來自銀保監(jiān)會網站消息�,經銀保監(jiān)會同意,現(xiàn)將《保險中介機構信息化工作監(jiān)管辦法》印發(fā)給你們,請遵照執(zhí)行����。
保險中介機構信息化工作監(jiān)管辦法
第一章 總則
第一條 為加強保險中介監(jiān)管�����,提高保險中介機構信息化工作與經營管理水平����,推動保險中介行業(yè)高質量發(fā)展,根據《中華人民共和國保險法》《中華人民共和國網絡安全法》《保險代理人監(jiān)管規(guī)定》《保險經紀人監(jiān)管規(guī)定》《保險公估人監(jiān)管規(guī)定》等法律�����、行政法規(guī)���,制定本辦法�。
第二條 在中華人民共和國境內依法設立的保險中介機構適用本辦法����。
第三條 本辦法所稱保險中介機構���,是指保險代理人(不含個人代理人)、保險經紀人和保險公估人��,包括法人機構和分支機構�。保險代理人(不含個人代理人)包括保險專業(yè)代理機構和保險兼業(yè)代理機構。
本辦法所稱保險中介機構信息化工作��,是指保險中介機構將計算機��、通信����、網絡等現(xiàn)代信息技術,應用于業(yè)務處理�、經營管理和內部控制等方面,以持續(xù)提高運營效率�����、優(yōu)化內部資源配置和提升風險防范水平為目的所開展的工作���。其中保險兼業(yè)代理機構信息化工作���,僅指該機構與保險兼業(yè)代理業(yè)務相關的信息化工作�����。
本辦法所稱信息化突發(fā)事件�,是指信息系統(tǒng)或信息化基礎設施出現(xiàn)故障�����、受到網絡攻擊����,導致保險中介機構在同一省份的營業(yè)網點�����、電子渠道業(yè)務中斷3小時以上�,或在兩個及以上省份的營業(yè)網點、電子渠道業(yè)務中斷30分鐘以上���;或者因網絡欺詐或其它信息安全事件��,導致保險中介機構或客戶資金損失1000萬元以上���,或造成重大社會影響����;或者保險中介機構丟失或泄露大量重要數(shù)據或客戶信息等�����,已經或可能造成重大損失����、嚴重影響。
第四條 保險中介機構信息化工作應當符合中華人民共和國法律��、行政法規(guī)和中國銀行保險監(jiān)督管理委員會(以下簡稱銀保監(jiān)會)監(jiān)管制度要求����。
保險中介機構信息化工作要遵循安全性、可靠性和有效性相統(tǒng)一�����、技術路線與業(yè)務發(fā)展方向相一致�、信息系統(tǒng)與管理需求相匹配的原則。
第五條 保險中介機構是本機構信息化工作的責任主體����,保險中介機構法定代表人或主要負責人對本機構信息化工作承擔首要責任�。
第六條 銀保監(jiān)會及其派出機構依法對保險中介機構信息化工作實施監(jiān)督管理����。
第二章 基本要求
第七條 保險中介機構應履行以下信息化工作職責:
(一)貫徹國家網絡安全與信息化工作的法律、行政法規(guī)��、技術標準和銀保監(jiān)會監(jiān)管制度��。
(二)制定本機構信息化工作規(guī)劃����,確保與總體業(yè)務規(guī)劃相一致����。
(三)制定信息化工作制度,建立分工合理��、職責明確����、報告關系清晰的信息化管理機制。
(四)編制信息化預算�����,保障信息化工作所需資金。
(五)開展本機構信息化建設����,確保完整掌握本機構信息系統(tǒng)和數(shù)據的管理權。
(六)制定本機構信息化突發(fā)事件應急預案��,組織開展應急演練��,及時報告����、快速響應和處置本機構發(fā)生的信息化突發(fā)事件。
(七)配合銀保監(jiān)會及其派出機構開展的信息化工作監(jiān)督檢查�,如實提供相關文件資料,并按照監(jiān)管意見進行整改�����。
(八)開展信息化培訓�,強化本機構人員的信息化意識、信息安全意識和軟件正版化意識���。
(九)銀保監(jiān)會規(guī)定的其他信息化工作職責�。
第八條 保險中介機構應自主開展信息化工作。信息化工作與關聯(lián)企業(yè)(含股東���、參股企業(yè)����、其他關聯(lián)企業(yè))有關聯(lián)的����,保險中介機構應厘清與關聯(lián)企業(yè)之間的信息化工作職責,各自承擔信息安全管理責任���。保險中介機構的重要信息化機制���、設施及其管理應保持獨立完整�,與關聯(lián)企業(yè)相關設施有效隔離,嚴格規(guī)范信息系統(tǒng)和數(shù)據的訪問���、使用����、轉移�、復制等行為�,不得違規(guī)向關聯(lián)企業(yè)泄露保單���、個人信息等數(shù)據信息����。重要信息化機制���、設施包括但不限于信息化治理與規(guī)劃����,業(yè)務�、財務、人員等重要信息系統(tǒng)及其中的數(shù)據信息���。
信息化事項外包給關聯(lián)企業(yè)的�,應按照本辦法外包要求實施有效管理�。
第九條 保險中介法人機構應指定一名高級管理人員統(tǒng)籌負責法人機構及分支機構的信息化管理工作。
第十條 保險中介法人機構應設置信息化部門或信息化崗位�,負責信息化工作的正式工作人員不少于一人。分支機構應有正式工作人員輔助法人機構開展信息化工作���。
第十一條 申請開展保險中介業(yè)務的法人機構應按照本辦法開展信息化建設��,并向機構營業(yè)執(zhí)照登記注冊地銀保監(jiān)會派出機構報送信息化工作情況報告�,報告內容應包括信息化管理機制和制度情況、信息系統(tǒng)滿足本辦法第十七條要求的情況����、信息系統(tǒng)采購合同或知識產權證書等。
設立保險中介機構分支機構�����,保險中介法人機構或其省級分支機構應向分支機構營業(yè)執(zhí)照登記注冊地銀保監(jiān)會派出機構報送法人機構及該分支機構的信息化工作情況報告�。
第十二條 保險中介法人機構應加強分支機構信息化管理,除法律�、行政法規(guī)和銀保監(jiān)會監(jiān)管制度另有規(guī)定外,法人機構與分支機構應使用同一套信息系統(tǒng)���。法人機構應督促分支機構及時錄入經營數(shù)據��,通過信息系統(tǒng)對各分支機構的經營情況進行管理與監(jiān)控�����。
第十三條 保險中介機構應按監(jiān)管要求通過保險中介監(jiān)管相關信息系統(tǒng)及時向銀保監(jiān)會及其派出機構報告監(jiān)管事項、報送監(jiān)管數(shù)據��。
第十四條 保險中介機構發(fā)生信息化突發(fā)事件的,應按照銀保監(jiān)會信息化突發(fā)事件信息報告相關規(guī)定在24小時內向機構營業(yè)執(zhí)照登記注冊地銀保監(jiān)會派出機構報告信息��。特別重大����、可能造成嚴重社會影響的信息化突發(fā)事件發(fā)生后,保險中介機構應在30分鐘內電話報告相關信息��、1小時內書面報告信息���。
第十五條 保險中介機構應使用正版軟件�����,禁止復制�����、傳播或使用非授權軟件��。對本機構擁有自主知識產權的信息系統(tǒng)采取有效措施加以保護��,切實提高軟件正版化意識和知識產權保護意識����。
第十六條 保險中介機構應主動跟蹤、研究�����、應用新興信息技術�����,在防范風險的前提下積極推進業(yè)務創(chuàng)新與服務創(chuàng)新����,提升核心競爭力。
第三章 信息系統(tǒng)
第十七條 保險中介法人機構應根據業(yè)務規(guī)模和發(fā)展需要��,建立相匹配的業(yè)務管理����、財務管理和人員管理等信息系統(tǒng),并符合以下要求:
(一)業(yè)務管理系統(tǒng)能夠記錄并管理業(yè)務協(xié)議����、保險業(yè)務詳細情況、客戶信息���、相關憑證和其他業(yè)務情況等���。
(二)財務管理系統(tǒng)能夠記錄并管理財務總賬、科目明細賬�����、應收應付���、會計報表���、發(fā)票等。
(三)人員管理系統(tǒng)能夠記錄并管理保險中介從業(yè)人員的基本信息���、入職離職�、用工合同���、執(zhí)業(yè)登記�����、人力薪酬�����、培訓和獎懲等情況�。
(四)業(yè)務管理、財務管理與人員管理系統(tǒng)的數(shù)據能夠匹配一致��、相互驗證���。
(五)通過技術手段實現(xiàn)與合作保險公司的系統(tǒng)互通���、業(yè)務互聯(lián)、數(shù)據對接�。
(六)能夠生成符合監(jiān)管要求的數(shù)據文件,通過技術手段實現(xiàn)與保險中介監(jiān)管相關信息系統(tǒng)的數(shù)據對接��。
(七)能夠按照合作機構��、分支機構����、業(yè)務類別、業(yè)務渠道����、險種���、收支口徑、區(qū)域�、時間等維度對機構經營情況進行匯總和分析����。
(八)具備用戶權限管理功能,能夠按照不同角色為用戶配置數(shù)據的增加�、刪除、修改和查看權限��。
(九)具備日志管理功能�����,能夠記錄用戶操作行為和操作時間����。
(十)遵循國家標準化管理部門和銀保監(jiān)會發(fā)布的相關行業(yè)標準和技術規(guī)范。
第十八條 保險中介機構可采取自主開發(fā)��、合作開發(fā)�����、定制開發(fā)、外包開發(fā)和購買云服務等形式建設信息系統(tǒng)�。
保險中介機構應充分認識和有效控制信息化建設相關的風險,不論以何種方式建設信息系統(tǒng)�����,保險中介機構均應遵守本辦法����、承擔信息安全管理責任。
第十九條 采用合作開發(fā)���、定制開發(fā)��、外包開發(fā)和購買云服務等外包模式建設信息系統(tǒng)的���,保險中介機構應識別和分析信息科技外包風險,加強對外包服務商的資質審查���,加強對外包服務的風險管理����,規(guī)范外包合同條款����,明確外包范圍�����、責任邊界��、安全保密和個人信息保護責任����,采取有效手段保障數(shù)據和信息系統(tǒng)安全且持續(xù)可控��。保險中介機構應提高自主研發(fā)能力���,逐步降低對外包服務商的依賴。
第二十條 保險中介機構應按照最少功能��、最小權限原則合理確定信息系統(tǒng)訪問權限并定期檢查核對���,確保用戶權限與其工作職責相匹配��。嚴格控制系統(tǒng)訪問權限�,禁止未經授權查看��、下載數(shù)據。嚴格控制通過系統(tǒng)后臺修改數(shù)據��,確需修改的要做到事前批準����、事中監(jiān)控和事后留痕。
第二十一條 保險中介機構應通過信息系統(tǒng)全面����、準確、完整地記錄管理業(yè)務��、財務和人員等情況�,確保信息系統(tǒng)記錄管理的數(shù)據與真實業(yè)務經營情況一致。
保險中介機構應在各保險業(yè)務環(huán)節(jié)發(fā)生之日起3個工作日內��,將業(yè)務明細數(shù)據錄入信息系統(tǒng)�����,如同時涉及財務����、人員事項應同步完成財務和人員明細數(shù)據錄入。
第二十二條 保險中介機構開展信息系統(tǒng)投產���、變更或數(shù)據遷移等工作的�,應組織風險評估,編制實施計劃�,制定系統(tǒng)回退和應急處置方案,開展演練測試和培訓�,審慎實施,并在實施完成后進行有效性驗證�。
第四章 信息安全
第二十三條 保險中介機構應建立健全信息安全管理制度,部署實施邊界防護����、病毒防護、入侵檢測���、數(shù)據備份、災難恢復等信息安全措施��,保障業(yè)務持續(xù)和數(shù)據安全����。
第二十四條 保險中介機構應按照國家網絡安全等級保護相關規(guī)定,合理確定信息系統(tǒng)的安全等級��,并按照國家網絡安全等級保護相關標準進行防護�,獲得相應的國家網絡安全等級保護認證����。
第二十五條 保險中介機構應對重要數(shù)據采取保護措施�����,保障數(shù)據在收集�、存儲、傳輸����、使用、提供����、備份、恢復和銷毀等過程中的安全�����,合法使用數(shù)據��,嚴防數(shù)據泄露�����、篡改和損毀,保障數(shù)據的完整性����、保密性和可用性。
保險中介機構應采取可靠措施進行數(shù)據存儲和備份��,定期開展備份數(shù)據恢復驗證�。系統(tǒng)數(shù)據應至少保存五年,系統(tǒng)日志應至少保存六個月�����。
第二十六條 保險中介機構收集����、處理和應用數(shù)據涉及到個人信息的,應遵循合法���、正當、必要的原則���,遵守國家相關法律����、行政法規(guī),符合與個人信息安全相關的國家標準�。
未經允許或授權,保險中介機構不得收集與其提供的服務無關的個人信息�;不得違反法律、行政法規(guī)和合同約定收集�����、使用�、提供和處理個人信息;不得泄露��、篡改個人信息����。
第二十七條 保險中介機構應加強對臺式計算機、便攜式計算機����、智能手機、平板電腦�、移動存儲介質等終端設備的管理,根據法律�����、行政法規(guī)要求和本機構網絡安全實際情況對終端設備選擇實施登錄控制、病毒防護����、軟件安裝與卸載管理、移動存儲介質管理�����、固定資產管理��、網絡準入���、違規(guī)監(jiān)測等安全措施�����。
第二十八條 保險中介機構應經常開展信息化培訓�����、信息安全培訓和保密教育,與員工簽訂信息安全和保密協(xié)議�,督促員工履行與其工作崗位相應的信息安全和保密職責。
第五章 監(jiān)督管理
第二十九條 銀保監(jiān)會在有效防范保險中介市場風險、維護信息安全的基礎上�����,建立健全符合保險中介行業(yè)發(fā)展特點的信息化監(jiān)管機制����,引導保險中介機構不斷提高信息化工作水平,推動保險公司與中介機構系統(tǒng)對接��,營造透明���、規(guī)范���、高效的市場環(huán)境,促進保險中介行業(yè)高質量發(fā)展���。
第三十條 銀保監(jiān)會負責制定保險中介機構信息化工作監(jiān)管制度�����,授權各派出機構開展保險中介機構信息化工作日常監(jiān)管����、指導與檢查。
銀保監(jiān)會及其派出機構應加強風險識別���、評估和預警�,合理分配資源�����,統(tǒng)籌監(jiān)管聯(lián)動����,有序開展監(jiān)管工作。
第三十一條 銀保監(jiān)會及其派出機構應審查保險中介機構信息化工作����。
保險中介機構信息化工作不符合本辦法要求的,視為不符合《保險代理人監(jiān)管規(guī)定》第七條�����、第十二條����、第十八條,《保險經紀人監(jiān)管規(guī)定》第七條��、第十六條,《保險公估人監(jiān)管規(guī)定》第十六條�、第十八條等相關條件���,不得經營保險中介業(yè)務��。
第三十二條 銀保監(jiān)會及其派出機構重點對存在下列情形的保險中介機構進行信息化工作檢查:
(一)信息化工作存在重大安全隱患或不符合本辦法要求的�。
(二)發(fā)生信息化突發(fā)事件的����。
(三)違反銀保監(jiān)會信息化突發(fā)事件信息報告相關規(guī)定的。
(四)對嚴重信息安全隱患未采取整改措施或整改不力的����。
(五)惡意對信息系統(tǒng)或數(shù)據進行篡改、刪除或關閉����,逃避監(jiān)督檢查的。
(六)違規(guī)收集�、使用、提供和處理個人信息或泄露��、篡改個人信息的��。
(七)向銀保監(jiān)會及其派出機構報送數(shù)據、報表�、報告,存在誤報����、漏報、錯報���、遲報等行為的�����。
(八)銀保監(jiān)會及其派出機構認為有必要進行信息化工作檢查的其他情形�。
第三十三條 銀保監(jiān)會及其派出機構依據法律����、行政法規(guī)和相關規(guī)定,對違反本辦法的保險中介機構采取監(jiān)管措施或實施行政處罰���,并追究相關人員責任��。
第六章 附則
第三十四條 保險中介機構應按照本辦法進行信息化工作自查�����,在本辦法實施之日起一年內完成整改�����。完成整改后���,保險中介機構法人機構將信息化工作情況報告報送至機構營業(yè)執(zhí)照登記注冊地銀保監(jiān)會派出機構。
第三十五條 本辦法由銀保監(jiān)會負責解釋和修訂��。
第三十六條 本辦法自2021年2月1日起施行�,《關于加強保險中介機構信息化建設的通知》(保監(jiān)發(fā)〔2007〕28號)同時廢止。
查看原圖
粵公網安備 44010602001889號