保险公司信息化工作管理标准规定.docx

附件： 保险企业信息化工作管理要求 一、总则 第一条[制订目标]为加强保险企业信息化工作管理，促进信息化工作规范化和标准化建设，提升保险业信息化工作水平，依据《中国保险法》及国家相关法律法规，制订本要求。 第二条[适用范围]本要求适适用于在中国境内依法设置保险企业和保险资产管理企业，以下统称保险企业。 　　第三条[名词解释]本要求所称信息化工作，是指计算机、通信、网络等现代信息技术在保险企业业务处理、经营管理等方面应用，包含对应信息化组织架构建立、制度建设，和基础环境建设等工作。 　　第四条[基础要求]各企业应把信息化工作纳入企业全方面发展框架进行统筹考虑，建立有效信息化治理机制，明确信息化工作决议权归属，实现信息资源合理利用，确保信息化工作和业务发展目标一致；加强信息系统风险管理，确保信息系统安全、稳定运行。 　　实现信息化工作集中管理保险集团（控股）企业，能够集团（控股）企业为单位对信息化工作统筹计划实施。 　　第五条[监督管理]中国保监会依法对保险企业信息化管理工作实施监督管理。 二、组织管理和计划 　　第六条[责任主体]各企业是信息化工作计划、建设、管理和安全责任主体。企业法定代表人或关键责任人对此负有最终责任。 　　第七条[决议机构]各企业应建立信息化工作委员会，明确其工作职责和工作制度。定时或依据需要召开工作会议，对信息化工作重大事项决议研判，并提交企业最高决议层同意实施。 　　第八条[决议机构组成]信息化工作委员会责任人应由企业级高级管理人员担任，组成人员应包含信息技术、业务、财务、人事、发展计划和风险控制等部门责任人。有条件企业可聘用外部教授参与。 　　信息化工作委员会应下设办公室，负责落实和协调信息化工作委员会具体事宜。办公室标准上应设置在信息技术部门。 　　第九条[首席信息官]各企业应设置首席信息官或指定企业级高级管理人员作为信息化工作直接责任人。直接责任人应负责企业信息化建设工作，并参与企业经营、管理和决议，其任职条件应符合监管部门要求。 　　第十条[责任部门]  各企业应建立组织结构合理、人员岗位分工明确信息技术部门。信息技术部门负责信息化工作相关计划、建设、管理和运维等工作。信息技术从业人员应含有符合岗位需求专业技术能力和职业操守。 　　第十一条[明确职责]各企业应结合信息化工作特点和内部控制要求，明确信息化工作中各相关部门及各级分支机构职责，加强对分支机构信息化工作指导和管理，将信息化工作相关权利和责任落实到位。 　　第十二条[制度建设]各企业应制订明确信息化工作制度、标准和操作步骤，定时或依据需要立即进行更新、公布。 　　第十三条[计划制订]各企业应依据企业业务发展战略，制订明确中长久网络安全和信息化计划。计划应含有开放性和前瞻性，符合企业经营管理需要，并确保信息化建设稳定性和延续性。计划应经过信息化工作委员会审批，并提交企业最高决议层同意实施。 第十四条[计划修订]各企业应建立网络安全和信息化计划定时审查、评定和修订机制，计划审查、评定工作最少每十二个月一次，修订后计划应经信息化工作委员会审批，并提交企业最高决议层同意实施。 三、基础环境和信息系统建设 　　第十五条[信息标准]各企业信息化建设、管理及信息化工作中包含数据信息,应符合国家及行业相关规范、标准和监管部门要求。 第十六条[集中管控]各企业应实现数据信息集中管控，建立健全数据管理有效机制，提升数据资产价值利用能力和水平。 第十七条[集团企业]各保险集团（控股）企业可依据业务管理、风险管控等需要，对下属各子企业信息化建设统筹协调管理，提升信息资源利用率。 　　实现信息化工作集中管理保险集团（控股）企业，应确保集团内各法人机构之间信息系统及相关硬件、网络等有效安全隔离，并符合国家及监管部门相关要求。 　　第十八条[基础设施]各企业应根据有效性、可用性和安全性标准，对信息化基础设施和信息系统功效、性能和安全保障等方面做出要求并按要求实施，最少确保满足企业未来两年业务发展要求。 　　第十九条[数据中心]各企业应依据信息化发展需要，建设对应计算机中心机房和灾备机房，自建、共建或租用第三方机房建设均应符合国家相关规范标准和监管部门要求。 　　第二十条[系统建设]各企业应全方面梳理企业经营管理步骤，建立和经营管理相适应信息系统，加强信息系统间集成和整合，实现财务、业务等关键系统无缝对接，提升系统协同工作水平。激励有条件企业开展业务系统自主研发。 第二十一条[系统对接]各企业信息系统应满足保险监管机构数据采集要求，确保上报数据立即性、正确性、完整性。 　　第二十二条[内控信息化]各企业应利用信息技术加强内部控制和合规建设，促进内部控制步骤和信息系统有机结合，实现对各项业务和事项自动控制，降低人为操控原因。 　　第二十三条[上线和测试]新开发系统或经过重大改造系统在上线运行前，应对功效和性能进行严格测试，并经过安全评测。经过通常性改造系统在上线运行前应遵照审慎标准，做好相关测试工作。 第二十四条[知识产权]各企业应加强知识产权保护工作，严禁侵权盗版。激励研发含有自主知识产权信息产品，并采取有效方法保护企业信息化工作结果。 第二十五条[自主可控] 激励优先采购自主可控硬件设备和软件产品，增加对自主可控设备和产品容忍度，主动发明条件，经过制订计划、完善机制、推进应用、宣传经典等方法，推进网络和信息设备自主可控能力不停提升。 四、安全保障和风险控制 　　第二十六条[安全建设标准]各企业应加强网络安全和信息化同时计划和同时建设，构建完善信息安全保障体系。充足利用管理机制和技术手段，强化网络和信息安全防护能力，提升防护水平，确保关键信息可用、保密、完整及真实，保障业务活动连续性。 　　第二十七条[安全责任制]各企业应根据“谁主管、谁负责，谁运行、谁负责，谁使用、谁负责”标准，明确信息安全各相关方责任，加强人员管理，强化信息安全意识，全方面落实信息安全管理责任制。 　　第二十八条[安全监控]各企业应建立健全信息安全监控体系和汇报机制，明确风险预警标准，加强信息安全监控和预警，提升风险防范处理能力。 　　第二十九条[等级保护]各企业应根据国家相关要求和监管要求，对信息系统进行安全等级划分，根据安全等级实施信息系统安全等级保护。 　　第三十条[数据安全]各企业应制订关键数据备份制度和策略，实施有效数据备份方法，并根据监管部门相关要求，推进信息系统灾难恢复建设工作。 第三十一条[国产密码] 各企业应根据国家金融领域密码应用工作要求，扎实推进保险业信息系统国产密码应用工作。　　 第三十二条[应急处理]各企业应针对可能发生信息系统重大突发事件，制订应急预案，建立完善应急管理体系、应急技术平台和应急协调机制，主动主动进行压力测试。 应急预案要明确开启机制、责任人员、处理步骤、具体方案和外部资源，并依据工作实际进行动态调整和定时应急演练，采取对应方法，确保应急预案可操作性，把风险隐患可能造成损失降到最低。 第三十三条[互联网安全]各企业应建立外联网络接入标准和安全规范，明确审批机制、风险评定机制及对应风险控制方法，加强外联网络接入管理。对门户网站、互联网保险系统等和广大互联网消费者亲密相关信息系统进行统一计划、统一管理，采取必需技术手段和管理方法确保对应信息系统安全。 　　第三十四条[外包管理]各企业应加强信息化工作外包服务管理，不得将信息化管理责任外包。应根据监管部门要求，结合外包服务实际需要，制订外包服务基础规范，确保对信息系统安全控制能力。 　　 五、发展环境 　　第三十五条[经费预算]各企业应结合信息化工作计划实施需要，制订信息化工作经费预算，并保障信息化工作经费预算实施，确保信息化建设正常有效开展。 　　第三十六条[人力发展]各企业应依据本身实际并结合信息化工作特点，合理配置信息技术人员，制订并实施有利于企业可连续发展信息化人力资源政策，激励建立信息技术专业职级体系，健全信息技术专业人才激励机制，。 　　第三十七条[评价体系]各企业应主动探索、建立并实施信息化工作投入产出评价体系，完善信息化工作绩效考评机制。 　　第三十八条[科技创新]各企业应加强信息化工作相关研究，建立创新激励机制，有条件企业可探索建立科技创新基金。激励充足利用云计算、大数据、移动互联网等新技术推进业务创新，控制业务风险，实现结构升级和业务转型，同时注意防范和控制新信息技术应用带来新风险。 　　第三十九条[全员培训]各企业应将全体职员信息化培训列入培训计划，培训最少每两年一次。新职员上岗前，应经过信息化相关培训和考评。 　　各企业应依据推行职责需要，每十二个月开展信息技术人员专业技能培训和业务培训。 　　第四十条[宣传交流]各企业应主动参与行业信息技术交流活动，支持行业信息标准化工作，提升行业信息化工作水平。 　　 六、审计和立案 　　第四十一条[独立审计]各企业应建立信息化工作风险评定机制和信息系统审计制度，由独立于信息技术部门相关部门负责审计工作，最少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会立案。 　　激励企业在符合国家相关法律、法规和监管要求情况下，聘用含有对应资质外部机构进行外部审计和风险评定。 第四十二条[信息化汇报]各企业应按要求定时报送保险业信息科技风险监管年度汇报、年度报表、季度报表和不定时报送临时报表。　　 第四十三条[重大事项汇报]各企业应按监管部门相关要求立即向保监会汇报信息化工作重大事项。 七、 法律责任 第四十四条[处罚条件]各企业不得有下列行为： （一）信息化建设存在重大安全隐患，并未根据要求进行整改； （二）发生计算机系统重大突发性事件未立即向监管机构汇报，未采取方法或采取方法不力造成严重后果； （三）对保险监管机构信息安全检验中发觉严重信息安全隐患未采取方法进行整改或整改不力； （四）拒绝或妨碍保险监管机构依法进行信息安全检验监督； （五）其它包含信息化或信息安全问题。 第四十五条[处罚方法]各企业违反本要求，有第四十五条行为之一，中国保监会或其派出机构能够进行监管谈话或处以3万元以下罚款；情节严重，能够限制业务范围、责令停止接收新业务或吊销经营保险业务许可证。 八、附则 第四十六条[派出机构]中国保监会派出机构能够依据本要求制订辖区内实施细则。 第四十七条 本要求由中国保监会负责解释。 第四十八条 本要求自 月 日起施行。