保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
保险公司信息系统安全管理指引(试行)
保监发〔2011〕68号各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行.第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人.第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定.(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
保险公司信息系统安全管理指引(试行)
保监发〔2011〕68号各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行.第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人.第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定.(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
中国银行保险监督管理委员会办公厅关于印发保险中介机构信息化工作监管办法的通知
中国银行保险监督管理委员会办公厅关于印发保险中介机构信息化工作监管办法的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2021.01.05•【文号】•【施行日期】2021.02.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险正文中国银保监会办公厅关于印发保险中介机构信息化工作监管办法的通知各银保监局,各保险公司、各保险专业中介机构、各保险兼业代理机构:经银保监会同意,现将《保险中介机构信息化工作监管办法》印发给你们,请遵照执行。
2021年1月5日保险中介机构信息化工作监管办法第一章总则第一条为加强保险中介监管,提高保险中介机构信息化工作与经营管理水平,推动保险中介行业高质量发展,根据《中华人民共和国保险法》《中华人民共和国网络安全法》《保险代理人监管规定》《保险经纪人监管规定》《保险公估人监管规定》等法律、行政法规,制定本办法。
第二条在中华人民共和国境内依法设立的保险中介机构适用本办法。
第三条本办法所称保险中介机构,是指保险代理人(不含个人代理人)、保险经纪人和保险公估人,包括法人机构和分支机构。
保险代理人(不含个人代理人)包括保险专业代理机构和保险兼业代理机构。
本办法所称保险中介机构信息化工作,是指保险中介机构将计算机、通信、网络等现代信息技术,应用于业务处理、经营管理和内部控制等方面,以持续提高运营效率、优化内部资源配置和提升风险防范水平为目的所开展的工作。
其中保险兼业代理机构信息化工作,仅指该机构与保险兼业代理业务相关的信息化工作。
本办法所称信息化突发事件,是指信息系统或信息化基础设施出现故障、受到网络攻击,导致保险中介机构在同一省份的营业网点、电子渠道业务中断3小时以上,或在两个及以上省份的营业网点、电子渠道业务中断30分钟以上;或者因网络欺诈或其它信息安全事件,导致保险中介机构或客户资金损失1000万元以上,或造成重大社会影响;或者保险中介机构丢失或泄露大量重要数据或客户信息等,已经或可能造成重大损失、严重影响。
保险公司信息系统安全管理指引(试行
保监发〔2011〕68号各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
《保险机构IT审计规范》编制说明
中国保险监督管理委员会行业标准文件《保险机构IT审计规范》编制说明一、背景意义保险机构IT审计是保险机构内部控制的重要组成部分,是对保险机构IT工作进行的一种独立、客观的监督、评价和咨询活动。
IT审计工作保障保险机构信息科技和信息安全的风险控制在可接受水平,切实维护保险业信息安全,提升保险机构IT审计工作水平,促进IT工作规范化与标准化建设,提高信息化水平,改善保险机构IT服务和业务流程,增加信息化价值。
中国保险监督管理委员会为了能更好检查评价保险机构IT 审计工作,提高监督有效性,保证国家有关保险法律法规、方针政策、监管部门规章的贯彻执行,2015年联合保标委启动《保险机构IT审计规范》标准制定工作。
《保险机构IT审计规范》是《中国保险业标准化十二五规划》建立保险行业信息标准化体系框架的重要组成部分,是保险机构相对于《保险机构信息化风险非现场监管报表及评价体系》的评价体系与评价标准,而开展IT审计工作的具体实施细则。
二、任务来源2015年初,中国保险监督管理委员会为了能更好检查评价保险机构IT审计工作,提高监督有效性,保证国家有关保险法律法规、方针政策、监管部门规章的贯彻执行,制订保险机构IT审计制度体系。
为确保此项工作的落实,保监会联合保标委启动《保份有限公司负责标准的起草工作。
三、起草单位参与本标准制定的单位包括:中国保险监督管理委员会、全国金融标准化技术委员会保险分技术委员会、中国平安保险(集团)股份有限公司四、编制原则及技术依据1.编制原则本规范充分借鉴国内外保险相关行业的先进理论和最佳实践,根据我国保险业的发展需求,符合我国国情的IT审计管理办法,结合保险行业的实际情况和国内外先进的管理经验而制定。
(1)符合性原则:符合保监会对保险机构有关IT审计工作的规定,如:《保险公司内部审计指引》、《保险机构信息化监管规定》《保险公司信息化工作管理指引》等规定,遵从《保险业标准化工作指南》的要求。
保险机构IT审计规范
保险机构IT审计规范1 范围本标准依据《保险机构信息化风险非现场监管报表及评价体系》的评价内容和评价标准,规定了保险机构开展IT审计工作的具体实施细则,主要包括信息化治理审计、信息化风险管理审计、信息安全管理审计、信息系统开发与测试审计、信息化系统运行审计、灾难恢复管理审计、外包与采购审计、互联网保险审计等细则。
本标准适用于保险机构IT审计活动,其他机构模式相似的保险中介可参考执行。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239信息安全技术信息系统安全等级保护基本要求保险公司内部审计指引(试行)(保监发〔2007〕26号)保险业信息系统灾难恢复管理指引 (保监发〔2008〕20号)保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)保险公司信息系统安全管理指引(试行)(保监发〔2011〕68号)互联网保险业务监管暂行办法(保监发〔2015〕69号)保险机构信息化监管规定(送审稿)保险机构信息化风险非现场监管报表及评价体系(意见修订稿)3 术语和定义3.1 IT审计 IT audit保险机构和经营机构根据国家及行业信息系统相关规范和标准,对信息系统规划、建设、运维和应急等活动进行自我检查和评价,判断系统运行的安全性、系统建设的合规性和系统应用绩效,提出整改建议,并持续跟踪落实整改情况。
3.2审计项 audit item信息系统规划、建设、运维和应急等活动的关键控制点,来自于国家及行业相关技术规范和标准要求,用于判断系统运行的安全性、系统建设的合规性和系统应用绩效。
3.3 专业能力 professional competence个人从事IT审计所必备的学识、技术和能力,由学历认定、资格考试、职业技能鉴定等方式进行评价。
3.4 第三方审计机构 thirdparty auditinstitutions熟悉保险机构信息安全法规、规范、标准和指引,具有国家、行业认可的相关资质和必要能力,并在审计过程中能够客观、公正、独立地从事审计活动的机构。
保险公司信息化工作管理指引(试行)
保险公司信息化工作管理指引(试行)一、背景和意义随着信息技术的发展,保险行业也逐渐加快了信息化步伐,信息化已经成为保险公司提高经营管理效率、降低成本、提升服务质量的必然选择。
保险公司信息化工作管理指引的制定旨在规范和指导保险公司在信息化建设方面的工作,促进信息化与业务发展的有效结合,推动保险行业向数字化、智能化、网络化、现代化发展。
二、总体要求1. 加强领导,引导全员参与。
保险公司高层领导要高度重视信息化工作,制定明确的信息化发展战略和规划,落实信息化责任,引领全员积极参与信息化建设,营造良好的信息化氛围。
2. 结合业务需求,突出创新驱动。
信息化建设要贴近保险业务发展的实际需求,以提高效率、降低成本、提升服务质量为目标,注重技术创新和业务创新,推动业务模式和流程改革。
3. 加强安全保障,保障数据完整性和机密性。
保险公司信息化工作要建立健全的信息安全管理体系,加强对数据的保护,保障数据完整性和机密性,防范信息泄露和网络攻击风险。
4. 提升服务能力,满足客户需求。
信息化建设要加强对客户需求的了解,优化服务流程,提升服务能力,满足客户个性化、多样化的需求,提高客户满意度。
5. 加强监督管理,落实责任。
建立信息化管理与监督体系,明确信息化工作的责任分工,加强对信息化项目的管理和监督,确保信息化工作的顺利推进。
三、主要内容1. 信息化战略规划制定信息化发展战略和规划,明确信息化建设的方向和目标,结合保险业务需求,确定信息化建设的重点和优先领域,制定长期、中期和短期的信息化规划。
2. 信息系统建设管理对保险公司的信息系统建设进行统一管理,包括选型、开发、实施、维护和升级等环节,建立健全的信息系统建设管理制度,确保信息系统的高效稳定运行。
3. 数据管理与安全建立完善的数据管理和数据安全保障机制,包括数据收集、存储、加工、传输和应用等全过程管理,保障数据的完整性、可靠性和安全性。
4. 业务流程优化结合信息化建设,推动业务流程改革和优化,提高业务处理效率和服务质量,提升客户体验和满意度。
保险公司信息系统安全管理指引(试行)
总则
总则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行, 根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理 和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
采购服务
采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系, 合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包 时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内 部评估审核流程与监督管理机制。
基础设施
基础设施
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中 华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包 托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确 保业务系统安全稳定运行。
应用系统
应用系统
第三十六条建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统 开发与运行维护过程独立、人员分离。
保险公司信息系统安全管理指引
保险公司信息系统安全管理指引(试行)【61】为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保监会日前发布《保险公司信息系统安全管理指引(试行)》的通知,通知要求,建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
全文如下:各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则【5】第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求【17】第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
保险公司信息化工作管理制度规定
保险公司信息化工作管理制度规定第一章总则第一条为了规范保险公司的信息化工作,提高工作效率,保障信息安全,制定本管理制度。
第二条本管理制度适用于保险公司的信息化工作,包括但不限于计算机网络,电子数据管理,信息系统,信息安全等方面。
第三条保险公司的信息化工作应当遵循政府相关法规和法律和保险监管部门的规定。
第四条保险公司的信息化工作应当与公司的战略目标相一致,确保信息化工作能够为公司的发展和经营提供支持。
第五条保险公司应当建立完善的信息化工作管理体系,包括领导责任制,项目管理制度,数据管理制度,信息安全管理制度等。
第六条保险公司应当加强对信息技术人员的培训和管理,提高其技术水平和工作能力。
第七条保险公司应当加强对信息技术设备的管理,确保其正常运行和安全使用。
第八条保险公司应当建立相关的信息化风险管理制度,对信息化工作中的风险进行评估和控制。
第二章领导责任制第九条保险公司应当设立信息化工作管理部门,负责对信息化工作的规划、组织和实施进行管理。
第十条保险公司应当明确信息化工作领导责任人,由公司高层领导任命,并明确其职责和权限。
第十一条信息化工作领导责任人应当制定信息化工作的发展战略和目标,并确保其落实到位。
第十二条信息化工作领导责任人应当定期对信息化工作进行评估和监督,并及时进行调整和改进。
第十三条信息化工作领导责任人应当加强对信息化工作的宣传和培训,提高各级人员的信息化意识和技能。
第十四条信息化工作领导责任人应当确保信息化工作的安全和稳定运行,保护公司的信息资产。
第十五条信息化工作领导责任人应当积极参与信息化工作的技术研究和前沿发展,推动公司信息化工作不断创新和提升。
第三章项目管理制度第十六条保险公司的信息化项目应当有明确的规划和程序,其中包括项目立项,项目实施,项目验收等环节。
第十七条保险公司应当制定项目管理规范和流程,明确各个环节的职责和权限,确保项目能够按照计划进行。
第十八条保险公司的信息化项目应当根据公司的发展需求和业务需求来确定,确保项目的合理性和可行性。
【VIP专享】保险公司信息化工作管理规定
附件:保险公司信息化工作管理规定一、总则第一条[制订目的]为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本规定。
第二条[适用范围]本规定适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司,以下统称保险公司。
第三条[名词解释]本规定所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条[基本要求]各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条[监督管理]中国保监会依法对保险公司信息化管理工作实施监督管理。
二、组织管理与规划 第六条[责任主体]各公司是信息化工作规划、建设、管理和安全的责任主体。
公司法定代表人或主要负责人对此负有最终责任。
第七条[决策机构]各公司应建立信息化工作委员会,明确其工作职责和工作制度。
定期或根据需要召开工作会议,对信息化工作重大事项决策研判,并提交公司最高决策层批准实施。
第八条[决策机构组成]信息化工作委员会负责人应由公司级高级管理人员担任,组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。
有条件的公司可聘请外部专家参加。
信息化工作委员会应下设办公室,负责落实和协调信息化工作委员会的具体事宜。
办公室原则上应设置在信息技术部门。
第九条[首席信息官]各公司应设立首席信息官或指定公司级高级管理人员作为信息化工作的直接责任人。
直接责任人应负责公司信息化建设工作,并参与公司经营、管理和决策,其任职条件应符合监管部门规定。
保险机构信息化监管规定(征求意见稿)-wzx
保险机构信息化监管规定(征求意见稿)第一章总则第一条[制订目的]为了加强对保险机构信息化工作的监督管理,促进信息化工作规范化与标准化建设,有效防范和化解新技术风险,切实维护保险业信息安全,根据《中华人民共和国保险法》、《中华人民共和国计算机信息系统安全保护条例》等法律、行政法规,制定本规定。
第二条[适用范围]本规定适用于在中华人民共和国境内依法设立的保险机构,包括保险集团(控股)公司、保险公司和保险资产管理公司。
第三条[名词释义]本规定所称保险机构信息化,是指保险机构将计算机、通信、网络等现代信息技术,应用于业务交易处理、经营管理和内部控制等方面,持续提高运营效率、优化内部资源配置和提升风险防范水平的过程。
信息化工作内容包括建立健全信息化治理机制、制定实施信息化管理制度、规划建设信息化基础设施、采购开发信息化系统,以及建立相应的安全保障体系等。
第四条[基本原则]保险机构信息化工作要遵循安全性、可靠性和有效性相统一的原则,坚持信息化战略与业务战略相融合、技术路线与科技发展方向相一致、应用系统与管理需求相适应的基本要求,统筹规划本机构的信息化工作,处理好安全与发展、安全与建设、安全与运营的关系,保障本机构信息系统安全稳定持续运行。
第五条[执行标准]保险机构信息化工作应当符合国家有关规定和中国保险监督管理委员会(以下简称中国保监会)的要求。
保险机构是信息化工作的责任主体。
保险机构法定代表人对本机构信息化工作承担首要责任。
第六条[监督管理]中国保监会依法对保险机构的信息化工作实施监督管理。
第二章信息化治理第七条[名词释义]信息化治理是指保险机构通过明确有关信息化决策权归属机制和信息化责任承担机制,合理利用信息化资源,达到推动业务发展、促进收益最大化等战略目标的过程。
第八条[董事会职责]保险机构董事会应当履行以下信息化工作管理职责:(一)贯彻国家信息化工作的法律、行政法规、技术标准和中国保监会的要求;(二)审查批准本机构信息化工作战略规划,确保与总体业务战略和重大策略相一致;(三)建立分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织架构;(四)保障信息化工作所需资金;(五)掌握公司主要的信息化工作情况,审阅并向中国保监会报送信息化工作年度报告;(六)强化本机构人员的信息化意识和信息安全意识,加强信息技术专业队伍建设,建立人才激励机制;(七)保障内部审计部门进行独立有效的信息化工作审计,对审计报告进行确认并组织整改;(八)确保本机构涉及客户、账务,以及产品等信息的核心系统在中华人民共和国境内独立运行,并保持最高的管理权限,符合中国保监会监管和实施现场检查的要求;(九)及时向中国保监会报告本机构发生的重大信息安全事故或者突发事件,按相关预案快速响应;(十)配合中国保监会做好信息化工作监督检查,并按照监管意见进行整改;(十一)国家相关部门、中国保监会要求的其他信息化工作。
保险公司信息系统安全管理指引(试行)
保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人.第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
保险公司信息系统安全管理指引(试行)
保监发〔2011〕68号各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行.第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人.第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定.(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
中国保险监督管理委员会广西监管局关于印发《广西保险政务信息工作管理办法》的通知(2009年修订)
中国保险监督管理委员会广西监管局关于印发《广西保险政务信息工作管理办法》的通知(2009年修订)文章属性•【制定机关】中国保险监督管理委员会广西监管局•【公布日期】2009.12.30•【字号】桂保监发[2009]139号•【施行日期】2010.01.01•【效力等级】地方规范性文件•【时效性】现行有效•【主题分类】保险正文中国保险监督管理委员会广西监管局关于印发《广西保险政务信息工作管理办法》的通知(桂保监发〔2009〕139号)广西辖内各区级保险公司,广西辖内各保险专业中介机构,广西保险行业协会,各市保险行业协会:为进一步做好广西保险政务信息工作,加大对政务信息工作的管理和考核力度,充分发挥政务信息工作在服务决策、沟通情况、反映问题和交流经验等方面的作用,现将修订后的《广西保险政务信息工作管理办法》印发你们,请遵照执行。
并请各单位于2010年1月8日前将本单位的信息工作联络员名单及联系方式(见附件)传真至广西保监局办公室,同时将电子文件发送至广西保监局政务信息专用邮箱。
执行过程中如遇问题,请与广西保监局办公室联系。
广西保监局政务信息工作联系人:郑明联系电话:0771-5529131传真电话:0771-5536666政务信息专用电子邮箱:****************附件:《广西保险政务信息工作管理办法》二OO九年十二月三十日附件:广西保险政务信息工作管理办法第一章总则第一条为进一步做好广西保险系统政务信息工作,实现政务信息工作的制度化、规范化、科学化,特制定本办法。
第二条保险政务信息(以下简称信息)是指区别于财务、统计等特定信息,反映保险行业重要情况的政策性、综合性、新闻性、学术性信息。
第三条保险政务信息工作的基本任务是:通过建立健全的信息队伍和高效灵敏的工作机制,紧紧围绕保险业各时期中心工作和保险业改革与发展目标,全面、准确、及时地汇编信息,为全行业互通有无,为领导统揽全局、科学决策提供服务和依据。
保险公司信息系统安全管理指引(试行)
保监发〔2011〕68号各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行.第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人.第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定.(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
保险公司信息系统安全管理指引
保险公司信息系统安全管理指引(试行)【61】为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保监会日前发布《保险公司信息系统安全管理指引(试行)》的通知,通知要求,建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
全文如下:各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则【5】第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求【17】第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
新旧保险机构信息化监管规定对比分析
●建立健全信息安全监控体系和报告机制●对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护●制订重要数据的备份制度和策略●建立信息系统重大突发事件的应急处理机制,制定应急预案●建立外联网络接入标准和安全规范,明确审批机制、风险评估机制及对应的风险控制措施●加强信息化工作外包服务管理的原则,明确信息安全责任●法定代表人对本机构信息安全承担首要责任,首席信息官、信息化工作委员会主任对本机构信息安全承担主要责任●应当在信息技术部门设置专门安全机构,并配备专职人员●应当建立完善的信息安全分类和保护制度体系,明确系统管理、网络管理、安全管理等岗位职责、管理权限和技能要求●应当构建完善的信息安全风险控制策略●应当优先采购安全可控的硬件设备和软件产品,稳步推进安全可控产品应用;积极创造条件,提高关键业务系统的自主研发水平●应当严格按照国家金融领域密码应用工作规划和实施要求,逐步实现国产密码在电子保单及保险领域的全面应用●应当切实提高软件正版化意识和自主产权保护意识●应当按照国家和中国保监会信息系统安全规范、技术标准及等级保护管理要求,进行定级、保护、备案、测评和整改●需要申请信息安全管理体系认证的,应当按照国家有关规定及中国保监会要求,选择国家认证认可监督管理部门批准的机构进行认证●应当制定数据管理相关制度和流程,规范数据采集、传输、存储、交换、备份、恢复和销毁等环节●应当根据安全管理有关规定对计算机、移动设备等各类终端分别制定安全管理制度●要建立软硬件和数据资源等信息化资产管理制度,编制资产清单,明确资产管理责任部门与人员●制定介质分类管理制度,根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等●应当加强信息系统灾难恢复管理,制定业务连续性规划,并定期。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
中国保险监督管理委员会
关于印发《保险公司信息化工作管理指引(试行)》的通知
(保监发〔2009〕133号)
各保监局,各保险公司、保险资产管理公司:
为加强保险公司信息化工作管理,提高保险业信息化工作水平,中国保险监督管理委员会制定了《保险公司信息化工作管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会
二○○九年十二月二十九日
保险公司信息化工作管理指引(试行)
一、总则
第一条为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面
的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条中国保监会依法对保险公司信息化工作实施监督管理。
二、组织管理与规划
第六条各公司是信息化工作规划、建设、管理和安全的责任主体。
公司法定代表人或主要负责人对此负有最终责任。
第七条各公司应建立信息化工作委员会,明确其工作职责和工作制度。
定期或根据需要召开工作会议,对信息化工作重大事项决策研判,并提交公司最高决策层批准实施。
第八条信息化工作委员会负责人应由公司高级管理人员担任,组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。
有条件的公司可聘请外部专家参加。
信息化工作委员会应下设办公室,负责落实和协调信息化工作委员会的具体事宜。
办公室原则上应设置在信息技术部门。
第九条各公司应设立首席信息官或指定公司高级管理人员作为信息化工作的直接责任人。
直接责任人应负责公司信息化建设工作,并参与公司经营、管理和决策,其任职条件应符合监管部门规定。
第十条各公司应建立组织结构合理、人员岗位分工明确的信息技术部门。
信息技术部门负责信息化工作相关的规划、建设、管理和运维等工作。
第十一条各公司应结合信息化工作特点和内部控制要求,明确信息化工作中各相关部门及各级分支机构的职责,加强对分支机构信息化工作的指导和管理,将信息化工作相关的权利和责任落实到位。
第十二条各公司应制定明确的信息化工作制度、标准和操作流程,定期或根据需要及时进行更新、发布。
第十三条各公司应根据公司业务发展战略,制订明确的信息化工作规划。
规划应具有开放性和前瞻性,符合公司经营管理的需要,并确保信息化建设的稳定性和延续性。
规划应经过信息化工作委员会的审批,并提交公司最高决策层批准实施。
第十四条各公司应建立信息化规划定期审查、评估和
修订机制,规划的审查、评估工作至少每年一次,修订后的规划应经信息化工作委员会审批,并提交公司最高决策层批准实施。
三、基础环境与信息系统建设
第十五条各公司信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求。
第十六条各公司应实现数据信息集中管控,建立健全数据管理的有效机制,提高数据资产价值的利用能力和水平。
第十七条各保险集团(控股)公司可根据业务管理、风险管控等需要,对下属各子公司信息化建设统筹协调管理,提高信息资源的利用率。
实现信息化工作集中管理的保险集团(控股)公司,应确保集团内各法人机构之间的信息系统及相关硬件、网络等有效安全隔离,并符合国家及监管部门有关要求。
第十八条各公司应按照有效性、可用性和安全性的原则,对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施,至少保证满足公司未来两年的业务发展要求。
第十九条各公司应根据信息化发展需要,建设相应的计算机中心机房和灾备机房,自建、共建或租用第三方的机
房建设均应符合国家相关规范标准和监管部门要求。
第二十条各公司应全面梳理公司经营管理流程,建立与经营管理相适应的信息系统,加强信息系统间的集成与整合,实现财务、业务等核心系统的无缝对接,提高系统的协同工作水平。
第二十一条各公司应运用信息技术加强内部控制与合规建设,促进内部控制流程与信息系统的有机结合,实现对各项业务和事项的自动控制,减少人为操控因素。
第二十二条新开发的系统或经过重大改造的系统在上线运行前,应对功能与性能进行严格测试,并通过安全评测。
经过一般性改造的系统在上线运行前应遵循审慎原则,做好相关测试工作。
第二十三条各公司应加强知识产权保护工作,优先采购自主可控的硬件设备和软件产品,严禁侵权盗版;根据自身实际情况,积极研发具有自主知识产权的信息产品,并采取有效措施保护公司信息化工作成果。
四、安全保障与风险控制
第二十四条各公司应加强信息安全与信息系统的同步规划和同步建设,构建完善的信息安全保障体系。
应通过管理机制和技术手段,确保信息系统安全,保证重要信息的可用、保密、完整及真实,保障业务活动的连续性。
第二十五条各公司应按照“谁主管、谁负责,谁运营、
谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
第二十六条各公司应建立健全信息安全监控体系和报告机制,明确风险预警标准,加强信息安全的监控和预警,提高风险防范处置能力。
第二十七条各公司应按照国家有关规定和监管要求,对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护。
第二十八条各公司应制订重要数据的备份制度和策略,实施有效的数据备份措施,并按照监管部门有关要求,推进信息系统灾难恢复建设工作。
第二十九条各公司应建立信息系统重大突发事件的应急处理机制,制定应急预案。
应急预案要明确启动机制、责任人员、处置流程、具体方案和外部资源,并根据工作实际进行动态调整和定期应急演练,确保应急预案的可操作性。
第三十条各公司应建立外联网络接入标准和安全规范,明确审批机制、风险评估机制及对应的风险控制措施,加强外联网络的接入管理。
对门户网站、电子商务等互联网系统进行统一规划、统一管理,采取必要技术手段和管理措施确保相应信息系统安全。
第三十一条各公司应加强信息化工作外包服务管理,
不得将信息化管理责任外包。
应按照监管部门要求,结合外包服务实际需要,制订外包服务的基本规范,确保对信息系统安全的控制能力。
五、发展环境
第三十二条各公司应结合信息化工作规划实施的需要,制定信息化工作经费预算,并保障信息化工作经费预算的执行,确保信息化建设的正常有效开展。
第三十三条各公司应根据自身实际并结合信息化工作的特点,合理配备信息技术人员,制定并实施有利于公司可持续发展的信息化人力资源政策,鼓励建立信息技术专业职级体系。
第三十四条各公司应积极探索、建立并实施信息化工作投入产出的评价体系,完善信息化工作绩效考核机制。
第三十五条各公司应加强信息化工作相关研究,建立创新激励机制,鼓励科技创新。
有条件的公司可探索建立科技创新基金。
第三十六条各公司应将全体员工信息化培训列入培训计划,培训至少每两年一次。
新员工上岗前,应经过信息化相关培训和考核。
第三十七条各公司应根据履行职责的需要,每年开展信息技术人员的专业技能培训和业务培训。
第三十八条各公司应积极参与行业信息技术交流活
动,提高行业信息化工作水平。
第三十九条各公司应支持行业信息标准化工作,确保行业信息标准的贯彻落实。
六、审计与备案
第四十条各公司应建立信息化工作的风险评估机制和信息系统审计制度,由独立于信息技术部门的有关部门负责审计工作,至少每两年进行一次审计。
审计结果应在审计完成后三个月内报保监会备案。
鼓励公司在符合国家有关法律、法规和监管要求情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第四十一条各公司应于每年第一季度向保监会报送信息化工作报告。
报告内容包括上一年度信息化工作情况与本年度信息化工作计划。
第四十二条各公司应按监管部门有关要求及时向保监会报告信息化工作重大事项。
七、附则
第四十三条本指引由中国保监会负责解释。
第四十四条本指引自2010年1月1日起施行。