《保险机构信息化监管规定》由会员分享,可在线阅读,更多相关《保险机构信息化监管规定(22页珍藏版)》请在金锄头文库上搜索。
1、保险机构信息化监管规定(征求意见稿)第一章总 则 第一条制订目的为了加强对保险机构信息化工作的监督管理,促进信息化工作规范化与标准化建设,有效防范和化解新技术风险,切实维护保险业信息安全,根据中华人民共和国保险法、中华人民共和国计算机信息系统安全保护条例等法律、行政法规,制定本规定。 第二条适用范围本规定适用于在中华人民共和国境内依法设立的保险机构,包括保险集团(控股)公司、保险公司和保险资产管理公司。 第三条名词释义本规定所称保险机构信息化,是指保险机构将计算机、通信、网络等现代信息技术,应用于业务交易处理、经营管理和内部控制等方面,持续提高运营效率、优化内部资源配置和提升风险防范水平的过程
2、。信息化工作内容包括建立健全信息化治理机制、制定实施信息化管理制度、规划建设信息化基础设施、采购开发信息化系统,以及建立相应的安全保障体系等。 第四条基本原则保险机构信息化工作要遵循安全性、可靠性和有效性相统一的原则,坚持信息化战略与业务战略相融合、技术路线与科技发展方向相一致、应用系统与管理需求相适应的基本要求,统筹规划本机构的信息化工作,处理好安全与发展、安全与建设、安全与运营的关系,保障本机构信息系统安全稳定持续运行。第五条执行标准保险机构信息化工作应当符合国家有关规定和中国保险监督管理委员会(以下简称中国保监会)的要求。保险机构是信息化工作的责任主体。保险机构法定代表人对本机构信息化工
3、作承担首要责任。第六条监督管理中国保监会依法对保险机构的信息化工作实施监督管理。第二章 信息化治理第七条名词释义信息化治理是指保险机构通过明确有关信息化决策权归属机制和信息化责任承担机制,合理利用信息化资源,达到推动业务发展、促进收益最大化等战略目标的过程。第八条董事会职责保险机构董事会应当履行以下信息化工作管理职责:(一)贯彻国家信息化工作的法律、行政法规、技术标准和中国保监会的要求;(二)审查批准本机构信息化工作战略规划,确保与总体业务战略和重大策略相一致;(三)建立分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织架构;(四)保障信息化工作所需资金;(五)掌握公司主要的信息化工作
4、情况,审阅并向中国保监会报送信息化工作年度报告;(六)强化本机构人员的信息化意识和信息安全意识,加强信息技术专业队伍建设,建立人才激励机制;(七)保障内部审计部门进行独立有效的信息化工作审计,对审计报告进行确认并组织整改;(八)确保本机构涉及客户、账务,以及产品等信息的核心系统在中华人民共和国境内独立运行,并保持最高的管理权限,符合中国保监会监管和实施现场检查的要求;(九)及时向中国保监会报告本机构发生的重大信息安全事故或者突发事件,按相关预案快速响应;(十)配合中国保监会做好信息化工作监督检查,并按照监管意见进行整改;(十一)国家相关部门、中国保监会要求的其他信息化工作。第九条信息化工作委员
5、会保险机构应当设立由董事会直接领导管理下的信息化工作委员会。信息化工作委员会主任由董事长、总经理或者执行董事担任,成员应当包括首席信息官、信息技术部门和主要业务部门代表。信息化工作委员会有权向董事会直接报告和提出建议。由其负责承办董事会交办的信息化工作事项并监督落实,并定期向董事会和高级管理层汇报信息化工作整体情况。第十条首席信息官保险机构应当设立首席信息官。首席信息官直接对信息化工作委员会主任负责,参与本机构决策。首席信息官、信息化工作委员会主任对信息化工作承担主要责任。首席信息官的职责包括:(一)直接参与本机构信息化工作有关的业务发展和经营管理决策;(二)推动信息化战略规划纳入本机构全面发
6、展框架,信息系统开发战略规划应当符合本机构的总体业务战略规划和风险管理策略;(三)负责信息技术部门的领导与管理,承担本机构的信息化工作职责;(四)负责建立健全信息化制度规则体系;(五)保障信息化工作管理的有效性,并使有关管理措施落实到内设部门和分支机构;(六)组织公司专业培训,提高人才队伍的专业技能;(七)履行国家相关部门、中国保监会要求的其他信息化工作职责。第十一条任职条件保险机构首席信息官应当由本机构董事会成员或者高级管理人员担任,并应当具备以下条件:(一)具有诚实信用的职业操守、良好的合规意识,具备履行职务必需的知识结构和专业技术能力;(二)从事信息技术工作五年以上,且在金融机构工作三年
7、以上;或者其他足以证明其具有拟任职务所需知识、能力、经验的职业经历。第十二条信息技术部门保险机构应当设立信息技术部门,统一负责本机构信息化工作规划、建设、管理和运行维护等,承担本机构信息化工作委员会日常工作。第十三条明确职责保险机构应当明确本机构内设部门及分支机构信息化工作职责,并加强指导与监督。第十四条规划制订保险机构应当建立信息化规划的制定、实施、评估和修订的工作机制。根据公司业务发展战略,制定明确的中长期信息化规划,规划期为三至五年。规划的制定、实施、修订应当由本机构信息化工作委员会提交董事会审议批准。第十五条执行机制保险机构应当制定明确的信息化工作制度,明确实施标准和操作流程,及时更新
8、、发布。保险机构应当根据公司总体业务规划和信息化工作需要,制定专门的信息化经费预算,确保资金投入,有效支持业务发展。 保险机构应当制定有利于公司可持续发展的信息化人力资源政策,健全信息技术专业人才激励机制,合理配备信息技术人员,并定期对信息技术人员和公司其他人员分别开展专业技术培训。 第十六条内部审计保险机构应当在内部审计部门设立专门的信息化风险审计岗位,配备足够的资源和具有专业能力的信息化工作审计人员,对本机构信息化工作进行全面、独立审计。第十七条集团管理保险集团(控股)公司根据自身总体业务规划和风险管控要求,可以对各子公司信息化工作实行集中管理,但各法人机构之间的信息系统、原始数据等应当有
9、效隔离,并各自承担信息安全风险管理责任。保险集团(控股)公司和子公司依法对信息安全关联风险事故承担责任。第三章 信息系统建设与运行维护 第十八条架构规划保险机构应当根据本机构的总体业务发展战略和信息化风险管理策略,对信息系统建设与运行维护进行总体规划,加强各信息系统之间的集成与整合,实现财务、业务等核心系统的无缝对接,促进经营管理流程信息化,满足保险监管数据采集要求和保险业信息共享需要。 第十九条制度框架保险机构应当建立完善的信息系统管理组织,制定覆盖信息系统全生命周期的管理制度、技术标准和操作规范,保障信息系统规划、建设和运行维护各项工作的安全实施。第二十条安全定级 保险机构应当根据国家信息
10、安全等级保护有关规定和所涉信息对机构经营管理的重要程度,合理确定信息系统的安全等级。涉及国家安全、本机构商业秘密和客户隐私等敏感信息的核心系统应当参照高等级标准定级,并按照相应等级要求对信息系统进行建设和运行维护。重要信息系统定级情况应当根据中国保监会要求进行备案。第二十一条开发形式保险机构应当增强信息系统的自主研发能力。根据自身情况,信息系统开发还可以采取合作开发、定制开发和外包开发等形式。对合作开发和外包开发,保险机构应当通过合同约定源代码所有权归属,确保拥有合理的源代码使用授权或者所有权,严格防范合作开发商或者外包商终止服务导致的风险。第二十二条开发测试 保险机构信息系统的开发测试应当与
11、生产管理严格分离,不得使用未脱敏的生产数据用于开发、测试环境。严格限制开发人员访问源代码的权限,并保障核心系统开发实施安全。信息系统正式上线运行前,应当对其功能、性能及安全性进行测试,核心系统原则上应当通过第三方测试机构测试;面向互联网应用的系统还应当通过第三方安全测试。信息系统的重大改造升级应当按照新信息系统建设标准进行测试。 信息系统经测试合格,并由本机构信息技术部门和业务部门共同批准后方可上线运行。第二十三条系统运行维护保险机构应当建立完善的信息系统运行维护管理流程,清晰界定信息技术部门和业务部门的运行维护职责,并按照下列要求建立信息系统的身份鉴别、权限分配、操作审计、故障处理规范:(一
12、)按照等级保护要求建立相应的身份鉴别机制;(二)严格规范帐号权限分配、使用和回收管理流程;(三)信息系统运行维护操作日志应当按照国家有关要求和业务经营需要进行分类保存;(四)建立信息系统故障全面记录、分析和解决机制。第二十四条系统变更与数据迁移、修改 信息系统变更和数据迁移时,应当制定合理的技术方案,充分测试,做好备份,保证信息系统及数据安全。严格控制后台修改系统数据,确需修改的要做到事前批准、事中监控和事后留痕。第二十五条安全防护保险机构应当按照下列要求建立健全信息系统备份及灾难恢复、防病毒、密码管理、入侵检测、审计等安全管理机制:(一)根据数据及系统的重要性,明确数据及系统的备份与灾难恢复
13、策略;(二)加强密码设备及使用人员管理,使用符合国家标准和加密要求的技术和产品;(三)采取恶意代码防范措施,确保具备主动发现和有效阻止恶意代码传播的能力;(四)信息系统日志在保存期限内内容不得删除、修改或者覆盖,并实现对关键岗位、异常操作等高风险因素的审计。第二十六条互联网应用保险机构应当按照下列要求加强对门户网站、社交网络公众账号等互联网应用系统的管理:(一)根据国家有关规定备案;(二)建立网站信息发布审批制度,严格控制网站内容发布权限;(三)加强技术保障和运行监控,保障网络交易安全和交易记录可追溯。第二十七条文档完备保险机构的重要信息系统有关资料和信息系统的重要信息应当按照中国保监会要求备
14、案。保险机构要建立覆盖信息系统全生命周期的文档管理体系,确保文档记录完整、及时、有效。第四章 基础设施建设与保障第二十八条基础设施基础设施指保障信息系统运行的物理环境,主要包括数据中心和网络资源。本规定所称数据中心包括生产中心和灾难备份中心(以下简称灾备中心)。生产中心是指保险机构对全部业务、客户和管理等重要信息进行集中存储、处理和维护,具备专用场所,为业务运营及管理提供信息化支撑服务的组织。灾备中心是指保险机构为保障其业务连续性,在生产中心故障、停顿或者瘫痪后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织。灾备中心同城模式(以下简称同城灾备)是指灾备中心与生产
15、中心位于同一地理区域,一般距离数十公里,可防范火灾、建筑物破坏、电力或者通信系统中断等事件。灾备中心异地模式(以下简称异地灾备)是指灾备中心与生产中心处于不同地理区域,一般距离在数百公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。本规定所称网络资源是指支撑系统运行的网络专线、网络带宽、网络地址、网络域名以及相关网络设备等虚拟及物理设施。第二十九条规划设计保险机构应当以本机构业务总体规划为根本,围绕数据资产的管理和应用,科学规划数据中心的总体架构和实施路线, 保证网络、数据、应用、安全各要素有机结合。数据中心规划应当报中国保监会备案。第三十条建设时间 保险机构在筹备时,应当按照中国保监会规定的信息化建设准入标准设立生产中心。生产中心运行五年内建立灾备中心,灾备中心的建设与管理必须达到中国保监会规定的标准。保险机构应当不断完善生产中心、同城灾备、异地灾备的灾难备份体系,逐步实现更高安全水平的信息系统运行模式,切实提高防灾减灾能力,保障业务连续性。第三十一条建设标准保险机构可以采取自建、共建、外包的方式设立数据中心,数据中心的机房设计标准必须符合国家标准规范和中国保监会的要求。数据来源于中华人民共和国境内的,数据中心的物理位置应当位于境
