新旧保险机构信息化监管规定对比分析.docx

《保险公司信息化工作管理指引（试行）》保监发〔2009〕133号保险机构信息化监管规定(征求意见稿)2015.10主要条款主要条款1组织管理与规划应建立信息化工作委员会，下设办公室（原则上应设置在信息技术部门）信息化工作委员会负责人应由公司高级管理人员担任应设立首席信息官或指定公司高级管理人员作为信息化工作的直接责任人应建立组织结构合理、人员岗位分工明确的信息技术部门明确信息化工作中各相关部门及各级分支机构的职责应制定明确的信息化工作制度、标准和操作流程，制订明确的信息化工作规划建立信息化规划定期审查、评估和修订机制信息化治理明确有关信息化决策权归属机制和信息化责任承担机制保险机构董事会应当履行相关信息化工作管理职责应当设立由董事会直接领导管理下的信息化工作委员会当设立首席信息官。首席信息官直接对信息化工作委员会主任负责首席信息官应当由本机构董事会成员或者高级管理人员担任应当设立信息技术部门应当明确本机构内设部门及分支机构信息化工作职责应当建立信息化规划的制定、实施、评估和修订的工作机制应当制定明确的信息化工作制度，明确实施标准和操作流程应当在内部审计部门设立专门的信息化风险审计岗位根据自身总体业务规划和风险管控要求，可以对各子公司信息化工作实行集中管理2\\信息系统建设与运行维护应当根据本机构的总体业务发展战略和信息化风险管理策略，对信息系统建设与运行维护进行总体规划应当建立完善的信息系统管理组织，制定覆盖信息系统全生命周期的管理制度、技术标准和操作规范应当根据国家信息安全等级保护有关规定和所涉信息对机构经营管理的重要程度，合理确定信息系统的安全等级应当增强信息系统的自主研发能力信息系统的开发测试应当与生产管理严格分离信息系统正式上线运行前，应当对其功能、性能及安全性进行测试，核心系统原则上应当通过第三方测试机构测试；面向互联网应用的系统还应当通过第三方安全测试应当建立完善的信息系统运行维护管理流程信息系统变更和数据迁移时，应当制定合理的技术方案，充分测试，做好备份，保证信息系统及数据安全应当按照下列要求建立健全信息系统备份及灾难恢复、防病毒、密码管理、入侵检测、审计等安全管理机制应当按照下列要求加强对门户网站、社交网络公众账号等互联网应用系统的管理重要信息系统有关资料和信息系统的重要信息应当按照中国保监会要求备案3基础环境与信息系统建设信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求应实现数据信息集中管控，建立健全数据管理的有效机制对下属各子公司信息化建设统筹协调管理，提高信息资源的利用率对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施建设相应的计算机中心机房和灾备机房应全面梳理公司经营管理流程，建立与经营管理相适应的信息系统应运用信息技术加强内部控制与合规建设新开发的系统或经过重大改造的系统在上线运行前，应对功能与性能进行严格测试，并通过安全评测加强知识产权保护工作基础设施建设与保障应当以本机构业务总体规划为根本,围绕数据资产的管理和应用,科学规划数据中心的总体架构和实施路线。数据中心规划应当报中国保监会备案保险机构在筹备时，应当按照中国保监会规定的信息化建设准入标准设立生产中心可以采取自建、共建、外包的方式设立数据中心指定专门机构和专业队伍负责数据中心运营与管理，明确数据中心各岗位人员职责应当建立健全并严格执行数据中心管理制度、技术规范、操作指南应当设置安全工作机构，加强人员安全、物理环境安全、设备资产安全、操作安全、运行维护安全、链路安全、网络安全及应用安全等方面的安全管理应当对信息化基础设施实施有效监控网络资源应当满足高性能、高可用性、高安全性、可扩展性等要求保险机构内部网络与保险中介机构、第三方机构等外联单位网络连接时，应当明确网络外联种类方式，采用可靠连接策略及技术手段，实现彼此有效隔离4\\外包管理实行信息化工作外包，应当制定完备的外包服务管理制度和风险评估机制，确保有效应对和处置外包风险应当根据涉及信息资产的关键性和敏感程度，审慎确定外包服务范围。信息系统安全管理责任不得外包应当根据不同的外包业务要求，优先选用具备信息安全管理体系认证资质的信息技术服务机构提供外包服务外包服务合同应当包括外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或者终止的过渡安排、违约责任等条款严格控制外包服务提供商的转包和分包行为加强外包服务提供商及其服务人员的管理保险机构信息化建设和管理与其非保险类股东有重大关联的，保险机构信息化治理与规划、业务、财务等核心系统和重要数据信息及其管理必须保持独立完整应当优先选择购买相应商业保险的外包服务提供商应当建立评估考核机制，定期对外包服务提供商的财务状况、技术实力、安全资质、风险控制水平和诚信记录等