保險公司信息化工作管理規(guī)定

保險公司信息化工作管理規(guī)定附件：保險公司信息化工作管理規(guī)定一、總那么第一條[制訂目的]為加強(qiáng)保險公司信息化工作管理，促進(jìn)信息化工作標(biāo)準(zhǔn)化與標(biāo)準(zhǔn)化建設(shè)，提高保險業(yè)信息化工作水平，根據(jù)?中華人民共和國保險法?及國家有關(guān)法律法規(guī)，制定本規(guī)定。第二條[適用范圍]本規(guī)定適用于在中華人民共和國境內(nèi)依法設(shè)立的保險公司和保險資產(chǎn)管理公司，以下統(tǒng)稱保險公司。第三條[名詞解釋]本規(guī)定所稱信息化工作，是指計算機(jī)、通信、網(wǎng)絡(luò)等現(xiàn)代信息技術(shù)在保險公司業(yè)務(wù)處理、經(jīng)營管理等方面的應(yīng)用，包括相應(yīng)的信息化組織架構(gòu)建立、制度建設(shè)，以及根底環(huán)境建設(shè)等工作。第四條[根本要求]各公司應(yīng)把信息化工作納入公司全面開展框架進(jìn)行統(tǒng)籌考慮，建立有效的信息化治理機(jī)制，明確信息化工作決策權(quán)歸屬，實現(xiàn)信息資源的合理利用，確保信息化工作與業(yè)務(wù)開展目標(biāo)一致；加強(qiáng)信息系統(tǒng)風(fēng)險管理，確保信息系統(tǒng)平安、穩(wěn)定運(yùn)行。實現(xiàn)信息化工作集中管理的保險集團(tuán)〔控股〕公司，可以集團(tuán)〔控股〕公司為單位對信息化工作統(tǒng)籌規(guī)劃執(zhí)行。第五條[監(jiān)督管理]中國保監(jiān)會依法對保險公司信息化管理工作實施監(jiān)督管理。二、組織管理與規(guī)劃第六條[責(zé)任主體]各公司是信息化工作規(guī)劃、建設(shè)、管理和平安的責(zé)任主體。公司法定代表人或主要負(fù)責(zé)人對此負(fù)有最終責(zé)任。第七條[決策機(jī)構(gòu)]各公司應(yīng)建立信息化工作委員會，明確其工作職責(zé)和工作制度。定期或根據(jù)需要召開工作會議，對信息化工作重大事項決策研判，并提交公司最高決策層批準(zhǔn)實施。第八條[決策機(jī)構(gòu)組成]信息化工作委員會負(fù)責(zé)人應(yīng)由公司級高級管理人員擔(dān)任，組成人員應(yīng)包括信息技術(shù)、業(yè)務(wù)、財務(wù)、人事、開展規(guī)劃和風(fēng)險控制等部門的負(fù)責(zé)人。有條件的公司可聘請外部專家參加。信息化工作委員會應(yīng)下設(shè)辦公室，負(fù)責(zé)落實和協(xié)調(diào)信息化工作委員會的具體事宜。辦公室原那么上應(yīng)設(shè)置在信息技術(shù)部門。第九條[首席信息官]各公司應(yīng)設(shè)立首席信息官或指定公司級高級管理人員作為信息化工作的直接責(zé)任人。直接責(zé)任人應(yīng)負(fù)責(zé)公司信息化建設(shè)工作，并參與公司經(jīng)營、管理和決策，其任職條件應(yīng)符合監(jiān)管部門規(guī)定。第十條[責(zé)任部門]

各公司應(yīng)建立組織結(jié)構(gòu)合理、人員崗位分工明確的信息技術(shù)部門。信息技術(shù)部門負(fù)責(zé)信息化工作相關(guān)的規(guī)劃、建設(shè)、管理和運(yùn)維等工作。信息技術(shù)從業(yè)人員應(yīng)具備符合崗位需求的專業(yè)技術(shù)能力和職業(yè)操守。第十一條[明確職責(zé)]各公司應(yīng)結(jié)合信息化工作特點和內(nèi)部控制要求，明確信息化工作中各相關(guān)部門及各級分支機(jī)構(gòu)的職責(zé)，加強(qiáng)對分支機(jī)構(gòu)信息化工作的指導(dǎo)和管理，將信息化工作相關(guān)的權(quán)利和責(zé)任落實到位。第十二條[制度建設(shè)]各公司應(yīng)制定明確的信息化工作制度、標(biāo)準(zhǔn)和操作流程，定期或根據(jù)需要及時進(jìn)行更新、發(fā)布。第十三條[規(guī)劃制訂]各公司應(yīng)根據(jù)公司業(yè)務(wù)開展戰(zhàn)略，制訂明確的中長期網(wǎng)絡(luò)平安與信息化規(guī)劃。規(guī)劃應(yīng)具有開放性和前瞻性，符合公司經(jīng)營管理的需要，并確保信息化建設(shè)的穩(wěn)定性和延續(xù)性。規(guī)劃應(yīng)經(jīng)過信息化工作委員會的審批，并提交公司最高決策層批準(zhǔn)實施。第十四條[規(guī)劃修訂]各公司應(yīng)建立網(wǎng)絡(luò)平安與信息化規(guī)劃定期審查、評估和修訂機(jī)制，規(guī)劃的審查、評估工作至少每年一次，修訂后的規(guī)劃應(yīng)經(jīng)信息化工作委員會審批，并提交公司最高決策層批準(zhǔn)實施。三、根底環(huán)境與信息系統(tǒng)建設(shè)第十五條[信息標(biāo)準(zhǔn)]各公司信息化建設(shè)、管理及信息化工作中涉及的數(shù)據(jù)信息,應(yīng)符合國家及行業(yè)的有關(guān)標(biāo)準(zhǔn)、標(biāo)準(zhǔn)和監(jiān)管部門要求。第十六條[集中管控]各公司應(yīng)實現(xiàn)數(shù)據(jù)信息集中管控，建立健全數(shù)據(jù)管理的有效機(jī)制，提高數(shù)據(jù)資產(chǎn)價值的利用能力和水平。第十七條[集團(tuán)公司]各保險集團(tuán)〔控股〕公司可根據(jù)業(yè)務(wù)管理、風(fēng)險管控等需要，對下屬各子公司信息化建設(shè)統(tǒng)籌協(xié)調(diào)管理，提高信息資源的利用率。實現(xiàn)信息化工作集中管理的保險集團(tuán)〔控股〕公司，應(yīng)確保集團(tuán)內(nèi)各法人機(jī)構(gòu)之間的信息系統(tǒng)及相關(guān)硬件、網(wǎng)絡(luò)等有效平安隔離，并符合國家及監(jiān)管部門有關(guān)要求。第十八條[根底設(shè)施]各公司應(yīng)按照有效性、可用性和平安性的原那么，對信息化根底設(shè)施和信息系統(tǒng)的功能、性能和平安保障等方面做出規(guī)定并按規(guī)定實施，至少保證滿足公司未來兩年的業(yè)務(wù)開展要求。第十九條[數(shù)據(jù)中心]各公司應(yīng)根據(jù)信息化開展需要，建設(shè)相應(yīng)的計算機(jī)中心機(jī)房和災(zāi)備機(jī)房，自建、共建或租用第三方的機(jī)房建設(shè)均應(yīng)符合國家相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)和監(jiān)管部門要求。第二十條[系統(tǒng)建設(shè)]各公司應(yīng)全面梳理公司經(jīng)營管理流程，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，加強(qiáng)信息系統(tǒng)間的集成與整合，實現(xiàn)財務(wù)、業(yè)務(wù)等核心系統(tǒng)的無縫對接，提高系統(tǒng)的協(xié)同工作水平。鼓勵有條件的公司開展業(yè)務(wù)系統(tǒng)自主研發(fā)。第二十一條[系統(tǒng)對接]各公司信息系統(tǒng)應(yīng)滿足保險監(jiān)管機(jī)構(gòu)數(shù)據(jù)采集的要求，確保上報數(shù)據(jù)的及時性、準(zhǔn)確性、完整性。第二十二條[內(nèi)控信息化]各公司應(yīng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制與合規(guī)建設(shè)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實現(xiàn)對各項業(yè)務(wù)和事項的自動控制，減少人為操控因素。第二十三條[上線與測試]新開發(fā)的系統(tǒng)或經(jīng)過重大改造的系統(tǒng)在上線運(yùn)行前，應(yīng)對功能與性能進(jìn)行嚴(yán)格測試，并通過平安評測。經(jīng)過一般性改造的系統(tǒng)在上線運(yùn)行前應(yīng)遵循審慎原那么，做好相關(guān)測試工作。第二十四條[知識產(chǎn)權(quán)]各公司應(yīng)加強(qiáng)知識產(chǎn)權(quán)保護(hù)工作，嚴(yán)禁侵權(quán)盜版。鼓勵研發(fā)具有自主知識產(chǎn)權(quán)的信息產(chǎn)品，并采取有效措施保護(hù)公司信息化工作成果。第二十五條[自主可控]鼓勵優(yōu)先采購自主可控的硬件設(shè)備和軟件產(chǎn)品，增加對自主可控設(shè)備和產(chǎn)品的容忍度，積極創(chuàng)造條件，通過制定規(guī)劃、完善機(jī)制、推動應(yīng)用、宣傳典型等措施，推進(jìn)網(wǎng)絡(luò)與信息設(shè)備的自主可控能力不斷提升。四、平安保障與風(fēng)險控制第二十六條[平安建設(shè)原那么]各公司應(yīng)加強(qiáng)網(wǎng)絡(luò)平安與信息化的同時規(guī)劃和同時建設(shè)，構(gòu)建完善的信息平安保障體系。充分利用管理機(jī)制和技術(shù)手段，強(qiáng)化網(wǎng)絡(luò)與信息平安防護(hù)能力，提高防護(hù)水平，保證重要信息的可用、保密、完整及真實，保障業(yè)務(wù)活動的連續(xù)性。第二十七條[平安責(zé)任制]各公司應(yīng)按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)〞的原那么，明確信息平安各相關(guān)方的責(zé)任，加強(qiáng)人員管理，強(qiáng)化信息平安意識，全面落實信息平安管理責(zé)任制。第二十八條[平安監(jiān)控]各公司應(yīng)建立健全信息平安監(jiān)控體系和報告機(jī)制，明確風(fēng)險預(yù)警標(biāo)準(zhǔn)，加強(qiáng)信息平安的監(jiān)控和預(yù)警，提高風(fēng)險防范處置能力。第二十九條[等級保護(hù)]各公司應(yīng)按照國家有關(guān)規(guī)定和監(jiān)管要求，對信息系統(tǒng)進(jìn)行平安等級劃分，按照平安等級實施信息系統(tǒng)平安等級保護(hù)。第三十條[數(shù)據(jù)平安]各公司應(yīng)制訂重要數(shù)據(jù)的備份制度和策略，實施有效的數(shù)據(jù)備份措施，并按照監(jiān)管部門有關(guān)要求，推進(jìn)信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)工作。第三十一條[國產(chǎn)密碼]各公司應(yīng)按照國家金融領(lǐng)域密碼應(yīng)用工作要求，扎實推進(jìn)保險業(yè)信息系統(tǒng)國產(chǎn)密碼應(yīng)用工作。第三十二條[應(yīng)急處置]各公司應(yīng)針對可能發(fā)生的信息系統(tǒng)重大突發(fā)事件，制定應(yīng)急預(yù)案，建立完善的應(yīng)急管理體系、應(yīng)急技術(shù)平臺和應(yīng)急協(xié)調(diào)機(jī)制，積極主動進(jìn)行壓力測試。應(yīng)急預(yù)案要明確啟動機(jī)制、責(zé)任人員、處置流程、具體方案和外部資源，并根據(jù)工作實際進(jìn)行動態(tài)調(diào)整和定期應(yīng)急演練，采取相應(yīng)措施，確保應(yīng)急預(yù)案的可操作性，把風(fēng)險隱患可能造成的損失降到最低。第三十三條[互聯(lián)網(wǎng)平安]各公司應(yīng)建立外聯(lián)網(wǎng)絡(luò)接入標(biāo)準(zhǔn)和平安標(biāo)準(zhǔn)，明確審批機(jī)制、風(fēng)險評估機(jī)制及對應(yīng)的風(fēng)險控制措施，加強(qiáng)外聯(lián)網(wǎng)絡(luò)的接入管理。對門戶網(wǎng)站、互聯(lián)網(wǎng)保險系統(tǒng)等與廣闊互聯(lián)網(wǎng)消費(fèi)者密切相關(guān)的信息系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一管理，采取必要技術(shù)手段和管理措施確保相應(yīng)信息系統(tǒng)平安。第三十四條[外包管理]各公司應(yīng)加強(qiáng)信息化工作外包效勞管理，不得將信息化管理責(zé)任外包。應(yīng)按照監(jiān)管部門要求，結(jié)合外包效勞實際需要，制訂外包效勞的根本標(biāo)準(zhǔn)，確保對信息系統(tǒng)平安的控制能力。五、開展環(huán)境第三十五條[經(jīng)費(fèi)預(yù)算]各公司應(yīng)結(jié)合信息化工作規(guī)劃實施的需要，制定信息化工作經(jīng)費(fèi)預(yù)算，并保障信息化工作經(jīng)費(fèi)預(yù)算的執(zhí)行，確保信息化建設(shè)的正常有效開展。第三十六條[人力開展]各公司應(yīng)根據(jù)自身實際并結(jié)合信息化工作的特點，合理配備信息技術(shù)人員，制定并實施有利于公司可持續(xù)開展的信息化人力資源政策，鼓勵建立信息技術(shù)專業(yè)職級體系，健全信息技術(shù)專業(yè)人才鼓勵機(jī)制，。第三十七條[評價體系]各公司應(yīng)積極探索、建立并實施信息化工作投入產(chǎn)出的評價體系，完善信息化工作績效考核機(jī)制。第四十二條[信息化報告]各公司應(yīng)按要求定期報送保險業(yè)信息科技風(fēng)險監(jiān)管年度報告、年度報表、季度報表和不定期報送臨時報表。第四十三條[重大事項報告]各公司應(yīng)按監(jiān)管部門有關(guān)要求及時向保監(jiān)會報告信息化工作重大事項。七、法律責(zé)任第四十四條[懲罰條件]各公司不得有以下行為：〔一〕信息化建設(shè)存在重大平安隱患，并未按照要求進(jìn)行整改的；〔二〕發(fā)生計算機(jī)系統(tǒng)重大突發(fā)性事件未及時向監(jiān)管機(jī)構(gòu)報告，未采取措施或采取措施不力造成嚴(yán)重后果的；〔三〕對保險監(jiān)管機(jī)構(gòu)信息平安檢查中發(fā)現(xiàn)的嚴(yán)重信息平安隱患未采取措施進(jìn)行整改或整改不力的；〔四〕拒絕或者阻礙保險監(jiān)管機(jī)構(gòu)依法進(jìn)行信息平安檢查監(jiān)督的；〔五〕其他涉及信息化或信息平安問題