|
對(duì)《保險(xiǎn)機(jī)構(gòu)信息化監(jiān)管規(guī)定(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)
為了加強(qiáng)對(duì)保險(xiǎn)機(jī)構(gòu)信息化工作的監(jiān)督管理,促進(jìn)信息化工作規(guī)范化與標(biāo)準(zhǔn)化建設(shè),我會(huì)起草了《保險(xiǎn)機(jī)構(gòu)信息化監(jiān)管規(guī)定(征求意見(jiàn)稿)》,現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)�。公眾可通過(guò)以下途徑和方式提出反饋意見(jiàn):
一���、通過(guò)電子郵件將意見(jiàn)發(fā)送至:law@circ.gov.cn����。
二�、通過(guò)信函方式將意見(jiàn)寄至:北京市西城區(qū)金融大街15號(hào)中國(guó)保監(jiān)會(huì)法規(guī)部法規(guī)處(郵政編碼:100033),并請(qǐng)?jiān)谛欧馍献⒚鳌靶畔⒒O(jiān)管規(guī)定征求意見(jiàn)”字樣��。
三����、通過(guò)傳真方式將意見(jiàn)發(fā)送至:010-66288161。
意見(jiàn)反饋截止時(shí)間為2015年10月31日�����?����! ?/p>
保險(xiǎn)機(jī)構(gòu)信息化監(jiān)管規(guī)定
(征求意見(jiàn)稿)
第一章總則
第一條[制訂目的]為了加強(qiáng)對(duì)保險(xiǎn)機(jī)構(gòu)信息化工作的監(jiān)督管理���,促進(jìn)信息化工作規(guī)范化與標(biāo)準(zhǔn)化建設(shè)�,有效防范和化解新技術(shù)風(fēng)險(xiǎn)�,切實(shí)維護(hù)保險(xiǎn)業(yè)信息安全,根據(jù)《中華人民共和國(guó)保險(xiǎn)法》��、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律�、行政法規(guī),制定本規(guī)定��。
第二條[適用范圍]本規(guī)定適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的保險(xiǎn)機(jī)構(gòu)��,包括保險(xiǎn)集團(tuán)(控股)公司����、保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司���。
第三條[名詞釋義]本規(guī)定所稱(chēng)保險(xiǎn)機(jī)構(gòu)信息化,是指保險(xiǎn)機(jī)構(gòu)將計(jì)算機(jī)��、通信����、網(wǎng)絡(luò)等現(xiàn)代信息技術(shù),應(yīng)用于業(yè)務(wù)交易處理����、經(jīng)營(yíng)管理和內(nèi)部控制等方面,持續(xù)提高運(yùn)營(yíng)效率�、優(yōu)化內(nèi)部資源配置和提升風(fēng)險(xiǎn)防范水平的過(guò)程。
信息化工作內(nèi)容包括建立健全信息化治理機(jī)制��、制定實(shí)施信息化管理制度�、規(guī)劃建設(shè)信息化基礎(chǔ)設(shè)施、采購(gòu)開(kāi)發(fā)信息化系統(tǒng)��,以及建立相應(yīng)的安全保障體系等��。
第四條[基本原則]保險(xiǎn)機(jī)構(gòu)信息化工作要遵循安全性��、可靠性和有效性相統(tǒng)一的原則,堅(jiān)持信息化戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相融合��、技術(shù)路線與科技發(fā)展方向相一致��、應(yīng)用系統(tǒng)與管理需求相適應(yīng)的基本要求�,統(tǒng)籌規(guī)劃本機(jī)構(gòu)的信息化工作��,處理好安全與發(fā)展�����、安全與建設(shè)����、安全與運(yùn)營(yíng)的關(guān)系,保障本機(jī)構(gòu)信息系統(tǒng)安全穩(wěn)定持續(xù)運(yùn)行����。
第五條[執(zhí)行標(biāo)準(zhǔn)]保險(xiǎn)機(jī)構(gòu)信息化工作應(yīng)當(dāng)符合國(guó)家有關(guān)規(guī)定和中國(guó)保險(xiǎn)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱(chēng)中國(guó)保監(jiān)會(huì))的要求。
保險(xiǎn)機(jī)構(gòu)是信息化工作的責(zé)任主體����。保險(xiǎn)機(jī)構(gòu)法定代表人對(duì)本機(jī)構(gòu)信息化工作承擔(dān)首要責(zé)任。
第六條[監(jiān)督管理]中國(guó)保監(jiān)會(huì)依法對(duì)保險(xiǎn)機(jī)構(gòu)的信息化工作實(shí)施監(jiān)督管理���?����! ?/p>
第二章 信息化治理
第七條[名詞釋義]信息化治理是指保險(xiǎn)機(jī)構(gòu)通過(guò)明確有關(guān)信息化決策權(quán)歸屬機(jī)制和信息化責(zé)任承擔(dān)機(jī)制���,合理利用信息化資源����,達(dá)到推動(dòng)業(yè)務(wù)發(fā)展�、促進(jìn)收益最大化等戰(zhàn)略目標(biāo)的過(guò)程。
第八條[董事會(huì)職責(zé)]保險(xiǎn)機(jī)構(gòu)董事會(huì)應(yīng)當(dāng)履行以下信息化工作管理職責(zé):
?����。ㄒ唬┴瀼貒?guó)家信息化工作的法律�����、行政法規(guī)�、技術(shù)標(biāo)準(zhǔn)和中國(guó)保監(jiān)會(huì)的要求;
?。ǘ彶榕鷾?zhǔn)本機(jī)構(gòu)信息化工作戰(zhàn)略規(guī)劃,確保與總體業(yè)務(wù)戰(zhàn)略和重大策略相一致����;
?����。ㄈ┙⒎止ず侠?�、職責(zé)明確�、相互制衡���、報(bào)告關(guān)系清晰的信息化治理組織架構(gòu);
?����。ㄋ模┍U闲畔⒒ぷ魉栀Y金��;
?��。ㄎ澹┱莆展局饕男畔⒒ぷ髑闆r���,審閱并向中國(guó)保監(jiān)會(huì)報(bào)送信息化工作年度報(bào)告;
?。?qiáng)化本機(jī)構(gòu)人員的信息化意識(shí)和信息安全意識(shí),加強(qiáng)信息技術(shù)專(zhuān)業(yè)隊(duì)伍建設(shè),建立人才激勵(lì)機(jī)制���;
?����。ㄆ撸┍U蟽?nèi)部審計(jì)部門(mén)進(jìn)行獨(dú)立有效的信息化工作審計(jì)��,對(duì)審計(jì)報(bào)告進(jìn)行確認(rèn)并組織整改����;
?�。ò耍┐_保本機(jī)構(gòu)涉及客戶(hù)��、賬務(wù)��,以及產(chǎn)品等信息的核心系統(tǒng)在中華人民共和國(guó)境內(nèi)獨(dú)立運(yùn)行���,并保持最高的管理權(quán)限����,符合中國(guó)保監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場(chǎng)檢查的要求�����;
(九)及時(shí)向中國(guó)保監(jiān)會(huì)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息安全事故或者突發(fā)事件���,按相關(guān)預(yù)案快速響應(yīng)�����;
?�。ㄊ┡浜现袊?guó)保監(jiān)會(huì)做好信息化工作監(jiān)督檢查����,并按照監(jiān)管意見(jiàn)進(jìn)行整改�;
?���。ㄊ唬﹪?guó)家相關(guān)部門(mén)、中國(guó)保監(jiān)會(huì)要求的其他信息化工作��。
第九條[信息化工作委員會(huì)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)設(shè)立由董事會(huì)直接領(lǐng)導(dǎo)管理下的信息化工作委員會(huì)�����。信息化工作委員會(huì)主任由董事長(zhǎng)、總經(jīng)理或者執(zhí)行董事?lián)?����,成員應(yīng)當(dāng)包括首席信息官��、信息技術(shù)部門(mén)和主要業(yè)務(wù)部門(mén)代表���。
信息化工作委員會(huì)有權(quán)向董事會(huì)直接報(bào)告和提出建議�。由其負(fù)責(zé)承辦董事會(huì)交辦的信息化工作事項(xiàng)并監(jiān)督落實(shí)����,并定期向董事會(huì)和高級(jí)管理層匯報(bào)信息化工作整體情況。
第十條[首席信息官]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)設(shè)立首席信息官���。首席信息官直接對(duì)信息化工作委員會(huì)主任負(fù)責(zé)���,參與本機(jī)構(gòu)決策。首席信息官����、信息化工作委員會(huì)主任對(duì)信息化工作承擔(dān)主要責(zé)任。
首席信息官的職責(zé)包括:
?�。ㄒ唬┲苯訁⑴c本機(jī)構(gòu)信息化工作有關(guān)的業(yè)務(wù)發(fā)展和經(jīng)營(yíng)管理決策;
?��。ǘ┩苿?dòng)信息化戰(zhàn)略規(guī)劃納入本機(jī)構(gòu)全面發(fā)展框架����,信息系統(tǒng)開(kāi)發(fā)戰(zhàn)略規(guī)劃應(yīng)當(dāng)符合本機(jī)構(gòu)的總體業(yè)務(wù)戰(zhàn)略規(guī)劃和風(fēng)險(xiǎn)管理策略��;
?����。ㄈ┴?fù)責(zé)信息技術(shù)部門(mén)的領(lǐng)導(dǎo)與管理�����,承擔(dān)本機(jī)構(gòu)的信息化工作職責(zé)���;
(四)負(fù)責(zé)建立健全信息化制度規(guī)則體系�;
(五)保障信息化工作管理的有效性��,并使有關(guān)管理措施落實(shí)到內(nèi)設(shè)部門(mén)和分支機(jī)構(gòu)���;
?。┙M織公司專(zhuān)業(yè)培訓(xùn),提高人才隊(duì)伍的專(zhuān)業(yè)技能�;
(七)履行國(guó)家相關(guān)部門(mén)�、中國(guó)保監(jiān)會(huì)要求的其他信息化工作職責(zé)。
第十一條[任職條件]保險(xiǎn)機(jī)構(gòu)首席信息官應(yīng)當(dāng)由本機(jī)構(gòu)董事會(huì)成員或者高級(jí)管理人員擔(dān)任����,并應(yīng)當(dāng)具備以下條件:
(一)具有誠(chéng)實(shí)信用的職業(yè)操守�����、良好的合規(guī)意識(shí)��,具備履行職務(wù)必需的知識(shí)結(jié)構(gòu)和專(zhuān)業(yè)技術(shù)能力��;
?��。ǘ氖滦畔⒓夹g(shù)工作五年以上�,且在金融機(jī)構(gòu)工作三年以上;或者其他足以證明其具有擬任職務(wù)所需知識(shí)�、能力、經(jīng)驗(yàn)的職業(yè)經(jīng)歷�。
第十二條[信息技術(shù)部門(mén)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)設(shè)立信息技術(shù)部門(mén)�����,統(tǒng)一負(fù)責(zé)本機(jī)構(gòu)信息化工作規(guī)劃��、建設(shè)�����、管理和運(yùn)行維護(hù)等�,承擔(dān)本機(jī)構(gòu)信息化工作委員會(huì)日常工作��。
第十三條[明確職責(zé)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)明確本機(jī)構(gòu)內(nèi)設(shè)部門(mén)及分支機(jī)構(gòu)信息化工作職責(zé)���,并加強(qiáng)指導(dǎo)與監(jiān)督�。
第十四條[規(guī)劃制訂]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立信息化規(guī)劃的制定�、實(shí)施、評(píng)估和修訂的工作機(jī)制��。根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略�����,制定明確的中長(zhǎng)期信息化規(guī)劃���,規(guī)劃期為三至五年�。
規(guī)劃的制定���、實(shí)施�、修訂應(yīng)當(dāng)由本機(jī)構(gòu)信息化工作委員會(huì)提交董事會(huì)審議批準(zhǔn)���。
第十五條[執(zhí)行機(jī)制]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定明確的信息化工作制度���,明確實(shí)施標(biāo)準(zhǔn)和操作流程,及時(shí)更新�、發(fā)布。
保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)公司總體業(yè)務(wù)規(guī)劃和信息化工作需要���,制定專(zhuān)門(mén)的信息化經(jīng)費(fèi)預(yù)算����,確保資金投入�,有效支持業(yè)務(wù)發(fā)展。
保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定有利于公司可持續(xù)發(fā)展的信息化人力資源政策���,健全信息技術(shù)專(zhuān)業(yè)人才激勵(lì)機(jī)制����,合理配備信息技術(shù)人員,并定期對(duì)信息技術(shù)人員和公司其他人員分別開(kāi)展專(zhuān)業(yè)技術(shù)培訓(xùn)�。
第十六條[內(nèi)部審計(jì)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在內(nèi)部審計(jì)部門(mén)設(shè)立專(zhuān)門(mén)的信息化風(fēng)險(xiǎn)審計(jì)崗位,配備足夠的資源和具有專(zhuān)業(yè)能力的信息化工作審計(jì)人員�,對(duì)本機(jī)構(gòu)信息化工作進(jìn)行全面、獨(dú)立審計(jì)���。
第十七條[集團(tuán)管理]保險(xiǎn)集團(tuán)(控股)公司根據(jù)自身總體業(yè)務(wù)規(guī)劃和風(fēng)險(xiǎn)管控要求����,可以對(duì)各子公司信息化工作實(shí)行集中管理�,但各法人機(jī)構(gòu)之間的信息系統(tǒng)、原始數(shù)據(jù)等應(yīng)當(dāng)有效隔離���,并各自承擔(dān)信息安全風(fēng)險(xiǎn)管理責(zé)任����。
保險(xiǎn)集團(tuán)(控股)公司和子公司依法對(duì)信息安全關(guān)聯(lián)風(fēng)險(xiǎn)事故承擔(dān)責(zé)任��?����! ?/p>
第三章 信息系統(tǒng)建設(shè)與運(yùn)行維護(hù)
第十八條[架構(gòu)規(guī)劃]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本機(jī)構(gòu)的總體業(yè)務(wù)發(fā)展戰(zhàn)略和信息化風(fēng)險(xiǎn)管理策略�����,對(duì)信息系統(tǒng)建設(shè)與運(yùn)行維護(hù)進(jìn)行總體規(guī)劃����,加強(qiáng)各信息系統(tǒng)之間的集成與整合,實(shí)現(xiàn)財(cái)務(wù)��、業(yè)務(wù)等核心系統(tǒng)的無(wú)縫對(duì)接�����,促進(jìn)經(jīng)營(yíng)管理流程信息化�,滿(mǎn)足保險(xiǎn)監(jiān)管數(shù)據(jù)采集要求和保險(xiǎn)業(yè)信息共享需要。
第十九條[制度框架]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息系統(tǒng)管理組織��,制定覆蓋信息系統(tǒng)全生命周期的管理制度�、技術(shù)標(biāo)準(zhǔn)和操作規(guī)范,保障信息系統(tǒng)規(guī)劃���、建設(shè)和運(yùn)行維護(hù)各項(xiàng)工作的安全實(shí)施����。
第二十條[安全定級(jí)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)國(guó)家信息安全等級(jí)保護(hù)有關(guān)規(guī)定和所涉信息對(duì)機(jī)構(gòu)經(jīng)營(yíng)管理的重要程度,合理確定信息系統(tǒng)的安全等級(jí)�����。涉及國(guó)家安全���、本機(jī)構(gòu)商業(yè)秘密和客戶(hù)隱私等敏感信息的核心系統(tǒng)應(yīng)當(dāng)參照高等級(jí)標(biāo)準(zhǔn)定級(jí)�,并按照相應(yīng)等級(jí)要求對(duì)信息系統(tǒng)進(jìn)行建設(shè)和運(yùn)行維護(hù)����。重要信息系統(tǒng)定級(jí)情況應(yīng)當(dāng)根據(jù)中國(guó)保監(jiān)會(huì)要求進(jìn)行備案。
第二十一條[開(kāi)發(fā)形式]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)增強(qiáng)信息系統(tǒng)的自主研發(fā)能力�。根據(jù)自身情況,信息系統(tǒng)開(kāi)發(fā)還可以采取合作開(kāi)發(fā)���、定制開(kāi)發(fā)和外包開(kāi)發(fā)等形式����。
對(duì)合作開(kāi)發(fā)和外包開(kāi)發(fā)����,保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)通過(guò)合同約定源代碼所有權(quán)歸屬�,確保擁有合理的源代碼使用授權(quán)或者所有權(quán)�����,嚴(yán)格防范合作開(kāi)發(fā)商或者外包商終止服務(wù)導(dǎo)致的風(fēng)險(xiǎn)����。
第二十二條[開(kāi)發(fā)測(cè)試]保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)的開(kāi)發(fā)測(cè)試應(yīng)當(dāng)與生產(chǎn)管理嚴(yán)格分離��,不得使用未脫敏的生產(chǎn)數(shù)據(jù)用于開(kāi)發(fā)����、測(cè)試環(huán)境。嚴(yán)格限制開(kāi)發(fā)人員訪問(wèn)源代碼的權(quán)限��,并保障核心系統(tǒng)開(kāi)發(fā)實(shí)施安全���。
信息系統(tǒng)正式上線運(yùn)行前����,應(yīng)當(dāng)對(duì)其功能��、性能及安全性進(jìn)行測(cè)試�,核心系統(tǒng)原則上應(yīng)當(dāng)通過(guò)第三方測(cè)試機(jī)構(gòu)測(cè)試�;面向互聯(lián)網(wǎng)應(yīng)用的系統(tǒng)還應(yīng)當(dāng)通過(guò)第三方安全測(cè)試�����。信息系統(tǒng)的重大改造升級(jí)應(yīng)當(dāng)按照新信息系統(tǒng)建設(shè)標(biāo)準(zhǔn)進(jìn)行測(cè)試�����。
信息系統(tǒng)經(jīng)測(cè)試合格���,并由本機(jī)構(gòu)信息技術(shù)部門(mén)和業(yè)務(wù)部門(mén)共同批準(zhǔn)后方可上線運(yùn)行����。
第二十三條[系統(tǒng)運(yùn)行維護(hù)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息系統(tǒng)運(yùn)行維護(hù)管理流程�,清晰界定信息技術(shù)部門(mén)和業(yè)務(wù)部門(mén)的運(yùn)行維護(hù)職責(zé),并按照下列要求建立信息系統(tǒng)的身份鑒別��、權(quán)限分配����、操作審計(jì)、故障處理規(guī)范:
?。ㄒ唬┌凑盏燃?jí)保護(hù)要求建立相應(yīng)的身份鑒別機(jī)制;
?。ǘ﹪?yán)格規(guī)范帳號(hào)權(quán)限分配���、使用和回收管理流程;
?�。ㄈ┬畔⑾到y(tǒng)運(yùn)行維護(hù)操作日志應(yīng)當(dāng)按照國(guó)家有關(guān)要求和業(yè)務(wù)經(jīng)營(yíng)需要進(jìn)行分類(lèi)保存���;
?����。ㄋ模┙⑿畔⑾到y(tǒng)故障全面記錄、分析和解決機(jī)制���。
第二十四條[系統(tǒng)變更與數(shù)據(jù)遷移��、修改]信息系統(tǒng)變更和數(shù)據(jù)遷移時(shí)����,應(yīng)當(dāng)制定合理的技術(shù)方案�����,充分測(cè)試�����,做好備份,保證信息系統(tǒng)及數(shù)據(jù)安全����。嚴(yán)格控制后臺(tái)修改系統(tǒng)數(shù)據(jù),確需修改的要做到事前批準(zhǔn)�����、事中監(jiān)控和事后留痕�。
第二十五條[安全防護(hù)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照下列要求建立健全信息系統(tǒng)備份及災(zāi)難恢復(fù)、防病毒����、密碼管理、入侵檢測(cè)�����、審計(jì)等安全管理機(jī)制:
?�。ㄒ唬└鶕?jù)數(shù)據(jù)及系統(tǒng)的重要性��,明確數(shù)據(jù)及系統(tǒng)的備份與災(zāi)難恢復(fù)策略;
?。ǘ┘訌?qiáng)密碼設(shè)備及使用人員管理,使用符合國(guó)家標(biāo)準(zhǔn)和加密要求的技術(shù)和產(chǎn)品��;
?。ㄈ┎扇阂獯a防范措施,確保具備主動(dòng)發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力����;
(四)信息系統(tǒng)日志在保存期限內(nèi)內(nèi)容不得刪除��、修改或者覆蓋�����,并實(shí)現(xiàn)對(duì)關(guān)鍵崗位�、異常操作等高風(fēng)險(xiǎn)因素的審計(jì)��。
第二十六條[互聯(lián)網(wǎng)應(yīng)用]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照下列要求加強(qiáng)對(duì)門(mén)戶(hù)網(wǎng)站��、社交網(wǎng)絡(luò)公眾賬號(hào)等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的管理:
?�。ㄒ唬└鶕?jù)國(guó)家有關(guān)規(guī)定備案���;
?�。ǘ┙⒕W(wǎng)站信息發(fā)布審批制度����,嚴(yán)格控制網(wǎng)站內(nèi)容發(fā)布權(quán)限;
?��。ㄈ┘訌?qiáng)技術(shù)保障和運(yùn)行監(jiān)控�,保障網(wǎng)絡(luò)交易安全和交易記錄可追溯��。
第二十七條[文檔完備]保險(xiǎn)機(jī)構(gòu)的重要信息系統(tǒng)有關(guān)資料和信息系統(tǒng)的重要信息應(yīng)當(dāng)按照中國(guó)保監(jiān)會(huì)要求備案��。
保險(xiǎn)機(jī)構(gòu)要建立覆蓋信息系統(tǒng)全生命周期的文檔管理體系����,確保文檔記錄完整、及時(shí)�����、有效��?!?/p>
第四章 基礎(chǔ)設(shè)施建設(shè)與保障
第二十八條[基礎(chǔ)設(shè)施]基礎(chǔ)設(shè)施指保障信息系統(tǒng)運(yùn)行的物理環(huán)境,主要包括數(shù)據(jù)中心和網(wǎng)絡(luò)資源。
本規(guī)定所稱(chēng)數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心(以下簡(jiǎn)稱(chēng)災(zāi)備中心)�。
生產(chǎn)中心是指保險(xiǎn)機(jī)構(gòu)對(duì)全部業(yè)務(wù)、客戶(hù)和管理等重要信息進(jìn)行集中存儲(chǔ)��、處理和維護(hù)���,具備專(zhuān)用場(chǎng)所�����,為業(yè)務(wù)運(yùn)營(yíng)及管理提供信息化支撐服務(wù)的組織����。
災(zāi)備中心是指保險(xiǎn)機(jī)構(gòu)為保障其業(yè)務(wù)連續(xù)性����,在生產(chǎn)中心故障、停頓或者癱瘓后�����,能夠接替生產(chǎn)中心運(yùn)行��,具備專(zhuān)用場(chǎng)所���,進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織�。
災(zāi)備中心同城模式(以下簡(jiǎn)稱(chēng)同城災(zāi)備)是指災(zāi)備中心與生產(chǎn)中心位于同一地理區(qū)域���,一般距離數(shù)十公里���,可防范火災(zāi)、建筑物破壞��、電力或者通信系統(tǒng)中斷等事件�。災(zāi)備中心異地模式(以下簡(jiǎn)稱(chēng)異地災(zāi)備)是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域,一般距離在數(shù)百公里以上����,不會(huì)同時(shí)面臨同類(lèi)區(qū)域性災(zāi)難風(fēng)險(xiǎn),如地震����、臺(tái)風(fēng)和洪水等。
本規(guī)定所稱(chēng)網(wǎng)絡(luò)資源是指支撐系統(tǒng)運(yùn)行的網(wǎng)絡(luò)專(zhuān)線��、網(wǎng)絡(luò)帶寬��、網(wǎng)絡(luò)地址�����、網(wǎng)絡(luò)域名以及相關(guān)網(wǎng)絡(luò)設(shè)備等虛擬及物理設(shè)施。
第二十九條[規(guī)劃設(shè)計(jì)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)以本機(jī)構(gòu)業(yè)務(wù)總體規(guī)劃為根本,圍繞數(shù)據(jù)資產(chǎn)的管理和應(yīng)用,科學(xué)規(guī)劃數(shù)據(jù)中心的總體架構(gòu)和實(shí)施路線,保證網(wǎng)絡(luò)�、數(shù)據(jù)、應(yīng)用���、安全各要素有機(jī)結(jié)合�。
數(shù)據(jù)中心規(guī)劃應(yīng)當(dāng)報(bào)中國(guó)保監(jiān)會(huì)備案�����。
第三十條[建設(shè)時(shí)間]保險(xiǎn)機(jī)構(gòu)在籌備時(shí)����,應(yīng)當(dāng)按照中國(guó)保監(jiān)會(huì)規(guī)定的信息化建設(shè)準(zhǔn)入標(biāo)準(zhǔn)設(shè)立生產(chǎn)中心。生產(chǎn)中心運(yùn)行五年內(nèi)建立災(zāi)備中心�,災(zāi)備中心的建設(shè)與管理必須達(dá)到中國(guó)保監(jiān)會(huì)規(guī)定的標(biāo)準(zhǔn)。
保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)不斷完善生產(chǎn)中心�����、同城災(zāi)備�����、異地災(zāi)備的災(zāi)難備份體系����,逐步實(shí)現(xiàn)更高安全水平的信息系統(tǒng)運(yùn)行模式,切實(shí)提高防災(zāi)減災(zāi)能力�����,保障業(yè)務(wù)連續(xù)性���。
第三十一條[建設(shè)標(biāo)準(zhǔn)]保險(xiǎn)機(jī)構(gòu)可以采取自建�、共建����、外包的方式設(shè)立數(shù)據(jù)中心,數(shù)據(jù)中心的機(jī)房設(shè)計(jì)標(biāo)準(zhǔn)必須符合國(guó)家標(biāo)準(zhǔn)規(guī)范和中國(guó)保監(jiān)會(huì)的要求���。
數(shù)據(jù)來(lái)源于中華人民共和國(guó)境內(nèi)的�,數(shù)據(jù)中心的物理位置應(yīng)當(dāng)位于境內(nèi)�����。
第三十二條[人員管理]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)指定專(zhuān)門(mén)機(jī)構(gòu)和專(zhuān)業(yè)隊(duì)伍負(fù)責(zé)數(shù)據(jù)中心運(yùn)營(yíng)與管理����,明確數(shù)據(jù)中心各崗位人員職責(zé)�,建立完善運(yùn)行指標(biāo)體系和服務(wù)評(píng)價(jià)體系�,保證運(yùn)行維護(hù)隊(duì)伍人員穩(wěn)定、工作高效���。
第三十三條[管理制度]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立健全并嚴(yán)格執(zhí)行數(shù)據(jù)中心管理制度��、技術(shù)規(guī)范��、操作指南�����,包括機(jī)房管理���、運(yùn)行管理、設(shè)備管理����、數(shù)據(jù)管理、應(yīng)急管理等�。
第三十四條[安全管理]保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)中心應(yīng)當(dāng)設(shè)置安全工作機(jī)構(gòu),加強(qiáng)人員安全�、物理環(huán)境安全���、設(shè)備資產(chǎn)安全�����、操作安全��、運(yùn)行維護(hù)安全�、鏈路安全、網(wǎng)絡(luò)安全及應(yīng)用安全等方面的安全管理��。
第三十五條[設(shè)施監(jiān)控]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息化基礎(chǔ)設(shè)施實(shí)施有效監(jiān)控���。數(shù)據(jù)中心基礎(chǔ)設(shè)施安全防護(hù)和保障應(yīng)當(dāng)按功能區(qū)域劃分安全控制級(jí)別�,不同級(jí)別區(qū)域采用獨(dú)立的出入控制設(shè)備并集中監(jiān)控�。應(yīng)當(dāng)對(duì)基礎(chǔ)設(shè)施設(shè)備、機(jī)房環(huán)境狀況�����、安全防護(hù)系統(tǒng)狀況實(shí)行7×24小時(shí)實(shí)時(shí)監(jiān)測(cè)��。深入應(yīng)用自動(dòng)控制�����、虛擬化管理等新技術(shù),提高監(jiān)控水平和效率�����。
第三十六條[網(wǎng)絡(luò)規(guī)劃]保險(xiǎn)機(jī)構(gòu)網(wǎng)絡(luò)資源應(yīng)當(dāng)滿(mǎn)足高性能��、高可用性�、高安全性、可擴(kuò)展性等要求�����,為信息系統(tǒng)提供安全�����、穩(wěn)定�、高效的運(yùn)行環(huán)境。數(shù)據(jù)中心應(yīng)當(dāng)用兩條或者多條通信線路互為備份����,互為備份的通信線路不得經(jīng)過(guò)同一路由節(jié)點(diǎn)。
第三十七條[外聯(lián)管理]保險(xiǎn)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)與保險(xiǎn)中介機(jī)構(gòu)、第三方機(jī)構(gòu)等外聯(lián)單位網(wǎng)絡(luò)連接時(shí)�,應(yīng)當(dāng)明確網(wǎng)絡(luò)外聯(lián)種類(lèi)方式,采用可靠連接策略及技術(shù)手段���,實(shí)現(xiàn)彼此有效隔離�����,并對(duì)跨網(wǎng)絡(luò)流量、網(wǎng)絡(luò)用戶(hù)行為等進(jìn)行記錄和定期審計(jì)��?���!?/p>
第五章 外包管理
第三十八條[名詞釋義]本規(guī)定所稱(chēng)外包是指保險(xiǎn)機(jī)構(gòu)將本機(jī)構(gòu)信息化工作委托給服務(wù)提供商進(jìn)行處理的行為,包括咨詢(xún)外包��、系統(tǒng)建設(shè)外包���、系統(tǒng)運(yùn)行維護(hù)外包�、基礎(chǔ)設(shè)施外包和信息安全外包等����。
第三十九條[建立制度]保險(xiǎn)機(jī)構(gòu)實(shí)行信息化工作外包,應(yīng)當(dāng)制定完備的外包服務(wù)管理制度和風(fēng)險(xiǎn)評(píng)估機(jī)制,確保有效應(yīng)對(duì)和處置外包風(fēng)險(xiǎn)����。
第四十條[審慎要求]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)涉及信息資產(chǎn)的關(guān)鍵性和敏感程度,審慎確定外包服務(wù)范圍����。信息系統(tǒng)安全管理責(zé)任不得外包。
下列外包實(shí)施前應(yīng)當(dāng)經(jīng)過(guò)本機(jī)構(gòu)董事會(huì)批準(zhǔn)���,并按照中國(guó)保監(jiān)會(huì)要求報(bào)告:
?�。ㄒ唬┍kU(xiǎn)機(jī)構(gòu)對(duì)數(shù)據(jù)中心等基礎(chǔ)設(shè)施實(shí)施的整體外包�;
?����。ǘ?duì)涉及國(guó)家安全�����、本機(jī)構(gòu)商業(yè)秘密���,以及客戶(hù)隱私等敏感內(nèi)容的信息系統(tǒng)外包��。
第四十一條[外包資質(zhì)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)不同的外包業(yè)務(wù)要求���,優(yōu)先選用具備信息安全管理體系認(rèn)證資質(zhì)的信息技術(shù)服務(wù)機(jī)構(gòu)提供外包服務(wù)���。數(shù)據(jù)中心外包服務(wù)提供商應(yīng)當(dāng)符合本規(guī)定第四章所規(guī)定的標(biāo)準(zhǔn)和要求。
第四十二條[外包合同]保險(xiǎn)機(jī)構(gòu)與外包服務(wù)提供商簽訂書(shū)面外包服務(wù)合同�����,合同應(yīng)當(dāng)包括外包服務(wù)范圍�����、安全保密�、知識(shí)產(chǎn)權(quán)�、業(yè)務(wù)連續(xù)性要求、爭(zhēng)端解決機(jī)制���、合同變更或者終止的過(guò)渡安排����、違約責(zé)任等條款�����。
保險(xiǎn)機(jī)構(gòu)必須要求外包服務(wù)提供商承諾接受和配合中國(guó)保監(jiān)會(huì)對(duì)保險(xiǎn)機(jī)構(gòu)信息化工作相關(guān)的現(xiàn)場(chǎng)檢查和日常監(jiān)督。
第四十三條[分包要求]保險(xiǎn)機(jī)構(gòu)要嚴(yán)格控制外包服務(wù)提供商的轉(zhuǎn)包和分包行為�。對(duì)于確有第三方外包服務(wù)提供商參與實(shí)施的項(xiàng)目應(yīng)當(dāng)采取嚴(yán)密措施,保證外包服務(wù)質(zhì)量和安全不受影響�。
第四十四條[外包監(jiān)督]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)外包服務(wù)提供商及其服務(wù)人員的管理,與外包服務(wù)提供商建立起有效的信息交流與溝通機(jī)制�����,保證外包服務(wù)人員的相對(duì)穩(wěn)定�����。
第四十五條[股東影響]保險(xiǎn)機(jī)構(gòu)信息化建設(shè)和管理與其非保險(xiǎn)類(lèi)股東有重大關(guān)聯(lián)的���,保險(xiǎn)機(jī)構(gòu)信息化治理與規(guī)劃�����、業(yè)務(wù)��、財(cái)務(wù)等核心系統(tǒng)和重要數(shù)據(jù)信息及其管理必須保持獨(dú)立完整�����。其他信息化事項(xiàng)外包給股東的�����,按照本規(guī)定外包要求實(shí)施管理�。
第四十六條[購(gòu)買(mǎi)保險(xiǎn)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)優(yōu)先選擇購(gòu)買(mǎi)相應(yīng)商業(yè)保險(xiǎn)的外包服務(wù)提供商,以保障安全事件發(fā)生時(shí)外包服務(wù)提供商有足夠的經(jīng)濟(jì)賠償能力����。
第四十七條[定期評(píng)估]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立評(píng)估考核機(jī)制,定期對(duì)外包服務(wù)提供商的財(cái)務(wù)狀況�����、技術(shù)實(shí)力�����、安全資質(zhì)�����、風(fēng)險(xiǎn)控制水平和誠(chéng)信記錄等進(jìn)行審查���、評(píng)估與考核����,確保其設(shè)施和能力滿(mǎn)足外包要求�。
第六章 信息安全管理
第四十八條[信息安全]本規(guī)定所稱(chēng)信息安全是指利用信息技術(shù)及管理手段���,保護(hù)信息在采集�、傳輸����、交換、處理和存儲(chǔ)等過(guò)程中的可用性����、保密性、完整性和不可抵賴(lài)性�。
信息安全包括網(wǎng)絡(luò)安全、系統(tǒng)安全和內(nèi)容安全��,涵蓋物理環(huán)境�、網(wǎng)絡(luò)、主機(jī)系統(tǒng)�、桌面系統(tǒng)、數(shù)據(jù)���、應(yīng)用���、存儲(chǔ)����、災(zāi)備���、安全事件管理�、人員等各層面安全��。
第四十九條[基本要求]保險(xiǎn)機(jī)構(gòu)要將信息安全置于信息化工作的首位�����,按照“積極防御��、綜合防范”的原則��,加強(qiáng)信息安全與信息系統(tǒng)的同步規(guī)劃�、同步建設(shè)和同步使用�����,加強(qiáng)風(fēng)險(xiǎn)管理與控制,充分利用管理機(jī)制和技術(shù)手段�����,增強(qiáng)安全防護(hù)能力�,構(gòu)建完善的信息安全保障體系,確保重要信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行���,保障業(yè)務(wù)活動(dòng)的連續(xù)性���。
第五十條[機(jī)構(gòu)職責(zé)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)��,誰(shuí)運(yùn)營(yíng)����、誰(shuí)負(fù)責(zé),誰(shuí)使用�、誰(shuí)負(fù)責(zé)”的原則,明確信息安全責(zé)任���,強(qiáng)化安全意識(shí)�,加強(qiáng)安全管理�����,全面落實(shí)信息安全管理責(zé)任制。
保險(xiǎn)機(jī)構(gòu)法定代表人對(duì)本機(jī)構(gòu)信息安全承擔(dān)首要責(zé)任�,首席信息官、信息化工作委員會(huì)主任對(duì)本機(jī)構(gòu)信息安全承擔(dān)主要責(zé)任����。
保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在信息技術(shù)部門(mén)設(shè)置專(zhuān)門(mén)機(jī)構(gòu),并配備專(zhuān)職人員�,履行以下安全職責(zé):
(一)貫徹落實(shí)國(guó)家和中國(guó)保監(jiān)會(huì)有關(guān)信息系統(tǒng)安全管理的法律��、行政法規(guī)���、技術(shù)標(biāo)準(zhǔn)和相關(guān)要求��;
?。ǘ┙M織公司信息系統(tǒng)安全規(guī)劃與建設(shè)工作�����,制定相關(guān)管理規(guī)定���;
?。ㄈ┙M織制定信息化風(fēng)險(xiǎn)管理制度�,建立風(fēng)險(xiǎn)識(shí)別、計(jì)量�����、監(jiān)測(cè)和控制體系����;
(四)建立有效的信息系統(tǒng)安全保障體系并定期或者根據(jù)工作需要及時(shí)進(jìn)行檢查����、評(píng)估、審計(jì)���、改進(jìn)�、監(jiān)控等工作��;
?���。ㄎ澹?duì)信息系統(tǒng)安全事件進(jìn)行管理、處置和上報(bào);
?����。┙M織配備足夠具有專(zhuān)業(yè)知識(shí)和技能的信息安全工作人員��;
?。ㄆ撸┙M織公司員工信息系統(tǒng)安全教育與培訓(xùn);
?。ò耍╅_(kāi)展與信息系統(tǒng)安全相關(guān)的其他工作。
第五十一條[制度體系]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息安全分類(lèi)和保護(hù)制度體系���,明確系統(tǒng)管理����、網(wǎng)絡(luò)管理�、安全管理等崗位職責(zé)、管理權(quán)限和技能要求����,細(xì)化工作流程,建立有效的執(zhí)行機(jī)制��、評(píng)估機(jī)制和監(jiān)督機(jī)制���。制度體系包括以下內(nèi)容:
?����。ㄒ唬┬畔踩M織管理制度��;
?��。ǘ┬畔⒒L(fēng)險(xiǎn)管理與控制制度;
?���。ㄈ┤藛T安全管理制度;
?����。ㄋ模?shù)據(jù)安全管理制度���;
?��。ㄎ澹┵Y產(chǎn)安全管理制度;
?���。┪锢砼c環(huán)境安全管理制度�;
?����。ㄆ撸┰L問(wèn)控制管理制度�;
(八)網(wǎng)絡(luò)運(yùn)行維護(hù)管理制度����;
(九)系統(tǒng)開(kāi)發(fā)與維護(hù)管理制度���;
?����。ㄊI(yè)務(wù)連續(xù)性管理制度���;
(十一)合規(guī)性管理制度��;
?。ㄊ┬畔踩鹿使芾碇贫?��;
(十三)信息化外包服務(wù)管理制度�����。
第五十二條[安全機(jī)制]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)構(gòu)建完善的信息安全風(fēng)險(xiǎn)控制策略�。針對(duì)信息安全的各層面、各環(huán)節(jié)����,建立職責(zé)明確的授權(quán)機(jī)制���、審批流程���,以及完備有效、相互制衡的內(nèi)部控制體系��,定期根據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)進(jìn)行評(píng)審和完善���。
第五十三條[安全可控]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)優(yōu)先采購(gòu)安全可控的硬件設(shè)備和軟件產(chǎn)品��,穩(wěn)步推進(jìn)安全可控產(chǎn)品應(yīng)用��;積極創(chuàng)造條件�����,提高關(guān)鍵業(yè)務(wù)系統(tǒng)的自主研發(fā)水平����,不斷增強(qiáng)保險(xiǎn)機(jī)構(gòu)信息化工作的安全可控能力。
第五十四條[國(guó)產(chǎn)密碼]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照國(guó)家金融領(lǐng)域密碼應(yīng)用工作規(guī)劃和實(shí)施要求���,逐步實(shí)現(xiàn)國(guó)產(chǎn)密碼在電子保單及保險(xiǎn)領(lǐng)域的全面應(yīng)用�����。
第五十五條[正版化]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)切實(shí)提高軟件正版化意識(shí)和自主產(chǎn)權(quán)保護(hù)意識(shí)�����。禁止復(fù)制�、傳播或者使用非授權(quán)軟件��。對(duì)本機(jī)構(gòu)具有自主知識(shí)產(chǎn)權(quán)的信息產(chǎn)品�,應(yīng)當(dāng)采取有效措施加以保護(hù)。
第五十六條[等級(jí)保護(hù)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家和中國(guó)保監(jiān)會(huì)信息系統(tǒng)安全規(guī)范���、技術(shù)標(biāo)準(zhǔn)及等級(jí)保護(hù)管理要求�����,進(jìn)行定級(jí)�����、保護(hù)��、備案�、測(cè)評(píng)和整改,確保不同等級(jí)的信息系統(tǒng)具備相應(yīng)的安全防護(hù)能力����。
第五十七條[安全認(rèn)證]保險(xiǎn)機(jī)構(gòu)需要申請(qǐng)信息安全管理體系認(rèn)證的��,應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定及中國(guó)保監(jiān)會(huì)要求����,選擇國(guó)家認(rèn)證認(rèn)可監(jiān)督管理部門(mén)批準(zhǔn)的機(jī)構(gòu)進(jìn)行認(rèn)證,并與認(rèn)證機(jī)構(gòu)簽訂安全和保密協(xié)議��。
第五十八條[數(shù)據(jù)安全]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)管理相關(guān)制度和流程�����,規(guī)范數(shù)據(jù)采集、傳輸����、存儲(chǔ)、交換�、備份、恢復(fù)和銷(xiāo)毀等環(huán)節(jié)���,采取加密等手段防范數(shù)據(jù)泄露�,保障信息數(shù)據(jù)的合法�����、合規(guī)使用��,做好數(shù)據(jù)恢復(fù)有效性測(cè)試�����,防范災(zāi)難發(fā)生時(shí)數(shù)據(jù)丟失風(fēng)險(xiǎn)����。
外資保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)所載數(shù)據(jù)移至中華人民共和國(guó)境外的�,應(yīng)當(dāng)符合我國(guó)有關(guān)法律法規(guī)�。
第五十九條[終端管理]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)安全管理有關(guān)規(guī)定對(duì)計(jì)算機(jī)、移動(dòng)設(shè)備等各類(lèi)終端分別制定安全管理制度�,嚴(yán)格規(guī)范終端網(wǎng)絡(luò)準(zhǔn)入、安全策略����、軟件安裝與卸載等管理。
第六十條[資產(chǎn)管理]保險(xiǎn)機(jī)構(gòu)要建立軟硬件和數(shù)據(jù)資源等信息化資產(chǎn)管理制度��,編制資產(chǎn)清單����,明確資產(chǎn)管理責(zé)任部門(mén)與人員,規(guī)范資產(chǎn)分配�、使用、存儲(chǔ)���、維護(hù)和銷(xiāo)毀等行為,定期對(duì)資產(chǎn)清單進(jìn)行一致性檢查并保留檢查記錄����。
第六十一條[介質(zhì)管理]保險(xiǎn)機(jī)構(gòu)要制定介質(zhì)分類(lèi)管理制度��,根據(jù)介質(zhì)存儲(chǔ)內(nèi)容與重要性明確存儲(chǔ)介質(zhì)類(lèi)型���、存放技術(shù)指標(biāo)、保存期限等�����,并定期檢查介質(zhì)中存儲(chǔ)的信息是否完整可用�����。
重要備份介質(zhì)應(yīng)當(dāng)異地存放���。介質(zhì)送出維修或者銷(xiāo)毀時(shí)�����,應(yīng)當(dāng)保證介質(zhì)信息預(yù)先得到審查并妥善處理�。
對(duì)于存儲(chǔ)客戶(hù)隱私等涉密信息的存儲(chǔ)介質(zhì)�,應(yīng)當(dāng)嚴(yán)格依據(jù)國(guó)家有關(guān)法律法規(guī)及中國(guó)保監(jiān)會(huì)要求保存與銷(xiāo)毀。
第六十二條[災(zāi)備恢復(fù)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)災(zāi)難恢復(fù)管理���,制定業(yè)務(wù)連續(xù)性規(guī)劃�����,并定期進(jìn)行演練�,以確保出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí)信息系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)。
第六十三條[應(yīng)急管理]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)針對(duì)可能發(fā)生的信息安全重大突發(fā)事件����,建立和完善分類(lèi)應(yīng)急管理體系,與通信��、電力���、消防等基礎(chǔ)保障部門(mén)建立溝通機(jī)制�����,與業(yè)務(wù)系統(tǒng)�、基礎(chǔ)設(shè)備等服務(wù)廠商建立協(xié)同機(jī)制���,對(duì)重大自然災(zāi)害��、惡意破壞等合理劃分應(yīng)急響應(yīng)等級(jí),明確應(yīng)急響應(yīng)啟動(dòng)程序�����、處理流程、上報(bào)要求�����、預(yù)警機(jī)制等���。
保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)每年至少進(jìn)行一次應(yīng)急演練�,針對(duì)演練中暴露出的風(fēng)險(xiǎn)隱患進(jìn)行整改�����。
第六十四條[新技術(shù)安全]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)主動(dòng)跟蹤研究應(yīng)用新興信息技術(shù)�����,在推進(jìn)業(yè)務(wù)創(chuàng)新的同時(shí)����,提高信息安全防護(hù)能力,防范和控制新技術(shù)應(yīng)用帶來(lái)的新風(fēng)險(xiǎn)�����。
保險(xiǎn)機(jī)構(gòu)需要使用云計(jì)算服務(wù)的,要充分評(píng)估使用云計(jì)算服務(wù)的價(jià)值和風(fēng)險(xiǎn)。重點(diǎn)關(guān)注云計(jì)算提供商滿(mǎn)足服務(wù)等級(jí)協(xié)定以及提供連續(xù)穩(wěn)定云服務(wù)的能力��,并充分考慮敏感數(shù)據(jù)在云計(jì)算平臺(tái)上運(yùn)行的安全性���、所采取的安全控制措施的可靠性以及系統(tǒng)和數(shù)據(jù)遷移方案完善性等風(fēng)險(xiǎn)因素����?����! ?/p>
第七章 內(nèi)部審計(jì)
第六十五條[審計(jì)要求]保險(xiǎn)機(jī)構(gòu)內(nèi)部審計(jì)部門(mén)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)����、規(guī)模和復(fù)雜程度,對(duì)相關(guān)信息系統(tǒng)及其控制的適當(dāng)性�����、合規(guī)性和有效性進(jìn)行獨(dú)立于本機(jī)構(gòu)日?���;顒?dòng)的審計(jì)。
第六十六條[審計(jì)職責(zé)]保險(xiǎn)機(jī)構(gòu)信息化工作內(nèi)部審計(jì)部門(mén)的職責(zé):
?����。ㄒ唬┲贫ê蛯?shí)施審計(jì)計(jì)劃���,檢查和評(píng)估保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性��;
?。ǘ┌凑諏徲?jì)計(jì)劃和要求完成審計(jì)工作�;
(三)對(duì)信息安全或者其他特殊事項(xiàng)進(jìn)行專(zhuān)項(xiàng)審計(jì)�����;
?���。ㄋ模z查、督促整改意見(jiàn)的落實(shí)情況�。
第六十七條[范圍與頻率]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度���,信息技術(shù)應(yīng)用情況�,以及信息技術(shù)風(fēng)險(xiǎn)評(píng)估結(jié)果�,決定信息化工作內(nèi)部審計(jì)的范圍和頻率��,但至少應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次全面審計(jì)��。
第六十八條[內(nèi)審參與]保險(xiǎn)機(jī)構(gòu)進(jìn)行重要信息系統(tǒng)建設(shè)時(shí)應(yīng)當(dāng)要求內(nèi)部審計(jì)部門(mén)參與監(jiān)督�。
第八章 外部審計(jì)
第六十九條[規(guī)定要求]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)法律���、行政法規(guī)和中國(guó)保監(jiān)會(huì)要求�,定期委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息化工作外部審計(jì)����。
第七十條[委托授權(quán)]在委托審計(jì)過(guò)程中,保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ緳C(jī)構(gòu)的硬件��、軟件���、文檔和數(shù)據(jù)進(jìn)行檢查�����,以發(fā)現(xiàn)信息系統(tǒng)存在的風(fēng)險(xiǎn)�。
國(guó)家法律法規(guī)和中國(guó)保監(jiān)會(huì)規(guī)定的重要商業(yè)��、技術(shù)秘密信息不在檢查范圍��。
第七十一條[審計(jì)頻率]保險(xiǎn)機(jī)構(gòu)至少應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次外部審計(jì)。
第七十二條[配合審計(jì)]保險(xiǎn)機(jī)構(gòu)實(shí)施外部審計(jì)前應(yīng)當(dāng)與外部審計(jì)機(jī)構(gòu)進(jìn)行充分溝通����,詳細(xì)確定審計(jì)范圍,不得隱瞞事實(shí)或者阻撓審計(jì)��。
第七十三條[保密要求]保險(xiǎn)機(jī)構(gòu)在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)����,應(yīng)當(dāng)與其簽訂保密協(xié)議����,并督促其嚴(yán)格遵守法律法規(guī),保守本機(jī)構(gòu)的商業(yè)秘密和信息化風(fēng)險(xiǎn)信息��,防止其擅自對(duì)本機(jī)構(gòu)提供的文件資料進(jìn)行修改復(fù)制或者帶離現(xiàn)場(chǎng)�����?����! ?/p>
第九章 監(jiān)督管理
第七十四條[監(jiān)管原則]中國(guó)保監(jiān)會(huì)對(duì)保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)實(shí)行分類(lèi)����、分級(jí)監(jiān)督管理���。
第七十五條[監(jiān)管內(nèi)容]中國(guó)保監(jiān)會(huì)依法組織制定和推動(dòng)執(zhí)行保險(xiǎn)業(yè)信息化標(biāo)準(zhǔn),并根據(jù)保險(xiǎn)業(yè)信息化風(fēng)險(xiǎn)狀況�����,對(duì)保險(xiǎn)機(jī)構(gòu)進(jìn)行信息化風(fēng)險(xiǎn)提示�����,督促保險(xiǎn)機(jī)構(gòu)采取針對(duì)性措施消除信息化風(fēng)險(xiǎn)隱患���。
第七十六條[開(kāi)業(yè)驗(yàn)收]保險(xiǎn)機(jī)構(gòu)設(shè)立時(shí)信息化建設(shè)應(yīng)當(dāng)達(dá)到中國(guó)保監(jiān)會(huì)規(guī)定的準(zhǔn)入標(biāo)準(zhǔn)和要求�,且經(jīng)過(guò)驗(yàn)收后方可對(duì)外營(yíng)業(yè)���。
第七十七條[非現(xiàn)場(chǎng)監(jiān)管]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按中國(guó)保監(jiān)會(huì)要求定期報(bào)送信息化風(fēng)險(xiǎn)管理報(bào)表以及不定期報(bào)送專(zhuān)項(xiàng)臨時(shí)報(bào)表��。
中國(guó)保監(jiān)會(huì)根據(jù)信息化風(fēng)險(xiǎn)管理報(bào)表情況對(duì)保險(xiǎn)機(jī)構(gòu)進(jìn)行評(píng)價(jià)���,相關(guān)監(jiān)管指標(biāo)納入償付能力監(jiān)管體系,針對(duì)不同風(fēng)險(xiǎn)等級(jí)采取相應(yīng)的監(jiān)管措施。
第七十八條[現(xiàn)場(chǎng)檢查]中國(guó)保監(jiān)會(huì)根據(jù)保險(xiǎn)業(yè)信息化總體安全狀況��、保險(xiǎn)機(jī)構(gòu)信息化反映出的突出問(wèn)題�����,可以組織現(xiàn)場(chǎng)檢查����,存在下列情形的保險(xiǎn)機(jī)構(gòu)可以作為重點(diǎn)檢查對(duì)象:
(一)信息化建設(shè)存在重大安全隱患的��;
?�。ǘ┌l(fā)生信息系統(tǒng)重大突發(fā)性事件的�;
?��。ㄈ┻`反中國(guó)保監(jiān)會(huì)信息化重大事項(xiàng)報(bào)告有關(guān)規(guī)定的��;
?��。ㄋ模?duì)中國(guó)保監(jiān)會(huì)信息安全檢查中發(fā)現(xiàn)的嚴(yán)重信息安全隱患未采取措施進(jìn)行整改或者整改不力的;
?���。ㄎ澹┻`反合規(guī)性要求���,逃避中國(guó)保監(jiān)會(huì)或者有關(guān)部門(mén)檢查和處罰,惡意對(duì)信息系統(tǒng)數(shù)據(jù)進(jìn)行篡改的���;
?����。┰趫?bào)送信息化各類(lèi)報(bào)表數(shù)據(jù)中��,存在嚴(yán)重誤報(bào)��、漏報(bào)�����、錯(cuò)報(bào)��、遲報(bào)等行為�����,且屢錯(cuò)不改或者整改不力的���;
?�。ㄆ撸┲袊?guó)保監(jiān)會(huì)認(rèn)為有必要進(jìn)行信息化重點(diǎn)檢查的其他情形��。
第七十九條[外聘審計(jì)]中國(guó)保監(jiān)會(huì)認(rèn)為必要時(shí)可指定具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對(duì)保險(xiǎn)機(jī)構(gòu)信息化工作進(jìn)行審計(jì)�����。外部審計(jì)機(jī)構(gòu)根據(jù)中國(guó)保監(jiān)會(huì)委托對(duì)保險(xiǎn)機(jī)構(gòu)進(jìn)行審計(jì)時(shí)����,應(yīng)當(dāng)出示委托書(shū)����,并依照委托書(shū)規(guī)定的范圍進(jìn)行審計(jì)�����。
第八十條[審計(jì)報(bào)告]保險(xiǎn)機(jī)構(gòu)內(nèi)部審計(jì)�、外部審計(jì)應(yīng)當(dāng)按照中國(guó)保監(jiān)會(huì)頒布的信息化審計(jì)規(guī)范標(biāo)準(zhǔn)和要求進(jìn)行,且應(yīng)當(dāng)在每次審計(jì)結(jié)束后三個(gè)月內(nèi)將審計(jì)報(bào)告報(bào)中國(guó)保監(jiān)會(huì)備案���。
第八十一條[滲透測(cè)試]中國(guó)保監(jiān)會(huì)在對(duì)保險(xiǎn)機(jī)構(gòu)信息安全進(jìn)行檢查時(shí)�,可以委托具有相應(yīng)資質(zhì)的信息安全監(jiān)測(cè)機(jī)構(gòu)進(jìn)行有針對(duì)性的風(fēng)險(xiǎn)滲透測(cè)試。保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)中國(guó)保監(jiān)會(huì)要求��,委托具有相應(yīng)資質(zhì)的信息安全監(jiān)測(cè)機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)滲透測(cè)試�����,并針對(duì)產(chǎn)生的問(wèn)題進(jìn)行技術(shù)修正��。
第八十二條[共同監(jiān)督]對(duì)涉及信息化外包服務(wù)提供商信息安全監(jiān)管的有關(guān)事項(xiàng)���,中國(guó)保監(jiān)會(huì)與國(guó)家信息安全有關(guān)部門(mén)建立監(jiān)管合作機(jī)制����,實(shí)施有效監(jiān)督���。
第八十三條[派出機(jī)構(gòu)]中國(guó)保監(jiān)會(huì)派出機(jī)構(gòu)負(fù)責(zé)轄區(qū)內(nèi)保險(xiǎn)公司分支機(jī)構(gòu)��、保險(xiǎn)資產(chǎn)管理公司分支機(jī)構(gòu)信息化工作的監(jiān)督管理��。中國(guó)保監(jiān)會(huì)派出機(jī)構(gòu)可以參照本規(guī)定制定轄區(qū)內(nèi)信息化工作監(jiān)督管理辦法�����。
中國(guó)保監(jiān)會(huì)派出機(jī)構(gòu)接受中國(guó)保監(jiān)會(huì)委托開(kāi)展轄區(qū)內(nèi)保險(xiǎn)集團(tuán)(控股)公司��、保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司信息化檢查等工作����。
第八十四條[集團(tuán)分工]本規(guī)定實(shí)施后,保險(xiǎn)集團(tuán)(控股)公司與子公司有關(guān)信息化工作職責(zé)分工和責(zé)任落實(shí)情況���,應(yīng)當(dāng)按照中國(guó)保監(jiān)會(huì)要求備案�,如有變化�����,及時(shí)報(bào)告�。
第八十五條[處罰規(guī)定]保險(xiǎn)機(jī)構(gòu)違反本規(guī)定,中國(guó)保監(jiān)會(huì)可以依法對(duì)保險(xiǎn)機(jī)構(gòu)及其相關(guān)責(zé)任人采取責(zé)令改正����、監(jiān)管談話、出具監(jiān)管函��、通報(bào)等措施�;情節(jié)嚴(yán)重的�,依法給予行政處罰?����! ?/p>
第十章 附 則
第八十六條未設(shè)立董事會(huì)的保險(xiǎn)機(jī)構(gòu)由本機(jī)構(gòu)高級(jí)管理層承擔(dān)本規(guī)定賦予董事會(huì)的職責(zé)。境外保險(xiǎn)公司分公司視為保險(xiǎn)機(jī)構(gòu)管理�����。
第八十七條保險(xiǎn)中介機(jī)構(gòu)信息化監(jiān)管制度由中國(guó)保監(jiān)會(huì)另行制定��。
第八十八條本規(guī)定由中國(guó)保監(jiān)會(huì)負(fù)責(zé)解釋�����。
第八十九條本規(guī)定自年月日起施行��。中國(guó)保監(jiān)會(huì)2009年12月29日發(fā)布的《保險(xiǎn)公司信息化工作管理指引(試行)》(保監(jiān)發(fā)﹝2009﹞133號(hào))同時(shí)廢止�����。
|
