新舊保險機構(gòu)信息化監(jiān)管規(guī)定對比分析

1、保險公司信息化工作管理指引（試行）保監(jiān)發(fā)2009133號保險機構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）2015.10主要條款主要條款1組織管理 與規(guī)劃應(yīng)建立信息化工作委員會，下設(shè)辦公室（原則上應(yīng)設(shè) 置在信息技術(shù)部門）信息化工作委員會負(fù)責(zé)人應(yīng)由公司高級管理人員擔(dān)任 應(yīng)設(shè)立首席信息官或指疋公司咼級管理人員作為信息 化工作的直接責(zé)任人應(yīng)建立組織結(jié)構(gòu)合理、人員崗位分工明確的信息技術(shù) 部門明確信息化工作中各相關(guān)部門及各級分支機構(gòu)的職責(zé) 應(yīng)制定明確的信息化工作制度、標(biāo)準(zhǔn)和操作流程 ，制訂明確的信息化工作規(guī)劃建立信息化規(guī)劃定期審查、評估和修訂機制信息化 治理明確有關(guān)信息化決策權(quán)歸屬機制和信息化責(zé)任承擔(dān)機制 保險機構(gòu)董

2、事會應(yīng)當(dāng)履行相關(guān)信息化工作管理職責(zé) 應(yīng)當(dāng)設(shè)立由董事會直接領(lǐng)導(dǎo)管理下的信息化工作委員會 當(dāng)設(shè)立首席信息官。首席信息官直接對信息化工作委員會主任負(fù)責(zé) 首席信息官應(yīng)當(dāng)由本機構(gòu)董事會成員或者高級管理人員擔(dān)任 應(yīng)當(dāng)設(shè)立信息技術(shù)部門 應(yīng)當(dāng)明確本機構(gòu)內(nèi)設(shè)部門及分支機構(gòu)信息化工作職責(zé) 應(yīng)當(dāng)建立信息化規(guī)劃的制定、實施、評估和修訂的工作機制 應(yīng)當(dāng)制定明確的信息化工作制度，明確實施標(biāo)準(zhǔn)和操作流程 應(yīng)當(dāng)在內(nèi)部審計部門設(shè)立專門的信息化風(fēng)險審計崗位 根據(jù)自身總體業(yè)務(wù)規(guī)劃和風(fēng)險管控要求，可以對各子公司信息化工作實行集中管理2信息系 統(tǒng)建設(shè) 與運行 維護應(yīng)當(dāng)根據(jù)本機構(gòu)的總體業(yè)務(wù)發(fā)展戰(zhàn)略和信息化風(fēng)險管理策略，對信息系統(tǒng)建設(shè)與運

3、行維護進行總體規(guī)劃應(yīng)當(dāng)建立完善的信息系統(tǒng)管理組織，制定覆蓋信息系統(tǒng)全生命周期的管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)范應(yīng)當(dāng)根據(jù)國家信息安全等級保護有關(guān)規(guī)定和所涉信息對機構(gòu)經(jīng)營 管理的重要程度，合理確定信息系統(tǒng)的安全等級 應(yīng)當(dāng)增強信息系統(tǒng)的自主研發(fā)能力信息系統(tǒng)的開發(fā)測試應(yīng)當(dāng)與生產(chǎn)管理嚴(yán)格分離 信息系統(tǒng)正式上線運行前，應(yīng)當(dāng)對其功能、性能及安全性進行測試， 核心系統(tǒng)原則上應(yīng)當(dāng)通過第三方測試機構(gòu)測試；面向互聯(lián)網(wǎng)應(yīng)用的系統(tǒng)還應(yīng)當(dāng)通過第三方安全測試應(yīng)當(dāng)建立完善的信息系統(tǒng)運行維護管理流程信息系統(tǒng)變更和數(shù)據(jù)遷移時，應(yīng)當(dāng)制疋合理的技術(shù)方案，充分測試， 做好備份，保證信息系統(tǒng)及數(shù)據(jù)安全應(yīng)當(dāng)按照下列要求建立健全信息系統(tǒng)備份及災(zāi)

4、難恢復(fù)、防病毒、密碼管理、入侵檢測、審計等安全管理機制應(yīng)當(dāng)按照下列要求加強對門戶網(wǎng)站、社交網(wǎng)絡(luò)公眾賬號等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的管理重要信息系統(tǒng)有關(guān)資料和信息系統(tǒng)的重要信息應(yīng)當(dāng)按照中國保監(jiān) 會要求備案3基礎(chǔ)環(huán)境信息化建設(shè)、管理及信息化工作中涉及的數(shù)據(jù)信息，應(yīng)基礎(chǔ)設(shè)應(yīng)當(dāng)以本機構(gòu)業(yè)務(wù)總體規(guī)劃為根本，圍繞數(shù)據(jù)資產(chǎn)的管理和應(yīng)用，科與信息系符合國家及行業(yè)的有關(guān)規(guī)范、標(biāo)準(zhǔn)和監(jiān)管部門要求施建設(shè)學(xué)規(guī)劃數(shù)據(jù)中心的總體架構(gòu)和實施路線。數(shù)據(jù)中心規(guī)劃應(yīng)當(dāng)報中國統(tǒng)建設(shè)應(yīng)實現(xiàn)數(shù)據(jù)信息集中管控，建立健全數(shù)據(jù)管理的有效與保障保監(jiān)會備案機制保險機構(gòu)在籌備時，應(yīng)當(dāng)按照中國保監(jiān)會規(guī)定的信息化建設(shè)準(zhǔn)入標(biāo)對下屬各子公司信息化建設(shè)統(tǒng)籌協(xié)調(diào)管理，

5、提高信息準(zhǔn)設(shè)立牛產(chǎn)中心資源的利用率可以米取自建、共建、外包的方式設(shè)立數(shù)據(jù)中心對信息化基礎(chǔ)設(shè)施和信息系統(tǒng)的功能、性能和安全保指定專門機構(gòu)和專業(yè)隊伍負(fù)責(zé)數(shù)據(jù)中心運營與管理，明確數(shù)據(jù)中心障等方面做出規(guī)疋并按規(guī)疋實施各崗位人員職責(zé)建設(shè)相應(yīng)的計算機中心機房和災(zāi)備機房應(yīng)當(dāng)建立健全并嚴(yán)格執(zhí)行數(shù)據(jù)中心管理制度、技術(shù)規(guī)范、操作指南應(yīng)全面梳理公司經(jīng)營管理流程，建立與經(jīng)營管理相適應(yīng)當(dāng)設(shè)置安全工作機構(gòu)，加強人員安全、物理環(huán)境安全、設(shè)備資產(chǎn)應(yīng)的信息系統(tǒng)安全、操作安全、運行維護安全、鏈路安全、網(wǎng)絡(luò)安全及應(yīng)用安全應(yīng)運用信息技術(shù)加強內(nèi)部控制與合規(guī)建設(shè)等方面的安全管理新開發(fā)的系統(tǒng)或經(jīng)過重大改造的系統(tǒng)在上線運行前，應(yīng)當(dāng)對信息化基

6、礎(chǔ)設(shè)施實施有效監(jiān)控應(yīng)對功能與性能進行嚴(yán)格測試，并通過安全評測網(wǎng)絡(luò)資源應(yīng)當(dāng)滿足咼性能、咼可用性、咼安全性、可擴展性等要求加強知識產(chǎn)權(quán)保護工作保險機構(gòu)內(nèi)部網(wǎng)絡(luò)與保險中介機構(gòu)、 第三方機構(gòu)等外聯(lián)單位網(wǎng)絡(luò)連 接時，應(yīng)當(dāng)明確網(wǎng)絡(luò)外聯(lián)種類方式，采用可靠連接策略及技術(shù)手段，實現(xiàn)彼此有效隔離4外包管理實行信息化工作外包，應(yīng)當(dāng)制定完備的外包服務(wù)管理制度和風(fēng)險評 估機制，確保有效應(yīng)對和處置外包風(fēng)險應(yīng)當(dāng)根據(jù)涉及信息資產(chǎn)的關(guān)鍵性和敏感程度，審慎確定外包服務(wù)范圍。信息系統(tǒng)安全管理責(zé)任不得外包應(yīng)當(dāng)根據(jù)不冋的外包業(yè)務(wù)要求，優(yōu)先選用具備信息安全管理體系認(rèn) 證資質(zhì)的信息技術(shù)服務(wù)機構(gòu)提供外包服務(wù)夕卜包服務(wù)合同應(yīng)當(dāng)包括外包服務(wù)范圍

7、、安全保密、知識產(chǎn)權(quán)、業(yè)務(wù) 連續(xù)性要求、爭端解決機制、合冋變更或者終止的過渡安排、違約 責(zé)任等條款嚴(yán)格控制外包服務(wù)提供商的轉(zhuǎn)包和分包行為 加強外包服務(wù)提供商及其服務(wù)人員的管理 保險機構(gòu)信息化建設(shè)和管理與其非保險類股東有重大關(guān)聯(lián)的，保險機構(gòu)信息化治理與規(guī)劃、業(yè)務(wù)、財務(wù)等核心系統(tǒng)和重要數(shù)據(jù)信息及 其管理必須保持獨立完整應(yīng)當(dāng)優(yōu)先選擇購買相應(yīng)商業(yè)保險的外包服務(wù)提供商應(yīng)當(dāng)建立評估考核機制， 定期對外包服務(wù)提供商的財務(wù)狀況、技術(shù)實力、安全資質(zhì)、風(fēng)險控制水平和誠信記錄等進行審查、評估與考 核5安全保障 與風(fēng)險控 制加強信息安全與信息系統(tǒng)的同步規(guī)劃和同步建設(shè)，構(gòu) 建完善的信息安全保障體系按照“誰主管、誰負(fù)責(zé)，

8、誰運營、誰負(fù)責(zé)，誰使用、 誰負(fù)責(zé)”的原則，明確信息安全各相關(guān)方的責(zé)任 建立健全信息安全監(jiān)控體系和報告機制 對信息系統(tǒng)進行安全等級劃分，按照安全等級實施信 息系統(tǒng)安全等級保護信息安 全管理將信息安全置于信息化工作的首位，按照“積極防御、綜合防范”的原則，加強信息安全與信息系統(tǒng)的同步規(guī)劃、同步建設(shè)和同步使用應(yīng)當(dāng)按照“誰主管、誰負(fù)責(zé)，誰運營、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)” 的原則，明確信息安全責(zé)任法疋代表人對本機構(gòu)信息安全承擔(dān)首要責(zé)任，首席信息官、信息化工作委員會主任對本機構(gòu)信息安全承擔(dān)主要責(zé)任制訂重要數(shù)據(jù)的備份制度和策略建立信息系統(tǒng)重大突發(fā)事件的應(yīng)急處理機制，制定應(yīng) 急預(yù)案建立外聯(lián)網(wǎng)絡(luò)接入標(biāo)準(zhǔn)和安全規(guī)范

9、，明確審批機制、 風(fēng)險評估機制及對應(yīng)的風(fēng)險控制措施加強信息化工作外包服務(wù)管理應(yīng)當(dāng)在信息技術(shù)部門設(shè)置專門安全機構(gòu)，并配備專職人員應(yīng)當(dāng)建立完善的信息安全分類和保護制度體系，明確系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等崗位職責(zé)、管理權(quán)限和技能要求應(yīng)當(dāng)構(gòu)建完善的信息安全風(fēng)險控制策略 應(yīng)當(dāng)優(yōu)先采購安全可控的硬件設(shè)備和軟件產(chǎn)品，穩(wěn)步推進安全可控產(chǎn)品應(yīng)用；積極創(chuàng)造條件，提高關(guān)鍵業(yè)務(wù)系統(tǒng)的自主研發(fā)水平 應(yīng)當(dāng)嚴(yán)格按照國家金融領(lǐng)域密碼應(yīng)用工作規(guī)劃和實施要求，逐步實現(xiàn)國產(chǎn)密碼在電子保單及保險領(lǐng)域的全面應(yīng)用 應(yīng)當(dāng)切實提高軟件正版化意識和自主產(chǎn)權(quán)保護意識 應(yīng)當(dāng)按照國家和中國保監(jiān)會信息系統(tǒng)安全規(guī)范、技術(shù)標(biāo)準(zhǔn)及等級保護管理要求，進行

10、定級、保護、備案、測評和整改 需要申請信息安全管理體系認(rèn)證的，應(yīng)當(dāng)按照國家有關(guān)規(guī)定及中國保監(jiān)會要求，選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)的機構(gòu)進行認(rèn)證 應(yīng)當(dāng)制定數(shù)據(jù)管理相關(guān)制度和流程，規(guī)范數(shù)據(jù)采集、傳輸、存儲、 交換、備份、恢復(fù)和銷毀等環(huán)節(jié)應(yīng)當(dāng)根據(jù)安全管理有關(guān)規(guī)定對計算機、移動設(shè)備等各類終端分別制定安全管理制度要建立軟硬件和數(shù)據(jù)資源等信息化資產(chǎn)管理制度，編制資產(chǎn)清單， 明確資產(chǎn)管理責(zé)任部門與人員制疋介質(zhì)分類管理制度，根據(jù)介質(zhì)存儲內(nèi)容與重要性明確存儲介質(zhì) 類型、存放技術(shù)指標(biāo)、保存期限等應(yīng)當(dāng)加強信息系統(tǒng)災(zāi)難恢復(fù)管理，制定業(yè)務(wù)連續(xù)性規(guī)劃， 并定期進行演練應(yīng)當(dāng)針對可能發(fā)生的信息安全重大突發(fā)事件，建立和完善

11、分類應(yīng)急管理體系主動跟蹤研究應(yīng)用新興信息技術(shù)，在推進業(yè)務(wù)創(chuàng)新的冋時， 提高信息安全防護能力6發(fā)展環(huán)境結(jié)合信息化工作規(guī)劃實施的需要，制定信息化工作經(jīng) 費預(yù)算根據(jù)自身實際并結(jié)合信息化工作的特點，合理配備信 息技術(shù)人員，制定并實施有利于公司可持續(xù)發(fā)展的信 息化人力資源政策積極探索、建立并實施信息化工作投入產(chǎn)出的評價體 系加強信息化工作相關(guān)研究，建立創(chuàng)新激勵機制，鼓勵 科技創(chuàng)新將全體員工信息化培訓(xùn)列入培訓(xùn)計劃根據(jù)履行職責(zé)的需要，每年開展信息技術(shù)人員的專業(yè) 技能培訓(xùn)和業(yè)務(wù)培訓(xùn)積極參與行業(yè)信息技術(shù)交流活動支持行業(yè)信息標(biāo)準(zhǔn)化工作內(nèi)部審 計應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，對相關(guān)信息系統(tǒng)及其控制的 適當(dāng)性、合

12、規(guī)性和有效性進行獨立于本機構(gòu)日?；顒拥膶徲?應(yīng)當(dāng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息技術(shù)應(yīng)用情況，以及信 息技術(shù)風(fēng)險評估結(jié)果，決定信息化工作內(nèi)部審計的范圍和頻率 進行重要信息系統(tǒng)建設(shè)時應(yīng)當(dāng)要求內(nèi)部審計部門參與監(jiān)督7審計與備案建立信息化工作的風(fēng)險評估機制和信息系統(tǒng)審計制度 應(yīng)于每年第一季度向保監(jiān)會報送信息化工作報告 應(yīng)按監(jiān)管部門有關(guān)要求及時向保監(jiān)會報告信息化工作 重大事項外部審計應(yīng)當(dāng)根據(jù)法律、行政法規(guī)和中國保監(jiān)會要求，定期委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)進行信息化工作外部審計在委托審計過程中，保險機構(gòu)應(yīng)當(dāng)確保外部審計機構(gòu)能夠?qū)Ρ緳C構(gòu) 的硬件、軟件、文檔和數(shù)據(jù)進行檢查，以發(fā)現(xiàn)信息系統(tǒng)存在的風(fēng)險 至少應(yīng)

13、當(dāng)每兩年進行一次外部審計實施外部審計前應(yīng)當(dāng)與外部審計機構(gòu)進行充分溝通，詳細(xì)確定審計范圍，不得隱瞞事實或者阻撓審計委托外部審計機構(gòu)進行外部審計時，應(yīng)當(dāng)與其簽訂保密協(xié)議8監(jiān)督管理中國保監(jiān)會對保險機構(gòu)信息系統(tǒng)實行分類、分級監(jiān)督管理中國保監(jiān)會依法組織制定和推動執(zhí)行保險業(yè)信息化標(biāo)準(zhǔn)，并根據(jù)保險業(yè)信息化風(fēng)險狀況，對保險機構(gòu)進行信息化風(fēng)險提示保險機構(gòu)設(shè)立時信息化建設(shè)應(yīng)當(dāng)達(dá)到中國保監(jiān)會規(guī)定的準(zhǔn)入標(biāo)準(zhǔn) 和要求，且經(jīng)過驗收后方可對外營業(yè)保險機構(gòu)應(yīng)當(dāng)按中國保監(jiān)會要求定期報送信息化風(fēng)險管理報表以 及不定期報送專項臨時報表中國保監(jiān)會根據(jù)保險業(yè)信息化總體安全狀況、保險機構(gòu)信息化反映出的突出問題，可以組織現(xiàn)場檢查中國保監(jiān)會認(rèn)為必要時可指定具備相應(yīng)資質(zhì)的外部審計機構(gòu)對保 險機構(gòu)信息化工作進行審計保險機構(gòu)內(nèi)部審計、外部審計應(yīng)當(dāng)按照中國保監(jiān)會頒布的信息化審 計規(guī)范標(biāo)準(zhǔn)和要求進行中國保監(jiān)會在對保險機構(gòu)信息安全進行檢查時，可以委托具有相應(yīng)資質(zhì)的信息安全監(jiān)測機構(gòu)進行有針對性的風(fēng)險滲透測試對涉及信息化外包服務(wù)提供商信息安全監(jiān)管的有關(guān)