【正文】 持續(xù)發(fā)展的信息化人力資源政策，健全信息技術(shù)專業(yè)人才激 勵(lì)機(jī)制，合理配備信息技術(shù)人員，并定期對(duì)信息技術(shù)人員和公司其他人員分別開展專業(yè)技術(shù)培訓(xùn)。 6 第十六條 [內(nèi)部審計(jì) ]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在內(nèi)部審計(jì)部門設(shè)立專門的信息化風(fēng)險(xiǎn)審計(jì)崗位，配備足夠的資源和具有專業(yè)能力的信息化工作審計(jì)人員，對(duì)本機(jī)構(gòu)信息化工作進(jìn)行全面、獨(dú)立審計(jì)。 第十七條 [集團(tuán)管理 ]保險(xiǎn)集團(tuán)（控股）公司根據(jù)自身總體業(yè)務(wù)規(guī)劃和風(fēng)險(xiǎn)管控要求，可以對(duì)各子公司信息化工作實(shí)行集中管理，但各法人機(jī)構(gòu)之間的信息系統(tǒng)、原始數(shù)據(jù)等應(yīng)當(dāng)有效隔離，并各自承擔(dān)信息安全風(fēng)險(xiǎn)管理責(zé)任。 保險(xiǎn)集團(tuán)（控股）公司和子公司依法對(duì)信息安全關(guān)聯(lián)風(fēng)險(xiǎn) 事故承擔(dān)責(zé)任。 第三章 信息系統(tǒng)建設(shè)與運(yùn)行維護(hù) 第十八條 [架構(gòu)規(guī)劃 ]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)本機(jī)構(gòu)的總體業(yè)務(wù)發(fā)展戰(zhàn)略和信息化風(fēng)險(xiǎn)管理策略，對(duì)信息系統(tǒng)建設(shè)與運(yùn)行維護(hù)進(jìn)行總體規(guī)劃，加強(qiáng)各信息系統(tǒng)之間的集成與整合，實(shí)現(xiàn)財(cái)務(wù)、業(yè)務(wù)等核心系統(tǒng)的無縫對(duì)接，促進(jìn)經(jīng)營管理流程信息化，滿足保險(xiǎn)監(jiān)管數(shù)據(jù)采集要求和保險(xiǎn)業(yè)信息共享需要。 第十九條 [制度框架 ]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息系統(tǒng)管理組織，制定覆蓋信息系統(tǒng)全生命周期的管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)范，保障信息系統(tǒng)規(guī)劃、建設(shè)和運(yùn)行維護(hù)各項(xiàng)工作的安全實(shí)施。 第二十條 [安全定級(jí) ] 保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)國家信息安全 7 等級(jí)保護(hù)有關(guān)規(guī)定和所涉信息對(duì)機(jī)構(gòu)經(jīng)營管理的重要程度，合理確定信息系統(tǒng)的安全等級(jí)。涉及國家安全、本機(jī)構(gòu)商業(yè)秘密和客戶隱私等敏感信息的核心系統(tǒng)應(yīng)當(dāng)參照高等級(jí)標(biāo)準(zhǔn)定級(jí)，并按照相應(yīng)等級(jí)要求對(duì)信息系統(tǒng)進(jìn)行建設(shè)和運(yùn)行維護(hù)。重要信息系統(tǒng)定級(jí)情況應(yīng)當(dāng)根據(jù)中國保監(jiān)會(huì)要求進(jìn)行備案。 第二十一條 [開發(fā)形式 ]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)增強(qiáng)信息系統(tǒng)的自主研發(fā)能力。根據(jù)自身情況，信息系統(tǒng)開發(fā)還可以采取合作開發(fā)、定制開發(fā)和外包開發(fā)等形式。 對(duì)合作開發(fā)和外包開發(fā)，保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)通過合同約定源代碼所有權(quán)歸屬，確保擁有 合理的源代碼使用授權(quán)或者所有權(quán)，嚴(yán)格防范合作開發(fā)商或者外包商終止服務(wù)導(dǎo)致的風(fēng)險(xiǎn)。 第二十二條 [開發(fā)測試 ] 保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)的開發(fā)測試應(yīng)當(dāng)與生產(chǎn)管理嚴(yán)格分離，不得使用未脫敏的生產(chǎn)數(shù)據(jù)用于開發(fā)、測試環(huán)境。嚴(yán)格限制開發(fā)人員訪問源代碼的權(quán)限，并保障核心系統(tǒng)開發(fā)實(shí)施安全。 信息系統(tǒng)正式上線運(yùn)行前，應(yīng)當(dāng)對(duì)其功能、性能及安全性進(jìn)行測試，核心系統(tǒng)原則上應(yīng)當(dāng)通過第三方測試機(jī)構(gòu)測試；面向互聯(lián)網(wǎng)應(yīng)用的系統(tǒng)還應(yīng)當(dāng)通過第三方安全測試。信息系統(tǒng)的重大改造升級(jí)應(yīng)當(dāng)按照新信息系統(tǒng)建設(shè)標(biāo)準(zhǔn)進(jìn)行測試。 信息系統(tǒng)經(jīng)測試合格，并由本機(jī)構(gòu)信息技術(shù) 部門和業(yè)務(wù)部門共同批準(zhǔn)后方可上線運(yùn)行。 第二十三條 [系統(tǒng)運(yùn)行維護(hù) ]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立完善的 8 信息系統(tǒng)運(yùn)行維護(hù)管理流程，清晰界定信息技術(shù)部門和業(yè)務(wù)部門的運(yùn)行維護(hù)職責(zé)，并按照下列要求建立信息系統(tǒng)的身份鑒別、權(quán)限分配、操作審計(jì)、故障處理規(guī)范： （一）按照等級(jí)保護(hù)要求建立相應(yīng)的身份鑒別機(jī)制； （二）嚴(yán)格規(guī)范帳號(hào)權(quán)限分配、使用和回收管理流程； （三）信息系統(tǒng)運(yùn)行維護(hù)操作日志應(yīng)當(dāng)按照國家有關(guān)要求和業(yè)務(wù)經(jīng)營需要進(jìn)行分類保存； （四）建立信息系統(tǒng)故障全面記錄、分析和解決機(jī)制。 第二十四條 [系統(tǒng)變更與數(shù)據(jù)遷移、修改 ] 信息系統(tǒng) 變更和數(shù)據(jù)遷移時(shí)，應(yīng)當(dāng)制定合理的技術(shù)方案，充分測試，做好備份，保證信息系統(tǒng)及數(shù)據(jù)安全。嚴(yán)格控制后臺(tái)修改系統(tǒng)數(shù)據(jù)，確需修改的要做到事前批準(zhǔn)、事中監(jiān)控和事后留痕。 第二十五條 [安全防護(hù) ]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照下列要求建立健全信息系統(tǒng)備份及災(zāi)難恢復(fù)、防病毒、密碼管理、入侵檢測、審計(jì)等安全管理機(jī)制： （一）根據(jù)數(shù)據(jù)及系統(tǒng)的重要性，明確數(shù)據(jù)及系統(tǒng)的備份與災(zāi)難恢復(fù)策略； （二）加強(qiáng)密碼設(shè)備及使用人員管理，使用符合國家標(biāo)準(zhǔn)和加密要求的技術(shù)和產(chǎn)品； （三）采取惡意代碼防范措施，確保具備主動(dòng)發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力； （四 ）信息系統(tǒng)日志在保存期限內(nèi)內(nèi)容不得刪除、修改或者覆蓋，并實(shí)現(xiàn)對(duì)關(guān)鍵崗位、異常操作等高風(fēng)險(xiǎn)因素的審計(jì)。 9 第二十六條 [互聯(lián)網(wǎng)應(yīng)用 ]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照下列要求加強(qiáng)對(duì)門戶網(wǎng)站、社交網(wǎng)絡(luò)公眾賬號(hào)等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的管理： （一）根據(jù)國家有關(guān)規(guī)定備案； （二）建立網(wǎng)站信息發(fā)布審批制度，嚴(yán)格控制網(wǎng)站內(nèi)容發(fā)布權(quán)限； （三）加強(qiáng)技術(shù)保障和運(yùn)行監(jiān)控，保障網(wǎng)絡(luò)交易安全和交易記錄可追溯。 第二十七條 [文檔完備 ]保險(xiǎn)機(jī)構(gòu)的重要信息系統(tǒng)有關(guān)資料和信息系統(tǒng)的重要信息應(yīng)當(dāng)按照中國保監(jiān)會(huì)要求備案。 保險(xiǎn)機(jī)構(gòu)要建立覆蓋信息系統(tǒng)全生命周期的文檔管理體系，確保文檔記錄完整、及時(shí)、有效。 第四章 基礎(chǔ)設(shè)施建設(shè)與保障 第二十八條 [基礎(chǔ)設(shè)施 ]基礎(chǔ)設(shè)施指保障信息系統(tǒng)運(yùn)行的物理環(huán)境，主要包括數(shù)據(jù)中心和網(wǎng)絡(luò)資源。 本規(guī)定所稱數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心（以下簡稱災(zāi)備中心）。 生產(chǎn)中心是指保險(xiǎn)機(jī)構(gòu)對(duì)全部業(yè)務(wù)、客戶和管理等重要信息進(jìn)行集中存儲(chǔ)、處理和維護(hù)，具備專用場所，為業(yè)務(wù)運(yùn)營及管理提供信息化支撐服務(wù)的組織。 災(zāi)備中心是指保險(xiǎn)機(jī)構(gòu)為保障其業(yè)務(wù)連續(xù)性，在生產(chǎn)中心故障、停頓或者癱瘓后，能夠接替生產(chǎn)中心運(yùn)行，具備專 10 用場所，進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組 織。 災(zāi)備中心同城模式（以下簡稱同城災(zāi)備）是指災(zāi)備中心與生產(chǎn)中心位于同一地理區(qū)域，一般距離數(shù)十公里，可防范火災(zāi)、建筑物破壞、電力或者通信系統(tǒng)中斷等事件。災(zāi)備中心異地模式（以下簡稱異地災(zāi)備）是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域，一般距離在數(shù)百公里以上，不會(huì)同時(shí)面臨同類區(qū)域性災(zāi)難風(fēng)險(xiǎn)，如地震、臺(tái)風(fēng)和洪水等。 本規(guī)定所稱網(wǎng)絡(luò)資源是指支撐系統(tǒng)運(yùn)行的網(wǎng)絡(luò)專線、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)地址、網(wǎng)絡(luò)域名以及相關(guān)網(wǎng)絡(luò)設(shè)備等虛擬及物理設(shè)施。 第二十九條 [