息系統(tǒng)安全教育與培訓(xùn)；

　?。ò耍╅_展與信息系統(tǒng)安全相關(guān)的其他工作。

　　第五十一條[制度體系]保險機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息安全分類和保護(hù)制度體系，明確系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等崗位職責(zé)、管理權(quán)限和技能要求，細(xì)化工作流程，建立有效的執(zhí)行機(jī)制、評估機(jī)制和監(jiān)督機(jī)制。制度體系包括以下內(nèi)容：

　?。ㄒ唬┬畔踩M織管理制度；

　?。ǘ┬畔⒒L(fēng)險管理與控制制度；

　?。ㄈ┤藛T安全管理制度；

　?。ㄋ模?shù)據(jù)安全管理制度；

　?。ㄎ澹┵Y產(chǎn)安全管理制度；

　?。┪锢砼c環(huán)境安全管理制度；

　　（七）訪問控制管理制度；

　?。ò耍┚W(wǎng)絡(luò)運行維護(hù)管理制度；

　?。ň牛┫到y(tǒng)開發(fā)與維護(hù)管理制度；

　?。ㄊI(yè)務(wù)連續(xù)性管理制度；

　?。ㄊ唬┖弦?guī)性管理制度；

　　（十二）信息安全事故管理制度；

　?。ㄊ┬畔⒒獍?wù)管理制度。

　　第五十二條[安全機(jī)制]保險機(jī)構(gòu)應(yīng)當(dāng)構(gòu)建完善的信息安全風(fēng)險控制策略。針對信息安全的各層面、各環(huán)節(jié)，建立職責(zé)明確的授權(quán)機(jī)制、審批流程，以及完備有效、相互制衡的內(nèi)部控制體系，定期根據(jù)安全風(fēng)險態(tài)勢進(jìn)行評審和完善。

　　第五十三條[安全可控]保險機(jī)構(gòu)應(yīng)當(dāng)優(yōu)先采購安全可控的硬件設(shè)備和軟件產(chǎn)品，穩(wěn)步推進(jìn)安全可控產(chǎn)品應(yīng)用；積極創(chuàng)造條件，提高關(guān)鍵業(yè)務(wù)系統(tǒng)的自主研發(fā)水平，不斷增強(qiáng)保險機(jī)構(gòu)信息化工作的安全可控能力。

　　第五十四條[國產(chǎn)密碼]保險機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照國家金融領(lǐng)域密碼應(yīng)用工作規(guī)劃和實施要求，逐步實現(xiàn)國產(chǎn)密碼在電子保單及保險領(lǐng)域的全面應(yīng)用。

　　第五十五條[正版化]保險機(jī)構(gòu)應(yīng)當(dāng)切實提高軟件正版化意識和自主產(chǎn)權(quán)保護(hù)意識。禁止復(fù)制、傳播或者使用非授權(quán)軟件。對本機(jī)構(gòu)具有自主知識產(chǎn)權(quán)的信息產(chǎn)品，應(yīng)當(dāng)采取有效措施加以保護(hù)。

　　第五十六條[等級保護(hù)]保險機(jī)構(gòu)應(yīng)當(dāng)按照國家和中國保監(jiān)會信息系統(tǒng)安全規(guī)范、技術(shù)標(biāo)準(zhǔn)及等級保護(hù)管理要求，進(jìn)行定級、保護(hù)、備案、測評和整改，確保不同等級的信息系統(tǒng)具備相應(yīng)的安全防護(hù)能力。

　　第五十七條[安全認(rèn)證]保險機(jī)構(gòu)需要申請信息安全管理體系認(rèn)證的，應(yīng)當(dāng)按照國家有關(guān)規(guī)定及中國保監(jiān)會要求，選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)的機(jī)構(gòu)進(jìn)行認(rèn)證，并與認(rèn)證機(jī)構(gòu)簽訂安全和保密協(xié)議。

　　第五十八條[數(shù)據(jù)安全]保險機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)管理相關(guān)制度和流程，規(guī)范數(shù)據(jù)采集、傳輸、存儲、交換、備份、恢復(fù)和銷毀等環(huán)節(jié)，采取加密等手段防范數(shù)據(jù)泄露，保障信息數(shù)據(jù)的合法、合規(guī)使用，做好數(shù)據(jù)恢復(fù)有效性測試，防范災(zāi)難發(fā)生時數(shù)據(jù)丟失風(fēng)險。

　　外資保險機(jī)構(gòu)信息系統(tǒng)所載數(shù)據(jù)移至中華人民共和國境外的，應(yīng)當(dāng)符合我國有關(guān)法律法規(guī)。

　　第五十九條［終端管理］保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)安全管理有關(guān)規(guī)定對計算機(jī)、移動設(shè)備等各類終端分別制定安全管理制度，嚴(yán)格規(guī)范終端網(wǎng)絡(luò)準(zhǔn)入、安全策略、軟件安裝與卸載等管理。

　　第六十條[資產(chǎn)管理]保險機(jī)構(gòu)要建立軟硬件和數(shù)據(jù)資源等信息化資產(chǎn)管理制度，編制資產(chǎn)清單，明確資產(chǎn)管理責(zé)任部門與人員，規(guī)范資產(chǎn)分配、使用、存儲、維護(hù)和銷毀等行為，定期對資產(chǎn)清單進(jìn)行一致性檢查并保留檢查記錄。

　　第六十一條[介質(zhì)管理]保險機(jī)構(gòu)要制定介質(zhì)分類管理制度，根據(jù)介質(zhì)存儲內(nèi)容與重要性明確存儲介質(zhì)類型、存放技術(shù)指標(biāo)、保存期限等，并定期檢查介質(zhì)中存儲的信息是否完整可用。

　　重要備份介質(zhì)應(yīng)當(dāng)異地存放。介質(zhì)送出維修或者銷毀時，應(yīng)當(dāng)保證介質(zhì)信息預(yù)先得到審查并妥善處理。

　　對于存儲客戶隱私等涉密信息的存儲介質(zhì)，應(yīng)當(dāng)嚴(yán)格依據(jù)國家有關(guān)法律法規(guī)及中國保監(jiān)會要求保存與銷毀。

　　第六十二條[災(zāi)備恢復(fù)]保險機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)災(zāi)難恢復(fù)管理，制定業(yè)務(wù)連續(xù)性規(guī)劃，并定期進(jìn)行演練，以確保出現(xiàn)無法預(yù)見的中斷時信息系統(tǒng)仍能持續(xù)運行并提供服務(wù)。

　　第六十三條[應(yīng)急管理]保險機(jī)構(gòu)應(yīng)當(dāng)針對可能發(fā)生的信息安全重大突發(fā)事件，建立和完善分類應(yīng)急管理體系，與通信、電力、消防等基礎(chǔ)保障部門建立溝通機(jī)制，與業(yè)務(wù)系統(tǒng)、基礎(chǔ)設(shè)備等服務(wù)廠商建立協(xié)同機(jī)制，對重大自然災(zāi)害、惡意破壞等合理劃分應(yīng)急響應(yīng)等級，明確應(yīng)急響應(yīng)啟動程序、處理流程、上報要求、預(yù)警機(jī)制等。

　　保險機(jī)構(gòu)應(yīng)當(dāng)每年至少進(jìn)行一次應(yīng)急演練，針對演練中暴露出的風(fēng)險隱患進(jìn)行整改。

　　第六十四條[新技術(shù)安全]保險機(jī)構(gòu)應(yīng)當(dāng)主動跟蹤研究應(yīng)用新興信息技術(shù)，在推進(jìn)業(yè)務(wù)創(chuàng)新的同時，提高信息安全防護(hù)能力，防范和控制新技術(shù)應(yīng)用帶來的新風(fēng)險。

　　保險機(jī)構(gòu)需要使用云計算服務(wù)的,要充分評估使用云計算服務(wù)的價值和風(fēng)險。重點關(guān)注云計算提供商滿足服務(wù)等級協(xié)定以及提供連續(xù)穩(wěn)定云服務(wù)的能力，并充分考慮敏感數(shù)據(jù)在云計算平臺上運行的安全性、所采取的安全控制措施的可靠性以及系統(tǒng)和數(shù)據(jù)遷移方案完善性等風(fēng)險因素。　　

第七章 內(nèi)部審計　

　　第六十五條[審計要求]保險機(jī)構(gòu)內(nèi)部審計部門應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)信息系統(tǒng)及其控制的適當(dāng)性、合規(guī)性和有效性進(jìn)行獨立于本機(jī)構(gòu)日?；顒拥膶徲?。

　　第六十六條[審計職責(zé)]保險機(jī)構(gòu)信息化工作內(nèi)部審計部門的職責(zé)：

　?。ㄒ唬┲贫ê蛯嵤徲嬘媱潱瑱z查和評估保險機(jī)構(gòu)信息系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性；

　　（二）按照審計計劃和要求完成審計工作；

　?。ㄈπ畔踩蛘咂渌厥馐马椷M(jìn)行專項審計；

　?。ㄋ模z查、督促整改意見的落實情況。

　　第六十七條[范圍與頻率]保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息技術(shù)應(yīng)用情況，以及信息技術(shù)風(fēng)險評估結(jié)果，決定信息化工作內(nèi)部審計的范圍和頻率，但至少應(yīng)當(dāng)每兩年進(jìn)行一次全面審計。

　　第六十八條[內(nèi)審參與]保險機(jī)構(gòu)進(jìn)行重要信息系統(tǒng)建設(shè)時應(yīng)當(dāng)要求內(nèi)部審計部門參與監(jiān)督。

第八章 外部審計　

　　第六十九條[規(guī)定要求]保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律、行政法規(guī)和中國保監(jiān)會要求，定期委托具備相應(yīng)資質(zhì)的外部審計機(jī)構(gòu)進(jìn)行信息化工作外部審計。

　　第七十條[委托授權(quán)]在委托審計過程中，保險機(jī)構(gòu)應(yīng)當(dāng)確保外部審計機(jī)構(gòu)能夠?qū)Ρ緳C(jī)構(gòu)的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息系統(tǒng)存在的風(fēng)險。

　　國家法律法規(guī)和中國保監(jiān)會規(guī)定的重要商業(yè)、技術(shù)秘密信息不在檢查范圍。

　　第七十一條[審計頻率]保險機(jī)構(gòu)至少應(yīng)當(dāng)每兩年進(jìn)行一次外部審計。

　　第七十二條[配合審計]保險機(jī)構(gòu)實施外部審計前應(yīng)當(dāng)與外部審計機(jī)構(gòu)進(jìn)行充分溝通，詳細(xì)確定審計范圍，不得隱瞞事實或者阻撓審計。

　　第七十三條[保密要求]保險機(jī)構(gòu)在委托外部審計機(jī)構(gòu)進(jìn)行外部審計時，應(yīng)當(dāng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本機(jī)構(gòu)的商業(yè)秘密和信息化風(fēng)險信息，防止其擅自對本機(jī)構(gòu)提供的文件資料進(jìn)行修改復(fù)制或者帶離現(xiàn)場。　　

第九章 監(jiān)督管理　　

　　第七十四條[監(jiān)管原則]中國保監(jiān)會對保險機(jī)構(gòu)信息系統(tǒng)實行分類、分級監(jiān)督管理。

　　第七十五條[監(jiān)管內(nèi)容]中國保監(jiān)會依法組織制定和推動執(zhí)行保險業(yè)信息化標(biāo)準(zhǔn)，并根據(jù)保險業(yè)信息化風(fēng)險狀況，對保險機(jī)構(gòu)進(jìn)行信息化風(fēng)險提示，督促保險機(jī)構(gòu)采取針對性措施消除信息化風(fēng)險隱患。

　　第七十六條[開業(yè)驗收]保險機(jī)構(gòu)設(shè)立時信息化建設(shè)應(yīng)當(dāng)達(dá)到中國保監(jiān)會規(guī)定的準(zhǔn)入標(biāo)準(zhǔn)和要求，且經(jīng)過驗收后方可對外營業(yè)。

　　第七十七條[非現(xiàn)場監(jiān)管]保險機(jī)構(gòu)應(yīng)當(dāng)按中國保監(jiān)會要求定期報送信息化風(fēng)險管理報表以及不定期報送專項臨時報表。

　　中國保監(jiān)會根據(jù)信息化風(fēng)險管理報表情況對保險機(jī)構(gòu)進(jìn)行評價，相關(guān)監(jiān)管指標(biāo)納入償付能力監(jiān)管體系，針對不同風(fēng)險等級采取相應(yīng)的監(jiān)管措施。

　　第七十八條[現(xiàn)場檢查]中國保監(jiān)會根據(jù)保險業(yè)信息化總體安全狀況、保險機(jī)構(gòu)信息化反映出的突出問題，可以組織現(xiàn)場檢查，存在下列情形的保險機(jī)構(gòu)可以作為重點檢查對象：

　　（一）信息化建設(shè)存在重大安全隱患的；

　?。ǘ┌l(fā)生信息系統(tǒng)重大突發(fā)性事件的；

　?。ㄈ┻`反中國保監(jiān)會信息化重大事項報告有關(guān)規(guī)定的；

　?。ㄋ模χ袊１O(jiān)會信息安全檢查中發(fā)現(xiàn)的嚴(yán)重信息安全隱患未采取措施進(jìn)行整改或者整改不力的；

　?。ㄎ澹┻`反合規(guī)性要求，逃避中國保監(jiān)會或者有關(guān)部門檢查和處罰，惡意對信息系統(tǒng)數(shù)據(jù)進(jìn)行篡改的；

　?。┰趫笏托畔⒒黝悎蟊頂?shù)據(jù)中，存在嚴(yán)重誤報、漏報、錯報、遲報等行為，且屢錯不改或者整改不力的；

　?。ㄆ撸┲袊１O(jiān)會認(rèn)為有必要進(jìn)行信息化重點檢查的其他情形。

　　第七十九條[外聘審計]中國保監(jiān)會認(rèn)為必要時可指定具備相應(yīng)資質(zhì)的外部審計機(jī)構(gòu)對保險機(jī)構(gòu)信息化工作進(jìn)行審計。外部審計機(jī)構(gòu)根據(jù)中國保監(jiān)會委托對保險機(jī)構(gòu)進(jìn)行審計時，應(yīng)當(dāng)出示委托書，并依照委托書規(guī)定的范圍進(jìn)行審計。

　　第八十條[審計報告]保險機(jī)構(gòu)內(nèi)部審計、外部審計應(yīng)當(dāng)按照中國保監(jiān)會頒布的信息化審計規(guī)范標(biāo)準(zhǔn)和要求進(jìn)行，且應(yīng)當(dāng)在每次審計結(jié)束后三個月內(nèi)將審計報告報中國保監(jiān)會備案。

　　第八十一條[滲透測試]中國保監(jiān)會在對保險機(jī)構(gòu)信息安全進(jìn)行檢查時，可以委托具有相應(yīng)資質(zhì)的信息安全監(jiān)測機(jī)構(gòu)進(jìn)行有針對性的風(fēng)險滲透測試。保險機(jī)構(gòu)應(yīng)當(dāng)根據(jù)中國保監(jiān)會要求，委托具有相應(yīng)資質(zhì)的信息安全監(jiān)測機(jī)構(gòu)進(jìn)行風(fēng)險滲透測試，并針對產(chǎn)生的問題進(jìn)行技術(shù)修正。

　　第八十二條[共同監(jiān)督]對涉及信息化外包服務(wù)提供商信息安全監(jiān)管的有關(guān)事項，中國保監(jiān)會與國家信息安全有關(guān)部門建立監(jiān)管合作機(jī)制，實施有效監(jiān)督。

　　第八十三條[派出機(jī)構(gòu)]中國保監(jiān)會派出機(jī)構(gòu)負(fù)責(zé)轄區(qū)內(nèi)保險公司分支機(jī)構(gòu)、保險資產(chǎn)管理公司分支機(jī)構(gòu)信息化工作的監(jiān)督管理。中國保監(jiān)會派出機(jī)構(gòu)可以參照本規(guī)定制定轄區(qū)內(nèi)信息化工作監(jiān)督管理辦法。

　　中國保監(jiān)會派出機(jī)構(gòu)接受中國保監(jiān)會委托開展轄區(qū)內(nèi)保險集團(tuán)（控股）公司、保險公司和保險資產(chǎn)管理公司信息化檢查等工作。

　　第八十四條[集團(tuán)分工]本規(guī)定實施后，保險集團(tuán)（控股）公司與子公司有關(guān)信息化工作職責(zé)分工和責(zé)任落實情況，應(yīng)當(dāng)按照中國保監(jiān)會要求備案，如有變化，及時報告。

　　第八十五條[處罰規(guī)定]保險機(jī)構(gòu)違反本規(guī)定，中國保監(jiān)會可以依法對保險機(jī)構(gòu)及其相關(guān)責(zé)任人采取責(zé)令改正、監(jiān)管談話、出具監(jiān)管函、通報等措施；情節(jié)嚴(yán)重的，依法給予行政處罰?！　?/p>

第十章 附　則　　

　　第八十六條未設(shè)立董事會的保險機(jī)構(gòu)由本機(jī)構(gòu)高級管理層承擔(dān)本規(guī)定賦予董事會的職責(zé)。境外保險公司分公司視為保險機(jī)構(gòu)管理。

　　第八十七條保險中介機(jī)構(gòu)信息化監(jiān)管制度由中國保監(jiān)會另行制定。

　　第八十八條本規(guī)定由中國保監(jiān)會負(fù)責(zé)解釋。

　　第八十九條本規(guī)定自年月日起施行。中國保監(jiān)會2009年12月29日發(fā)布的《保險公司信息化工作管理指引（試行）》（保監(jiān)發(fā)﹝2009﹞133號）同時廢止。