各保監(jiān)局���,各保險(xiǎn)公司��、保險(xiǎn)資產(chǎn)管理公司:
為加強(qiáng)保險(xiǎn)公司信息化工作管理��,提高保險(xiǎn)業(yè)信息化工作水平��,中國(guó)保險(xiǎn)監(jiān)督管理委員會(huì)制定了《保險(xiǎn)公司信息化工作管理指引(試行)》。現(xiàn)印發(fā)給你們��,請(qǐng)遵照?qǐng)?zhí)行��。
中國(guó)保險(xiǎn)監(jiān)督管理委員會(huì)
二○○九年十二月二十九日
保險(xiǎn)公司信息化工作管理指引(試行)
一���、總 則
第一條 為加強(qiáng)保險(xiǎn)公司信息化工作管理��,促進(jìn)信息化工作規(guī)范化與標(biāo)準(zhǔn)化建設(shè)���,提高保險(xiǎn)業(yè)信息化工作水平,根據(jù)《中華人民共和國(guó)保險(xiǎn)法》及國(guó)家有關(guān)法律法規(guī)���,制定本指引���。
第二條 本指引適用于在中華人民共和國(guó)境內(nèi)依法設(shè)立的保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司。
第三條 本指引所稱信息化工作��,是指計(jì)算機(jī)��、通信���、網(wǎng)絡(luò)等現(xiàn)代信息技術(shù)在保險(xiǎn)公司業(yè)務(wù)處理���、經(jīng)營(yíng)管理等方面的應(yīng)用��,包括相應(yīng)的信息化組織架構(gòu)建立��、制度建設(shè),以及基礎(chǔ)環(huán)境建設(shè)等工作��。
第四條 各公司應(yīng)把信息化工作納入公司全面發(fā)展框架進(jìn)行統(tǒng)籌考慮���,建立有效的信息化治理機(jī)制��,明確信息化工作決策權(quán)歸屬��,實(shí)現(xiàn)信息資源的合理利用���,確保信息化工作與業(yè)務(wù)發(fā)展目標(biāo)一致;加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理��,確保信息系統(tǒng)安全��、穩(wěn)定運(yùn)行��。
實(shí)現(xiàn)信息化工作集中管理的保險(xiǎn)集團(tuán)(控股)公司��,可以集團(tuán)(控股)公司為單位對(duì)信息化工作統(tǒng)籌規(guī)劃執(zhí)行。
第五條 中國(guó)保監(jiān)會(huì)依法對(duì)保險(xiǎn)公司信息化工作實(shí)施監(jiān)督管理��。
二���、組織管理與規(guī)劃
第六條 各公司是信息化工作規(guī)劃���、建設(shè)、管理和安全的責(zé)任主體���。公司法定代表人或主要負(fù)責(zé)人對(duì)此負(fù)有最終責(zé)任���。
第七條 各公司應(yīng)建立信息化工作委員會(huì),明確其工作職責(zé)和工作制度��。定期或根據(jù)需要召開工作會(huì)議���,對(duì)信息化工作重大事項(xiàng)決策研判���,并提交公司最高決策層批準(zhǔn)實(shí)施。
第八條 信息化工作委員會(huì)負(fù)責(zé)人應(yīng)由公司高級(jí)管理人員擔(dān)任��,組成人員應(yīng)包括信息技術(shù)、業(yè)務(wù)���、財(cái)務(wù)���、人事、發(fā)展規(guī)劃和風(fēng)險(xiǎn)控制等部門的負(fù)責(zé)人���。有條件的公司可聘請(qǐng)外部專家參加���。
信息化工作委員會(huì)應(yīng)下設(shè)辦公室��,負(fù)責(zé)落實(shí)和協(xié)調(diào)信息化工作委員會(huì)的具體事宜��。辦公室原則上應(yīng)設(shè)置在信息技術(shù)部門��。
第九條 各公司應(yīng)設(shè)立首席信息官或指定公司高級(jí)管理人員作為信息化工作的直接責(zé)任人���。直接責(zé)任人應(yīng)負(fù)責(zé)公司信息化建設(shè)工作���,并參與公司經(jīng)營(yíng)、管理和決策��,其任職條件應(yīng)符合監(jiān)管部門規(guī)定。
第十條 各公司應(yīng)建立組織結(jié)構(gòu)合理���、人員崗位分工明確的信息技術(shù)部門���。信息技術(shù)部門負(fù)責(zé)信息化工作相關(guān)的規(guī)劃、建設(shè)���、管理和運(yùn)維等工作��。
第十一條 各公司應(yīng)結(jié)合信息化工作特點(diǎn)和內(nèi)部控制要求���,明確信息化工作中各相關(guān)部門及各級(jí)分支機(jī)構(gòu)的職責(zé),加強(qiáng)對(duì)分支機(jī)構(gòu)信息化工作的指導(dǎo)和管理��,將信息化工作相關(guān)的權(quán)利和責(zé)任落實(shí)到位���。
第十二條 各公司應(yīng)制定明確的信息化工作制度���、標(biāo)準(zhǔn)和操作流程,定期或根據(jù)需要及時(shí)進(jìn)行更新���、發(fā)布��。
第十三條 各公司應(yīng)根據(jù)公司業(yè)務(wù)發(fā)展戰(zhàn)略���,制訂明確的信息化工作規(guī)劃��。規(guī)劃應(yīng)具有開放性和前瞻性��,符合公司經(jīng)營(yíng)管理的需要���,并確保信息化建設(shè)的穩(wěn)定性和延續(xù)性。規(guī)劃應(yīng)經(jīng)過信息化工作委員會(huì)的審批��,并提交公司最高決策層批準(zhǔn)實(shí)施���。
第十四條 各公司應(yīng)建立信息化規(guī)劃定期審查、評(píng)估和修訂機(jī)制���,規(guī)劃的審查��、評(píng)估工作至少每年一次���,修訂后的規(guī)劃應(yīng)經(jīng)信息化工作委員會(huì)審批,并提交公司最高決策層批準(zhǔn)實(shí)施��。
三、基礎(chǔ)環(huán)境與信息系統(tǒng)建設(shè)
第十五條 各公司信息化建設(shè)��、管理及信息化工作中涉及的數(shù)據(jù)信息���,應(yīng)符合國(guó)家及行業(yè)的有關(guān)規(guī)范���、標(biāo)準(zhǔn)和監(jiān)管部門要求。
第十六條 各公司應(yīng)實(shí)現(xiàn)數(shù)據(jù)信息集中管控��,建立健全數(shù)據(jù)管理的有效機(jī)制���,提高數(shù)據(jù)資產(chǎn)價(jià)值的利用能力和水平���。
第十七條 各保險(xiǎn)集團(tuán)(控股)公司可根據(jù)業(yè)務(wù)管理、風(fēng)險(xiǎn)管控等需要���,對(duì)下屬各子公司信息化建設(shè)統(tǒng)籌協(xié)調(diào)管理��,提高信息資源的利用率���。
實(shí)現(xiàn)信息化工作集中管理的保險(xiǎn)集團(tuán)(控股)公司,應(yīng)確保集團(tuán)內(nèi)各法人機(jī)構(gòu)之間的信息系統(tǒng)及相關(guān)硬件���、網(wǎng)絡(luò)等有效安全隔離��,并符合國(guó)家及監(jiān)管部門有關(guān)要求��。
第十八條 各公司應(yīng)按照有效性���、可用性和安全性的原則��,對(duì)信息化基礎(chǔ)設(shè)施和信息系統(tǒng)的功能���、性能和安全保障等方面做出規(guī)定并按規(guī)定實(shí)施,至少保證滿足公司未來兩年的業(yè)務(wù)發(fā)展要求��。
第十九條 各公司應(yīng)根據(jù)信息化發(fā)展需要���,建設(shè)相應(yīng)的計(jì)算機(jī)中心機(jī)房和災(zāi)備機(jī)房���,自建���、共建或租用第三方的機(jī)房建設(shè)均應(yīng)符合國(guó)家相關(guān)規(guī)范標(biāo)準(zhǔn)和監(jiān)管部門要求���。
第二十條 各公司應(yīng)全面梳理公司經(jīng)營(yíng)管理流程���,建立與經(jīng)營(yíng)管理相適應(yīng)的信息系統(tǒng),加強(qiáng)信息系統(tǒng)間的集成與整合��,實(shí)現(xiàn)財(cái)務(wù)���、業(yè)務(wù)等核心系統(tǒng)的無(wú)縫對(duì)接���,提高系統(tǒng)的協(xié)同工作水平。
第二十一條 各公司應(yīng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制與合規(guī)建設(shè)���,促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合���,實(shí)現(xiàn)對(duì)各項(xiàng)業(yè)務(wù)和事項(xiàng)的自動(dòng)控制,減少人為操控因素���。
第二十二條 新開發(fā)的系統(tǒng)或經(jīng)過重大改造的系統(tǒng)在上線運(yùn)行前��,應(yīng)對(duì)功能與性能進(jìn)行嚴(yán)格測(cè)試��,并通過安全評(píng)測(cè)��。經(jīng)過一般性改造的系統(tǒng)在上線運(yùn)行前應(yīng)遵循審慎原則��,做好相關(guān)測(cè)試工作��。
第二十三條 各公司應(yīng)加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)工作���,優(yōu)先采購(gòu)自主可控的硬件設(shè)備和軟件產(chǎn)品��,嚴(yán)禁侵權(quán)盜版���;根據(jù)自身實(shí)際情況,積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息產(chǎn)品���,并采取有效措施保護(hù)公司信息化工作成果���。
四、安全保障與風(fēng)險(xiǎn)控制
第二十四條 各公司應(yīng)加強(qiáng)信息安全與信息系統(tǒng)的同步規(guī)劃和同步建設(shè)��,構(gòu)建完善的信息安全保障體系���。應(yīng)通過管理機(jī)制和技術(shù)手段���,確保信息系統(tǒng)安全���,保證重要信息的可用���、保密���、完整及真實(shí),保障業(yè)務(wù)活動(dòng)的連續(xù)性���。
第二十五條 各公司應(yīng)按照“誰(shuí)主管��、誰(shuí)負(fù)責(zé)���,誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)��,誰(shuí)使用���、誰(shuí)負(fù)責(zé)”的原則��,明確信息安全各相關(guān)方的責(zé)任��,加強(qiáng)人員管理��,強(qiáng)化信息安全意識(shí)���,全面落實(shí)信息安全管理責(zé)任制��。
第二十六條 各公司應(yīng)建立健全信息安全監(jiān)控體系和報(bào)告機(jī)制,明確風(fēng)險(xiǎn)預(yù)警標(biāo)準(zhǔn)��,加強(qiáng)信息安全的監(jiān)控和預(yù)警,提高風(fēng)險(xiǎn)防范處置能力��。
第二十七條 各公司應(yīng)按照國(guó)家有關(guān)規(guī)定和監(jiān)管要求��,對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)劃分��,按照安全等級(jí)實(shí)施信息系統(tǒng)安全等級(jí)保護(hù)��。
第二十八條 各公司應(yīng)制訂重要數(shù)據(jù)的備份制度和策略��,實(shí)施有效的數(shù)據(jù)備份措施��,并按照監(jiān)管部門有關(guān)要求���,推進(jìn)信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)工作���。
第二十九條 各公司應(yīng)建立信息系統(tǒng)重大突發(fā)事件的應(yīng)急處理機(jī)制,制定應(yīng)急預(yù)案。應(yīng)急預(yù)案要明確啟動(dòng)機(jī)制��、責(zé)任人員��、處置流程���、具體方案和外部資源,并根據(jù)工作實(shí)際進(jìn)行動(dòng)態(tài)調(diào)整和定期應(yīng)急演練��,確保應(yīng)急預(yù)案的可操作性���。
第三十條 各公司應(yīng)建立外聯(lián)網(wǎng)絡(luò)接入標(biāo)準(zhǔn)和安全規(guī)范��,明確審批機(jī)制��、風(fēng)險(xiǎn)評(píng)估機(jī)制及對(duì)應(yīng)的風(fēng)險(xiǎn)控制措施��,加強(qiáng)外聯(lián)網(wǎng)絡(luò)的接入管理���。對(duì)門戶網(wǎng)站、電子商務(wù)等互聯(lián)網(wǎng)系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃��、統(tǒng)一管理��,采取必要技術(shù)手段和管理措施確保相應(yīng)信息系統(tǒng)安全。
第三十一條 各公司應(yīng)加強(qiáng)信息化工作外包服務(wù)管理��,不得將信息化管理責(zé)任外包���。應(yīng)按照監(jiān)管部門要求��,結(jié)合外包服務(wù)實(shí)際需要���,制訂外包服務(wù)的基本規(guī)范,確保對(duì)信息系統(tǒng)安全的控制能力��。
五��、發(fā)展環(huán)境
第三十二條 各公司應(yīng)結(jié)合信息化工作規(guī)劃實(shí)施的需要��,制定信息化工作經(jīng)費(fèi)預(yù)算���,并保障信息化工作經(jīng)費(fèi)預(yù)算的執(zhí)行���,確保信息化建設(shè)的正常有效開展。
第三十三條 各公司應(yīng)根據(jù)自身實(shí)際并結(jié)合信息化工作的特點(diǎn)��,合理配備信息技術(shù)人員���,制定并實(shí)施有利于公司可持續(xù)發(fā)展的信息化人力資源政策��,鼓勵(lì)建立信息技術(shù)專業(yè)職級(jí)體系���。
第三十四條 各公司應(yīng)積極探索��、建立并實(shí)施信息化工作投入產(chǎn)出的評(píng)價(jià)體系��,完善信息化工作績(jī)效考核機(jī)制。
第三十五條 各公司應(yīng)加強(qiáng)信息化工作相關(guān)研究��,建立創(chuàng)新激勵(lì)機(jī)制���,鼓勵(lì)科技創(chuàng)新��。有條件的公司可探索建立科技創(chuàng)新基金���。
第三十六條 各公司應(yīng)將全體員工信息化培訓(xùn)列入培訓(xùn)計(jì)劃,培訓(xùn)至少每?jī)赡暌淮?��。新員工上崗前��,應(yīng)經(jīng)過信息化相關(guān)培訓(xùn)和考核��。
第三十七條 各公司應(yīng)根據(jù)履行職責(zé)的需要���,每年開展信息技術(shù)人員的專業(yè)技能培訓(xùn)和業(yè)務(wù)培訓(xùn)��。
第三十八條 各公司應(yīng)積極參與行業(yè)信息技術(shù)交流活動(dòng)��,提高行業(yè)信息化工作水平��。
第三十九條 各公司應(yīng)支持行業(yè)信息標(biāo)準(zhǔn)化工作��,確保行業(yè)信息標(biāo)準(zhǔn)的貫徹落實(shí)��。
六���、審計(jì)與備案
第四十條 各公司應(yīng)建立信息化工作的風(fēng)險(xiǎn)評(píng)估機(jī)制和信息系統(tǒng)審計(jì)制度,由獨(dú)立于信息技術(shù)部門的有關(guān)部門負(fù)責(zé)審計(jì)工作��,至少每?jī)赡赀M(jìn)行一次審計(jì)��。審計(jì)結(jié)果應(yīng)在審計(jì)完成后三個(gè)月內(nèi)報(bào)保監(jiān)會(huì)備案���。
鼓勵(lì)公司在符合國(guó)家有關(guān)法律��、法規(guī)和監(jiān)管要求情況下��,聘請(qǐng)具備相應(yīng)資質(zhì)的外部機(jī)構(gòu)進(jìn)行外部審計(jì)和風(fēng)險(xiǎn)評(píng)估���。
第四十一條 各公司應(yīng)于每年第一季度向保監(jiān)會(huì)報(bào)送信息化工作報(bào)告���。報(bào)告內(nèi)容包括上一年度信息化工作情況與本年度信息化工作計(jì)劃。
第四十二條 各公司應(yīng)按監(jiān)管部門有關(guān)要求及時(shí)向保監(jiān)會(huì)報(bào)告信息化工作重大事項(xiàng)��。
七��、附 則
第四十三條 本指引由中國(guó)保監(jiān)會(huì)負(fù)責(zé)解釋��。
第四十四條 本指引自2010年1月1日起施行���。
責(zé)任編輯:阿十
京公網(wǎng)安備 11010802044457號(hào)
新用戶掃碼下載
