【文章內(nèi)容簡介】 規(guī)劃設(shè)計 ]保險機構(gòu)應(yīng)當(dāng)以本機構(gòu)業(yè)務(wù)總體規(guī)劃為根本 ,圍繞數(shù)據(jù)資產(chǎn)的管理和應(yīng)用 ,科學(xué)規(guī) 劃數(shù)據(jù)中心的總體架構(gòu)和實施路線 , 保證網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、安全各要素有機結(jié)合。 數(shù)據(jù)中心規(guī)劃應(yīng)當(dāng)報中國保監(jiān)會備案。 第三十條 [建設(shè)時間 ] 保險機構(gòu)在籌備時，應(yīng)當(dāng)按照中國保監(jiān)會規(guī)定的信息化建設(shè)準入標準設(shè)立生產(chǎn)中心。生產(chǎn)中心運行五年內(nèi)建立災(zāi)備中心，災(zāi)備中心的建設(shè)與管理必須達到中國保監(jiān)會規(guī)定的標準。 保險機構(gòu)應(yīng)當(dāng)不斷完善生產(chǎn)中心、同城災(zāi)備、異地災(zāi)備的災(zāi)難備份體系，逐步實現(xiàn)更高安全水平的信息系統(tǒng)運行模式，切實提高防災(zāi)減災(zāi)能力，保障業(yè)務(wù)連續(xù)性。 第三十一條 [建設(shè)標準 ]保險機構(gòu)可以采取自建、共建、外包的方式設(shè)立數(shù)據(jù)中心， 數(shù)據(jù)中心的機房設(shè)計標準必須符 11 合國家標準規(guī)范和中國保監(jiān)會的要求。 數(shù)據(jù)來源于中華人民共和國境內(nèi)的，數(shù)據(jù)中心的物理位置應(yīng)當(dāng)位于境內(nèi)。 第三十二條 [人員管理 ]保險機構(gòu)應(yīng)當(dāng)指定專門機構(gòu)和專業(yè)隊伍負責(zé)數(shù)據(jù)中心運營與管理，明確數(shù)據(jù)中心各崗位人員職責(zé)，建立完善運行指標體系和服務(wù)評價體系，保證運行維護隊伍人員穩(wěn)定、工作高效。 第三十三條 [管理制度 ]保險機構(gòu)應(yīng)當(dāng)建立健全并嚴格執(zhí)行數(shù)據(jù)中心管理制度、技術(shù)規(guī)范、操作指南，包括機房管理、運行管理、設(shè)備管理、數(shù)據(jù)管理、應(yīng)急管理等。 第三十四條 [安全管理 ]保險機構(gòu)數(shù)據(jù)中心應(yīng)當(dāng)設(shè)置安全工 作機構(gòu)，加強人員安全、物理環(huán)境安全、設(shè)備資產(chǎn)安全、操作安全、運行維護安全、鏈路安全、網(wǎng)絡(luò)安全及應(yīng)用安全等方面的安全管理。 第三十五條 [設(shè)施監(jiān)控 ]保險機構(gòu)應(yīng)當(dāng)對信息化基礎(chǔ)設(shè)施實施有效監(jiān)控。數(shù)據(jù)中心基礎(chǔ)設(shè)施安全防護和保障應(yīng)當(dāng)按功能區(qū)域劃分安全控制級別，不同級別區(qū)域采用獨立的出入控制設(shè)備并集中監(jiān)控。應(yīng)當(dāng)對基礎(chǔ)設(shè)施設(shè)備、機房環(huán)境狀況、安全防護系統(tǒng)狀況實行 7 24 小時實時監(jiān)測。深入應(yīng)用自動控制、虛擬化管理等新技術(shù)，提高監(jiān)控水平和效率。 第三十六條 [網(wǎng)絡(luò)規(guī)劃 ]保險機構(gòu)網(wǎng)絡(luò)資源應(yīng)當(dāng)滿足高性能、高可用性、高安全性、可擴展性 等要求，為信息系統(tǒng)提供安全、穩(wěn)定、高效的運行環(huán)境。數(shù)據(jù)中心應(yīng)當(dāng)用兩條或者多條通信線路互為備份，互為備份的通信線路不得經(jīng)過同 12 一路由節(jié)點。 第三十七條 [外聯(lián)管理 ] 保險機構(gòu)內(nèi)部網(wǎng)絡(luò)與保險中介機構(gòu)、第三方機構(gòu)等外聯(lián)單位網(wǎng)絡(luò)連接時，應(yīng)當(dāng)明確網(wǎng)絡(luò)外聯(lián)種類方式，采用可靠連接策略及技術(shù)手段，實現(xiàn)彼此有效隔離，并對跨網(wǎng)絡(luò)流量、網(wǎng)絡(luò)用戶行為等進行記錄和定期審計。 第五章 外包管理 第三十八條 [名詞釋義 ]本規(guī)定所稱外包是指保險機構(gòu)將本機構(gòu)信息化工作委托給服務(wù)提供商進行處理的行為，包括咨詢外包、系統(tǒng)建設(shè)外包、系統(tǒng)運行維護 外包、基礎(chǔ)設(shè)施外包和信息安全外包等。 第三十九條 [建立制度 ]保險機構(gòu)實行信息化工作外包，應(yīng)當(dāng)制定完備的外包服務(wù)管理制度和風(fēng)險評估機制，確保有效應(yīng)對和處置外包風(fēng)險。 第四十條 [審慎要求 ]保險機構(gòu)應(yīng)當(dāng)根據(jù)涉及信息資產(chǎn)的關(guān)鍵性和敏感程度，審慎確定外包服務(wù)范圍。信息系統(tǒng)安全管理責(zé)任不得外包。 下列外包實施前應(yīng)當(dāng)經(jīng)過本機構(gòu)董事會批準，并按照中國保監(jiān)會要求報告： （一）保險機構(gòu)對數(shù)據(jù)中心等基礎(chǔ)設(shè)施實施的整體外包； （二）對涉及國家安全、本機構(gòu)商業(yè)秘密，以及客戶隱 13 私等敏感內(nèi)容的信息系統(tǒng)外包。 第四十一條 [外包資質(zhì) ]保險機 構(gòu)應(yīng)當(dāng)根據(jù)不同的外包業(yè)務(wù)要求，優(yōu)先選用具備信息安全管理體系認證資質(zhì)的信息技術(shù)服務(wù)機構(gòu)提供外包服務(wù)。數(shù)據(jù)中心外包服務(wù)提供商應(yīng)當(dāng)符合本規(guī)定第四章所規(guī)定的標準和要求。 第四十二條 [外包合同 ]保險機構(gòu)與外包服務(wù)提供商簽訂書面外包服務(wù)合同，合同應(yīng)當(dāng)包括外包服務(wù)范圍、安全保密、知識產(chǎn)權(quán)、業(yè)務(wù)連續(xù)性要求、爭端解決機制、合同變更或者終止的過渡安排、違約責(zé)任等條款。 保險機構(gòu)必須要求外包服務(wù)提供商承諾接受和配合中國保監(jiān)會對保險機構(gòu)信息化工作相關(guān)的現(xiàn)場檢查和日常監(jiān)督。 第四十三條 [分包要求 ]保險機構(gòu)要嚴格控制外包服務(wù)提供商的轉(zhuǎn) 包和分包行為。對于確有第三方外包服務(wù)提供商參與實施的項目應(yīng)當(dāng)采取嚴密措施，保證外包服務(wù)質(zhì)量和安全不受影響。 第四十四條 [外包監(jiān)督 ]保險機構(gòu)應(yīng)當(dāng)加強外包服務(wù)提供商及其服務(wù)人員的管理，與外包服務(wù)提供商建立起有效的信息交流與溝通機制，保證外包服務(wù)人員的相對穩(wěn)定。 第四十五條 [股東影響 ]保險機構(gòu)信息化建設(shè)和管理與其非保險類股東有重大關(guān)聯(lián)的，保險機構(gòu)信息化治理與規(guī)劃、業(yè)務(wù)、財務(wù)等核心系統(tǒng)和重要數(shù)據(jù)信息及其管理必須保持獨立完整。其他信息化事項外包給股東的，按照本規(guī)定外包要求實施管理。 14 第四十六條 [購買保險 ]保險機構(gòu) 應(yīng)當(dāng)優(yōu)先選擇購買相應(yīng)商業(yè)保險的外包服務(wù)提供商，以保障安全事件發(fā)生時外包服務(wù)提供商有足夠的經(jīng)濟賠償能力。 第四十七條 [定期評估 ]保險機構(gòu)應(yīng)當(dāng)建立評估考核機制，定期對外包服務(wù)提供商的財務(wù)狀況、技術(shù)實力、安全資質(zhì)、風(fēng)險控制水平和誠信記錄等進行審查、評估與考核，確保其設(shè)施和能力滿足外包要求。 第六章 信息安全管理 第四十八條 [信息安全 ]本規(guī)定所稱信息安全是指利用信息技術(shù)及管理手段，保護信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性。 信息安全包括網(wǎng)絡(luò)安全、系統(tǒng)安全和內(nèi)容安全， 涵蓋物理環(huán)境、網(wǎng)絡(luò)、主機系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、應(yīng)用、存儲、災(zāi)備、安全事件管理、人員等各層面安全。 第四十九條 [基本要求 ]保險機構(gòu)要將信息安全置于信息化工作的首位，按照“積極防御、綜合防范”的原則，加強信息安全與信息系統(tǒng)的同步規(guī)劃、同步建設(shè)和同步使用，加強風(fēng)險管理與控制，充分利用管理機制和技術(shù)手段，增強安全防護能力，構(gòu)建完善的信息安全保障體系，確保重要信息系統(tǒng)持續(xù)穩(wěn)定運行，保障業(yè)務(wù)活動的連續(xù)性。