新旧保险机构信息化监管规定对比分析.docx

1、 《保险公司信息化工作管理指引（试行）》保监发〔2009〕133号 保险机构信息化监管规定(征求意见稿) 2015.10 主要条款 主要条款 1 组织管理与规划 l 应建立信息化工作委员会，下设办公室（原则上应设置在信息技术部门） l 信息化工作委员会负责人应由公司高级管理人员担任 l 应设立首席信息官或指定公司高级管理人员作为信息化工作的直接责任人 l 应建立组织结构合理、人员岗位分工明确的信息技术部门 l 明确信息化工作中各相关部门及各级分支机构的职责 l 应制定明确的信息化工作制度、标准和操作流程 l ，制订明确的信息化工作规划 l 建

2、立信息化规划定期审查、评估和修订机制 信息化治理 l 明确有关信息化决策权归属机制和信息化责任承担机制 l 保险机构董事会应当履行相关信息化工作管理职责 l 应当设立由董事会直接领导管理下的信息化工作委员会 l 当设立首席信息官。首席信息官直接对信息化工作委员会主任负责 l 首席信息官应当由本机构董事会成员或者高级管理人员担任 l 应当设立信息技术部门 l 应当明确本机构内设部门及分支机构信息化工作职责 l 应当建立信息化规划的制定、实施、评估和修订的工作机制 l 应当制定明确的信息化工作制度，明确实施标准和操作流程 l 应当在内部审计部门设立专门的信息化风险审计岗位

3、l 根据自身总体业务规划和风险管控要求，可以对各子公司信息化工作实行集中管理 2 \ \ 信息系统建设与运行维护 l 应当根据本机构的总体业务发展战略和信息化风险管理策略，对信息系统建设与运行维护进行总体规划 l 应当建立完善的信息系统管理组织，制定覆盖信息系统全生命周期的管理制度、技术标准和操作规范 l 应当根据国家信息安全等级保护有关规定和所涉信息对机构经营管理的重要程度，合理确定信息系统的安全等级 l 应当增强信息系统的自主研发能力 l 信息系统的开发测试应当与生产管理严格分离 l 信息系统正式上线运行前，应当对其功能、性能及安全性进行测试，核心系统原则上应当通过第三

4、方测试机构测试；面向互联网应用的系统还应当通过第三方安全测试 l 应当建立完善的信息系统运行维护管理流程 l 信息系统变更和数据迁移时，应当制定合理的技术方案，充分测试，做好备份，保证信息系统及数据安全 l 应当按照下列要求建立健全信息系统备份及灾难恢复、防病毒、密码管理、入侵检测、审计等安全管理机制 l 应当按照下列要求加强对门户网站、社交网络公众账号等互联网应用系统的管理 l 重要信息系统有关资料和信息系统的重要信息应当按照中国保监会要求备案 3 基础环境与信息系统建设 l 信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求 l

5、应实现数据信息集中管控，建立健全数据管理的有效机制 l 对下属各子公司信息化建设统筹协调管理，提高信息资源的利用率 l 对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施 l 建设相应的计算机中心机房和灾备机房 l 应全面梳理公司经营管理流程，建立与经营管理相适应的信息系统 l 应运用信息技术加强内部控制与合规建设 l 新开发的系统或经过重大改造的系统在上线运行前，应对功能与性能进行严格测试，并通过安全评测 l 加强知识产权保护工作 基础设施建设与保障 l 应当以本机构业务总体规划为根本,围绕数据资产的管理和应用,科学规划数据中心的总体架构和实施路线。

6、数据中心规划应当报中国保监会备案 l 保险机构在筹备时，应当按照中国保监会规定的信息化建设准入标准设立生产中心 l 可以采取自建、共建、外包的方式设立数据中心 l 指定专门机构和专业队伍负责数据中心运营与管理，明确数据中心各岗位人员职责 l 应当建立健全并严格执行数据中心管理制度、技术规范、操作指南 l 应当设置安全工作机构，加强人员安全、物理环境安全、设备资产安全、操作安全、运行维护安全、链路安全、网络安全及应用安全等方面的安全管理 l 应当对信息化基础设施实施有效监控 l 网络资源应当满足高性能、高可用性、高安全性、可扩展性等要求 l 保险机构内部网络与保险中介机构、第三方

7、机构等外联单位网络连接时，应当明确网络外联种类方式，采用可靠连接策略及技术手段，实现彼此有效隔离 4 \ \ 外包管理 l 实行信息化工作外包，应当制定完备的外包服务管理制度和风险评估机制，确保有效应对和处置外包风险 l 应当根据涉及信息资产的关键性和敏感程度，审慎确定外包服务范围。信息系统安全管理责任不得外包 l 应当根据不同的外包业务要求，优先选用具备信息安全管理体系认证资质的信息技术服务机构提供外包服务 l 外包服务合同应当包括外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或者终止的过渡安排、违约责任等条款 l 严格控制外包服务提供商的转包和

8、分包行为 l 加强外包服务提供商及其服务人员的管理 l 保险机构信息化建设和管理与其非保险类股东有重大关联的，保险机构信息化治理与规划、业务、财务等核心系统和重要数据信息及其管理必须保持独立完整 l 应当优先选择购买相应商业保险的外包服务提供商 l 应当建立评估考核机制，定期对外包服务提供商的财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核 5 安全保障与风险控制 l 加强信息安全与信息系统的同步规划和同步建设，构建完善的信息安全保障体系 l 按照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”的原则，明确信息安全各相关方的责任 l 建立健全信息安

9、全监控体系和报告机制 l 对信息系统进行安全等级划分，按照安全等级实施信息系统安全等级保护 l 制订重要数据的备份制度和策略 l 建立信息系统重大突发事件的应急处理机制，制定应急预案 l 建立外联网络接入标准和安全规范，明确审批机制、风险评估机制及对应的风险控制措施 l 加强信息化工作外包服务管理 信息安全管理 l 将信息安全置于信息化工作的首位，按照“积极防御、综合防范”的原则，加强信息安全与信息系统的同步规划、同步建设和同步使用 l 应当按照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”的原则，明确信息安全责任 l 法定代表人对本机构信息安全承担首要责任，首席信息官、

10、信息化工作委员会主任对本机构信息安全承担主要责任 l 应当在信息技术部门设置专门安全机构，并配备专职人员 l 应当建立完善的信息安全分类和保护制度体系，明确系统管理、网络管理、安全管理等岗位职责、管理权限和技能要求 l 应当构建完善的信息安全风险控制策略 l 应当优先采购安全可控的硬件设备和软件产品，稳步推进安全可控产品应用；积极创造条件，提高关键业务系统的自主研发水平 l 应当严格按照国家金融领域密码应用工作规划和实施要求，逐步实现国产密码在电子保单及保险领域的全面应用 l 应当切实提高软件正版化意识和自主产权保护意识 l 应当按照国家和中国保监会信息系统安全规范、技术标准及等

11、级保护管理要求，进行定级、保护、备案、测评和整改 l 需要申请信息安全管理体系认证的，应当按照国家有关规定及中国保监会要求，选择国家认证认可监督管理部门批准的机构进行认证 l 应当制定数据管理相关制度和流程，规范数据采集、传输、存储、交换、备份、恢复和销毁等环节 l 应当根据安全管理有关规定对计算机、移动设备等各类终端分别制定安全管理制度 l 要建立软硬件和数据资源等信息化资产管理制度，编制资产清单，明确资产管理责任部门与人员 l 制定介质分类管理制度，根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等 l 应当加强信息系统灾难恢复管理，制定业务连续性规划，并定期进

12、行演练 l 应当针对可能发生的信息安全重大突发事件，建立和完善分类应急管理体系 l 主动跟踪研究应用新兴信息技术，在推进业务创新的同时，提高信息安全防护能力 6 发展环境 l 结合信息化工作规划实施的需要，制定信息化工作经费预算 l 根据自身实际并结合信息化工作的特点，合理配备信息技术人员，制定并实施有利于公司可持续发展的信息化人力资源政策 l 积极探索、建立并实施信息化工作投入产出的评价体系 l 加强信息化工作相关研究，建立创新激励机制，鼓励科技创新 l 将全体员工信息化培训列入培训计划 l 根据履行职责的需要，每年开展信息技术人员的专业技能培训和业务培训 l 积极参与

13、行业信息技术交流活动 l 支持行业信息标准化工作 内部审计 l 应当根据业务性质、规模和复杂程度，对相关信息系统及其控制的适当性、合规性和有效性进行独立于本机构日常活动的审计 l 应当根据业务性质、规模和复杂程度，信息技术应用情况，以及信息技术风险评估结果，决定信息化工作内部审计的范围和频率 l 进行重要信息系统建设时应当要求内部审计部门参与监督 7 审计与备案 l 建立信息化工作的风险评估机制和信息系统审计制度 l 应于每年第一季度向保监会报送信息化工作报告 l 应按监管部门有关要求及时向保监会报告信息化工作重大事项 外部审计 l 应当根据法律、行政法规和中国保监会要

14、求，定期委托具备相应资质的外部审计机构进行信息化工作外部审计 l 在委托审计过程中，保险机构应当确保外部审计机构能够对本机构的硬件、软件、文档和数据进行检查，以发现信息系统存在的风险 l 至少应当每两年进行一次外部审计 l 实施外部审计前应当与外部审计机构进行充分沟通，详细确定审计范围，不得隐瞒事实或者阻挠审计 l 委托外部审计机构进行外部审计时，应当与其签订保密协议 8 \ \ 监督管理 l 中国保监会对保险机构信息系统实行分类、分级监督管理 l 中国保监会依法组织制定和推动执行保险业信息化标准，并根据保险业信息化风险状况，对保险机构进行信息化风险提示 l 保险机构设立

15、时信息化建设应当达到中国保监会规定的准入标准和要求，且经过验收后方可对外营业 l 保险机构应当按中国保监会要求定期报送信息化风险管理报表以及不定期报送专项临时报表 l 中国保监会根据保险业信息化总体安全状况、保险机构信息化反映出的突出问题，可以组织现场检查 l 中国保监会认为必要时可指定具备相应资质的外部审计机构对保险机构信息化工作进行审计 l 保险机构内部审计、外部审计应当按照中国保监会颁布的信息化审计规范标准和要求进行 l 中国保监会在对保险机构信息安全进行检查时，可以委托具有相应资质的信息安全监测机构进行有针对性的风险渗透测试 l 对涉及信息化外包服务提供商信息安全监管的有关事项，中国保监会与国家信息安全有关部门建立监管合作机制，实施有效监督 l 中国保监会派出机构负责辖区内保险公司分支机构、保险资产管理公司分支机构信息化工作的监督管理 l 保险集团（控股）公司与子公司有关信息化工作职责分工和责任落实情况，应当按照中国保监会要求备案，如有变化，及时报告 l 保险机构违反本规定，中国保监会可以依法对保险机构及其相关责任人采取责令改正、监管谈话、出具监管函、通报等措施；情节严重的，依法给予行政处罚