【文章內容簡介】 規(guī)劃設計 ]保險機構應當以本機構業(yè)務總體規(guī)劃為根本 ,圍繞數(shù)據(jù)資產的管理和應用 ,科學規(guī) 劃數(shù)據(jù)中心的總體架構和實施路線 , 保證網(wǎng)絡、數(shù)據(jù)、應用、安全各要素有機結合。 數(shù)據(jù)中心規(guī)劃應當報中國保監(jiān)會備案。 第三十條 [建設時間 ] 保險機構在籌備時，應當按照中國保監(jiān)會規(guī)定的信息化建設準入標準設立生產中心。生產中心運行五年內建立災備中心，災備中心的建設與管理必須達到中國保監(jiān)會規(guī)定的標準。 保險機構應當不斷完善生產中心、同城災備、異地災備的災難備份體系，逐步實現(xiàn)更高安全水平的信息系統(tǒng)運行模式，切實提高防災減災能力，保障業(yè)務連續(xù)性。 第三十一條 [建設標準 ]保險機構可以采取自建、共建、外包的方式設立數(shù)據(jù)中心， 數(shù)據(jù)中心的機房設計標準必須符 11 合國家標準規(guī)范和中國保監(jiān)會的要求。 數(shù)據(jù)來源于中華人民共和國境內的，數(shù)據(jù)中心的物理位置應當位于境內。 第三十二條 [人員管理 ]保險機構應當指定專門機構和專業(yè)隊伍負責數(shù)據(jù)中心運營與管理，明確數(shù)據(jù)中心各崗位人員職責，建立完善運行指標體系和服務評價體系，保證運行維護隊伍人員穩(wěn)定、工作高效。 第三十三條 [管理制度 ]保險機構應當建立健全并嚴格執(zhí)行數(shù)據(jù)中心管理制度、技術規(guī)范、操作指南，包括機房管理、運行管理、設備管理、數(shù)據(jù)管理、應急管理等。 第三十四條 [安全管理 ]保險機構數(shù)據(jù)中心應當設置安全工 作機構，加強人員安全、物理環(huán)境安全、設備資產安全、操作安全、運行維護安全、鏈路安全、網(wǎng)絡安全及應用安全等方面的安全管理。 第三十五條 [設施監(jiān)控 ]保險機構應當對信息化基礎設施實施有效監(jiān)控。數(shù)據(jù)中心基礎設施安全防護和保障應當按功能區(qū)域劃分安全控制級別，不同級別區(qū)域采用獨立的出入控制設備并集中監(jiān)控。應當對基礎設施設備、機房環(huán)境狀況、安全防護系統(tǒng)狀況實行 7 24 小時實時監(jiān)測。深入應用自動控制、虛擬化管理等新技術，提高監(jiān)控水平和效率。 第三十六條 [網(wǎng)絡規(guī)劃 ]保險機構網(wǎng)絡資源應當滿足高性能、高可用性、高安全性、可擴展性 等要求，為信息系統(tǒng)提供安全、穩(wěn)定、高效的運行環(huán)境。數(shù)據(jù)中心應當用兩條或者多條通信線路互為備份，互為備份的通信線路不得經(jīng)過同 12 一路由節(jié)點。 第三十七條 [外聯(lián)管理 ] 保險機構內部網(wǎng)絡與保險中介機構、第三方機構等外聯(lián)單位網(wǎng)絡連接時，應當明確網(wǎng)絡外聯(lián)種類方式，采用可靠連接策略及技術手段，實現(xiàn)彼此有效隔離，并對跨網(wǎng)絡流量、網(wǎng)絡用戶行為等進行記錄和定期審計。 第五章 外包管理 第三十八條 [名詞釋義 ]本規(guī)定所稱外包是指保險機構將本機構信息化工作委托給服務提供商進行處理的行為，包括咨詢外包、系統(tǒng)建設外包、系統(tǒng)運行維護 外包、基礎設施外包和信息安全外包等。 第三十九條 [建立制度 ]保險機構實行信息化工作外包，應當制定完備的外包服務管理制度和風險評估機制，確保有效應對和處置外包風險。 第四十條 [審慎要求 ]保險機構應當根據(jù)涉及信息資產的關鍵性和敏感程度，審慎確定外包服務范圍。信息系統(tǒng)安全管理責任不得外包。 下列外包實施前應當經(jīng)過本機構董事會批準，并按照中國保監(jiān)會要求報告： （一）保險機構對數(shù)據(jù)中心等基礎設施實施的整體外包； （二）對涉及國家安全、本機構商業(yè)秘密，以及客戶隱 13 私等敏感內容的信息系統(tǒng)外包。 第四十一條 [外包資質 ]保險機 構應當根據(jù)不同的外包業(yè)務要求，優(yōu)先選用具備信息安全管理體系認證資質的信息技術服務機構提供外包服務。數(shù)據(jù)中心外包服務提供商應當符合本規(guī)定第四章所規(guī)定的標準和要求。 第四十二條 [外包合同 ]保險機構與外包服務提供商簽訂書面外包服務合同，合同應當包括外包服務范圍、安全保密、知識產權、業(yè)務連續(xù)性要求、爭端解決機制、合同變更或者終止的過渡安排、違約責任等條款。 保險機構必須要求外包服務提供商承諾接受和配合中國保監(jiān)會對保險機構信息化工作相關的現(xiàn)場檢查和日常監(jiān)督。 第四十三條 [分包要求 ]保險機構要嚴格控制外包服務提供商的轉 包和分包行為。對于確有第三方外包服務提供商參與實施的項目應當采取嚴密措施，保證外包服務質量和安全不受影響。 第四十四條 [外包監(jiān)督 ]保險機構應當加強外包服務提供商及其服務人員的管理，與外包服務提供商建立起有效的信息交流與溝通機制，保證外包服務人員的相對穩(wěn)定。 第四十五條 [股東影響 ]保險機構信息化建設和管理與其非保險類股東有重大關聯(lián)的，保險機構信息化治理與規(guī)劃、業(yè)務、財務等核心系統(tǒng)和重要數(shù)據(jù)信息及其管理必須保持獨立完整。其他信息化事項外包給股東的，按照本規(guī)定外包要求實施管理。 14 第四十六條 [購買保險 ]保險機構 應當優(yōu)先選擇購買相應商業(yè)保險的外包服務提供商，以保障安全事件發(fā)生時外包服務提供商有足夠的經(jīng)濟賠償能力。 第四十七條 [定期評估 ]保險機構應當建立評估考核機制，定期對外包服務提供商的財務狀況、技術實力、安全資質、風險控制水平和誠信記錄等進行審查、評估與考核，確保其設施和能力滿足外包要求。 第六章 信息安全管理 第四十八條 [信息安全 ]本規(guī)定所稱信息安全是指利用信息技術及管理手段，保護信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性。 信息安全包括網(wǎng)絡安全、系統(tǒng)安全和內容安全， 涵蓋物理環(huán)境、網(wǎng)絡、主機系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、應用、存儲、災備、安全事件管理、人員等各層面安全。 第四十九條 [基本要求 ]保險機構要將信息安全置于信息化工作的首位，按照“積極防御、綜合防范”的原則，加強信息安全與信息系統(tǒng)的同步規(guī)劃、同步建設和同步使用，加強風險管理與控制，充分利用管理機制和技術手段，增強安全防護能力，構建完善的信息安全保障體系，確保重要信息系統(tǒng)持續(xù)穩(wěn)定運行，保障業(yè)務活動的連續(xù)性。