保險(xiǎn)公司信息系統(tǒng)相關(guān)的操作風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)

1、附件8：保險(xiǎn)公司信息系統(tǒng)相評(píng)價(jià)項(xiàng)目評(píng)價(jià)指標(biāo)評(píng)價(jià)點(diǎn)分值(一)信息化治理(本項(xiàng)目采取百分制，最后綜合得分X15%，為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)信息化目標(biāo)與規(guī)劃(10分)(1)工作目標(biāo)與規(guī)劃制定5(2)規(guī)劃實(shí)施與定期評(píng)估5信息化治理架構(gòu)(40分)(1)董事會(huì)職責(zé)8(2)信息化工作委員會(huì)8(3)首席信息官8(4)信息技術(shù)部門8(5)信息化人員配備8信息化發(fā)展環(huán)境(50分)(1)信息化水平10(2)信息化工作經(jīng)費(fèi)10(3)信息化工作考核10(4)信息技術(shù)能力10(5)信息化人力資源規(guī)劃與培訓(xùn)10(二)信息化風(fēng)險(xiǎn)管理(本項(xiàng)目采用百分制，最后綜合得分x15%，為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)信息化風(fēng)險(xiǎn)管理制度(

2、20分)(1)風(fēng)險(xiǎn)管理制度體系20信息化風(fēng)險(xiǎn)識(shí)別與控制(40分)(1)技術(shù)風(fēng)險(xiǎn)8(2)合規(guī)風(fēng)險(xiǎn)8(3)聲譽(yù)風(fēng)險(xiǎn)8(4)知識(shí)產(chǎn)權(quán)8(5)風(fēng)險(xiǎn)提示與發(fā)布8信息化風(fēng)險(xiǎn)內(nèi)控(40分)(1)風(fēng)險(xiǎn)管理策略檢查8(2)風(fēng)險(xiǎn)評(píng)估8(3)風(fēng)險(xiǎn)處置8(4)與風(fēng)險(xiǎn)管理部門溝通8(5)風(fēng)險(xiǎn)監(jiān)測(cè)和計(jì)量機(jī)制8(三)信息安全(本項(xiàng)目采用百分制，最后綜合得分x20%,為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)信息安全等級(jí)保護(hù)機(jī)制(10分)(1)定級(jí)備案5(2)測(cè)評(píng)整改5物理安全(10分)(1)機(jī)房設(shè)施5(2)訪問控制5網(wǎng)絡(luò)安全(15分)(1)網(wǎng)絡(luò)結(jié)構(gòu)5(2)網(wǎng)絡(luò)防護(hù)5(3)網(wǎng)絡(luò)安全審計(jì)5主機(jī)安全(15分)(1)主機(jī)安全防護(hù)10(2)主機(jī)安

3、全審計(jì)5應(yīng)用安全(10分)(1)應(yīng)用安全防護(hù)5(2)應(yīng)用安全審計(jì)5數(shù)據(jù)安全(15分)(1)數(shù)據(jù)安全防護(hù)10(2)數(shù)據(jù)管理與使用3(3)重要數(shù)據(jù)安全審計(jì)2密碼與算法(10分)(1)國產(chǎn)密碼算法10安全評(píng)估與自查(10分)(1)對(duì)外部安全風(fēng)險(xiǎn)態(tài)勢(shì)和事件的響應(yīng)4(2)信息安全控制措施執(zhí)行情況的檢查6信息安全培訓(xùn)(5分)(1)信息安全培訓(xùn)5項(xiàng)目管理(50分)(1)項(xiàng)目管理制度10(2)項(xiàng)目風(fēng)險(xiǎn)評(píng)估20項(xiàng)目管理(50分)(四)信息系統(tǒng)開發(fā)與測(cè)試(本項(xiàng)目采用百分制，最后綜合得分x10%，為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)(3)項(xiàng)目風(fēng)險(xiǎn)控制15(4)項(xiàng)目群管理5開發(fā)管理(20分)(1)需求和技術(shù)架構(gòu)管理4(2)開

4、發(fā)質(zhì)量保證3(3)開發(fā)、測(cè)試、生產(chǎn)環(huán)境相互分離5(4)開發(fā)過程檢查8測(cè)試管理(20分)(1)測(cè)試的充分性4(2)測(cè)試的獨(dú)立性4(3)功能測(cè)試4(4)非功能測(cè)試4(5)安全性測(cè)試4驗(yàn)收和發(fā)布管理(10分)(1)系統(tǒng)測(cè)試驗(yàn)收2(2)系統(tǒng)版本交付物完整性驗(yàn)收2(3)試運(yùn)行3(4)發(fā)布管理3(五)信息系統(tǒng)運(yùn)行(本項(xiàng)目采取百分制，最后綜合得分x18%，為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)系統(tǒng)管理(20分)(1)系統(tǒng)賬戶管理5(2)系統(tǒng)性能監(jiān)控5(3)日志管理與分析5(4)運(yùn)行報(bào)告5配置與變更管理(20分)(1)信息系統(tǒng)配置管理10(2)信息系統(tǒng)變更管理10事件管理(15分)(1)服務(wù)臺(tái)管理5(2)事件與問題管理

5、10基礎(chǔ)設(shè)施運(yùn)行管理(15分)(1)物理環(huán)境運(yùn)行管理5(2)網(wǎng)絡(luò)運(yùn)行管理5(3)設(shè)備與介質(zhì)管理5可用性管理(15分)(1)信息系統(tǒng)備份恢復(fù)管理5(2)信息系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)排查5(3)單點(diǎn)故障的排查5運(yùn)行維護(hù)管理平臺(tái)(15分)(1)運(yùn)行維護(hù)管理平臺(tái)15(六)災(zāi)難恢復(fù)(本項(xiàng)目采取百分制，最后綜合得分x7%,為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)需求分析和策略制走(20)(1)需求分析和風(fēng)險(xiǎn)分析5(2)災(zāi)難恢復(fù)范圍5(3)災(zāi)難恢復(fù)目標(biāo)5(4)災(zāi)難恢復(fù)策略5災(zāi)難恢復(fù)建設(shè)模式選擇與備案(10分)(1)災(zāi)難恢復(fù)建設(shè)模式5(2)災(zāi)備中心設(shè)立備案5災(zāi)備中心建設(shè)(20分)(1)災(zāi)備中心選址5(2)災(zāi)備中心基礎(chǔ)設(shè)施5(3)災(zāi)

6、備系統(tǒng)技術(shù)方案10災(zāi)備中心運(yùn)維(20分)(1)運(yùn)維制度與流程5(2)運(yùn)維隊(duì)伍5(3)檢測(cè)維護(hù)5(4)監(jiān)控5災(zāi)難恢復(fù)預(yù)案建立與演練(20分)(1)災(zāi)難恢復(fù)預(yù)案6(2)預(yù)案演練10(3)預(yù)案維護(hù)4應(yīng)急響應(yīng)和災(zāi)難恢復(fù)(10分)(1)應(yīng)急機(jī)制的建立4(2)信息系統(tǒng)重建方案222應(yīng)急響應(yīng)和災(zāi)難恢復(fù)(10分)災(zāi)難恢復(fù)總結(jié)第三方應(yīng)急管理(1)信息技術(shù)外包事項(xiàng)10信息技術(shù)安全可控能力(20分)(2)信息產(chǎn)品安全可控程度10(七)外包與采購管理(本項(xiàng)目采取百分制，最后綜合得分x5%，為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)外包與采購管理制度外包與采購過程2010外包與采購服務(wù)(50分)(3)外包服務(wù)商考核評(píng)估10外包軟件開

7、發(fā)(30分)(4)外包服務(wù)商管理軟件質(zhì)量檢測(cè)源代碼審查開發(fā)文檔管理網(wǎng)絡(luò)接入地點(diǎn)1010101010技術(shù)資質(zhì)條件(20分)互聯(lián)網(wǎng)主管部門備案(八)互聯(lián)網(wǎng)保險(xiǎn)(本項(xiàng)目采取百分制，最后綜合得分x5%,為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)網(wǎng)站技術(shù)安全保障(60分)第三方平臺(tái)技術(shù)資質(zhì)條件客戶端安全交易認(rèn)證手段交易請(qǐng)求驗(yàn)證網(wǎng)絡(luò)安全防護(hù)定期風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)安全保護(hù)支付指令安全控制5510101051010內(nèi)容安全和風(fēng)險(xiǎn)提示(20分)審計(jì)組織與計(jì)劃(25分)第三方平臺(tái)網(wǎng)站技術(shù)安全保障或者60(九)信息技術(shù)審計(jì)(本項(xiàng)目采取百分制，最后綜合得分x5%，為該項(xiàng)監(jiān)管內(nèi)容的最終評(píng)分。)信息技術(shù)一般控制審計(jì)(20分)內(nèi)容管理客戶宣傳

8、和提示假冒網(wǎng)站管理審計(jì)部門信息技術(shù)審計(jì)制度信息技術(shù)審計(jì)計(jì)劃信息技術(shù)外部審計(jì)信息化規(guī)劃及其實(shí)施情況的審計(jì)信息安全審計(jì)對(duì)災(zāi)難恢復(fù)工作的審計(jì)1055564105105(十)扣分項(xiàng)目信息技術(shù)應(yīng)用控制審計(jì)(15分)信息技術(shù)審計(jì)報(bào)告與備案(10分)信息技術(shù)審計(jì)監(jiān)控與后續(xù)跟進(jìn)(30分)(1)信息技術(shù)應(yīng)用控制審計(jì)向管理層報(bào)告向保監(jiān)會(huì)備案審計(jì)結(jié)果反饋整改計(jì)劃落實(shí)整改跟蹤審計(jì)1528101010保險(xiǎn)機(jī)構(gòu)未按照保監(jiān)會(huì)要求通過信息化風(fēng)險(xiǎn)監(jiān)管系統(tǒng)報(bào)送信息化風(fēng)險(xiǎn)監(jiān)管報(bào)表數(shù)據(jù)，存在嚴(yán)重拒報(bào)、遲報(bào)、保險(xiǎn)機(jī)構(gòu)未按照保監(jiān)會(huì)要求通過中國保險(xiǎn)統(tǒng)計(jì)信息系統(tǒng)報(bào)送統(tǒng)計(jì)數(shù)據(jù)快報(bào)、月報(bào)、季報(bào)、半年報(bào)，存在拒報(bào)對(duì)于發(fā)生重大信息安全事件，未采取應(yīng)

9、急處理措施或者應(yīng)急處理不力，對(duì)保險(xiǎn)業(yè)造成重大損失或者不良影響在保監(jiān)會(huì)和相關(guān)信息安全監(jiān)管機(jī)構(gòu)檢查過程中發(fā)現(xiàn)重大風(fēng)險(xiǎn)的，扣減對(duì)應(yīng)評(píng)價(jià)指標(biāo)項(xiàng)的分值。拒絕或者妨礙保監(jiān)會(huì)依法進(jìn)行網(wǎng)絡(luò)安全與信息化工作進(jìn)行檢查監(jiān)督的，視情節(jié)嚴(yán)重程度扣減10-30分。系統(tǒng)相關(guān)的操作風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)評(píng)分標(biāo)準(zhǔn)根據(jù)業(yè)務(wù)發(fā)展目標(biāo)明確信息化目標(biāo)和規(guī)劃，3分；信息化規(guī)劃得到批準(zhǔn)，2分。根據(jù)信息化規(guī)劃開展工作，3分；每年進(jìn)行一次評(píng)估和審查，2分。董事會(huì)對(duì)信息化工作重大決策，4分；掌握公司主要的信息化工作情況，每年審閱信息化工作年度報(bào)告，4分。按照要求設(shè)立信息化工作委員會(huì)，4分；履行信息化工作委員會(huì)的各項(xiàng)職責(zé)，4分。設(shè)計(jì)首席信息官，4分；首席信

10、息官履行各項(xiàng)職責(zé)，4分。設(shè)立專職信息技術(shù)部門，4分；信息技術(shù)部門全面履行職責(zé)，4分。查看組織架構(gòu)崗位設(shè)置與崗位職責(zé)說明，4分；崗位分離和職責(zé)權(quán)限限制，4分。核心業(yè)務(wù)、財(cái)務(wù)、經(jīng)營管理信息化，5分；核心業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、經(jīng)營管理系統(tǒng)無縫對(duì)接，5分。預(yù)算能夠支撐信息化規(guī)劃，10分。建立了信息化工作評(píng)價(jià)體系，5分；開展了信息化工作評(píng)價(jià)。5分。具有專業(yè)的技術(shù)研究組織或者團(tuán)隊(duì)，或者結(jié)合業(yè)務(wù)自身需求積極引入新技術(shù)應(yīng)用：4分；通過國家/國際標(biāo)準(zhǔn)組織認(rèn)證：每通過一項(xiàng)得1分，最高3分；參加制定行業(yè)技術(shù)標(biāo)準(zhǔn):每參與一項(xiàng)得1分，最高3分。信息化人員比例合理，5分；培訓(xùn)考核，5分。具備規(guī)范的風(fēng)險(xiǎn)管理制度，覆蓋信息化主

11、要風(fēng)險(xiǎn)，8分；管理制度定期評(píng)審，4分；具備執(zhí)行層面的技術(shù)標(biāo)準(zhǔn)和操作流程，8分。建立信息技術(shù)風(fēng)險(xiǎn)識(shí)別機(jī)制，4分；建立了新技術(shù)、新產(chǎn)品的準(zhǔn)入機(jī)制，4分。本年度無違法違規(guī)行為，8分。建立了與信息技術(shù)有關(guān)的客戶投訴處理和調(diào)解的管理機(jī)制，4分；建立了與信息技術(shù)有關(guān)的聲譽(yù)危機(jī)應(yīng)對(duì)機(jī)制，4分。軟硬件產(chǎn)品均為正版化，4分；對(duì)自主研發(fā)的產(chǎn)品進(jìn)行知識(shí)產(chǎn)權(quán)保護(hù)，4分。建立了信息化風(fēng)險(xiǎn)提示與發(fā)布的管理制度，4分；對(duì)近期發(fā)生過的風(fēng)險(xiǎn)事件已經(jīng)按照保監(jiān)會(huì)相關(guān)規(guī)定要求進(jìn)行了排杳與報(bào)送，4分。建立了對(duì)信息化風(fēng)險(xiǎn)管理策略執(zhí)行情況的檢查機(jī)制，4分；具有信息化風(fēng)險(xiǎn)管理策略執(zhí)行情況的檢查記錄，4分。建立了風(fēng)險(xiǎn)評(píng)估制度，4分；每年至少開

12、展一次信息化風(fēng)險(xiǎn)評(píng)估:4分。建立了風(fēng)險(xiǎn)處置流程，4分；建立了風(fēng)險(xiǎn)管理持續(xù)改進(jìn)機(jī)制，4分。建立了與風(fēng)險(xiǎn)管理相關(guān)職能部門溝通的機(jī)制，4分；具有與風(fēng)險(xiǎn)管理相關(guān)職能部門進(jìn)行溝通的記錄，4分。建立了風(fēng)險(xiǎn)監(jiān)測(cè)和計(jì)量的方法，4分；有監(jiān)測(cè)和計(jì)量記錄，4分。對(duì)重要信息系統(tǒng)進(jìn)行定級(jí)并備案，5分。聘請(qǐng)具有資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)評(píng)并通過，5分。重要基礎(chǔ)設(shè)施建設(shè)應(yīng)符合國家電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范A級(jí)要求，具備完善的供電、訪問控制、防電磁、防雷、防水、防火、溫濕度控制等措施，并配備環(huán)境自動(dòng)監(jiān)控系統(tǒng)，5分。對(duì)物理區(qū)域進(jìn)行合理的劃分，2分；建立了物理安全訪問控制機(jī)制，3分。劃分合理的網(wǎng)絡(luò)區(qū)域，3分；具有網(wǎng)絡(luò)帶寬保障和設(shè)備、線路

13、冗余備份措施，2分。具有網(wǎng)絡(luò)邊界隔離措施，3分；具有網(wǎng)絡(luò)安全防范措施與設(shè)備，2分。具有網(wǎng)絡(luò)審計(jì)日志記錄，5分。具有主機(jī)安全防護(hù)措施，主要包括系統(tǒng)最小化安裝和補(bǔ)丁管理、身份鑒別、訪問控制、惡意代碼防范、資源控制等措施，5分；具有主機(jī)監(jiān)控措施，5分。具有審計(jì)日志記錄，5分。具有身份鑒別，訪問和資源控制，通信安全等措施，5分。重要系統(tǒng)具備安全審計(jì)功能，2分；具有審計(jì)記錄，3分。制定了數(shù)據(jù)安全管理相關(guān)制度和流程，對(duì)數(shù)據(jù)采集、傳輸、交換、存儲(chǔ)、備份、恢復(fù)和銷毀等環(huán)節(jié)提出了明確要求，4分；建立了重要數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)，3分；建立了重要數(shù)據(jù)使用審批流程，3分。具有重要數(shù)據(jù)使用與流轉(zhuǎn)的控制措施，3分。具有重要數(shù)

14、據(jù)安全審計(jì)機(jī)制與定期（至少每年一次）審計(jì)報(bào)告，2分。電子保單及保險(xiǎn)各領(lǐng)域應(yīng)用系統(tǒng)使用國產(chǎn)密碼算法和支持國產(chǎn)密碼算法的密碼設(shè)備產(chǎn)品。在華外資機(jī)構(gòu)按照法人為主、標(biāo)準(zhǔn)引導(dǎo)、自主選擇的原則開展國產(chǎn)密碼的應(yīng)用推廣工作。具有外部重大安全風(fēng)險(xiǎn)事件排杳記錄和應(yīng)對(duì)措施，4分。對(duì)安全策略、標(biāo)準(zhǔn)及制度的執(zhí)行進(jìn)行跟蹤和檢杳的記錄，6分。有定期（至少每年一次）全員信息化安全方面的培訓(xùn)制度，2分；有定期全員培訓(xùn)的記錄，3分。具有項(xiàng)目管理制度，5分；具有項(xiàng)目管理制度執(zhí)行記錄，5分。具有:項(xiàng)目需求風(fēng)險(xiǎn)評(píng)估，2分；糸統(tǒng)架構(gòu)風(fēng)險(xiǎn)評(píng)估，2分；技術(shù)可實(shí)現(xiàn)性風(fēng)險(xiǎn)評(píng)估，2分；項(xiàng)目延期交付風(fēng)險(xiǎn)評(píng)怙，2分；項(xiàng)目成本超支風(fēng)險(xiǎn)評(píng)估，2分；第三方

15、風(fēng)險(xiǎn)評(píng)估，2分；測(cè)試不完整性風(fēng)險(xiǎn)評(píng)估，2分；人員流動(dòng)風(fēng)險(xiǎn)評(píng)估，2分；對(duì)主要風(fēng)險(xiǎn)點(diǎn)進(jìn)行分析4分具有主要風(fēng)險(xiǎn)點(diǎn)控制措施，5分；具有主要風(fēng)險(xiǎn)點(diǎn)控制措施的落實(shí)記錄，5分；具有主要風(fēng)險(xiǎn)危機(jī)處理預(yù)案，5分。建立了項(xiàng)目群協(xié)調(diào)機(jī)制（如項(xiàng)目管理辦公室PM0），2分；具有項(xiàng)目群管理執(zhí)行流程，2分；具有子項(xiàng)目溝通協(xié)調(diào)機(jī)制，1分。具有需求分析方案和可行性報(bào)告，2分；具有技術(shù)架構(gòu)管理機(jī)制，2分。建立了質(zhì)量控制體系，3分。開發(fā)、測(cè)試、生產(chǎn)環(huán)境相互分離，3分；生產(chǎn)數(shù)據(jù)必須經(jīng)過脫敏才能在開發(fā)或測(cè)試中使用，2分。具有開發(fā)過程的檢查記錄，3分；具有完整性、惡意代碼和后門程序的檢查記錄，2分；制定信息系統(tǒng)代碼編寫安全規(guī)范，3分。具

16、有完整的測(cè)試記錄，測(cè)試包括單元測(cè)試、集成測(cè)試和驗(yàn)收測(cè)試；具有測(cè)試充分性的審核報(bào)告，4分。建立了獨(dú)立于開發(fā)隊(duì)伍的測(cè)試團(tuán)隊(duì)，4分；測(cè)試團(tuán)隊(duì)的測(cè)試人員中參與了項(xiàng)目開發(fā)活動(dòng)，或測(cè)試用例由開發(fā)人員參與編寫，本評(píng)價(jià)點(diǎn)不得分。具有完整的功能測(cè)試報(bào)告，功能測(cè)試項(xiàng)目主要包括：等價(jià)類劃分、邊界值分析、錯(cuò)誤推測(cè)分析、因果圖分析、判定表驅(qū)動(dòng)分析、正交實(shí)驗(yàn)設(shè)計(jì)、功能圖分析，4分。具有完整的非功能測(cè)試報(bào)告，非功能測(cè)試主要包括：配置和安裝測(cè)試、兼容性和互操作性測(cè)試、文檔和幫助測(cè)試、錯(cuò)誤恢復(fù)測(cè)試、性能測(cè)試、可靠性測(cè)試、保密性測(cè)試、壓力測(cè)試、可用性測(cè)試、容量測(cè)試，4分。具有完整的安全性測(cè)試文檔，4分。系統(tǒng)發(fā)布前對(duì)測(cè)試的過程和充

17、分性進(jìn)行了審查并對(duì)測(cè)試質(zhì)量進(jìn)行了評(píng)估2分。一對(duì)系統(tǒng)版本交付物口y完整性進(jìn)行檢查，檢查口y內(nèi)容應(yīng)該包:r括軟件開發(fā)乂檔、發(fā)布計(jì)劃、操作手冊(cè)、口p署環(huán)境和應(yīng)急預(yù)案等乂檔，2分具有試運(yùn)行報(bào)告，3分具有軟件發(fā)布相關(guān)過程的文檔以及上線審批記錄，如版本計(jì)劃、流程審核、用戶通知等軟件發(fā)布相關(guān)過程的文檔以及上線審批記系統(tǒng)管理員嚴(yán)格按照管理規(guī)定進(jìn)行了系統(tǒng)賬戶管理，并定期清查系統(tǒng)賬戶，3分；重要系統(tǒng)的系統(tǒng)管理員在使用超級(jí)賬戶時(shí)，采取授權(quán)管控等制約措施并保留操作記錄，2分。建立了監(jiān)控系統(tǒng)，并設(shè)定了系統(tǒng)重要監(jiān)控參數(shù)和預(yù)警閾值（至少包含：CPU利用率、網(wǎng)絡(luò)利用率、存儲(chǔ)容量、系統(tǒng)狀態(tài)），3分；具有峰值報(bào)警記錄，具有性能狀

18、況、趨勢(shì)的分析報(bào)告，2分。按規(guī)定保存日志記錄，3分；具有定期分析日志的記錄，2分。具有重要系統(tǒng)運(yùn)行報(bào)告；3分。具有將運(yùn)行報(bào)告上報(bào)管理層的記錄，2分。建立了系統(tǒng)配置管理制度與流程，5分；具有系統(tǒng)配置的流程記錄，5分。具有變更管理制度與流程，3分；具有變更流程記錄，4分；具有變更的應(yīng)急回退計(jì)劃，3分。建立了服務(wù)臺(tái)及管理制度，2分；有服務(wù)臺(tái)服務(wù)過程記錄文檔，3分。建立了事件與問題管理機(jī)制，4分；有問題管理處理過程記錄文檔，2分；建立了知識(shí)庫，4分。對(duì)物理設(shè)施的運(yùn)行狀態(tài)進(jìn)行了管理，5分。按照各類系統(tǒng)的重要性，定義了網(wǎng)絡(luò)優(yōu)先服務(wù)等級(jí)，2分；對(duì)網(wǎng)絡(luò)性能進(jìn)行了監(jiān)控，3分。按照設(shè)備和介質(zhì)的安全等級(jí)，制定了生命

19、周期的管理措施，5分；無報(bào)廢控制的要求，本評(píng)價(jià)點(diǎn)（分值）不得分。建立了管理制度并有備份恢復(fù)記錄，5分。具有排查記錄，5分。具有完整的重要系統(tǒng)單點(diǎn)故障定期排查的記錄，5分。,.是否建立了運(yùn)行維護(hù)管理平臺(tái)，5分；所有運(yùn)維工單是否通過運(yùn)維平臺(tái)進(jìn)行電子化流轉(zhuǎn)，5分；是否走期對(duì)運(yùn)維工作進(jìn)行評(píng)佔(zhàn)與改.進(jìn)廠八具有內(nèi)容全面的風(fēng)險(xiǎn)分析和業(yè)務(wù)影響分析報(bào)告，3分；災(zāi)難恢復(fù)需求再分析周期不超過3年，2分。具有明確的災(zāi)難恢復(fù)范圍，5分。明確了應(yīng)用系統(tǒng)的災(zāi)難恢復(fù)能力等級(jí)，以及具體的災(zāi)難恢復(fù)指標(biāo)，至少包括RTO和RPO,5分。具有完善的災(zāi)難恢復(fù)策略，3分；具有策略審核批準(zhǔn)材料，2分。自建模式，5分；夕卜包模式，且滿足資質(zhì)要

20、求和外包管理要求，5分；共建模式，且滿足共建模式要求，5分。保險(xiǎn)機(jī)構(gòu)選擇三種建設(shè)模式中的一種或幾種，本評(píng)價(jià)點(diǎn)最高得分不超過5分。已向中國保監(jiān)會(huì)備案，5分。災(zāi)難備份中心在中華人民共和國境內(nèi)，5分。有完善的基礎(chǔ)設(shè)施，5分。制定災(zāi)備系統(tǒng)技術(shù)方案，4分；定期災(zāi)備恢復(fù)測(cè)試，3分；技術(shù)支持體系完善，3分。具有完善的運(yùn)維管理制度和流程，5分。具有專業(yè)的運(yùn)維隊(duì)伍，5分。具有定期檢測(cè)和維護(hù)的記錄，5分。具有監(jiān)控機(jī)制和記錄，5分。預(yù)案的結(jié)構(gòu)、內(nèi)容和步驟清晰明確，其中：組織職責(zé)，2分；災(zāi)難恢復(fù)過程，2分；所需資料和配套資源，2分。具有演練記錄，6分；具有總結(jié)評(píng)估報(bào)告，4分；頻次低于要求，此評(píng)價(jià)點(diǎn)（分值）得分不超過5

21、分。預(yù)案有專人維護(hù)，1分；預(yù)案有更新機(jī)制和記錄，2分；每年進(jìn)行預(yù)案審查和批準(zhǔn)，1分。具有應(yīng)急指揮處置組織和機(jī)制，4分。具有明確的信息系統(tǒng)重建方案，2分。具有災(zāi)難恢復(fù)總結(jié)報(bào)告與修訂，2分。具有與第三方應(yīng)急溝通機(jī)制和協(xié)議，2分。信息系統(tǒng)安全管理責(zé)任未外包；對(duì)涉及國家安全信息、本機(jī)構(gòu)商業(yè)秘密，以及客戶隱私等敏感內(nèi)容的信息系統(tǒng)進(jìn)行外包經(jīng)過本機(jī)構(gòu)信息化工作委員會(huì)批準(zhǔn)；數(shù)據(jù)中心、信息技術(shù)基礎(chǔ)設(shè)施準(zhǔn)備實(shí)施外包時(shí)書面材料正式報(bào)告中國保監(jiān)會(huì)，10分。重要系統(tǒng)和關(guān)鍵部位安全可控率達(dá)到10%，得1分；達(dá)到20%；得2分；以此類推，最高得10分。制定了外包管理制度，10分；有外包服務(wù)審核流程及內(nèi)外部的審計(jì)，5分；重要

22、設(shè)施外包已報(bào)備保監(jiān)會(huì)，5分。外包與采購過程和記錄符合管理制度，10分。具有對(duì)外包服務(wù)商財(cái)務(wù)狀況、技術(shù)實(shí)力、安全資質(zhì)、風(fēng)險(xiǎn)控制水平、誠信記錄和成功案例等的考核評(píng)估記錄，5分；具有對(duì)外包服務(wù)質(zhì)量及外包風(fēng)險(xiǎn)的評(píng)估報(bào)告，5分。具有外包服務(wù)商服務(wù)水平、服務(wù)規(guī)范性等方面的管理機(jī)制和管理記錄，10分。具有測(cè)試記錄，5分；具有驗(yàn)收?qǐng)?bào)告，5分。具有源代碼審查報(bào)告，10分。具有需求分析、軟件設(shè)計(jì)說明書、軟件操作手冊(cè)等開發(fā)文檔，10分。網(wǎng)絡(luò)接入地在中華人民共和國境內(nèi)（不含港、澳、臺(tái)地區(qū)），10分?；ヂ?lián)網(wǎng)保險(xiǎn)業(yè)務(wù)網(wǎng)站依法取得互聯(lián)網(wǎng)行業(yè)主管部門頒發(fā)的互聯(lián)網(wǎng)信息服務(wù)增值電信業(yè)務(wù)經(jīng)營許可證，或者在互聯(lián)網(wǎng)行業(yè)主管部門完成網(wǎng)站備案，5分。基于第三方平臺(tái)開展互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)，確認(rèn)第三方平臺(tái):滿足上述技術(shù)資質(zhì)條件，5分?？蛻舳塑浖哂型暾?、程序邏輯機(jī)密性和數(shù)據(jù)安全技術(shù)措施，3分；客戶端軟件定期進(jìn)行評(píng)估，2分。具有身份鑒別、交易認(rèn)證手段，5分；身份鑒別和交易認(rèn)證手段應(yīng):滿足監(jiān)管要求和業(yè)界規(guī)范，5分。交易具有請(qǐng)求入口和權(quán)限控制措施，5分；具有服務(wù)器端請(qǐng)求數(shù)據(jù)檢查措施，5分。具有合理的網(wǎng)絡(luò)安全防護(hù)措施