保險(xiǎn)公司信息化工作管理標(biāo)準(zhǔn)規(guī)定

附件：保險(xiǎn)企業(yè)信息化工作管理要求一、總則第一條[制訂目標(biāo)]為加強(qiáng)保險(xiǎn)企業(yè)信息化工作管理，促進(jìn)信息化工作規(guī)范化和標(biāo)準(zhǔn)化建設(shè)，提升保險(xiǎn)業(yè)信息化工作水平，依據(jù)《中國保險(xiǎn)法》及國家相關(guān)法律法規(guī)，制訂本要求。第二條[適用范圍]本要求適適用于在中國境內(nèi)依法設(shè)置保險(xiǎn)企業(yè)和保險(xiǎn)資產(chǎn)管理企業(yè)，以下統(tǒng)稱保險(xiǎn)企業(yè)。第三條[名詞解釋]本要求所稱信息化工作，是指計(jì)算機(jī)、通信、網(wǎng)絡(luò)等現(xiàn)代信息技術(shù)在保險(xiǎn)企業(yè)業(yè)務(wù)處理、經(jīng)營管理等方面應(yīng)用，包含對(duì)應(yīng)信息化組織架構(gòu)建立、制度建設(shè)，和基礎(chǔ)環(huán)境建設(shè)等工作。第四條[基礎(chǔ)要求]各企業(yè)應(yīng)把信息化工作納入企業(yè)全方面發(fā)展框架進(jìn)行統(tǒng)籌考慮，建立有效信息化治理機(jī)制，明確信息化工作決議權(quán)歸屬，實(shí)現(xiàn)信息資源合理利用，確保信息化工作和業(yè)務(wù)發(fā)展目標(biāo)一致；加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理，確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行。實(shí)現(xiàn)信息化工作集中管理保險(xiǎn)集團(tuán)（控股）企業(yè)，能夠集團(tuán)（控股）企業(yè)為單位對(duì)信息化工作統(tǒng)籌計(jì)劃實(shí)施。第五條[監(jiān)督管理]中國保監(jiān)會(huì)依法對(duì)保險(xiǎn)企業(yè)信息化管理工作實(shí)施監(jiān)督管理。二、組織管理和計(jì)劃第六條[責(zé)任主體]各企業(yè)是信息化工作計(jì)劃、建設(shè)、管理和安全責(zé)任主體。企業(yè)法定代表人或關(guān)鍵責(zé)任人對(duì)此負(fù)有最終責(zé)任。第七條[決議機(jī)構(gòu)]各企業(yè)應(yīng)建立信息化工作委員會(huì)，明確其工作職責(zé)和工作制度。定時(shí)或依據(jù)需要召開工作會(huì)議，對(duì)信息化工作重大事項(xiàng)決議研判，并提交企業(yè)最高決議層同意實(shí)施。第八條[決議機(jī)構(gòu)組成]信息化工作委員會(huì)責(zé)任人應(yīng)由企業(yè)級(jí)高級(jí)管理人員擔(dān)任，組成人員應(yīng)包含信息技術(shù)、業(yè)務(wù)、財(cái)務(wù)、人事、發(fā)展計(jì)劃和風(fēng)險(xiǎn)控制等部門責(zé)任人。有條件企業(yè)可聘用外部教授參與。信息化工作委員會(huì)應(yīng)下設(shè)辦公室，負(fù)責(zé)落實(shí)和協(xié)調(diào)信息化工作委員會(huì)具體事宜。辦公室標(biāo)準(zhǔn)上應(yīng)設(shè)置在信息技術(shù)部門。第九條[首席信息官]各企業(yè)應(yīng)設(shè)置首席信息官或指定企業(yè)級(jí)高級(jí)管理人員作為信息化工作直接責(zé)任人。直接責(zé)任人應(yīng)負(fù)責(zé)企業(yè)信息化建設(shè)工作，并參與企業(yè)經(jīng)營、管理和決議，其任職條件應(yīng)符合監(jiān)管部門要求。第十條[責(zé)任部門]

各企業(yè)應(yīng)建立組織結(jié)構(gòu)合理、人員崗位分工明確信息技術(shù)部門。信息技術(shù)部門負(fù)責(zé)信息化工作相關(guān)計(jì)劃、建設(shè)、管理和運(yùn)維等工作。信息技術(shù)從業(yè)人員應(yīng)含有符合崗位需求專業(yè)技術(shù)能力和職業(yè)操守。第十一條[明確職責(zé)]各企業(yè)應(yīng)結(jié)合信息化工作特點(diǎn)和內(nèi)部控制要求，明確信息化工作中各相關(guān)部門及各級(jí)分支機(jī)構(gòu)職責(zé)，加強(qiáng)對(duì)分支機(jī)構(gòu)信息化工作指導(dǎo)和管理，將信息化工作相關(guān)權(quán)利和責(zé)任落實(shí)到位。第十二條[制度建設(shè)]各企業(yè)應(yīng)制訂明確信息化工作制度、標(biāo)準(zhǔn)和操作步驟，定時(shí)或依據(jù)需要立即進(jìn)行更新、公布。第十三條[計(jì)劃制訂]各企業(yè)應(yīng)依據(jù)企業(yè)業(yè)務(wù)發(fā)展戰(zhàn)略，制訂明確中長久網(wǎng)絡(luò)安全和信息化計(jì)劃。計(jì)劃應(yīng)含有開放性和前瞻性，符合企業(yè)經(jīng)營管理需要，并確保信息化建設(shè)穩(wěn)定性和延續(xù)性。計(jì)劃應(yīng)經(jīng)過信息化工作委員會(huì)審批，并提交企業(yè)最高決議層同意實(shí)施。第十四條[計(jì)劃修訂]各企業(yè)應(yīng)建立網(wǎng)絡(luò)安全和信息化計(jì)劃定時(shí)審查、評(píng)定和修訂機(jī)制，計(jì)劃審查、評(píng)定工作最少每十二個(gè)月一次，修訂后計(jì)劃應(yīng)經(jīng)信息化工作委員會(huì)審批，并提交企業(yè)最高決議層同意實(shí)施。三、基礎(chǔ)環(huán)境和信息系統(tǒng)建設(shè)第十五條[信息標(biāo)準(zhǔn)]各企業(yè)信息化建設(shè)、管理及信息化工作中包含數(shù)據(jù)信息,應(yīng)符合國家及行業(yè)相關(guān)規(guī)范、標(biāo)準(zhǔn)和監(jiān)管部門要求。第十六條[集中管控]各企業(yè)應(yīng)實(shí)現(xiàn)數(shù)據(jù)信息集中管控，建立健全數(shù)據(jù)管理有效機(jī)制，提升數(shù)據(jù)資產(chǎn)價(jià)值利用能力和水平。第十七條[集團(tuán)企業(yè)]各保險(xiǎn)集團(tuán)（控股）企業(yè)可依據(jù)業(yè)務(wù)管理、風(fēng)險(xiǎn)管控等需要，對(duì)下屬各子企業(yè)信息化建設(shè)統(tǒng)籌協(xié)調(diào)管理，提升信息資源利用率。實(shí)現(xiàn)信息化工作集中管理保險(xiǎn)集團(tuán)（控股）企業(yè)，應(yīng)確保集團(tuán)內(nèi)各法人機(jī)構(gòu)之間信息系統(tǒng)及相關(guān)硬件、網(wǎng)絡(luò)等有效安全隔離，并符合國家及監(jiān)管部門相關(guān)要求。第十八條[基礎(chǔ)設(shè)施]各企業(yè)應(yīng)根據(jù)有效性、可用性和安全性標(biāo)準(zhǔn)，對(duì)信息化基礎(chǔ)設(shè)施和信息系統(tǒng)功效、性能和安全保障等方面做出要求并按要求實(shí)施，最少確保滿足企業(yè)未來兩年業(yè)務(wù)發(fā)展要求。第十九條[數(shù)據(jù)中心]各企業(yè)應(yīng)依據(jù)信息化發(fā)展需要，建設(shè)對(duì)應(yīng)計(jì)算機(jī)中心機(jī)房和災(zāi)備機(jī)房，自建、共建或租用第三方機(jī)房建設(shè)均應(yīng)符合國家相關(guān)規(guī)范標(biāo)準(zhǔn)和監(jiān)管部門要求。第二十條[系統(tǒng)建設(shè)]各企業(yè)應(yīng)全方面梳理企業(yè)經(jīng)營管理步驟，建立和經(jīng)營管理相適應(yīng)信息系統(tǒng)，加強(qiáng)信息系統(tǒng)間集成和整合，實(shí)現(xiàn)財(cái)務(wù)、業(yè)務(wù)等關(guān)鍵系統(tǒng)無縫對(duì)接，提升系統(tǒng)協(xié)同工作水平。激勵(lì)有條件企業(yè)開展業(yè)務(wù)系統(tǒng)自主研發(fā)。第二十一條[系統(tǒng)對(duì)接]各企業(yè)信息系統(tǒng)應(yīng)滿足保險(xiǎn)監(jiān)管機(jī)構(gòu)數(shù)據(jù)采集要求，確保上報(bào)數(shù)據(jù)立即性、正確性、完整性。第二十二條[內(nèi)控信息化]各企業(yè)應(yīng)利用信息技術(shù)加強(qiáng)內(nèi)部控制和合規(guī)建設(shè)，促進(jìn)內(nèi)部控制步驟和信息系統(tǒng)有機(jī)結(jié)合，實(shí)現(xiàn)對(duì)各項(xiàng)業(yè)務(wù)和事項(xiàng)自動(dòng)控制，降低人為操控原因。第二十三條[上線和測(cè)試]新開發(fā)系統(tǒng)或經(jīng)過重大改造系統(tǒng)在上線運(yùn)行前，應(yīng)對(duì)功效和性能進(jìn)行嚴(yán)格測(cè)試，并經(jīng)過安全評(píng)測(cè)。經(jīng)過通常性改造系統(tǒng)在上線運(yùn)行前應(yīng)遵照審慎標(biāo)準(zhǔn)，做好相關(guān)測(cè)試工作。第二十四條[知識(shí)產(chǎn)權(quán)]各企業(yè)應(yīng)加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)工作，嚴(yán)禁侵權(quán)盜版。激勵(lì)研發(fā)含有自主知識(shí)產(chǎn)權(quán)信息產(chǎn)品，并采取有效方法保護(hù)企業(yè)信息化工作結(jié)果。第二十五條[自主可控]激勵(lì)優(yōu)先采購自主可控硬件設(shè)備和軟件產(chǎn)品，增加對(duì)自主可控設(shè)備和產(chǎn)品容忍度，主動(dòng)發(fā)明條件，經(jīng)過制訂計(jì)劃、完善機(jī)制、推進(jìn)應(yīng)用、宣傳經(jīng)典等方法，推進(jìn)網(wǎng)絡(luò)和信息設(shè)備自主可控能力不停提升。四、安全保障和風(fēng)險(xiǎn)控制第二十六條[安全建設(shè)標(biāo)準(zhǔn)]各企業(yè)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全和信息化同時(shí)計(jì)劃和同時(shí)建設(shè)，構(gòu)建完善信息安全保障體系。充足利用管理機(jī)制和技術(shù)手段，強(qiáng)化網(wǎng)絡(luò)和信息安全防護(hù)能力，提升防護(hù)水平，確保關(guān)鍵信息可用、保密、完整及真實(shí)，保障業(yè)務(wù)活動(dòng)連續(xù)性。第二十七條[安全責(zé)任制]各企業(yè)應(yīng)根據(jù)“誰主管、誰負(fù)責(zé)，誰運(yùn)行、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”標(biāo)準(zhǔn)，明確信息安全各相關(guān)方責(zé)任，加強(qiáng)人員管理，強(qiáng)化信息安全意識(shí)，全方面落實(shí)信息安全管理責(zé)任制。第二十八條[安全監(jiān)控]各企業(yè)應(yīng)建立健全信息安全監(jiān)控體系和匯報(bào)機(jī)制，明確風(fēng)險(xiǎn)預(yù)警標(biāo)準(zhǔn)，加強(qiáng)信息安全監(jiān)控和預(yù)警，提升風(fēng)險(xiǎn)防范處理能力。第二十九條[等級(jí)保護(hù)]各企業(yè)應(yīng)根據(jù)國家相關(guān)要求和監(jiān)管要求，對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)劃分，根據(jù)安全等級(jí)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)。第三十條[數(shù)據(jù)安全]各企業(yè)應(yīng)制訂關(guān)鍵數(shù)據(jù)備份制度和策略，實(shí)施有效數(shù)據(jù)備份方法，并根據(jù)監(jiān)管部門相關(guān)要求，推進(jìn)信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)工作。第三十一條[國產(chǎn)密碼]各企業(yè)應(yīng)根據(jù)國家金融領(lǐng)域密碼應(yīng)用工作要求，扎實(shí)推進(jìn)保險(xiǎn)業(yè)信息系統(tǒng)國產(chǎn)密碼應(yīng)用工作。第三十二條[應(yīng)急處理]各企業(yè)應(yīng)針對(duì)可能發(fā)生信息系統(tǒng)重大突發(fā)事件，制訂應(yīng)急預(yù)案，建立完善應(yīng)急管理體系、應(yīng)急技術(shù)平臺(tái)和應(yīng)急協(xié)調(diào)機(jī)制，主動(dòng)主動(dòng)進(jìn)行壓力測(cè)試。應(yīng)急預(yù)案要明確開啟機(jī)制、責(zé)任人員、處理步驟、具體方案和外部資源，并依據(jù)工作實(shí)際進(jìn)行動(dòng)態(tài)調(diào)整和定時(shí)應(yīng)急演練，采取對(duì)應(yīng)方法，確保應(yīng)急預(yù)案可操作性，把風(fēng)險(xiǎn)隱患可能造成損失降到最低。第三十三條[互聯(lián)網(wǎng)安全]各企業(yè)應(yīng)建立外聯(lián)網(wǎng)絡(luò)接入標(biāo)準(zhǔn)和安全規(guī)范，明確審批機(jī)制、風(fēng)險(xiǎn)評(píng)定機(jī)制及對(duì)應(yīng)風(fēng)險(xiǎn)控制方法，加強(qiáng)外聯(lián)網(wǎng)絡(luò)接入管理。對(duì)門戶網(wǎng)站、互聯(lián)網(wǎng)保險(xiǎn)系統(tǒng)等和廣大互聯(lián)網(wǎng)消費(fèi)者親密相關(guān)信息系統(tǒng)進(jìn)行統(tǒng)一計(jì)劃、統(tǒng)一管理，采取必需技術(shù)手段和管理方法確保對(duì)應(yīng)信息系統(tǒng)安全。第三十四條[外包管理]各企業(yè)應(yīng)加強(qiáng)信息化工作外包服務(wù)管理，不得將信息化管理責(zé)任外包。應(yīng)根據(jù)監(jiān)管部門要求，結(jié)合外包服務(wù)實(shí)際需要，制訂外包服務(wù)基礎(chǔ)規(guī)范，確保對(duì)信息系統(tǒng)安全控制能力。五、發(fā)展環(huán)境第三十五條[經(jīng)費(fèi)預(yù)算]各企業(yè)應(yīng)結(jié)合信息化工作計(jì)劃實(shí)施需要，制訂信息化工作經(jīng)費(fèi)預(yù)算，并保障信息化工作經(jīng)費(fèi)預(yù)算實(shí)施，確保信息化建設(shè)正常有效開展。第三十六條[人力發(fā)展]各企業(yè)應(yīng)依據(jù)本身實(shí)際并結(jié)合信息化工作特點(diǎn)，合理配置信息技術(shù)人員，制訂并實(shí)施有利于企業(yè)可連續(xù)發(fā)展信息化人力資源政策，激勵(lì)建立信息技術(shù)專業(yè)職級(jí)體系，健全信息技術(shù)專業(yè)人才激勵(lì)機(jī)制，。第三十七條[評(píng)價(jià)體系]各企業(yè)應(yīng)主動(dòng)探索、建立并實(shí)施信息化工作投入產(chǎn)出評(píng)價(jià)體系，完善信息化工作績效考評(píng)機(jī)制。第三十八條[科技創(chuàng)新]各企業(yè)應(yīng)加強(qiáng)信息化工作相關(guān)研究，建立創(chuàng)新激勵(lì)機(jī)制，有條件企業(yè)可探索建立科技創(chuàng)新基金。激勵(lì)充足利用云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)推進(jìn)業(yè)務(wù)創(chuàng)新，控制業(yè)務(wù)風(fēng)險(xiǎn)，實(shí)現(xiàn)結(jié)構(gòu)升級(jí)和業(yè)務(wù)轉(zhuǎn)型，同時(shí)注意防范和控制新信息技術(shù)應(yīng)用帶來新風(fēng)險(xiǎn)。第三十九條[全員培訓(xùn)]各企業(yè)應(yīng)將全體職員信息化培訓(xùn)列入培訓(xùn)計(jì)劃，培訓(xùn)最少每兩年一次。新職員上崗前，應(yīng)經(jīng)過信息化相關(guān)培訓(xùn)和考評(píng)。各企業(yè)應(yīng)依據(jù)推行職責(zé)需要，每十二個(gè)月開展信息技術(shù)人員專業(yè)技能培訓(xùn)和業(yè)務(wù)培訓(xùn)。第四十條[宣傳交流]各企業(yè)應(yīng)主動(dòng)參與行業(yè)信息技術(shù)交流活動(dòng)，支持行業(yè)信息標(biāo)準(zhǔn)化工作，提升行業(yè)信息化工作水平。六、審計(jì)和立案第四十一條[獨(dú)立審計(jì)]各企業(yè)應(yīng)建立信息化工作風(fēng)險(xiǎn)評(píng)定機(jī)制和信息系統(tǒng)審計(jì)制度，由獨(dú)立于信息技術(shù)部門相關(guān)部門負(fù)責(zé)審計(jì)工作，最少每兩年進(jìn)行一次審計(jì)。審計(jì)結(jié)果應(yīng)在審計(jì)完成后三個(gè)月內(nèi)報(bào)保監(jiān)會(huì)立案。激勵(lì)企業(yè)在符合國家相關(guān)法律、法規(guī)和監(jiān)管要求情況下，聘用含有對(duì)應(yīng)資質(zhì)外部機(jī)構(gòu)進(jìn)行外部審計(jì)和風(fēng)險(xiǎn)評(píng)定。第四十二條[信息化匯報(bào)]各企業(yè)應(yīng)按要求定時(shí)報(bào)送保險(xiǎn)業(yè)信息科技風(fēng)險(xiǎn)監(jiān)管年度匯報(bào)、年度報(bào)表、季度報(bào)表和不定時(shí)報(bào)送臨時(shí)報(bào)表。第四十三條[重大事項(xiàng)匯報(bào)]各企業(yè)應(yīng)按監(jiān)管部門相關(guān)要求立即向保監(jiān)會(huì)匯報(bào)信息化工作重大事項(xiàng)。七、法律責(zé)任第四十四條[處罰條件]各企業(yè)不得有下列行為：（一）信息化建設(shè)存在重大安全隱患，并未根據(jù)要求進(jìn)行整改；（二）發(fā)生計(jì)算機(jī)系統(tǒng)重大突發(fā)性事件未立即向監(jiān)管機(jī)構(gòu)匯報(bào)，未采取方法或采取方法不力造成嚴(yán)重后果；（三）對(duì)保險(xiǎn)監(jiān)管機(jī)構(gòu)信息安全檢驗(yàn)中發(fā)覺嚴(yán)重信息安全隱患未采取方法進(jìn)行整改或整改不力；（四）拒絕或妨礙保險(xiǎn)監(jiān)管機(jī)構(gòu)