保险中介机构信息化工作监管办法正式印发，助力行业高质量发展

hwyzw

    所有银行和保险监管机构，各种保险公司，各种保险专业中介机构以及各种保险兼职机构：

    在中国银行和保险监管委员会的批准下，现在向您发表了“保险中介机构的监督法规”。请遵守它。

    2021年1月5日

    （请将其转发给所有保险专业中介机构和管辖权下的保险兼职保险机构）

    保险中介机构的信息化工作的监督措施

    第1章一般规定

    第1条为了加强保险中介机构的监督，提高了保险中介机构的信息化和业务管理水平，并促进保险中介业的高质量发展。 “，“中华人民共和国的网络安全法”和“保险代理监督法规”。 》“保险经纪监督法规”，“保险评估者监督法规”以及其他法律和行政法规应制定这些措施。

    第2条这些措施应适用于根据中华人民共和国领土内的法律规定的保险中介机构。

    第3条这些措施中提到的保险中介机构是指保险代理人（不包括个人代理商），保险经纪人和保险评估师，包括法人实体和分支机构。保险代理人（不包括个人代理商）包括专业保险机构和兼职保险机构。

    这些措施中提到的保险中介机构的信息化工作是指现代信息技术（例如计算机，通信和网络）在业务处理，业务管理和内部控制中的应用，以不断提高运营效率并优化内部资源分配和优化工作的目的是提高预防风险水平。其中，兼职保险公司的信息化工作仅是指与兼职保险代理业务有关的信息化工作。

    这些措施中提到的紧急情况是指信息系统或信息基础设施或网络攻击的失败，从而导致同一省份保险中介机构的业务渠道和电子渠道中断超过3个小时，或在上述省份的两个或多个商业渠道和电子渠道业务中，中断了30分钟以上；或保险中介机构或客户由于在线欺诈或其他信息安全事件而损失了超过1000万元人民币的资金，或造成重大的社会影响；或保险中介机构丢失或泄露了大量重要数据或客户信息已有或可能造成重大损失或严重影响。

    第4条保险中介机构的信息化工作应遵守中国银行银行和保险监管委员会的法规法律，中国人民共和国的行政法规（以下称为中国银行业和保险监管委员会）。

    保险中介机构的信息化工作必须遵循安全性，可靠性和有效性统一，技术路线和业务发展方向的一致性以及匹配信息系统和管理需求的原则。

    第5条保险中介机构是该机构信息化工作的负责实体，负责保险中介机构的法定代表或主要人员对该机构的信息化工作负有主要责任。

    第6条中国银行和保险监管委员会及其派遣机构应根据法律监督和管理保险中介机构的信息化工作。

    第2章基本要求

    第7条保险中介机构应履行以下信息工作职责：

    （1）实施国家网络安全和信息化工作的中国银行银行和保险监管委员会的法律，行政法规，技术标准和监管制度。

    （2）制定该机构的信息化工作计划，以确保与整体业务计划保持一致。

    （3）制定信息工作系统，并建立一个通过合理的劳动分工，明确的责任和明确的报告关系来建立信息管理机制。

    （iv）准备信息预算，以确保信息化工作所需的资金。

    （v）进行该机构的信息构建，以确保完全控制该机构的信息系统和数据管理权。

    （vi）制定该机构中信息紧急情况的紧急计划，组织紧急演习并及时报告，迅速响应并处理该机构中的信息紧急情况。

    （7）与中国银行和保险监管委员会及其派遣机构进行的有关信息化工作的监督和检查合作，真实地提供相关的文件和材料，并根据监管意见进行整流。

    （8）进行信息培训，以加强该机构人员的信息意识，信息安全意识和软件身份验证。

    （9）中国银行和保险监管委员会规定的其他信息工作责任。

    第8条保险中介机构应独立进行信息化工作。如果信息化工作与相关企业有关（包括股东，股东和其他相关企业），则保险中介机构应阐明他们与相关企业之间的信息工作责任，并且每个企业都假定信息安全管理责任。重要的信息机制，设施和保险中介机构的管理应保持独立和完整，有效地与相关企业的相关设施隔离，严格规范信息系统和数据的访问，使用，转移和复制，并且不得披露保险政策违反法规的相关企业。 ，个人信息和其他数据信息。重要的信息机制和设施包括但不限于信息治理和计划，业务，金融，人员以及其他重要的信息系统以及其中的数据信息。

    如果将基于信息的事项外包给关联企业，则应根据这些措施的外包要求实施有效的管理。

    第9条保险中介法律实体机构应指定高级管理人员协调并负责法人机构和分支机构的信息管理。

   

    第10条保险中介法律实体机构应设立信息部门或信息职位，并且应有一名正式员工负责信息工作。分支机构应有正式的人员来协助法人进行信息化工作。

    第11条适用于执行保险中介业务的法律实体应按照这些措施进行信息构建，并向中国银行和保险监管委员会的派遣机构提交信息工作报告，并在该机构的业务许可证注册。报告内容应包括信息管理机制和系统状况，满足这些措施第17条的要求，信息系统采购合同或知识产权证书等。

    在建立保险中介机构的分支机构时，保险中介法律实体或其省级分支机构应提交有关法人实体和分支机构的信息化工作的报告，并向分支机构的业务许可证派遣了机构。

    第12条保险中介法律机构应加强分支机构的信息管理。除非法律，行政法规以及中国银行和保险监管委员会的监管制度另有规定，否则法律机构和分支机构应使用相同的信息系统。法律实体应敦促分支机构及时输入业务数据，并通过信息系统管理和监视每个分支机构的业务状况。

    第13条保险中介机构应迅速报告监管事务，并根据监管要求，通过相关信息系统向中国银行和保险监管委员会提交监管数据及其派遣机构。

    第14条如果保险中介机构遇到信息紧急情况，则应根据相关法规在24小时内向中国银行银行和保险监管委员会的派遣机构报告该信息向中国银行银行和保险监管委员会的营业地点注册。中国银行和保险监管委员会的信息紧急信息报告。在特别严重并可能造成严重社会影响的信息紧急情况之后，保险中介机构应在30分钟内通过电话报告相关信息，并在1小时内以书面形式报告信息。

    第15条保险中介机构应使用真正的软件，并禁止复制，传播或使用未经授权的软件。采取有效的措施来保护该机构具有独立知识产权的信息系统，以有效提高软件身份验证和知识产权保护的认识。

    第16条保险中介机构应积极跟踪，研究和应用新兴信息技术，在预防风险的前提下积极促进业务创新和服务创新，并提高核心竞争力。

    第三章信息系统

    第17条保险中介法律实体机构应根据业务规模和开发需求建立匹配业务管理，财务管理和人员管理信息系统，并满足以下要求：

    （1）业务管理系统可以记录和管理业务协议，保险业务详细信息，客户信息，相关证书和其他业务情况等。

    （2）财务管理系统可以记录和管理一般财务分类帐，帐户详细信息，应收账款，会计报表，发票等。

    （3）人事管理系统可以记录和管理保险中介从业人员，就业合同，专业注册，人为薪酬，培训，培训以及奖励和惩罚的基本信息。

    （4）可以始终如一地匹配和验证业务管理，财务管理和人员管理系统的数据。

    （5）通过技术手段，与合作保险公司实现系统互操作性，业务互连和数据对接。

    （vi）能够生成满足监管要求的数据文件，并使用技术手段实现与保险中间监督相关信息系统的数据对接。

    （7）可以根据合作机构，分支机构，业务类别，商业渠道，保险类型，收入和支出评分，地区，时间，时间等的方面总结和分析机构的运营状态。

    （8）它具有用户权限管理功能，并且可以根据不同角色为用户配置数据添加，删除，修改和查看权限。

    （9）它具有日志管理功能，可以记录用户操作行为和操作时间。

    （10）遵循国家标准化管理部和中国银行和保险监管委员会发布的相关行业标准和技术规格。

    第18条保险中介机构可以以独立开发，合作开发，定制开发，外包开发和购买云服务的形式建立信息系统。

    保险中介机构应充分认识并有效控制与信息构建有关的风险。无论信息系统如何构建，保险中介机构都应遵守这些法规，并承担信息安全管理的责任。

    第19条如果使用外包模型（例如合作开发，定制开发，外包开发和购买云服务）构建信息系统，则保险中介机构应识别和分析信息技术外包风险，加强对外包服务提供商的资格审查以及加强外包服务的资格。外包合同的风险管理，标准化外包合同条款，阐明外包范围，责任界限，安全性和保密性和个人信息保护责任，并采取有效的措施，以确保数据和信息系统的安全性和持续的可控性。保险中介机构应提高其独立的研发能力，并逐渐减少对外包服务提供商的依赖。

    第20条保险中介机构应根据功能最低和最低权限的原则合理地确定信息系统的访问权限，并定期检查和验证以确保用户权利符合其工作职责。严格控制系统访问权限，并禁止未经授权的查看和下载数据。严格控制通过系统背景的数据修改。如果确实需要修改，则必须在后面保留预先批准的监视和痕迹。

    第21条保险中介机构应通过信息系统进行全面，准确和完全记录业务，金融和人员的管理，以确保信息系统记录和管理的数据与实际业务运营一致。

    保险中介机构应在每个保险业业务链接发生之​​日起3个工作日内将业务详细信息输入信息系统。如果同时涉及财务和人员事务，则应同时输入财务和人员详细数据。

    第22条如果保险中介机构进行信息系统生产，更改或数据迁移，则应组织风险评估，准备实施计划，制定系统逆转和紧急响应计划，进行训练，测试和培训，谨慎地实施，并进行有效性验证实施完成后进行。

    第4章信息安全

    第23条保险中介机构应建立和改善信息安全管理系统，部署和实施信息安全措施，例如边境保护，病毒保护，入侵检测，数据备份和灾难恢复，以确保业务可持续性和数据安全。

   

    第24条保险中介机构应根据有关国家网络安全级别保护的相关规定合理地确定信息系统的安全级别，并根据国家网络安全级别保护的相关标准进行保护，并获得相应的国家网络安全级别保护认证。

    第25条保险中介机构应采取重要数据的保护措施，以确保在收集，存储，传输，使用，提供，备份，备份，恢复和破坏过程中数据的安全性，合法地使用数据，并严格防止数据泄漏，篡改和损害。 ，确保数据的完整性，机密性和可用性。

    保险中介机构应采取可靠的措施来存储和备份数据，并定期进行备份数据恢复验证。系统数据应至少保存五年，并且系统日志应至少保存六个月。

    第26条如果保险中介机构在收集，处理和应用数据时收集，处理和应用个人信息，则应遵守合法，合法性和必要性原则，遵守相关的国家法律和行政法规，并符合与个人标准有关信息安全。

    未经许可或授权，保险中介机构不得收集与他们提供的服务无关的个人信息；不得收集，使用，提供，提供和处理个人信息，以违反法律，行政法规和合同协议；不得披露或篡改个人信息。

    第27条保险中介机构应加强终端设备的管理，例如台式计算机，便携式计算机，智能手机，平板电脑，移动存储媒体等，并根据法律，行政法规和实际网络的要求选择和实施终端设备机构的安全。安全措施，例如登录控制，病毒保护，软件安装和卸载管理，移动存储媒体管理，固定资产管理，网络访问和违规监控。

    第28条保险中介机构应定期进行信息培训，信息安全培训和机密性教育，与员工签署信息安全和机密性协议，并敦促员工履行与工作相对应的信息安全和机密职责。

    第五章监督和管理

    第29条基于有效防止保险中间市场的风险并维持信息安全，中国银行和保险监管委员会已建立并改善了符合保险中间行业发展特征的信息监督机制，指导了中介机构不断提高信息工作水平，并促进保险公司。与中介机构系统建立联系，以创建透明，标准化和高效的市场环境，并促进保险中介行业的高质量发展。

    第30条中国银行和保险监管委员会负责为保险中介机构的信息化工作监督系统制定，并授权所有派遣机构进行日常监督，指导和检查保险中介机构的信息化工作。

    中国银行和保险监管委员会及其派遣机构应加强风险识别，评估和预警，合理地分配资源，协调监督联系，并以有序的方式进行监督工作。

    第31条中国银行和保险监管委员会及其派遣机构应审查保险中介机构的信息化工作。

    如果保险中介机构的通知工作不符合这些措施的要求，则应被视为符合“保险代理人监督法规”的第7、12和18条，第7条第19条，第19条。 《保险经纪人监督的法规》，《保险经纪人监督法规》第7、19条，第16条，第16条，第18条和其他相关条件不得在保险中介机构中执行 商业。

    第32条中国银行和保险监管委员会及其派遣机构专注于在以下情况下对保险中介机构进行信息检查：

    （1）如果信息化工作有重大的安全危害，或者不符合这些措施的要求。

    （ii）发生信息紧急情况。

    （iii）违反有关中国银行和保险监管委员会信息紧急情况信息信息报告的相关规定。

    （4）未采取纠正措施来实现严重的信息安全风险或无效。

    （5）恶意篡改，删除或关闭了信息系统或数据，并逃避了监督和检查。

    （vi）非法收集，使用，提供和处理个人信息，或披露或侵犯个人信息。

    （7）向中国银行和保险监管委员会及其派遣机构提交数据，报告和报告，并且有错误的警报，虚假报告，错误报告和迟到的报告。

    （8）中国银行和保险监管委员会及其派遣机构认为有必要进行信息工作检查的其他情况。

    第33条中国银行和保险监管委员会及其派遣机构应采取监管措施，或对根据法律，行政法规和相关规定违反这些措施的保险中介机构施加行政罚款，并使相关人员负责。

    第6章附件

    第34条保险中介机构应根据这些措施对信息工作进行自我检查，并在实施这些措施之日起一年内完全纠正。纠正完成后，保险中介机构的法律实体将向中国银行和保险监管委员会的派遣机构提交信息工作报告，该机构在该机构的业务许可证注册的地方。

    第35条中国银行和保险监管委员会应负责解释和修改这些措施。

    第36条：该措施应于2021年2月1日生效，并应同时废除“加强保险中介机构的信息构建通知”（保险与监督[2007]第28号）。