中國保監會關于對《保險機構信息化監管規定(征求意見稿)》公開征求意見的通知
- 2018年05月30日
- 15:00
- 來源:
- 作者:
中國保險監督管理委員會||2015-10-09發布|2015-10-09實施|現行有效
一、通過電子郵件將意見發送至:law@circ.gov.cn。
二、通過信函方式將意見寄至:北京市西城區金融大街15號中國保監會法規部法規處(郵政編碼:100033),并請在信封上注明“信息化監管規定征求意見”字樣。
三、通過傳真方式將意見發送至:010-66288161。
意見反饋截止時間為2015年10月31日。
保險機構信息化監管規定(征求意見稿)
第一章總則
第一條[制訂目的]為了加強對保險機構信息化工作的監督管理,促進信息化工作規范化與標準化建設,有效防范和化解新技術風險,切實維護保險業信息安全,根據《中華人民共和國保險法》、《中華人民共和國計算機信息系統安全保護條例》等法律、行政法規,制定本規定。
第二條[適用范圍]本規定適用于在中華人民共和國境內依法設立的保險機構,包括保險集團(控股)公司、保險公司和保險資產管理公司。
第三條[名詞釋義]本規定所稱保險機構信息化,是指保險機構將計算機、通信、網絡等現代信息技術,應用于業務交易處理、經營管理和內部控制等方面,持續提高運營效率、優化內部資源配置和提升風險防范水平的過程。
信息化工作內容包括建立健全信息化治理機制、制定實施信息化管理制度、規劃建設信息化基礎設施、采購開發信息化系統,以及建立相應的安全保障體系等。
第四條[基本原則]保險機構信息化工作要遵循安全性、可靠性和有效性相統一的原則,堅持信息化戰略與業務戰略相融合、技術路線與科技發展方向相一致、應用系統與管理需求相適應的基本要求,統籌規劃本機構的信息化工作,處理好安全與發展、安全與建設、安全與運營的關系,保障本機構信息系統安全穩定持續運行。
第五條[執行標準]保險機構信息化工作應當符合國家有關規定和中國保險監督管理委員會(以下簡稱中國保監會)的要求。
保險機構是信息化工作的責任主體。保險機構法定代表人對本機構信息化工作承擔首要責任。
第六條[監督管理]中國保監會依法對保險機構的信息化工作實施監督管理。
第二章
信息化治理
第七條[名詞釋義]信息化治理是指保險機構通過明確有關信息化決策權歸屬機制和信息化責任承擔機制,合理利用信息化資源,達到推動業務發展、促進收益最大化等戰略目標的過程。
第八條[董事會職責]保險機構董事會應當履行以下信息化工作管理職責:
(一)貫徹國家信息化工作的法律、行政法規、技術標準和中國保監會的要求;
(二)審查批準本機構信息化工作戰略規劃,確保與總體業務戰略和重大策略相一致;
(三)建立分工合理、職責明確、相互制衡、報告關系清晰的信息化治理組織架構;
(四)保障信息化工作所需資金;
(五)掌握公司主要的信息化工作情況,審閱并向中國保監會報送信息化工作年度報告;
(六)強化本機構人員的信息化意識和信息安全意識,加強信息技術專業隊伍建設,建立人才激勵機制;
(七)保障內部審計部門進行獨立有效的信息化工作審計,對審計報告進行確認并組織整改;
(八)確保本機構涉及客戶、賬務,以及產品等信息的核心系統在中華人民共和國境內獨立運行,并保持最高的管理權限,符合中國保監會監管和實施現場檢查的要求;
(九)及時向中國保監會報告本機構發生的重大信息安全事故或者突發事件,按相關預案快速響應;
(十)配合中國保監會做好信息化工作監督檢查,并按照監管意見進行整改;
(十一)國家相關部門、中國保監會要求的其他信息化工作。
第九條[信息化工作委員會]保險機構應當設立由董事會直接領導管理下的信息化工作委員會。信息化工作委員會主任由董事長、總經理或者執行董事擔任,成員應當包括首席信息官、信息技術部門和主要業務部門代表。
信息化工作委員會有權向董事會直接報告和提出建議。由其負責承辦董事會交辦的信息化工作事項并監督落實,并定期向董事會和高級管理層匯報信息化工作整體情況。
第十條[首席信息官]保險機構應當設立首席信息官。首席信息官直接對信息化工作委員會主任負責,參與本機構決策。首席信息官、信息化工作委員會主任對信息化工作承擔主要責任。
首席信息官的職責包括:
(一)直接參與本機構信息化工作有關的業務發展和經營管理決策;
(二)推動信息化戰略規劃納入本機構全面發展框架,信息系統開發戰略規劃應當符合本機構的總體業務戰略規劃和風險管理策略;
(三)負責信息技術部門的領導與管理,承擔本機構的信息化工作職責;
(四)負責建立健全信息化制度規則體系;
(五)保障信息化工作管理的有效性,并使有關管理措施落實到內設部門和分支機構;
(六)組織公司專業培訓,提高人才隊伍的專業技能;
(七)履行國家相關部門、中國保監會要求的其他信息化工作職責。
第十一條[任職條件]保險機構首席信息官應當由本機構董事會成員或者高級管理人員擔任,并應當具備以下條件:
(一)具有誠實信用的職業操守、良好的合規意識,具備履行職務必需的知識結構和專業技術能力;
(二)從事信息技術工作五年以上,且在金融機構工作三年以上;或者其他足以證明其具有擬任職務所需知識、能力、經驗的職業經歷。
第十二條[信息技術部門]保險機構應當設立信息技術部門,統一負責本機構信息化工作規劃、建設、管理和運行維護等,承擔本機構信息化工作委員會日常工作。
第十三條[明確職責]保險機構應當明確本機構內設部門及分支機構信息化工作職責,并加強指導與監督。
第十四條[規劃制訂]保險機構應當建立信息化規劃的制定、實施、評估和修訂的工作機制。根據公司業務發展戰略,制定明確的中長期信息化規劃,規劃期為三至五年。
規劃的制定、實施、修訂應當由本機構信息化工作委員會提交董事會審議批準。
第十五條[執行機制]保險機構應當制定明確的信息化工作制度,明確實施標準和操作流程,及時更新、發布。
保險機構應當根據公司總體業務規劃和信息化工作需要,制定專門的信息化經費預算,確保資金投入,有效支持業務發展。
保險機構應當制定有利于公司可持續發展的信息化人力資源政策,健全信息技術專業人才激勵機制,合理配備信息技術人員,并定期對信息技術人員和公司其他人員分別開展專業技術培訓。
第十六條[內部審計]保險機構應當在內部審計部門設立專門的信息化風險審計崗位,配備足夠的資源和具有專業能力的信息化工作審計人員,對本機構信息化工作進行全面、獨立審計。
第十七條[集團管理]保險集團(控股)公司根據自身總體業務規劃和風險管控要求,可以對各子公司信息化工作實行集中管理,但各法人機構之間的信息系統、原始數據等應當有效隔離,并各自承擔信息安全風險管理責任。
保險集團(控股)公司和子公司依法對信息安全關聯風險事故承擔責任。
第三章
信息系統建設與運行維護
第十八條[架構規劃]保險機構應當根據本機構的總體業務發展戰略和信息化風險管理策略,對信息系統建設與運行維護進行總體規劃,加強各信息系統之間的集成與整合,實現財務、業務等核心系統的無縫對接,促進經營管理流程信息化,滿足保險監管數據采集要求和保險業信息共享需要。
第十九條[制度框架]保險機構應當建立完善的信息系統管理組織,制定覆蓋信息系統全生命周期的管理制度、技術標準和操作規范,保障信息系統規劃、建設和運行維護各項工作的安全實施。
第二十條[安全定級]
保險機構應當根據國家信息安全等級保護有關規定和所涉信息對機構經營管理的重要程度,合理確定信息系統的安全等級。涉及國家安全、本機構商業秘密和客戶隱私等敏感信息的核心系統應當參照高等級標準定級,并按照相應等級要求對信息系統進行建設和運行維護。重要信息系統定級情況應當根據中國保監會要求進行備案。
第二十一條[開發形式]保險機構應當增強信息系統的自主研發能力。根據自身情況,信息系統開發還可以采取合作開發、定制開發和外包開發等形式。
對合作開發和外包開發,保險機構應當通過合同約定源代碼所有權歸屬,確保擁有合理的源代碼使用授權或者所有權,嚴格防范合作開發商或者外包商終止服務導致的風險。
第二十二條[開發測試]
保險機構信息系統的開發測試應當與生產管理嚴格分離,不得使用未脫敏的生產數據用于開發、測試環境。嚴格限制開發人員訪問源代碼的權限,并保障核心系統開發實施安全。
信息系統正式上線運行前,應當對其功能、性能及安全性進行測試,核心系統原則上應當通過第三方測試機構測試;面向互聯網應用的系統還應當通過第三方安全測試。信息系統的重大改造升級應當按照新信息系統建設標準進行測試。
信息系統經測試合格,并由本機構信息技術部門和業務部門共同批準后方可上線運行。
第二十三條[系統運行維護]保險機構應當建立完善的信息系統運行維護管理流程,清晰界定信息技術部門和業務部門的運行維護職責,并按照下列要求建立信息系統的身份鑒別、權限分配、操作審計、故障處理規范:
(一)按照等級保護要求建立相應的身份鑒別機制;
(二)嚴格規范帳號權限分配、使用和回收管理流程;
(三)信息系統運行維護操作日志應當按照國家有關要求和業務經營需要進行分類保存;
(四)建立信息系統故障全面記錄、分析和解決機制。
第二十四條[系統變更與數據遷移、修改]
信息系統變更和數據遷移時,應當制定合理的技術方案,充分測試,做好備份,保證信息系統及數據安全。嚴格控制后臺修改系統數據,確需修改的要做到事前批準、事中監控和事后留痕。
第二十五條[安全防護]保險機構應當按照下列要求建立健全信息系統備份及災難恢復、防病毒、密碼管理、入侵檢測、審計等安全管理機制:
(一)根據數據及系統的重要性,明確數據及系統的備份與災難恢復策略;
(二)加強密碼設備及使用人員管理,使用符合國家標準和加密要求的技術和產品;
(三)采取惡意代碼防范措施,確保具備主動發現和有效阻止惡意代碼傳播的能力;
(四)信息系統日志在保存期限內內容不得刪除、修改或者覆蓋,并實現對關鍵崗位、異常操作等高風險因素的審計。
第二十六條[互聯網應用]保險機構應當按照下列要求加強對門戶網站、社交網絡公眾賬號等互聯網應用系統的管理:
(一)根據國家有關規定備案;
(二)建立網站信息發布審批制度,嚴格控制網站內容發布權限;
(三)加強技術保障和運行監控,保障網絡交易安全和交易記錄可追溯。
第二十七條[文檔完備]保險機構的重要信息系統有關資料和信息系統的重要信息應當按照中國保監會要求備案。
保險機構要建立覆蓋信息系統全生命周期的文檔管理體系,確保文檔記錄完整、及時、有效。
第四章
基礎設施建設與保障
第二十八條[基礎設施]基礎設施指保障信息系統運行的物理環境,主要包括數據中心和網絡資源。
本規定所稱數據中心包括生產中心和災難備份中心(以下簡稱災備中心)。
生產中心是指保險機構對全部業務、客戶和管理等重要信息進行集中存儲、處理和維護,具備專用場所,為業務運營及管理提供信息化支撐服務的組織。
災備中心是指保險機構為保障其業務連續性,在生產中心故障、停頓或者癱瘓后,能夠接替生產中心運行,具備專用場所,進行數據處理和支持重要業務持續運行的組織。
災備中心同城模式(以下簡稱同城災備)是指災備中心與生產中心位于同一地理區域,一般距離數十公里,可防范火災、建筑物破壞、電力或者通信系統中斷等事件。災備中心異地模式(以下簡稱異地災備)是指災備中心與生產中心處于不同地理區域,一般距離在數百公里以上,不會同時面臨同類區域性災難風險,如地震、臺風和洪水等。
本規定所稱網絡資源是指支撐系統運行的網絡專線、網絡帶寬、網絡地址、網絡域名以及相關網絡設備等虛擬及物理設施。
第二十九條[規劃設計]保險機構應當以本機構業務總體規劃為根本,圍繞數據資產的管理和應用,科學規劃數據中心的總體架構和實施路線,
保證網絡、數據、應用、安全各要素有機結合。
數據中心規劃應當報中國保監會備案。
第三十條[建設時間]
保險機構在籌備時,應當按照中國保監會規定的信息化建設準入標準設立生產中心。生產中心運行五年內建立災備中心,災備中心的建設與管理必須達到中國保監會規定的標準。
保險機構應當不斷完善生產中心、同城災備、異地災備的災難備份體系,逐步實現更高安全水平的信息系統運行模式,切實提高防災減災能力,保障業務連續性。
第三十一條[建設標準]保險機構可以采取自建、共建、外包的方式設立數據中心,數據中心的機房設計標準必須符合國家標準規范和中國保監會的要求。
數據來源于中華人民共和國境內的,數據中心的物理位置應當位于境內。
第三十二條[人員管理]保險機構應當指定專門機構和專業隊伍負責數據中心運營與管理,明確數據中心各崗位人員職責,建立完善運行指標體系和服務評價體系,保證運行維護隊伍人員穩定、工作高效。
第三十三條[管理制度]保險機構應當建立健全并嚴格執行數據中心管理制度、技術規范、操作指南,包括機房管理、運行管理、設備管理、數據管理、應急管理等。
第三十四條[安全管理]保險機構數據中心應當設置安全工作機構,加強人員安全、物理環境安全、設備資產安全、操作安全、運行維護安全、鏈路安全、網絡安全及應用安全等方面的安全管理。
第三十五條[設施監控]保險機構應當對信息化基礎設施實施有效監控。數據中心基礎設施安全防護和保障應當按功能區域劃分安全控制級別,不同級別區域采用獨立的出入控制設備并集中監控。應當對基礎設施設備、機房環境狀況、安全防護系統狀況實行7×24小時實時監測。深入應用自動控制、虛擬化管理等新技術,提高監控水平和效率。
第三十六條[網絡規劃]保險機構網絡資源應當滿足高性能、高可用性、高安全性、可擴展性等要求,為信息系統提供安全、穩定、高效的運行環境。數據中心應當用兩條或者多條通信線路互為備份,互為備份的通信線路不得經過同一路由節點。
第三十七條[外聯管理]
保險機構內部網絡與保險中介機構、第三方機構等外聯單位網絡連接時,應當明確網絡外聯種類方式,采用可靠連接策略及技術手段,實現彼此有效隔離,并對跨網絡流量、網絡用戶行為等進行記錄和定期審計。
第五章
外包管理
第三十八條[名詞釋義]本規定所稱外包是指保險機構將本機構信息化工作委托給服務提供商進行處理的行為,包括咨詢外包、系統建設外包、系統運行維護外包、基礎設施外包和信息安全外包等。
第三十九條[建立制度]保險機構實行信息化工作外包,應當制定完備的外包服務管理制度和風險評估機制,確保有效應對和處置外包風險。
第四十條[審慎要求]保險機構應當根據涉及信息資產的關鍵性和敏感程度,審慎確定外包服務范圍。信息系統安全管理責任不得外包。
下列外包實施前應當經過本機構董事會批準,并按照中國保監會要求報告:
(一)保險機構對數據中心等基礎設施實施的整體外包;
(二)對涉及國家安全、本機構商業秘密,以及客戶隱私等敏感內容的信息系統外包。
第四十一條[外包資質]保險機構應當根據不同的外包業務要求,優先選用具備信息安全管理體系認證資質的信息技術服務機構提供外包服務。數據中心外包服務提供商應當符合本規定第四章所規定的標準和要求。
第四十二條[外包合同]保險機構與外包服務提供商簽訂書面外包服務合同,合同應當包括外包服務范圍、安全保密、知識產權、業務連續性要求、爭端解決機制、合同變更或者終止的過渡安排、違約責任等條款。
保險機構必須要求外包服務提供商承諾接受和配合中國保監會對保險機構信息化工作相關的現場檢查和日常監督。
第四十三條[分包要求]保險機構要嚴格控制外包服務提供商的轉包和分包行為。對于確有第三方外包服務提供商參與實施的項目應當采取嚴密措施,保證外包服務質量和安全不受影響。
第四十四條[外包監督]保險機構應當加強外包服務提供商及其服務人員的管理,與外包服務提供商建立起有效的信息交流與溝通機制,保證外包服務人員的相對穩定。
第四十五條[股東影響]保險機構信息化建設和管理與其非保險類股東有重大關聯的,保險機構信息化治理與規劃、業務、財務等核心系統和重要數據信息及其管理必須保持獨立完整。其他信息化事項外包給股東的,按照本規定外包要求實施管理。
第四十六條[購買保險]保險機構應當優先選擇購買相應商業保險的外包服務提供商,以保障安全事件發生時外包服務提供商有足夠的經濟賠償能力。
第四十七條[定期評估]保險機構應當建立評估考核機制,定期對外包服務提供商的財務狀況、技術實力、安全資質、風險控制水平和誠信記錄等進行審查、評估與考核,確保其設施和能力滿足外包要求。
第六章
信息安全管理
第四十八條[信息安全]本規定所稱信息安全是指利用信息技術及管理手段,保護信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性。
信息安全包括網絡安全、系統安全和內容安全,涵蓋物理環境、網絡、主機系統、桌面系統、數據、應用、存儲、災備、安全事件管理、人員等各層面安全。
第四十九條[基本要求]保險機構要將信息安全置于信息化工作的首位,按照“積極防御、綜合防范”的原則,加強信息安全與信息系統的同步規劃、同步建設和同步使用,加強風險管理與控制,充分利用管理機制和技術手段,增強安全防護能力,構建完善的信息安全保障體系,確保重要信息系統持續穩定運行,保障業務活動的連續性。
第五十條[機構職責]
保險機構應當按照“誰主管、誰負責,誰運營、誰負責,誰使用、誰負責”的原則,明確信息安全責任,強化安全意識,加強安全管理,全面落實信息安全管理責任制。
保險機構法定代表人對本機構信息安全承擔首要責任,首席信息官、信息化工作委員會主任對本機構信息安全承擔主要責任。
保險機構應當在信息技術部門設置專門機構,并配備專職人員,履行以下安全職責:
(一)貫徹落實國家和中國保監會有關信息系統安全管理的法律、行政法規、技術標準和相關要求;
(二)組織公司信息系統安全規劃與建設工作,制定相關管理規定;
(三)組織制定信息化風險管理制度,建立風險識別、計量、監測和控制體系;
(四)建立有效的信息系統安全保障體系并定期或者根據工作需要及時進行檢查、評估、審計、改進、監控等工作;
(五)對信息系統安全事件進行管理、處置和上報;
(六)組織配備足夠具有專業知識和技能的信息安全工作人員;
(七)組織公司員工信息系統安全教育與培訓;
(八)開展與信息系統安全相關的其他工作。
第五十一條[制度體系]
保險機構應當建立完善的信息安全分類和保護制度體系,明確系統管理、網絡管理、安全管理等崗位職責、管理權限和技能要求,細化工作流程,建立有效的執行機制、評估機制和監督機制。制度體系包括以下內容:
(一)信息安全組織管理制度;
(二)信息化風險管理與控制制度;
(三)人員安全管理制度;
(四)數據安全管理制度;
(五)資產安全管理制度;
(六)物理與環境安全管理制度;
(七)訪問控制管理制度;
(八)網絡運行維護管理制度;
(九)系統開發與維護管理制度;
(十)業務連續性管理制度;
(十一)合規性管理制度;
(十二)信息安全事故管理制度;
(十三)信息化外包服務管理制度。
第五十二條[安全機制]保險機構應當構建完善的信息安全風險控制策略。針對信息安全的各層面、各環節,建立職責明確的授權機制、審批流程,以及完備有效、相互制衡的內部控制體系,定期根據安全風險態勢進行評審和完善。
第五十三條[安全可控]保險機構應當優先采購安全可控的硬件設備和軟件產品,穩步推進安全可控產品應用;積極創造條件,提高關鍵業務系統的自主研發水平,不斷增強保險機構信息化工作的安全可控能力。
第五十四條[國產密碼]保險機構應當嚴格按照國家金融領域密碼應用工作規劃和實施要求,逐步實現國產密碼在電子保單及保險領域的全面應用。
第五十五條[正版化]保險機構應當切實提高軟件正版化意識和自主產權保護意識。禁止復制、傳播或者使用非授權軟件。對本機構具有自主知識產權的信息產品,應當采取有效措施加以保護。
第五十六條[等級保護]保險機構應當按照國家和中國保監會信息系統安全規范、技術標準及等級保護管理要求,進行定級、保護、備案、測評和整改,確保不同等級的信息系統具備相應的安全防護能力。
第五十七條[安全認證]保險機構需要申請信息安全管理體系認證的,應當按照國家有關規定及中國保監會要求,選擇國家認證認可監督管理部門批準的機構進行認證,并與認證機構簽訂安全和保密協議。
第五十八條[數據安全]保險機構應當制定數據管理相關制度和流程,規范數據采集、傳輸、存儲、交換、備份、恢復和銷毀等環節,采取加密等手段防范數據泄露,保障信息數據的合法、合規使用,做好數據恢復有效性測試,防范災難發生時數據丟失風險。
外資保險機構信息系統所載數據移至中華人民共和國境外的,應當符合我國有關法律法規。
第五十九條[終端管理]保險機構應當根據安全管理有關規定對計算機、移動設備等各類終端分別制定安全管理制度,嚴格規范終端網絡準入、安全策略、軟件安裝與卸載等管理。
第六十條[資產管理]保險機構要建立軟硬件和數據資源等信息化資產管理制度,編制資產清單,明確資產管理責任部門與人員,規范資產分配、使用、存儲、維護和銷毀等行為,定期對資產清單進行一致性檢查并保留檢查記錄。
第六十一條[介質管理]保險機構要制定介質分類管理制度,根據介質存儲內容與重要性明確存儲介質類型、存放技術指標、保存期限等,并定期檢查介質中存儲的信息是否完整可用。
重要備份介質應當異地存放。介質送出維修或者銷毀時,應當保證介質信息預先得到審查并妥善處理。
對于存儲客戶隱私等涉密信息的存儲介質,應當嚴格依據國家有關法律法規及中國保監會要求保存與銷毀。
第六十二條[災備恢復]保險機構應當加強信息系統災難恢復管理,制定業務連續性規劃,并定期進行演練,以確保出現無法預見的中斷時信息系統仍能持續運行并提供服務。
第六十三條[應急管理]保險機構應當針對可能發生的信息安全重大突發事件,建立和完善分類應急管理體系,與通信、電力、消防等基礎保障部門建立溝通機制,與業務系統、基礎設備等服務廠商建立協同機制,對重大自然災害、惡意破壞等合理劃分應急響應等級,明確應急響應啟動程序、處理流程、上報要求、預警機制等。
保險機構應當每年至少進行一次應急演練,針對演練中暴露出的風險隱患進行整改。
第六十四條[新技術安全]保險機構應當主動跟蹤研究應用新興信息技術,在推進業務創新的同時,提高信息安全防護能力,防范和控制新技術應用帶來的新風險。
保險機構需要使用云計算服務的,要充分評估使用云計算服務的價值和風險。重點關注云計算提供商滿足服務等級協定以及提供連續穩定云服務的能力,并充分考慮敏感數據在云計算平臺上運行的安全性、所采取的安全控制措施的可靠性以及系統和數據遷移方案完善性等風險因素。
第七章
內部審計
第六十五條[審計要求]保險機構內部審計部門應當根據業務性質、規模和復雜程度,對相關信息系統及其控制的適當性、合規性和有效性進行獨立于本機構日常活動的審計。
第六十六條[審計職責]保險機構信息化工作內部審計部門的職責:
(一)制定和實施審計計劃,檢查和評估保險機構信息系統和內控機制的充分性和有效性;
(二)按照審計計劃和要求完成審計工作;
(三)對信息安全或者其他特殊事項進行專項審計;
(四)檢查、督促整改意見的落實情況。
第六十七條[范圍與頻率]保險機構應當根據業務性質、規模和復雜程度,信息技術應用情況,以及信息技術風險評估結果,決定信息化工作內部審計的范圍和頻率,但至少應當每兩年進行一次全面審計。
第六十八條[內審參與]保險機構進行重要信息系統建設時應當要求內部審計部門參與監督。
第八章
外部審計
第六十九條[規定要求]保險機構應當根據法律、行政法規和中國保監會要求,定期委托具備相應資質的外部審計機構進行信息化工作外部審計。
第七十條[委托授權]在委托審計過程中,保險機構應當確保外部審計機構能夠對本機構的硬件、軟件、文檔和數據進行檢查,以發現信息系統存在的風險。
國家法律法規和中國保監會規定的重要商業、技術秘密信息不在檢查范圍。
第七十一條[審計頻率]保險機構至少應當每兩年進行一次外部審計。
第七十二條[配合審計]保險機構實施外部審計前應當與外部審計機構進行充分溝通,詳細確定審計范圍,不得隱瞞事實或者阻撓審計。
第七十三條[保密要求]保險機構在委托外部審計機構進行外部審計時,應當與其簽訂保密協議,并督促其嚴格遵守法律法規,保守本機構的商業秘密和信息化風險信息,防止其擅自對本機構提供的文件資料進行修改復制或者帶離現場。
第九章
監督管理
第七十四條[監管原則]中國保監會對保險機構信息系統實行分類、分級監督管理。
第七十五條[監管內容]中國保監會依法組織制定和推動執行保險業信息化標準,并根據保險業信息化風險狀況,對保險機構進行信息化風險提示,督促保險機構采取針對性措施消除信息化風險隱患。
第七十六條[開業驗收]保險機構設立時信息化建設應當達到中國保監會規定的準入標準和要求,且經過驗收后方可對外營業。
第七十七條[非現場監管]保險機構應當按中國保監會要求定期報送信息化風險管理報表以及不定期報送專項臨時報表。
中國保監會根據信息化風險管理報表情況對保險機構進行評價,相關監管指標納入償付能力監管體系,針對不同風險等級采取相應的監管措施。
第七十八條[現場檢查]中國保監會根據保險業信息化總體安全狀況、保險機構信息化反映出的突出問題,可以組織現場檢查,存在下列情形的保險機構可以作為重點檢查對象:
(一)信息化建設存在重大安全隱患的;
(二)發生信息系統重大突發性事件的;
(三)違反中國保監會信息化重大事項報告有關規定的;
(四)對中國保監會信息安全檢查中發現的嚴重信息安全隱患未采取措施進行整改或者整改不力的;
(五)違反合規性要求,逃避中國保監會或者有關部門檢查和處罰,惡意對信息系統數據進行篡改的;
(六)在報送信息化各類報表數據中,存在嚴重誤報、漏報、錯報、遲報等行為,且屢錯不改或者整改不力的;
(七)中國保監會認為有必要進行信息化重點檢查的其他情形。
第七十九條[外聘審計]中國保監會認為必要時可指定具備相應資質的外部審計機構對保險機構信息化工作進行審計。外部審計機構根據中國保監會委托對保險機構進行審計時,應當出示委托書,并依照委托書規定的范圍進行審計。
第八十條[審計報告]保險機構內部審計、外部審計應當按照中國保監會頒布的信息化審計規范標準和要求進行,且應當在每次審計結束后三個月內將審計報告報中國保監會備案。
第八十一條[滲透測試]中國保監會在對保險機構信息安全進行檢查時,可以委托具有相應資質的信息安全監測機構進行有針對性的風險滲透測試。保險機構應當根據中國保監會要求,委托具有相應資質的信息安全監測機構進行風險滲透測試,并針對產生的問題進行技術修正。
第八十二條[共同監督]對涉及信息化外包服務提供商信息安全監管的有關事項,中國保監會與國家信息安全有關部門建立監管合作機制,實施有效監督。
第八十三條[派出機構]中國保監會派出機構負責轄區內保險公司分支機構、保險資產管理公司分支機構信息化工作的監督管理。中國保監會派出機構可以參照本規定制定轄區內信息化工作監督管理辦法。
中國保監會派出機構接受中國保監會委托開展轄區內保險集團(控股)公司、保險公司和保險資產管理公司信息化檢查等工作。
第八十四條[集團分工]
本規定實施后,保險集團(控股)公司與子公司有關信息化工作職責分工和責任落實情況,應當按照中國保監會要求備案,如有變化,及時報告。
第八十五條[處罰規定]保險機構違反本規定,中國保監會可以依法對保險機構及其相關責任人采取責令改正、監管談話、出具監管函、通報等措施;情節嚴重的,依法給予行政處罰。
第十章
附?則
第八十六條
未設立董事會的保險機構由本機構高級管理層承擔本規定賦予董事會的職責。境外保險公司分公司視為保險機構管理。
第八十七條
保險中介機構信息化監管制度由中國保監會另行制定。
第八十八條
本規定由中國保監會負責解釋。
第八十九條
本規定自
年月
日起施行。中國保監會2009年12月29日發布的《保險公司信息化工作管理指引(試行)》(保監發﹝2009﹞133號)同時廢止。