【正文】 持續(xù)發(fā)展的信息化人力資源政策，健全信息技術專業(yè)人才激 勵機制，合理配備信息技術人員，并定期對信息技術人員和公司其他人員分別開展專業(yè)技術培訓。 6 第十六條 [內部審計 ]保險機構應當在內部審計部門設立專門的信息化風險審計崗位，配備足夠的資源和具有專業(yè)能力的信息化工作審計人員，對本機構信息化工作進行全面、獨立審計。 第十七條 [集團管理 ]保險集團（控股）公司根據(jù)自身總體業(yè)務規(guī)劃和風險管控要求，可以對各子公司信息化工作實行集中管理，但各法人機構之間的信息系統(tǒng)、原始數(shù)據(jù)等應當有效隔離，并各自承擔信息安全風險管理責任。 保險集團（控股）公司和子公司依法對信息安全關聯(lián)風險 事故承擔責任。 第三章 信息系統(tǒng)建設與運行維護 第十八條 [架構規(guī)劃 ]保險機構應當根據(jù)本機構的總體業(yè)務發(fā)展戰(zhàn)略和信息化風險管理策略，對信息系統(tǒng)建設與運行維護進行總體規(guī)劃，加強各信息系統(tǒng)之間的集成與整合，實現(xiàn)財務、業(yè)務等核心系統(tǒng)的無縫對接，促進經營管理流程信息化，滿足保險監(jiān)管數(shù)據(jù)采集要求和保險業(yè)信息共享需要。 第十九條 [制度框架 ]保險機構應當建立完善的信息系統(tǒng)管理組織，制定覆蓋信息系統(tǒng)全生命周期的管理制度、技術標準和操作規(guī)范，保障信息系統(tǒng)規(guī)劃、建設和運行維護各項工作的安全實施。 第二十條 [安全定級 ] 保險機構應當根據(jù)國家信息安全 7 等級保護有關規(guī)定和所涉信息對機構經營管理的重要程度，合理確定信息系統(tǒng)的安全等級。涉及國家安全、本機構商業(yè)秘密和客戶隱私等敏感信息的核心系統(tǒng)應當參照高等級標準定級，并按照相應等級要求對信息系統(tǒng)進行建設和運行維護。重要信息系統(tǒng)定級情況應當根據(jù)中國保監(jiān)會要求進行備案。 第二十一條 [開發(fā)形式 ]保險機構應當增強信息系統(tǒng)的自主研發(fā)能力。根據(jù)自身情況，信息系統(tǒng)開發(fā)還可以采取合作開發(fā)、定制開發(fā)和外包開發(fā)等形式。 對合作開發(fā)和外包開發(fā)，保險機構應當通過合同約定源代碼所有權歸屬，確保擁有 合理的源代碼使用授權或者所有權，嚴格防范合作開發(fā)商或者外包商終止服務導致的風險。 第二十二條 [開發(fā)測試 ] 保險機構信息系統(tǒng)的開發(fā)測試應當與生產管理嚴格分離，不得使用未脫敏的生產數(shù)據(jù)用于開發(fā)、測試環(huán)境。嚴格限制開發(fā)人員訪問源代碼的權限，并保障核心系統(tǒng)開發(fā)實施安全。 信息系統(tǒng)正式上線運行前，應當對其功能、性能及安全性進行測試，核心系統(tǒng)原則上應當通過第三方測試機構測試；面向互聯(lián)網(wǎng)應用的系統(tǒng)還應當通過第三方安全測試。信息系統(tǒng)的重大改造升級應當按照新信息系統(tǒng)建設標準進行測試。 信息系統(tǒng)經測試合格，并由本機構信息技術 部門和業(yè)務部門共同批準后方可上線運行。 第二十三條 [系統(tǒng)運行維護 ]保險機構應當建立完善的 8 信息系統(tǒng)運行維護管理流程，清晰界定信息技術部門和業(yè)務部門的運行維護職責，并按照下列要求建立信息系統(tǒng)的身份鑒別、權限分配、操作審計、故障處理規(guī)范： （一）按照等級保護要求建立相應的身份鑒別機制； （二）嚴格規(guī)范帳號權限分配、使用和回收管理流程； （三）信息系統(tǒng)運行維護操作日志應當按照國家有關要求和業(yè)務經營需要進行分類保存； （四）建立信息系統(tǒng)故障全面記錄、分析和解決機制。 第二十四條 [系統(tǒng)變更與數(shù)據(jù)遷移、修改 ] 信息系統(tǒng) 變更和數(shù)據(jù)遷移時，應當制定合理的技術方案，充分測試，做好備份，保證信息系統(tǒng)及數(shù)據(jù)安全。嚴格控制后臺修改系統(tǒng)數(shù)據(jù)，確需修改的要做到事前批準、事中監(jiān)控和事后留痕。 第二十五條 [安全防護 ]保險機構應當按照下列要求建立健全信息系統(tǒng)備份及災難恢復、防病毒、密碼管理、入侵檢測、審計等安全管理機制： （一）根據(jù)數(shù)據(jù)及系統(tǒng)的重要性，明確數(shù)據(jù)及系統(tǒng)的備份與災難恢復策略； （二）加強密碼設備及使用人員管理，使用符合國家標準和加密要求的技術和產品； （三）采取惡意代碼防范措施，確保具備主動發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力； （四 ）信息系統(tǒng)日志在保存期限內內容不得刪除、修改或者覆蓋，并實現(xiàn)對關鍵崗位、異常操作等高風險因素的審計。 9 第二十六條 [互聯(lián)網(wǎng)應用 ]保險機構應當按照下列要求加強對門戶網(wǎng)站、社交網(wǎng)絡公眾賬號等互聯(lián)網(wǎng)應用系統(tǒng)的管理： （一）根據(jù)國家有關規(guī)定備案； （二）建立網(wǎng)站信息發(fā)布審批制度，嚴格控制網(wǎng)站內容發(fā)布權限； （三）加強技術保障和運行監(jiān)控，保障網(wǎng)絡交易安全和交易記錄可追溯。 第二十七條 [文檔完備 ]保險機構的重要信息系統(tǒng)有關資料和信息系統(tǒng)的重要信息應當按照中國保監(jiān)會要求備案。 保險機構要建立覆蓋信息系統(tǒng)全生命周期的文檔管理體系，確保文檔記錄完整、及時、有效。 第四章 基礎設施建設與保障 第二十八條 [基礎設施 ]基礎設施指保障信息系統(tǒng)運行的物理環(huán)境，主要包括數(shù)據(jù)中心和網(wǎng)絡資源。 本規(guī)定所稱數(shù)據(jù)中心包括生產中心和災難備份中心（以下簡稱災備中心）。 生產中心是指保險機構對全部業(yè)務、客戶和管理等重要信息進行集中存儲、處理和維護，具備專用場所，為業(yè)務運營及管理提供信息化支撐服務的組織。 災備中心是指保險機構為保障其業(yè)務連續(xù)性，在生產中心故障、停頓或者癱瘓后，能夠接替生產中心運行，具備專 10 用場所，進行數(shù)據(jù)處理和支持重要業(yè)務持續(xù)運行的組 織。 災備中心同城模式（以下簡稱同城災備）是指災備中心與生產中心位于同一地理區(qū)域，一般距離數(shù)十公里，可防范火災、建筑物破壞、電力或者通信系統(tǒng)中斷等事件。災備中心異地模式（以下簡稱異地災備）是指災備中心與生產中心處于不同地理區(qū)域，一般距離在數(shù)百公里以上，不會同時面臨同類區(qū)域性災難風險，如地震、臺風和洪水等。 本規(guī)定所稱網(wǎng)絡資源是指支撐系統(tǒng)運行的網(wǎng)絡專線、網(wǎng)絡帶寬、網(wǎng)絡地址、網(wǎng)絡域名以及相關網(wǎng)絡設備等虛擬及物理設施。 第二十九條 [