第二十一条[系统对接]各公司信息系统应满足保险监管机构数据采集的要求,确保上报数据的及时性、准确性、完整性。
第二十二条[内控信息化]各公司应运用信息技术加强内部控制与合规建设,促进内部控制流程与信息系统的有机结合,实现对各项业务和事项的自动控制,减少人为操控因素。
第二十三条[上线与测试]新开发的系统或经过重大改造的系统在上线运行前,应对功能与性能进行严格测试,并通过安全评测。经过一般性改造的系统在上线运行前应遵循审慎原则,做好相关测试工作。
第二十四条[知识产权]各公司应加强知识产权保护工作,严禁侵权盗版。鼓励研发具有自主知识产权的信息产品,并采取有效措施保护公司信息化工作成果。
第二十五条[自主可控] 鼓励优先采购自主可控的硬件设备和软件产品,增加对自主可控设备和产品的容忍度,积极创造条件,通过制定规划、完善机制、推动应用、宣传典型等措施,推进网络与信息设备的自主可控能力不断提升。
四、安全保障与风险控制
第二十六条[安全建设原则]各公司应加强网络安全与信息化的同步规划和同步建设,构建完善的信息安全保障体系。充分利用管理机制和技术手段,强化网络与信息安全防
5
护能力,提高防护水平,保证重要信息的可用、保密、完整及真实,保障业务活动的连续性。
第二十七条[安全责任制]各公司应按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
第二十八条[安全监控]各公司应建立健全信息安全监控体系和报告机制,明确风险预警标准,加强信息安全的监控和预警,提高风险防范处臵能力。
第二十九条[等级保护]各公司应按照国家有关规定和监管要求,对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护。
第三十条[数据安全]各公司应制订重要数据的备份制度和策略,实施有效的数据备份措施,并按照监管部门有关要求,推进信息系统灾难恢复建设工作。
第三十一条[国产密码] 各公司应按照国家金融领域密码应用工作要求,扎实推进保险业信息系统国产密码应用工作。
第三十二条[应急处臵]各公司应针对可能发生的信息系统重大突发事件,制定应急预案,建立完善的应急管理体系、应急技术平台和应急协调机制,积极主动进行压力测试。
应急预案要明确启动机制、责任人员、处臵流程、具体方案和外部资源,并根据工作实际进行动态调整和定期应急
6
演练,采取相应措施,确保应急预案的可操作性,把风险隐患可能造成的损失降到最低。
第三十三条[互联网安全]各公司应建立外联网络接入标准和安全规范,明确审批机制、风险评估机制及对应的风险控制措施,加强外联网络的接入管理。对门户网站、互联网保险系统等与广大互联网消费者密切相关的信息系统进行统一规划、统一管理,采取必要技术手段和管理措施确保相应信息系统安全。
第三十四条[外包管理]各公司应加强信息化工作外包服务管理,不得将信息化管理责任外包。应按照监管部门要求,结合外包服务实际需要,制订外包服务的基本规范,确保对信息系统安全的控制能力。
五、发展环境
第三十五条[经费预算]各公司应结合信息化工作规划实施的需要,制定信息化工作经费预算,并保障信息化工作经费预算的执行,确保信息化建设的正常有效开展。 第三十六条[人力发展]各公司应根据自身实际并结合信息化工作的特点,合理配备信息技术人员,制定并实施有利于公司可持续发展的信息化人力资源政策,鼓励建立信息技术专业职级体系,健全信息技术专业人才激励机制,。 第三十七条[评价体系]各公司应积极探索、建立并实施信息化工作投入产出的评价体系,完善信息化工作绩效考核机制。
7
第三十八条[科技创新]各公司应加强信息化工作相关研究,建立创新激励机制,有条件的公司可探索建立科技创新基金。鼓励充分利用云计算、大数据、移动互联网等新技术推进业务创新,控制业务风险,实现结构升级和业务转型,同时注意防范和控制新信息技术应用带来的新风险。 第三十九条[全员培训]各公司应将全体员工信息化培训列入培训计划,培训至少每两年一次。新员工上岗前,应经过信息化相关培训和考核。
各公司应根据履行职责的需要,每年开展信息技术人员的专业技能培训和业务培训。
第四十条[宣传交流]各公司应积极参与行业信息技术交流活动,支持行业信息标准化工作,提高行业信息化工作水平。
六、审计与备案
第四十一条[独立审计]各公司应建立信息化工作的风险评估机制和信息系统审计制度,由独立于信息技术部门的有关部门负责审计工作,至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。
鼓励公司在符合国家有关法律、法规和监管要求情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第四十二条[信息化报告]各公司应按要求定期报送保险业信息科技风险监管年度报告、年度报表、季度报表和不定期报送临时报表。
8
第四十三条[重大事项报告]各公司应按监管部门有关要求及时向保监会报告信息化工作重大事项。
七、 法律责任
第四十四条[惩罚条件]各公司不得有下列行为: (一)信息化建设存在重大安全隐患,并未按照要求进行整改的;
(二)发生计算机系统重大突发性事件未及时向监管机构报告,未采取措施或采取措施不力造成严重后果的;
(三)对保险监管机构信息安全检查中发现的严重信息安全隐患未采取措施进行整改或整改不力的;
(四)拒绝或者妨碍保险监管机构依法进行信息安全检查监督的;
(五)其他涉及信息化或信息安全问题的。
第四十五条[惩罚措施]各公司违反本规定,有第四十五条行为之一的,中国保监会或者其派出机构可以进行监管谈话或处以3万元以下的罚款;情节严重的,可以限制业务范围、责令停止接受新业务或者吊销经营保险业务许可证。
八、附则
第四十六条[派出机构]中国保监会派出机构可以根据本规定制定辖区内的实施细则。
第四十七条 本规定由中国保监会负责解释。 第四十八条 本规定自2014年 月 日起施行。
9
相关推荐:
loading