2022年保险公司信息化工作管理规定 .pdf

1 附件：保险公司信息化工作管理规定一、总则第一条 制订目的 为加强保险公司信息化工作管理，促进信息化工作规范化与标准化建设，提高保险业信息化工作水平，根据中华人民共和国保险法及国家有关法律法规，制定本规定。第二条 适用范围 本规定适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司，以下统称保险公司。第三条 名词解释 本规定所称信息化工作，是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用， 包括相应的信息化组织架构建立、制度建设，以及基础环境建设等工作。第四条 基本要求 各公司应把信息化工作纳入公司全面发展框架进行统筹考虑，建立有效的信息化治理机制，明确信息化工作决策权归属，实现信息资源的合理利用，确保信息化工作与业务发展目标一致；加强信息系统风险管理，确保信息系统安全、稳定运行。实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息化工作统筹规划执行。第五条 监督管理 中国保监会依法对保险公司信息化管理工作实施监督管理。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 2 二、组织管理与规划第六条 责任主体 各公司是信息化工作规划、建设、管理和安全的责任主体。公司法定代表人或主要负责人对此负有最终责任。第七条 决策机构 各公司应建立信息化工作委员会，明确其工作职责和工作制度。定期或根据需要召开工作会议，对信息化工作重大事项决策研判，并提交公司最高决策层批准实施。第八条 决策机构组成 信息化工作委员会负责人应由公司级高级管理人员担任，组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。有条件的公司可聘请外部专家参加。信息化工作委员会应下设办公室，负责落实和协调信息化工作委员会的具体事宜。办公室原则上应设臵在信息技术部门。第九条 首席信息官 各公司应设立首席信息官或指定公司级高级管理人员作为信息化工作的直接责任人。直接责任人应负责公司信息化建设工作，并参与公司经营、管理和决策，其任职条件应符合监管部门规定。第十条 责任部门 各公司应建立组织结构合理、人员岗位分工明确的信息技术部门。信息技术部门负责信息化工作相关的规划、建设、管理和运维等工作。信息技术从业人员应具备符合岗位需求的专业技术能力和职业操守。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 3 第十一条 明确职责 各公司应结合信息化工作特点和内部控制要求，明确信息化工作中各相关部门及各级分支机构的职责，加强对分支机构信息化工作的指导和管理，将信息化工作相关的权利和责任落实到位。第十二条 制度建设 各公司应制定明确的信息化工作制度、标准和操作流程，定期或根据需要及时进行更新、发布。第十三条 规划制订 各公司应根据公司业务发展战略，制订明确的中长期网络安全与信息化规划。规划应具有开放性和前瞻性，符合公司经营管理的需要，并确保信息化建设的稳定性和延续性。规划应经过信息化工作委员会的审批，并提交公司最高决策层批准实施。第十四条 规划修订 各公司应建立网络安全与信息化规划定期审查、评估和修订机制，规划的审查、评估工作至少每年一次，修订后的规划应经信息化工作委员会审批，并提交公司最高决策层批准实施。三、基础环境与信息系统建设第十五条 信息标准 各公司信息化建设、管理及信息化工作中涉及的数据信息, 应符合国家及行业的有关规范、标准和监管部门要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 4 第十六条 集中管控 各公司应实现数据信息集中管控，建立健全数据管理的有效机制，提高数据资产价值的利用能力和水平。第十七条 集团公司 各保险集团（控股）公司可根据业务管理、风险管控等需要，对下属各子公司信息化建设统筹协调管理，提高信息资源的利用率。实现信息化工作集中管理的保险集团（控股）公司，应确保集团内各法人机构之间的信息系统及相关硬件、网络等有效安全隔离，并符合国家及监管部门有关要求。第十八条 基础设施 各公司应按照有效性、可用性和安全性的原则，对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施，至少保证满足公司未来两年的业务发展要求。第十九条 数据中心 各公司应根据信息化发展需要，建设相应的计算机中心机房和灾备机房，自建、共建或租用第三方的机房建设均应符合国家相关规范标准和监管部门要求。第二十条 系统建设 各公司应全面梳理公司经营管理流程，建立与经营管理相适应的信息系统，加强信息系统间的集成与整合，实现财务、业务等核心系统的无缝对接，提高系统的协同工作水平。鼓励有条件的公司开展业务系统自主研发。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 5 第二十一条 系统对接 各公司信息系统应满足保险监管机构数据采集的要求，确保上报数据的及时性、准确性、完整性。第二十二条 内控信息化 各公司应运用信息技术加强内部控制与合规建设，促进内部控制流程与信息系统的有机结合，实现对各项业务和事项的自动控制，减少人为操控因素。第二十三条 上线与测试 新开发的系统或经过重大改造的系统在上线运行前，应对功能与性能进行严格测试，并通过安全评测。经过一般性改造的系统在上线运行前应遵循审慎原则，做好相关测试工作。第二十四条 知识产权 各公司应加强知识产权保护工作，严禁侵权盗版。 鼓励研发具有自主知识产权的信息产品，并采取有效措施保护公司信息化工作成果。第二十五条 自主可控 鼓励优先采购自主可控的硬件设备和软件产品，增加对自主可控设备和产品的容忍度，积极创造条件，通过制定规划、完善机制、推动应用、宣传典型等措施，推进网络与信息设备的自主可控能力不断提升。四、安全保障与风险控制第二十六条 安全建设原则 各公司应加强网络安全与信息化的同步规划和同步建设，构建完善的信息安全保障体系。充分利用管理机制和技术手段，强化网络与信息安全防名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 6 护能力，提高防护水平，保证重要信息的可用、保密、完整及真实，保障业务活动的连续性。第二十七条 安全责任制 各公司应按照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”的原则，明确信息安全各相关方的责任，加强人员管理，强化信息安全意识，全面落实信息安全管理责任制。第二十八条 安全监控 各公司应建立健全信息安全监控体系和报告机制，明确风险预警标准，加强信息安全的监控和预警，提高风险防范处臵能力。第二十九条 等级保护 各公司应按照国家有关规定和监管要求，对信息系统进行安全等级划分，按照安全等级实施信息系统安全等级保护。第三十条 数据安全 各公司应制订重要数据的备份制度和策略，实施有效的数据备份措施，并按照监管部门有关要求，推进信息系统灾难恢复建设工作。第三十一条 国产密码 各公司应按照国家金融领域密码应用工作要求，扎实推进保险业信息系统国产密码应用工作。第三十二条 应急处臵 各公司应针对可能发生的信息系统重大突发事件，制定应急预案，建立完善的应急管理体系、应急技术平台和应急协调机制，积极主动进行压力测试。应急预案要明确启动机制、责任人员、处臵流程、具体方案和外部资源，并根据工作实际进行动态调整和定期应急名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 7 演练，采取相应措施，确保应急预案的可操作性，把风险隐患可能造成的损失降到最低。第三十三条 互联网安全 各公司应建立外联网络接入标准和安全规范，明确审批机制、风险评估机制及对应的风险控制措施，加强外联网络的接入管理。对门户网站、互联网保险系统等与广大互联网消费者密切相关的信息系统进行统一规划、统一管理，采取必要技术手段和管理措施确保相应信息系统安全。第三十四条 外包管理 各公司应加强信息化工作外包服务管理，不得将信息化管理责任外包。应按照监管部门要求，结合外包服务实际需要，制订外包服务的基本规范，确保对信息系统安全的控制能力。五、发展环境第三十五条 经费预算 各公司应结合信息化工作规划实施的需要，制定信息化工作经费预算，并保障信息化工作经费预算的执行，确保信息化建设的正常有效开展。第三十六条 人力发展 各公司应根据自身实际并结合信息化工作的特点，合理配备信息技术人员，制定并实施有利于公司可持续发展的信息化人力资源政策，鼓励建立信息技术专业职级体系，健全信息技术专业人才激励机制，。第三十七条 评价体系 各公司应积极探索、建立并实施信息化工作投入产出的评价体系，完善信息化工作绩效考核机制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 8 第三十八条 科技创新 各公司应加强信息化工作相关研究，建立创新激励机制，有条件的公司可探索建立科技创新基金。鼓励充分利用云计算、大数据、移动互联网等新技术推进业务创新， 控制业务风险， 实现结构升级和业务转型，同时注意防范和控制新信息技术应用带来的新风险。第三十九条 全员培训 各公司应将全体员工信息化培训列入培训计划，培训至少每两年一次。新员工上岗前，应经过信息化相关培训和考核。各公司应根据履行职责的需要，每年开展信息技术人员的专业技能培训和业务培训。第四十条 宣传交流 各公司应积极参与行业信息技术交流活动，支持行业信息标准化工作，提高行业信息化工作水平。六、审计与备案第四十一条 独立审计 各公司应建立信息化工作的风险评估机制和信息系统审计制度，由独立于信息技术部门的有关部门负责审计工作，至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。鼓励公司在符合国家有关法律、法规和监管要求情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。第四十二条 信息化报告 各公司应按要求定期报送保险业信息科技风险监管年度报告、年度报表、季度报表和不定期报送临时报表。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页 - - - - - - - - - 9 第四十三条 重大事项报告 各公司应按监管部门有关要求及时向保监会报告信息化工作重大事项。七、法律责任第四十四条 惩罚条件 各公司不得有下列行为：（一）信息化建设存在重大安全隐患，并未按照要求进行整改的；（二）发生计算机系统重大突发性事件未及时向监管机构报告，未采取措施或采取措施不力造成严重后果的；（三）对保险监管机构信息安全检查中发现的严重信息安全隐患未采取措施进行整改或整改不力的；（四）拒绝或者妨碍保险监管机构依法进行信息安全检查监督的；（五）其他涉及信息化或信息安全问题的。第四十五条 惩罚措施 各公司违反本规定，有第四十五条行为之一的，中国保监会或者其派出机构可以进行监管谈话或处以 3 万元以下的罚款；情节严重的，可以限制业务范围、责令停止接受新业务或者吊销经营保险业务许可证。八、附则第四十六条 派出机构 中国保监会派出机构可以根据本规定制定辖区内的实施细则。第四十七条本规定由中国保监会负责解释。第四十八条本规定自 2014 年 月 日起施行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -