中国银保监会办公厅关于印发保险中介机构信息化工作监管办法的通知各银保监局各保险公司各保险专业中介机构各保险兼业代理机构经银保监会同意现将保险中介机构信息化工作监管办法印发给你们请遵照执行年月日请各银保监局转发至辖内各保险专业中介机构各保险兼业代理机构保险中介机构信息化工作监管办法第一章总则第一条为加强保险中介监管提高保险中介机构信息化工作与经营管理水平推动保险中介行业高质量发展根据中华人民共和国保险法中华人民共和国网络安全法保险代理人监管规定保险经纪人监管规定保险公估人监管规定等法律行政法规制定本办法第二条在中华人民共和国境内依法设立的保险中介机构适用本办法第三条本办法所称保险中介机构是指保险代理人不含个人代理人保险经纪人和保险公估人包括法人机构和分支机构保险代理人不含个人代理人包括保险专业代理机构和保险兼业代理机构本办法所称保险中介机构信息化工作是指保险中介机构将计算机通信网络等现代信息技术应用于业务处理经营管理和内部控制等方面以持续提高运营效率优化内部资源配置和提升风险防范水平为目的所开展的工作其中保险兼业代理机构信息化工作仅指该机构与保险兼业代理业务相关的信息化工作本办法所称信息化突发事件是指信息系统或信息化基础设施出现故障受到网络攻击导致保险中介机构在同一省份的营业网点电子渠道业务中断小时以上或在两个及以上省份的营业网点电子渠道业务中断分钟以上或者因网络欺诈或其它信息安全事件导致保险中介机构或客户资金损失万元以上或造成重大社会影响或者保险中介机构丢失或泄露大量重要数据或客户信息等已经或可能造成重大损失严重影响第四条保险中介机构信息化工作应当符合中华人民共和国法律行政法规和中国银行保险监督管理委员会以下简称银保监会监管制度要求保险中介机构信息化工作要遵循安全性可靠性和有效性相统一技术路线与业务发展方向相一致信息系统与管理需求相匹配的原则第五条保险中介机构是本机构信息化工作的责任主体保险中介机构法定代表人或主要负责人对本机构信息化工作承担首要责任第六条银保监会及其派出机构依法对保险中介机构信息化工作实施监督管理第二章基本要求第七条保险中介机构应履行以下信息化工作职责一贯彻国家网络安全与信息化工作的法律行政法规技术标准和银保监会监管制度二制定本机构信息化工作规划确保与总体业务规划相一致三制定信息化工作制度建立分工合理职责明确报告关系清晰的信息化管理机制四编制信息化预算保障信息化工作所需资金五开展本机构信息化建设确保完整掌握本机构信息系统和数据的管理权六制定本机构信息化突发事件应急预案组织开展应急演练及时报告快速响应和处置本机构发生的信息化突发事件七配合银保监会及其派出机构开展的信息化工作监督检查如实提供相关文件资料并按照监管意见进行整改八开展信息化培训强化本机构人员的信息化意识信息安全意识和软件正版化意识九银保监会规定的其他信息化工作职责第八条保险中介机构应自主开展信息化工作信息化工作与关联企业含股东参股企业其他关联企业有关联的保险中介机构应厘清与关联企业之间的信息化工作职责各自承担信息安全管理责任保险中介机构的重要信息化机制设施及其管理应保持独立完整与关联企业相关设施有效隔离严格规范信息系统和数据的访问使用转移复制等行为不得违规向关联企业泄露保单个人信息等数据信息重要信息化机制设施包括但不限于信息化治理与规划业务财务人员等重要信息系统及其中的数据信息信息化事项外包给关联企业的应按照本办法外包要求实施有效管理第九条保险中介法人机构应指定一名高级管理人员统筹负责法人机构及分支机构的信息化管理工作第十条保险中介法人机构应设置信息化部门或信息化岗位负责信息化工作的正式工作人员不少于一人分支机构应有正式工作人员辅助法人机构开展信息化工作第十一条申请开展保险中介业务的法人机构应按照本办法开展信息化建设并向机构营业执照登记注册地银保监会派出机构报送信息化工作情况报告报告内容应包括信息化管理机制和制度情况信息系统满足本办法第十七条要求的情况信息系统采购合同或知识产权证书等设立保险中介机构分支机构保险中介法人机构或其省级分支机构应向分支机构营业执照登记注册地银保监会派出机构报送法人机构及该分支机构的信息化工作情况报告第十二条保险中介法人机构应加强分支机构信息化管理除法律行政法规和银保监会监管制度另有规定外法人机构与分支机构应使用同一套信息系统法人机构应督促分支机构及时录入经营数据通过信息系统对各分支机构的经营情况进行管理与监控第十三条保险中介机构应按监管要求通过保险中介监管相关信息系统及时向银保监会及其派出机构报告监管事项报送监管数据第十四条保险中介机构发生信息化突发事件的应按照银保监会信息化突发事件信息报告相关规定在小时内向机构营业执照登记注册地银保监会派出机构报告信息特别重大可能造成严重社会影响的信息化突发事件发生后保险中介机构应在分钟内电话报告相关信息小时内书面报告信息第十五条保险中介机构应使用正版软件禁止复制传播或使用非授权软件对本机构拥有自主知识产权的信息系统采取有效措施加以保护切实提高软件正版化意识和知识产权保护意识第十六条保险中介机构应主动跟踪研究应用新兴信息技术在防范风险的前提下积极推进业务创新与服务创新提升核心竞争力第三章信息系统第十七条保险中介法人机构应根据业务规模和发展需要建立相匹配的业务管理财务管理和人员管理等信息系统并符合以下要求一业务管理系统能够记录并管理业务协议保险业务详细情况客户信息相关凭证和其他业务情况等二财务管理系统能够记录并管理财务总账科目明细账应收应付会计报表发票等三人员管理系统能够记录并管理保险中介从业人员的基本信息入职离职用工合同执业登记人力薪酬培训和奖惩等情况四业务管理财务管理与人员管理系统的数据能够匹配一致相互验证五通过技术手段实现与合作保险公司的系统互通业务互联数据对接六能够生成符合监管要求的数据文件通过技术手段实现与保险中介监管相关信息系统的数据对接七能够按照合作机构分支机构业务类别业务渠道险种收支口径区域时间等维度对机构经营情况进行汇总和分析八具备用户权限管理功能能够按照不同角色为用户配置数据的增加删除修改和查看权限九具备日志管理功能能够记录用户操作行为和操作时间十遵循国家标准化管理部门和银保监会发布的相关行业标准和技术规范第十八条保险中介机构可采取自主开发合作开发定制开发外包开发和购买云服务等形式建设信息系统保险中介机构应充分认识和有效控制信息化建设相关的风险不论以何种方式建设信息系统保险中介机构均应遵守本办法承担信息安全管理责任第十九条采用合作开发定制开发外包开发和购买云服务等外包模式建设信息系统的保险中介机构应识别和分析信息科技外包风险加强对外包服务商的资质审查加强对外包服务的风险管理规范外包合同条款明确外包范围责任边界安全保密和个人信息保护责任采取有效手段保障数据和信息系统安全且持续可控保险中介机构应提高自主研发能力逐步降低对外包服务商的依赖第二十条保险中介机构应按照最少功能最小权限原则合理确定信息系统访问权限并定期检查核对确保用户权限与其工作职责相匹配严格控制系统访问权限禁止未经授权查看下载数据严格控制通过系统后台修改数据确需修改的要做到事前批准事中监控和事后留痕第二十一条保险中介机构应通过信息系统全面准确完整地记录管理业务财务和人员等情况确保信息系统记录管理的数据与真实业务经营情况一致保险中介机构应在各保险业务环节发生之日起个工作日内将业务明细数据录入信息系统如同时涉及财务人员事项应同步完成财务和人员明细数据录入第二十二条保险中介机构开展信息系统投产变更或数据迁移等工作的应组织风险评估编制实施计划制定系统回退和应急处置方案开展演练测试和培训审慎实施并在实施完成后进行有效性验证第四章信息安全第二十三条保险中介机构应建立健全信息安全管理制度部署实施边界防护病毒防护入侵检测数据备份灾难恢复等信息安全措施保障业务持续和数据安全第二十四条保险中介机构应按照国家网络安全等级保护相关规定合理确定信息系统的安全等级并按照国家网络安全等级保护相关标准进行防护获得相应的国家网络安全等级保护认证第二十五条保险中介机构应对重要数据采取保护措施保障数据在收集存储传输使用提供备份恢复和销毁等过程中的安全合法使用数据严防数据泄露篡改和损毁保障数据的完整性保密性和可用性保险中介机构应采取可靠措施进行数据存储和备份定期开展备份数据恢复验证系统数据应至少保存五年系统日志应至少保存六个月第二十六条保险中介机构收集处理和应用数据涉及到个人信息的应遵循合法正当必要的原则遵守国家相关法律行政法规符合与个人信息安全相关的国家标准未经允许或授权保险中介机构不得收集与其提供的服务无关的个人信息不得违反法律行政法规和合同约定收集使用提供和处理个人信息不得泄露篡改个人信息第二十七条保险中介机构应加强对台式计算机便携式计算机智能手机平板电脑移动存储介质等终端设备的管理根据法律行政法规要求和本机构网络安全实际情况对终端设备选择实施登录控制病毒防护软件安装与卸载管理移动存储介质管理固定资产管理网络准入违规监测等安全措施第二十八条保险中介机构应经常开展信息化培训信息安全培训和保密教育与员工签订信息安全和保密协议督促员工履行与其工作岗位相应的信息安全和保密职责第五章监督管理第二十九条银保监会在有效防范保险中介市场风险维护信息安全的基础上建立健全符合保险中介行业发展特点的信息化监管机制引导保险中介机构不断提高信息化工作水平推动保险公司与中介机构系统对接营造透明规范高效的市场环境促进保险中介行业高质量发展第三十条银保监会负责制定保险中介机构信息化工作监管制度授权各派出机构开展保险中介机构信息化工作日常监管指导与检查银保监会及其派出机构应加强风险识别评估和预警合理分配资源统筹监管联动有序开展监管工作第三十一条银保监会及其派出机构应审查保险中介机构信息化工作保险中介机构信息化工作不符合本办法要求的视为不符合保险代理人监管规定第七条第十二条第十八条保险经纪人监管规定第七条第十六条保险公估人监管规定第十六条第十八条等相关条件不得经营保险中介业务第三十二条银保监会及其派出机构重点对存在下列情形的保险中介机构进行信息化工作检查一信息化工作存在重大安全隐患或不符合本办法要求的二发生信息化突发事件的三违反银保监会信息化突发事件信息报告相关规定的四对严重信息安全隐患未采取整改措施或整改不力的五恶意对信息系统或数据进行篡改删除或关闭逃避监督检查的六违规收集使用提供和处理个人信息或泄露篡改个人信息的七向银保监会及其派出机构报送数据报表报告存在误报漏报错报迟报等行为的八银保监会及其派出机构认为有必要进行信息化工作检查的其他情形第三十三条银保监会及其派出机构依据法律行政法规和相关规定对违反本办法的保险中介机构采取监管措施或实施行政处罚并追究相关人员责任第六章附则第三十四条保险中介机构应按照本办法进行信息化工作自查在本办法实施之日起一年内完成整改完成整改后保险中介机构法人