|
對《保險機構(gòu)信息化監(jiān)管規(guī)定(征求意見稿)》公開征求意見
為了加強對保險機構(gòu)信息化工作的監(jiān)督管理,促進信息化工作規(guī)范化與標準化建設���,我會起草了《保險機構(gòu)信息化監(jiān)管規(guī)定(征求意見稿)》,現(xiàn)向社會公開征求意見���。公眾可通過以下途徑和方式提出反饋意見:
一���、通過電子郵件將意見發(fā)送至:law@circ.gov.cn。
二�����、通過信函方式將意見寄至:北京市西城區(qū)金融大街15號中國保監(jiān)會法規(guī)部法規(guī)處(郵政編碼:100033)�,并請在信封上注明“信息化監(jiān)管規(guī)定征求意見”字樣。
三�、通過傳真方式將意見發(fā)送至:010-66288161。
意見反饋截止時間為2015年10月31日�����?! ?/p>
保險機構(gòu)信息化監(jiān)管規(guī)定
(征求意見稿)
第一章總則
第一條[制訂目的]為了加強對保險機構(gòu)信息化工作的監(jiān)督管理,促進信息化工作規(guī)范化與標準化建設�����,有效防范和化解新技術風險,切實維護保險業(yè)信息安全���,根據(jù)《中華人民共和國保險法》�����、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等法律���、行政法規(guī),制定本規(guī)定�。
第二條[適用范圍]本規(guī)定適用于在中華人民共和國境內(nèi)依法設立的保險機構(gòu),包括保險集團(控股)公司���、保險公司和保險資產(chǎn)管理公司�。
第三條[名詞釋義]本規(guī)定所稱保險機構(gòu)信息化����,是指保險機構(gòu)將計算機、通信����、網(wǎng)絡等現(xiàn)代信息技術,應用于業(yè)務交易處理、經(jīng)營管理和內(nèi)部控制等方面����,持續(xù)提高運營效率、優(yōu)化內(nèi)部資源配置和提升風險防范水平的過程�����。
信息化工作內(nèi)容包括建立健全信息化治理機制���、制定實施信息化管理制度、規(guī)劃建設信息化基礎設施���、采購開發(fā)信息化系統(tǒng)���,以及建立相應的安全保障體系等。
第四條[基本原則]保險機構(gòu)信息化工作要遵循安全性�、可靠性和有效性相統(tǒng)一的原則,堅持信息化戰(zhàn)略與業(yè)務戰(zhàn)略相融合�����、技術路線與科技發(fā)展方向相一致���、應用系統(tǒng)與管理需求相適應的基本要求��,統(tǒng)籌規(guī)劃本機構(gòu)的信息化工作�,處理好安全與發(fā)展、安全與建設�����、安全與運營的關系����,保障本機構(gòu)信息系統(tǒng)安全穩(wěn)定持續(xù)運行。
第五條[執(zhí)行標準]保險機構(gòu)信息化工作應當符合國家有關規(guī)定和中國保險監(jiān)督管理委員會(以下簡稱中國保監(jiān)會)的要求���。
保險機構(gòu)是信息化工作的責任主體����。保險機構(gòu)法定代表人對本機構(gòu)信息化工作承擔首要責任��。
第六條[監(jiān)督管理]中國保監(jiān)會依法對保險機構(gòu)的信息化工作實施監(jiān)督管理�����?���! ?/p>
第二章 信息化治理
第七條[名詞釋義]信息化治理是指保險機構(gòu)通過明確有關信息化決策權(quán)歸屬機制和信息化責任承擔機制����,合理利用信息化資源�,達到推動業(yè)務發(fā)展、促進收益最大化等戰(zhàn)略目標的過程�。
第八條[董事會職責]保險機構(gòu)董事會應當履行以下信息化工作管理職責:
(一)貫徹國家信息化工作的法律��、行政法規(guī)���、技術標準和中國保監(jiān)會的要求;
?�。ǘ彶榕鷾时緳C構(gòu)信息化工作戰(zhàn)略規(guī)劃����,確保與總體業(yè)務戰(zhàn)略和重大策略相一致;
?���。ㄈ┙⒎止ず侠怼⒙氊熋鞔_����、相互制衡����、報告關系清晰的信息化治理組織架構(gòu)�;
(四)保障信息化工作所需資金�����;
?���。ㄎ澹┱莆展局饕男畔⒒ぷ髑闆r,審閱并向中國保監(jiān)會報送信息化工作年度報告��;
?�。娀緳C構(gòu)人員的信息化意識和信息安全意識���,加強信息技術專業(yè)隊伍建設�,建立人才激勵機制����;
?����。ㄆ撸┍U蟽?nèi)部審計部門進行獨立有效的信息化工作審計����,對審計報告進行確認并組織整改�����;
?�。ò耍┐_保本機構(gòu)涉及客戶���、賬務,以及產(chǎn)品等信息的核心系統(tǒng)在中華人民共和國境內(nèi)獨立運行��,并保持最高的管理權(quán)限���,符合中國保監(jiān)會監(jiān)管和實施現(xiàn)場檢查的要求���;
(九)及時向中國保監(jiān)會報告本機構(gòu)發(fā)生的重大信息安全事故或者突發(fā)事件���,按相關預案快速響應�;
(十)配合中國保監(jiān)會做好信息化工作監(jiān)督檢查�����,并按照監(jiān)管意見進行整改�;
(十一)國家相關部門�����、中國保監(jiān)會要求的其他信息化工作��。
第九條[信息化工作委員會]保險機構(gòu)應當設立由董事會直接領導管理下的信息化工作委員會�。信息化工作委員會主任由董事長、總經(jīng)理或者執(zhí)行董事?lián)?���,成員應當包括首席信息官、信息技術部門和主要業(yè)務部門代表�。
信息化工作委員會有權(quán)向董事會直接報告和提出建議。由其負責承辦董事會交辦的信息化工作事項并監(jiān)督落實����,并定期向董事會和高級管理層匯報信息化工作整體情況���。
第十條[首席信息官]保險機構(gòu)應當設立首席信息官。首席信息官直接對信息化工作委員會主任負責�����,參與本機構(gòu)決策���。首席信息官�����、信息化工作委員會主任對信息化工作承擔主要責任�。
首席信息官的職責包括:
?���。ㄒ唬┲苯訁⑴c本機構(gòu)信息化工作有關的業(yè)務發(fā)展和經(jīng)營管理決策;
?���。ǘ┩苿有畔⒒瘧?zhàn)略規(guī)劃納入本機構(gòu)全面發(fā)展框架�,信息系統(tǒng)開發(fā)戰(zhàn)略規(guī)劃應當符合本機構(gòu)的總體業(yè)務戰(zhàn)略規(guī)劃和風險管理策略;
?。ㄈ┴撠熜畔⒓夹g部門的領導與管理����,承擔本機構(gòu)的信息化工作職責�;
(四)負責建立健全信息化制度規(guī)則體系���;
?����。ㄎ澹┍U闲畔⒒ぷ鞴芾淼挠行?��,并使有關管理措施落實到內(nèi)設部門和分支機構(gòu);
?���。┙M織公司專業(yè)培訓,提高人才隊伍的專業(yè)技能�;
(七)履行國家相關部門����、中國保監(jiān)會要求的其他信息化工作職責。
第十一條[任職條件]保險機構(gòu)首席信息官應當由本機構(gòu)董事會成員或者高級管理人員擔任��,并應當具備以下條件:
(一)具有誠實信用的職業(yè)操守���、良好的合規(guī)意識��,具備履行職務必需的知識結(jié)構(gòu)和專業(yè)技術能力�;
?。ǘ氖滦畔⒓夹g工作五年以上,且在金融機構(gòu)工作三年以上;或者其他足以證明其具有擬任職務所需知識��、能力����、經(jīng)驗的職業(yè)經(jīng)歷。
第十二條[信息技術部門]保險機構(gòu)應當設立信息技術部門�����,統(tǒng)一負責本機構(gòu)信息化工作規(guī)劃�����、建設���、管理和運行維護等�����,承擔本機構(gòu)信息化工作委員會日常工作�。
第十三條[明確職責]保險機構(gòu)應當明確本機構(gòu)內(nèi)設部門及分支機構(gòu)信息化工作職責�,并加強指導與監(jiān)督。
第十四條[規(guī)劃制訂]保險機構(gòu)應當建立信息化規(guī)劃的制定��、實施���、評估和修訂的工作機制��。根據(jù)公司業(yè)務發(fā)展戰(zhàn)略�,制定明確的中長期信息化規(guī)劃�,規(guī)劃期為三至五年。
規(guī)劃的制定����、實施、修訂應當由本機構(gòu)信息化工作委員會提交董事會審議批準���。
第十五條[執(zhí)行機制]保險機構(gòu)應當制定明確的信息化工作制度��,明確實施標準和操作流程���,及時更新��、發(fā)布���。
保險機構(gòu)應當根據(jù)公司總體業(yè)務規(guī)劃和信息化工作需要,制定專門的信息化經(jīng)費預算��,確保資金投入���,有效支持業(yè)務發(fā)展����。
保險機構(gòu)應當制定有利于公司可持續(xù)發(fā)展的信息化人力資源政策�����,健全信息技術專業(yè)人才激勵機制���,合理配備信息技術人員�,并定期對信息技術人員和公司其他人員分別開展專業(yè)技術培訓�。
第十六條[內(nèi)部審計]保險機構(gòu)應當在內(nèi)部審計部門設立專門的信息化風險審計崗位��,配備足夠的資源和具有專業(yè)能力的信息化工作審計人員�����,對本機構(gòu)信息化工作進行全面、獨立審計�。
第十七條[集團管理]保險集團(控股)公司根據(jù)自身總體業(yè)務規(guī)劃和風險管控要求,可以對各子公司信息化工作實行集中管理���,但各法人機構(gòu)之間的信息系統(tǒng)�、原始數(shù)據(jù)等應當有效隔離���,并各自承擔信息安全風險管理責任���。
保險集團(控股)公司和子公司依法對信息安全關聯(lián)風險事故承擔責任?�! ?/p>
第三章 信息系統(tǒng)建設與運行維護
第十八條[架構(gòu)規(guī)劃]保險機構(gòu)應當根據(jù)本機構(gòu)的總體業(yè)務發(fā)展戰(zhàn)略和信息化風險管理策略���,對信息系統(tǒng)建設與運行維護進行總體規(guī)劃���,加強各信息系統(tǒng)之間的集成與整合�,實現(xiàn)財務��、業(yè)務等核心系統(tǒng)的無縫對接��,促進經(jīng)營管理流程信息化��,滿足保險監(jiān)管數(shù)據(jù)采集要求和保險業(yè)信息共享需要�。
第十九條[制度框架]保險機構(gòu)應當建立完善的信息系統(tǒng)管理組織,制定覆蓋信息系統(tǒng)全生命周期的管理制度�����、技術標準和操作規(guī)范��,保障信息系統(tǒng)規(guī)劃�、建設和運行維護各項工作的安全實施。
第二十條[安全定級]保險機構(gòu)應當根據(jù)國家信息安全等級保護有關規(guī)定和所涉信息對機構(gòu)經(jīng)營管理的重要程度��,合理確定信息系統(tǒng)的安全等級���。涉及國家安全�����、本機構(gòu)商業(yè)秘密和客戶隱私等敏感信息的核心系統(tǒng)應當參照高等級標準定級����,并按照相應等級要求對信息系統(tǒng)進行建設和運行維護。重要信息系統(tǒng)定級情況應當根據(jù)中國保監(jiān)會要求進行備案。
第二十一條[開發(fā)形式]保險機構(gòu)應當增強信息系統(tǒng)的自主研發(fā)能力�����。根據(jù)自身情況���,信息系統(tǒng)開發(fā)還可以采取合作開發(fā)���、定制開發(fā)和外包開發(fā)等形式。
對合作開發(fā)和外包開發(fā)�����,保險機構(gòu)應當通過合同約定源代碼所有權(quán)歸屬,確保擁有合理的源代碼使用授權(quán)或者所有權(quán),嚴格防范合作開發(fā)商或者外包商終止服務導致的風險���。
第二十二條[開發(fā)測試]保險機構(gòu)信息系統(tǒng)的開發(fā)測試應當與生產(chǎn)管理嚴格分離�,不得使用未脫敏的生產(chǎn)數(shù)據(jù)用于開發(fā)、測試環(huán)境�����。嚴格限制開發(fā)人員訪問源代碼的權(quán)限�,并保障核心系統(tǒng)開發(fā)實施安全。
信息系統(tǒng)正式上線運行前,應當對其功能、性能及安全性進行測試�����,核心系統(tǒng)原則上應當通過第三方測試機構(gòu)測試����;面向互聯(lián)網(wǎng)應用的系統(tǒng)還應當通過第三方安全測試。信息系統(tǒng)的重大改造升級應當按照新信息系統(tǒng)建設標準進行測試���。
信息系統(tǒng)經(jīng)測試合格���,并由本機構(gòu)信息技術部門和業(yè)務部門共同批準后方可上線運行。
第二十三條[系統(tǒng)運行維護]保險機構(gòu)應當建立完善的信息系統(tǒng)運行維護管理流程�,清晰界定信息技術部門和業(yè)務部門的運行維護職責�,并按照下列要求建立信息系統(tǒng)的身份鑒別���、權(quán)限分配、操作審計�、故障處理規(guī)范:
?。ㄒ唬┌凑盏燃壉Wo要求建立相應的身份鑒別機制;
?���。ǘ﹪栏褚?guī)范帳號權(quán)限分配、使用和回收管理流程�;
(三)信息系統(tǒng)運行維護操作日志應當按照國家有關要求和業(yè)務經(jīng)營需要進行分類保存�����;
?��。ㄋ模┙⑿畔⑾到y(tǒng)故障全面記錄��、分析和解決機制�。
第二十四條[系統(tǒng)變更與數(shù)據(jù)遷移�����、修改]信息系統(tǒng)變更和數(shù)據(jù)遷移時�,應當制定合理的技術方案�,充分測試�����,做好備份���,保證信息系統(tǒng)及數(shù)據(jù)安全��。嚴格控制后臺修改系統(tǒng)數(shù)據(jù)��,確需修改的要做到事前批準��、事中監(jiān)控和事后留痕�。
第二十五條[安全防護]保險機構(gòu)應當按照下列要求建立健全信息系統(tǒng)備份及災難恢復�、防病毒、密碼管理��、入侵檢測���、審計等安全管理機制:
?。ㄒ唬└鶕?jù)數(shù)據(jù)及系統(tǒng)的重要性����,明確數(shù)據(jù)及系統(tǒng)的備份與災難恢復策略;
?。ǘ┘訌娒艽a設備及使用人員管理,使用符合國家標準和加密要求的技術和產(chǎn)品����;
(三)采取惡意代碼防范措施�,確保具備主動發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力;
?���。ㄋ模┬畔⑾到y(tǒng)日志在保存期限內(nèi)內(nèi)容不得刪除、修改或者覆蓋��,并實現(xiàn)對關鍵崗位�、異常操作等高風險因素的審計。
第二十六條[互聯(lián)網(wǎng)應用]保險機構(gòu)應當按照下列要求加強對門戶網(wǎng)站����、社交網(wǎng)絡公眾賬號等互聯(lián)網(wǎng)應用系統(tǒng)的管理:
(一)根據(jù)國家有關規(guī)定備案���;
?��。ǘ┙⒕W(wǎng)站信息發(fā)布審批制度�����,嚴格控制網(wǎng)站內(nèi)容發(fā)布權(quán)限���;
(三)加強技術保障和運行監(jiān)控��,保障網(wǎng)絡交易安全和交易記錄可追溯�。
第二十七條[文檔完備]保險機構(gòu)的重要信息系統(tǒng)有關資料和信息系統(tǒng)的重要信息應當按照中國保監(jiān)會要求備案。
保險機構(gòu)要建立覆蓋信息系統(tǒng)全生命周期的文檔管理體系�����,確保文檔記錄完整�����、及時�、有效?��!?/p>
第四章 基礎設施建設與保障
第二十八條[基礎設施]基礎設施指保障信息系統(tǒng)運行的物理環(huán)境���,主要包括數(shù)據(jù)中心和網(wǎng)絡資源�。
本規(guī)定所稱數(shù)據(jù)中心包括生產(chǎn)中心和災難備份中心(以下簡稱災備中心)�����。
生產(chǎn)中心是指保險機構(gòu)對全部業(yè)務��、客戶和管理等重要信息進行集中存儲���、處理和維護,具備專用場所����,為業(yè)務運營及管理提供信息化支撐服務的組織。
災備中心是指保險機構(gòu)為保障其業(yè)務連續(xù)性�����,在生產(chǎn)中心故障����、停頓或者癱瘓后,能夠接替生產(chǎn)中心運行���,具備專用場所����,進行數(shù)據(jù)處理和支持重要業(yè)務持續(xù)運行的組織。
災備中心同城模式(以下簡稱同城災備)是指災備中心與生產(chǎn)中心位于同一地理區(qū)域��,一般距離數(shù)十公里�����,可防范火災�����、建筑物破壞���、電力或者通信系統(tǒng)中斷等事件�����。災備中心異地模式(以下簡稱異地災備)是指災備中心與生產(chǎn)中心處于不同地理區(qū)域���,一般距離在數(shù)百公里以上,不會同時面臨同類區(qū)域性災難風險��,如地震、臺風和洪水等��。
本規(guī)定所稱網(wǎng)絡資源是指支撐系統(tǒng)運行的網(wǎng)絡專線��、網(wǎng)絡帶寬��、網(wǎng)絡地址��、網(wǎng)絡域名以及相關網(wǎng)絡設備等虛擬及物理設施�。
第二十九條[規(guī)劃設計]保險機構(gòu)應當以本機構(gòu)業(yè)務總體規(guī)劃為根本,圍繞數(shù)據(jù)資產(chǎn)的管理和應用,科學規(guī)劃數(shù)據(jù)中心的總體架構(gòu)和實施路線,保證網(wǎng)絡���、數(shù)據(jù)�����、應用����、安全各要素有機結(jié)合����。
數(shù)據(jù)中心規(guī)劃應當報中國保監(jiān)會備案。
第三十條[建設時間]保險機構(gòu)在籌備時�,應當按照中國保監(jiān)會規(guī)定的信息化建設準入標準設立生產(chǎn)中心。生產(chǎn)中心運行五年內(nèi)建立災備中心,災備中心的建設與管理必須達到中國保監(jiān)會規(guī)定的標準�。
保險機構(gòu)應當不斷完善生產(chǎn)中心、同城災備�����、異地災備的災難備份體系����,逐步實現(xiàn)更高安全水平的信息系統(tǒng)運行模式,切實提高防災減災能力����,保障業(yè)務連續(xù)性。
第三十一條[建設標準]保險機構(gòu)可以采取自建�����、共建����、外包的方式設立數(shù)據(jù)中心,數(shù)據(jù)中心的機房設計標準必須符合國家標準規(guī)范和中國保監(jiān)會的要求�����。
數(shù)據(jù)來源于中華人民共和國境內(nèi)的,數(shù)據(jù)中心的物理位置應當位于境內(nèi)����。
第三十二條[人員管理]保險機構(gòu)應當指定專門機構(gòu)和專業(yè)隊伍負責數(shù)據(jù)中心運營與管理,明確數(shù)據(jù)中心各崗位人員職責�,建立完善運行指標體系和服務評價體系,保證運行維護隊伍人員穩(wěn)定�����、工作高效���。
第三十三條[管理制度]保險機構(gòu)應當建立健全并嚴格執(zhí)行數(shù)據(jù)中心管理制度�����、技術規(guī)范、操作指南����,包括機房管理、運行管理���、設備管理���、數(shù)據(jù)管理�、應急管理等��。
第三十四條[安全管理]保險機構(gòu)數(shù)據(jù)中心應當設置安全工作機構(gòu)�����,加強人員安全���、物理環(huán)境安全���、設備資產(chǎn)安全、操作安全��、運行維護安全�����、鏈路安全����、網(wǎng)絡安全及應用安全等方面的安全管理。
第三十五條[設施監(jiān)控]保險機構(gòu)應當對信息化基礎設施實施有效監(jiān)控�����。數(shù)據(jù)中心基礎設施安全防護和保障應當按功能區(qū)域劃分安全控制級別,不同級別區(qū)域采用獨立的出入控制設備并集中監(jiān)控�。應當對基礎設施設備、機房環(huán)境狀況�、安全防護系統(tǒng)狀況實行7×24小時實時監(jiān)測。深入應用自動控制���、虛擬化管理等新技術���,提高監(jiān)控水平和效率。
第三十六條[網(wǎng)絡規(guī)劃]保險機構(gòu)網(wǎng)絡資源應當滿足高性能�、高可用性、高安全性�����、可擴展性等要求���,為信息系統(tǒng)提供安全、穩(wěn)定��、高效的運行環(huán)境����。數(shù)據(jù)中心應當用兩條或者多條通信線路互為備份�,互為備份的通信線路不得經(jīng)過同一路由節(jié)點�。
第三十七條[外聯(lián)管理]保險機構(gòu)內(nèi)部網(wǎng)絡與保險中介機構(gòu)、第三方機構(gòu)等外聯(lián)單位網(wǎng)絡連接時�,應當明確網(wǎng)絡外聯(lián)種類方式,采用可靠連接策略及技術手段�����,實現(xiàn)彼此有效隔離�����,并對跨網(wǎng)絡流量�、網(wǎng)絡用戶行為等進行記錄和定期審計?��!?/p>
第五章 外包管理
第三十八條[名詞釋義]本規(guī)定所稱外包是指保險機構(gòu)將本機構(gòu)信息化工作委托給服務提供商進行處理的行為����,包括咨詢外包���、系統(tǒng)建設外包���、系統(tǒng)運行維護外包�����、基礎設施外包和信息安全外包等�����。
第三十九條[建立制度]保險機構(gòu)實行信息化工作外包�,應當制定完備的外包服務管理制度和風險評估機制���,確保有效應對和處置外包風險����。
第四十條[審慎要求]保險機構(gòu)應當根據(jù)涉及信息資產(chǎn)的關鍵性和敏感程度����,審慎確定外包服務范圍。信息系統(tǒng)安全管理責任不得外包����。
下列外包實施前應當經(jīng)過本機構(gòu)董事會批準�����,并按照中國保監(jiān)會要求報告:
(一)保險機構(gòu)對數(shù)據(jù)中心等基礎設施實施的整體外包���;
?���。ǘι婕皣野踩?����、本機構(gòu)商業(yè)秘密�����,以及客戶隱私等敏感內(nèi)容的信息系統(tǒng)外包�。
第四十一條[外包資質(zhì)]保險機構(gòu)應當根據(jù)不同的外包業(yè)務要求,優(yōu)先選用具備信息安全管理體系認證資質(zhì)的信息技術服務機構(gòu)提供外包服務���。數(shù)據(jù)中心外包服務提供商應當符合本規(guī)定第四章所規(guī)定的標準和要求�����。
第四十二條[外包合同]保險機構(gòu)與外包服務提供商簽訂書面外包服務合同���,合同應當包括外包服務范圍���、安全保密、知識產(chǎn)權(quán)����、業(yè)務連續(xù)性要求、爭端解決機制����、合同變更或者終止的過渡安排、違約責任等條款��。
保險機構(gòu)必須要求外包服務提供商承諾接受和配合中國保監(jiān)會對保險機構(gòu)信息化工作相關的現(xiàn)場檢查和日常監(jiān)督�。
第四十三條[分包要求]保險機構(gòu)要嚴格控制外包服務提供商的轉(zhuǎn)包和分包行為。對于確有第三方外包服務提供商參與實施的項目應當采取嚴密措施�����,保證外包服務質(zhì)量和安全不受影響�����。
第四十四條[外包監(jiān)督]保險機構(gòu)應當加強外包服務提供商及其服務人員的管理,與外包服務提供商建立起有效的信息交流與溝通機制�����,保證外包服務人員的相對穩(wěn)定����。
第四十五條[股東影響]保險機構(gòu)信息化建設和管理與其非保險類股東有重大關聯(lián)的���,保險機構(gòu)信息化治理與規(guī)劃��、業(yè)務���、財務等核心系統(tǒng)和重要數(shù)據(jù)信息及其管理必須保持獨立完整。其他信息化事項外包給股東的�����,按照本規(guī)定外包要求實施管理�。
第四十六條[購買保險]保險機構(gòu)應當優(yōu)先選擇購買相應商業(yè)保險的外包服務提供商,以保障安全事件發(fā)生時外包服務提供商有足夠的經(jīng)濟賠償能力�����。
第四十七條[定期評估]保險機構(gòu)應當建立評估考核機制,定期對外包服務提供商的財務狀況��、技術實力�、安全資質(zhì)、風險控制水平和誠信記錄等進行審查�、評估與考核,確保其設施和能力滿足外包要求����。
第六章 信息安全管理
第四十八條[信息安全]本規(guī)定所稱信息安全是指利用信息技術及管理手段�����,保護信息在采集�、傳輸、交換�、處理和存儲等過程中的可用性、保密性���、完整性和不可抵賴性�����。
信息安全包括網(wǎng)絡安全�����、系統(tǒng)安全和內(nèi)容安全����,涵蓋物理環(huán)境��、網(wǎng)絡�、主機系統(tǒng)、桌面系統(tǒng)����、數(shù)據(jù)、應用����、存儲、災備�����、安全事件管理�����、人員等各層面安全。
第四十九條[基本要求]保險機構(gòu)要將信息安全置于信息化工作的首位�����,按照“積極防御�、綜合防范”的原則,加強信息安全與信息系統(tǒng)的同步規(guī)劃���、同步建設和同步使用�,加強風險管理與控制�����,充分利用管理機制和技術手段����,增強安全防護能力,構(gòu)建完善的信息安全保障體系���,確保重要信息系統(tǒng)持續(xù)穩(wěn)定運行�����,保障業(yè)務活動的連續(xù)性��。
第五十條[機構(gòu)職責]保險機構(gòu)應當按照“誰主管����、誰負責,誰運營��、誰負責���,誰使用����、誰負責”的原則�,明確信息安全責任��,強化安全意識����,加強安全管理,全面落實信息安全管理責任制�。
保險機構(gòu)法定代表人對本機構(gòu)信息安全承擔首要責任,首席信息官���、信息化工作委員會主任對本機構(gòu)信息安全承擔主要責任���。
保險機構(gòu)應當在信息技術部門設置專門機構(gòu)�,并配備專職人員�����,履行以下安全職責:
?��。ㄒ唬┴瀼芈鋵崌液椭袊1O(jiān)會有關信息系統(tǒng)安全管理的法律�、行政法規(guī)���、技術標準和相關要求�����;
?�。ǘ┙M織公司信息系統(tǒng)安全規(guī)劃與建設工作�����,制定相關管理規(guī)定��;
?����。ㄈ┙M織制定信息化風險管理制度����,建立風險識別、計量���、監(jiān)測和控制體系�;
?�。ㄋ模┙⒂行У男畔⑾到y(tǒng)安全保障體系并定期或者根據(jù)工作需要及時進行檢查�����、評估���、審計、改進�����、監(jiān)控等工作����;
?。ㄎ澹π畔⑾到y(tǒng)安全事件進行管理���、處置和上報��;
?。┙M織配備足夠具有專業(yè)知識和技能的信息安全工作人員��;
?����。ㄆ撸┙M織公司員工信息系統(tǒng)安全教育與培訓����;
(八)開展與信息系統(tǒng)安全相關的其他工作�����。
第五十一條[制度體系]保險機構(gòu)應當建立完善的信息安全分類和保護制度體系�����,明確系統(tǒng)管理、網(wǎng)絡管理���、安全管理等崗位職責���、管理權(quán)限和技能要求,細化工作流程����,建立有效的執(zhí)行機制、評估機制和監(jiān)督機制�。制度體系包括以下內(nèi)容:
(一)信息安全組織管理制度��;
?����。ǘ┬畔⒒L險管理與控制制度��;
?��。ㄈ┤藛T安全管理制度;
?��。ㄋ模?shù)據(jù)安全管理制度����;
(五)資產(chǎn)安全管理制度��;
?��。┪锢砼c環(huán)境安全管理制度��;
?��。ㄆ撸┰L問控制管理制度;
?��。ò耍┚W(wǎng)絡運行維護管理制度����;
?����。ň牛┫到y(tǒng)開發(fā)與維護管理制度;
?��。ㄊI(yè)務連續(xù)性管理制度���;
(十一)合規(guī)性管理制度���;
?��。ㄊ┬畔踩鹿使芾碇贫龋?/p>
?��。ㄊ┬畔⒒獍展芾碇贫?��。
第五十二條[安全機制]保險機構(gòu)應當構(gòu)建完善的信息安全風險控制策略。針對信息安全的各層面�����、各環(huán)節(jié)�����,建立職責明確的授權(quán)機制���、審批流程�,以及完備有效�����、相互制衡的內(nèi)部控制體系�����,定期根據(jù)安全風險態(tài)勢進行評審和完善�����。
第五十三條[安全可控]保險機構(gòu)應當優(yōu)先采購安全可控的硬件設備和軟件產(chǎn)品�,穩(wěn)步推進安全可控產(chǎn)品應用;積極創(chuàng)造條件��,提高關鍵業(yè)務系統(tǒng)的自主研發(fā)水平���,不斷增強保險機構(gòu)信息化工作的安全可控能力���。
第五十四條[國產(chǎn)密碼]保險機構(gòu)應當嚴格按照國家金融領域密碼應用工作規(guī)劃和實施要求�����,逐步實現(xiàn)國產(chǎn)密碼在電子保單及保險領域的全面應用��。
第五十五條[正版化]保險機構(gòu)應當切實提高軟件正版化意識和自主產(chǎn)權(quán)保護意識�����。禁止復制����、傳播或者使用非授權(quán)軟件�。對本機構(gòu)具有自主知識產(chǎn)權(quán)的信息產(chǎn)品,應當采取有效措施加以保護��。
第五十六條[等級保護]保險機構(gòu)應當按照國家和中國保監(jiān)會信息系統(tǒng)安全規(guī)范���、技術標準及等級保護管理要求�,進行定級�、保護、備案���、測評和整改����,確保不同等級的信息系統(tǒng)具備相應的安全防護能力。
第五十七條[安全認證]保險機構(gòu)需要申請信息安全管理體系認證的�,應當按照國家有關規(guī)定及中國保監(jiān)會要求����,選擇國家認證認可監(jiān)督管理部門批準的機構(gòu)進行認證,并與認證機構(gòu)簽訂安全和保密協(xié)議�。
第五十八條[數(shù)據(jù)安全]保險機構(gòu)應當制定數(shù)據(jù)管理相關制度和流程,規(guī)范數(shù)據(jù)采集��、傳輸����、存儲、交換�����、備份�����、恢復和銷毀等環(huán)節(jié)����,采取加密等手段防范數(shù)據(jù)泄露��,保障信息數(shù)據(jù)的合法����、合規(guī)使用���,做好數(shù)據(jù)恢復有效性測試����,防范災難發(fā)生時數(shù)據(jù)丟失風險��。
外資保險機構(gòu)信息系統(tǒng)所載數(shù)據(jù)移至中華人民共和國境外的�����,應當符合我國有關法律法規(guī)���。
第五十九條[終端管理]保險機構(gòu)應當根據(jù)安全管理有關規(guī)定對計算機���、移動設備等各類終端分別制定安全管理制度,嚴格規(guī)范終端網(wǎng)絡準入���、安全策略���、軟件安裝與卸載等管理�。
第六十條[資產(chǎn)管理]保險機構(gòu)要建立軟硬件和數(shù)據(jù)資源等信息化資產(chǎn)管理制度�����,編制資產(chǎn)清單�����,明確資產(chǎn)管理責任部門與人員��,規(guī)范資產(chǎn)分配����、使用�、存儲、維護和銷毀等行為��,定期對資產(chǎn)清單進行一致性檢查并保留檢查記錄����。
第六十一條[介質(zhì)管理]保險機構(gòu)要制定介質(zhì)分類管理制度���,根據(jù)介質(zhì)存儲內(nèi)容與重要性明確存儲介質(zhì)類型、存放技術指標��、保存期限等��,并定期檢查介質(zhì)中存儲的信息是否完整可用�。
重要備份介質(zhì)應當異地存放。介質(zhì)送出維修或者銷毀時����,應當保證介質(zhì)信息預先得到審查并妥善處理。
對于存儲客戶隱私等涉密信息的存儲介質(zhì)�,應當嚴格依據(jù)國家有關法律法規(guī)及中國保監(jiān)會要求保存與銷毀。
第六十二條[災備恢復]保險機構(gòu)應當加強信息系統(tǒng)災難恢復管理����,制定業(yè)務連續(xù)性規(guī)劃,并定期進行演練��,以確保出現(xiàn)無法預見的中斷時信息系統(tǒng)仍能持續(xù)運行并提供服務��。
第六十三條[應急管理]保險機構(gòu)應當針對可能發(fā)生的信息安全重大突發(fā)事件����,建立和完善分類應急管理體系��,與通信�、電力���、消防等基礎保障部門建立溝通機制���,與業(yè)務系統(tǒng)、基礎設備等服務廠商建立協(xié)同機制�,對重大自然災害、惡意破壞等合理劃分應急響應等級����,明確應急響應啟動程序�����、處理流程�����、上報要求���、預警機制等�。
保險機構(gòu)應當每年至少進行一次應急演練,針對演練中暴露出的風險隱患進行整改�。
第六十四條[新技術安全]保險機構(gòu)應當主動跟蹤研究應用新興信息技術,在推進業(yè)務創(chuàng)新的同時��,提高信息安全防護能力�����,防范和控制新技術應用帶來的新風險�。
保險機構(gòu)需要使用云計算服務的,要充分評估使用云計算服務的價值和風險。重點關注云計算提供商滿足服務等級協(xié)定以及提供連續(xù)穩(wěn)定云服務的能力��,并充分考慮敏感數(shù)據(jù)在云計算平臺上運行的安全性�����、所采取的安全控制措施的可靠性以及系統(tǒng)和數(shù)據(jù)遷移方案完善性等風險因素��?! ?/p>
第七章 內(nèi)部審計
第六十五條[審計要求]保險機構(gòu)內(nèi)部審計部門應當根據(jù)業(yè)務性質(zhì)、規(guī)模和復雜程度�,對相關信息系統(tǒng)及其控制的適當性、合規(guī)性和有效性進行獨立于本機構(gòu)日?;顒拥膶徲嫛?/p>
第六十六條[審計職責]保險機構(gòu)信息化工作內(nèi)部審計部門的職責:
(一)制定和實施審計計劃��,檢查和評估保險機構(gòu)信息系統(tǒng)和內(nèi)控機制的充分性和有效性�;
(二)按照審計計劃和要求完成審計工作���;
?。ㄈπ畔踩蛘咂渌厥馐马椷M行專項審計����;
(四)檢查�����、督促整改意見的落實情況�����。
第六十七條[范圍與頻率]保險機構(gòu)應當根據(jù)業(yè)務性質(zhì)�、規(guī)模和復雜程度����,信息技術應用情況,以及信息技術風險評估結(jié)果,決定信息化工作內(nèi)部審計的范圍和頻率�,但至少應當每兩年進行一次全面審計。
第六十八條[內(nèi)審參與]保險機構(gòu)進行重要信息系統(tǒng)建設時應當要求內(nèi)部審計部門參與監(jiān)督�。
第八章 外部審計
第六十九條[規(guī)定要求]保險機構(gòu)應當根據(jù)法律、行政法規(guī)和中國保監(jiān)會要求��,定期委托具備相應資質(zhì)的外部審計機構(gòu)進行信息化工作外部審計����。
第七十條[委托授權(quán)]在委托審計過程中,保險機構(gòu)應當確保外部審計機構(gòu)能夠?qū)Ρ緳C構(gòu)的硬件�����、軟件��、文檔和數(shù)據(jù)進行檢查����,以發(fā)現(xiàn)信息系統(tǒng)存在的風險。
國家法律法規(guī)和中國保監(jiān)會規(guī)定的重要商業(yè)��、技術秘密信息不在檢查范圍�����。
第七十一條[審計頻率]保險機構(gòu)至少應當每兩年進行一次外部審計。
第七十二條[配合審計]保險機構(gòu)實施外部審計前應當與外部審計機構(gòu)進行充分溝通�,詳細確定審計范圍,不得隱瞞事實或者阻撓審計��。
第七十三條[保密要求]保險機構(gòu)在委托外部審計機構(gòu)進行外部審計時����,應當與其簽訂保密協(xié)議,并督促其嚴格遵守法律法規(guī)��,保守本機構(gòu)的商業(yè)秘密和信息化風險信息��,防止其擅自對本機構(gòu)提供的文件資料進行修改復制或者帶離現(xiàn)場��?����! ?/p>
第九章 監(jiān)督管理
第七十四條[監(jiān)管原則]中國保監(jiān)會對保險機構(gòu)信息系統(tǒng)實行分類����、分級監(jiān)督管理�。
第七十五條[監(jiān)管內(nèi)容]中國保監(jiān)會依法組織制定和推動執(zhí)行保險業(yè)信息化標準,并根據(jù)保險業(yè)信息化風險狀況�����,對保險機構(gòu)進行信息化風險提示,督促保險機構(gòu)采取針對性措施消除信息化風險隱患��。
第七十六條[開業(yè)驗收]保險機構(gòu)設立時信息化建設應當達到中國保監(jiān)會規(guī)定的準入標準和要求����,且經(jīng)過驗收后方可對外營業(yè)。
第七十七條[非現(xiàn)場監(jiān)管]保險機構(gòu)應當按中國保監(jiān)會要求定期報送信息化風險管理報表以及不定期報送專項臨時報表�。
中國保監(jiān)會根據(jù)信息化風險管理報表情況對保險機構(gòu)進行評價,相關監(jiān)管指標納入償付能力監(jiān)管體系�����,針對不同風險等級采取相應的監(jiān)管措施�����。
第七十八條[現(xiàn)場檢查]中國保監(jiān)會根據(jù)保險業(yè)信息化總體安全狀況����、保險機構(gòu)信息化反映出的突出問題,可以組織現(xiàn)場檢查�����,存在下列情形的保險機構(gòu)可以作為重點檢查對象:
(一)信息化建設存在重大安全隱患的���;
?��。ǘ┌l(fā)生信息系統(tǒng)重大突發(fā)性事件的;
?���。ㄈ┻`反中國保監(jiān)會信息化重大事項報告有關規(guī)定的;
?��。ㄋ模χ袊1O(jiān)會信息安全檢查中發(fā)現(xiàn)的嚴重信息安全隱患未采取措施進行整改或者整改不力的�����;
?���。ㄎ澹┻`反合規(guī)性要求��,逃避中國保監(jiān)會或者有關部門檢查和處罰�,惡意對信息系統(tǒng)數(shù)據(jù)進行篡改的;
?�。┰趫笏托畔⒒黝悎蟊頂?shù)據(jù)中��,存在嚴重誤報�、漏報、錯報�����、遲報等行為�,且屢錯不改或者整改不力的;
?。ㄆ撸┲袊1O(jiān)會認為有必要進行信息化重點檢查的其他情形。
第七十九條[外聘審計]中國保監(jiān)會認為必要時可指定具備相應資質(zhì)的外部審計機構(gòu)對保險機構(gòu)信息化工作進行審計��。外部審計機構(gòu)根據(jù)中國保監(jiān)會委托對保險機構(gòu)進行審計時�����,應當出示委托書�����,并依照委托書規(guī)定的范圍進行審計��。
第八十條[審計報告]保險機構(gòu)內(nèi)部審計�����、外部審計應當按照中國保監(jiān)會頒布的信息化審計規(guī)范標準和要求進行,且應當在每次審計結(jié)束后三個月內(nèi)將審計報告報中國保監(jiān)會備案��。
第八十一條[滲透測試]中國保監(jiān)會在對保險機構(gòu)信息安全進行檢查時���,可以委托具有相應資質(zhì)的信息安全監(jiān)測機構(gòu)進行有針對性的風險滲透測試���。保險機構(gòu)應當根據(jù)中國保監(jiān)會要求,委托具有相應資質(zhì)的信息安全監(jiān)測機構(gòu)進行風險滲透測試�����,并針對產(chǎn)生的問題進行技術修正��。
第八十二條[共同監(jiān)督]對涉及信息化外包服務提供商信息安全監(jiān)管的有關事項����,中國保監(jiān)會與國家信息安全有關部門建立監(jiān)管合作機制,實施有效監(jiān)督�。
第八十三條[派出機構(gòu)]中國保監(jiān)會派出機構(gòu)負責轄區(qū)內(nèi)保險公司分支機構(gòu)、保險資產(chǎn)管理公司分支機構(gòu)信息化工作的監(jiān)督管理�����。中國保監(jiān)會派出機構(gòu)可以參照本規(guī)定制定轄區(qū)內(nèi)信息化工作監(jiān)督管理辦法。
中國保監(jiān)會派出機構(gòu)接受中國保監(jiān)會委托開展轄區(qū)內(nèi)保險集團(控股)公司�����、保險公司和保險資產(chǎn)管理公司信息化檢查等工作��。
第八十四條[集團分工]本規(guī)定實施后��,保險集團(控股)公司與子公司有關信息化工作職責分工和責任落實情況��,應當按照中國保監(jiān)會要求備案�,如有變化��,及時報告��。
第八十五條[處罰規(guī)定]保險機構(gòu)違反本規(guī)定�,中國保監(jiān)會可以依法對保險機構(gòu)及其相關責任人采取責令改正、監(jiān)管談話�、出具監(jiān)管函、通報等措施����;情節(jié)嚴重的,依法給予行政處罰?����! ?/p>
第十章 附 則
第八十六條未設立董事會的保險機構(gòu)由本機構(gòu)高級管理層承擔本規(guī)定賦予董事會的職責���。境外保險公司分公司視為保險機構(gòu)管理�����。
第八十七條保險中介機構(gòu)信息化監(jiān)管制度由中國保監(jiān)會另行制定�����。
第八十八條本規(guī)定由中國保監(jiān)會負責解釋��。
第八十九條本規(guī)定自年月日起施行����。中國保監(jiān)會2009年12月29日發(fā)布的《保險公司信息化工作管理指引(試行)》(保監(jiān)發(fā)﹝2009﹞133號)同時廢止��。
|
