中國保險監督管理委員會 　　關于印發《保險公司信息化工作管理指引(試行)》的通知 　　保監發〔2009〕133號 　　各保監局，各保險公司、保險資產管理公司： 　　為加強保險公司信息化工作管理，提高保險業信息化工作水平，中國保險監督管理委員會制定了《保險公司信息化工作管理指引(試行)》。現印發給你們，請遵照執行。 　　中國保險監督管理委員會 　　二○○九年十二月二十九日 　　保險公司信息化工作管理指引(試行) 　　一、總 則 　　第一條 為加強保險公司信息化工作管理，促進信息化工作規范化與標準化建設，提高保險業信息化工作水平，根據《中華人民共和國保險法》及國家有關法律法規，制定本指引。 　　第二條 本指引適用于在中華人民共和國境內依法設立的保險公司和保險資產管理公司。 　　第三條 本指引所稱信息化工作，是指計算機、通信、網絡等現代信息技術在保險公司業務處理、經營管理等方面的應用，包括相應的信息化組織架構建立、制度建設，以及基礎環境建設等工作。 　　第四條 各公司應把信息化工作納入公司全面發展框架進行統籌考慮，建立有效的信息化治理機制，明確信息化工作決策權歸屬，實現信息資源的合理利用，確保信息化工作與業務發展目標一致;加強信息系統風險管理，確保信息系統安全、穩定運行。 　　實現信息化工作集中管理的保險集團(控股)公司，可以集團(控股)公司為單位對信息化工作統籌規劃執行。 　　第五條 中國保監會依法對保險公司信息化工作實施監督管理。 　　二、組織管理與規劃 　　第六條 各公司是信息化工作規劃、建設、管理和安全的責任主體。公司法定代表人或主要負責人對此負有最終責任。 　　第七條 各公司應建立信息化工作委員會，明確其工作職責和工作制度。定期或根據需要召開工作會議，對信息化工作重大事項決策研判，并提交公司最高決策層批準實施。 　　第八條 信息化工作委員會負責人應由公司高級管理人員擔任，組成人員應包括信息技術、業務、財務、人事、發展規劃和風險控制等部門的負責人。有條件的公司可聘請外部專家參加。 　　信息化工作委員會應下設辦公室，負責落實和協調信息化工作委員會的具體事宜。辦公室原則上應設置在信息技術部門。 　　第九條 各公司應設立首席信息官或指定公司高級管理人員作為信息化工作的直接責任人。直接責任人應負責公司信息化建設工作，并參與公司經營、管理和決策，其任職條件應符合監管部門規定。 　　第十條 各公司應建立組織結構合理、人員崗位分工明確的信息技術部門。信息技術部門負責信息化工作相關的規劃、建設、管理和運維等工作。 　　第十一條 各公司應結合信息化工作特點和內部控制要求，明確信息化工作中各相關部門及各級分支機構的職責，加強對分支機構信息化工作的指導和管理，將信息化工作相關的權利和責任落實到位。 　　第十二條 各公司應制定明確的信息化工作制度、標準和操作流程，定期或根據需要及時進行更新、發布。 　　第十三條 各公司應根據公司業務發展戰略，制訂明確的信息化工作規劃。規劃應具有開放性和前瞻性，符合公司經營管理的需要，并確保信息化建設的穩定性和延續性。規劃應經過信息化工作委員會的審批，并提交公司最高決策層批準實施。 　　第十四條 各公司應建立信息化規劃定期審查、評估和修訂機制，規劃的審查、評估工作至少每年一次，修訂后的規劃應經信息化工作委員會審批，并提交公司最高決策層批準實施。 　　三、基礎環境與信息系統建設 　　第十五條 各公司信息化建設、管理及信息化工作中涉及的數據信息,應符合國家及行業的有關規范、標準和監管部門要求。 　　第十六條 各公司應實現數據信息集中管控，建立健全數據管理的有效機制，提高數據資產價值的利用能力和水平。 　　第十七條 各保險集團(控股)公司可根據業務管理、風險管控等需要，對下屬各子公司信息化建設統籌協調管理，提高信息資源的利用率。 　　實現信息化工作集中管理的保險集團(控股)公司，應確保集團內各法人機構之間的信息系統及相關硬件、網絡等有效安全隔離，并符合國家及監管部門有關要求。 　　第十八條 各公司應按照有效性、可用性和安全性的原則，對信息化基礎設施和信息系統的功能、性能和安全保障等方面做出規定并按規定實施，至少保證滿足公司未來兩年的業務發展要求。 　　第十九條 各公司應根據信息化發展需要，建設相應的計算機中心機房和災備機房，自建、共建或租用第三方的機房建設均應符合國家相關規范標準和監管部門要求。 　　第二十條 各公司應全面梳理公司經營管理流程，建立與經營管理相適應的信息系統，加強信息系統間的集成與整合，實現財務、業務等核心系統的無縫對接，提高系統的協同工作水平。 　　第二十一條 各公司應運用信息技術加強內部控制與合規建設，促進內部控制流程與信息系統的有機結合，實現對各項業務和事項的自動控制，減少人為操控因素。 　　第二十二條 新開發的系統或經過重大改造的系統在上線運行前，應對功能與性能進行嚴格測試，并通過安全評測。經過一般性改造的系統在上線運行前應遵循審慎原則，做好相關測試工作。 　　第二十三條 各公司應加強知識產權保護工作，優先采購自主可控的硬件設備和軟件產品，嚴禁侵權盜版;根據自身實際情況，積極研發具有自主知識產權的信息產品，并采取有效措施保護公司信息化工作成果。 　　四、安全保障與風險控制 　　第二十四條 各公司應加強信息安全與信息系統的同步規劃和同步建設，構建完善的信息安全保障體系。應通過管理機制和技術手段，確保信息系統安全，保證重要信息的可用、保密、完整及真實，保障業務活動的連續性。 　　第二十五條 各公司應按照“誰主管、誰負責，誰運營、誰負責，誰使用、誰負責”的原則，明確信息安全各相關方的責任，加強人員管理，強化信息安全意識，全面落實信息安全管理責任制。 　　第二十六條 各公司應建立健全信息安全監控體系和報告機制，明確風險預警標準，加強信息安全的監控和預警，提高風險防范處置能力。 　　第二十七條 各公司應按照國家有關規定和監管要求，對信息系統進行安全等級劃分，按照安全等級實施信息系統安全等級保護。 　　第二十八條 各公司應制訂重要數據的備份制度和策略，實施有效的數據備份措施，并按照監管部門有關要求，推進信息系統災難恢復建設工作。 　　第二十九條 各公司應建立信息系統重大突發事件的應急處理機制，制定應急預案。應急預案要明確啟動機制、責任人員、處置流程、具體方案和外部資源，并根據工作實際進行動態調整和定期應急演練，確保應急預案的可操作性。 　　第三十條 各公司應建立外聯網絡接入標準和安全規范，明確審批機制、風險評估機制及對應的風險控制措施，加強外聯網絡的接入管理。對門戶網站、電子商務等互聯網系統進行統一規劃、統一管理，采取必要技術手段和管理措施確保相應信息系統安全。 　　第三十一條 各公司應加強信息化工作外包服務管理，不得將信息化管理責任外包。應按照監管部門要求，結合外包服務實際需要，制訂外包服務的基本規范，確保對信息系統安全的控制能力。 　　五、發展環境 　　第三十二條 各公司應結合信息化工作規劃實施的需要，制定信息化工作經費預算，并保障信息化工作經費預算的執行，確保信息化建設的正常有效開展。 　　第三十三條 各公司應根據自身實際并結合信息化工作的特點，合理配備信息技術人員，制定并實施有利于公司可持續發展的信息化人力資源政策，鼓勵建立信息技術專業職級體系。 　　第三十四條 各公司應積極探索、建立并實施信息化工作投入產出的評價體系，完善信息化工作績效考核機制。 　　第三十五條 各公司應加強信息化工作相關研究，建立創新激勵機制，鼓勵科技創新。有條件的公司可探索建立科技創新基金。 　　第三十六條 各公司應將全體員工信息化培訓列入培訓計劃，培訓至少每兩年一次。新員工上崗前，應經過信息化相關培訓和考核。 　　第三十七條 各公司應根據履行職責的需要，每年開展信息技術人員的專業技能培訓和業務培訓。 　　第三十八條 各公司應積極參與行業信息技術交流活動，提高行業信息化工作水平。 　　第三十九條 各公司應支持行業信息標準化工作，確保行業信息標準的貫徹落實。 　　六、審計與備案 　　第四十條 各公司應建立信息化工作的風險評估機制和信息系統審計制度，由獨立于信息技術部門的有關部門負責審計工作，至少每兩年進行一次審計。審計結果應在審計完成后三個月內報保監會備案。 　　鼓勵公司在符合國家有關法律、法規和監管要求情況下，聘請具備相應資質的外部機構進行外部審計和風險評估。 　　第四十一條 各公司應于每年第一季度向保監會報送信息化工作報告。報告內容包括上一年度信息化工作情況與本年度信息化工作計劃。 　　第四十二條 各公司應按監管部門有關要求及時向保監會報告信息化工作重大事項。 　　七、附 則 　　第四十三條 本指引由中國保監會負責解釋。 　　第四十四條 本指引自2010年1月1日起施行。