保险公司信息化管理指引(试行)

保险公司信息化管理指引(试行)1总则1.1制定依据本指引依据《中华人民共和国保险法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《保险公司信息系统安全管理指引》《保险业数字化转型指导意见》《网络安全等级保护条例》等法律法规及监管规定制定，用于规范本公司及各级分支机构、全资及控股子公司的信息化全流程管理工作。1.2适用范围本指引适用于本公司总公司各部门、各省级/地市级/县级分支机构，以及本公司全资、控股的保险中介、保险资产管理、健康管理等子公司，参股公司可参照执行。1.3基本原则信息化工作遵循五项核心原则：一是统筹规划原则，全公司执行统一的信息化架构标准，杜绝各条线、各分支机构独立建设“烟囱式”系统，实现资源共享、能力复用；二是安全可控原则，核心信息系统、核心数据资产的管理权、控制权掌握在本公司手中，优先采用国产化软硬件产品，防范供应链风险；三是赋能业务原则，信息化建设以业务需求为核心，聚焦承保、理赔、客户服务、风险防控等核心场景降本增效，避免脱离实际的技术堆砌；四是合规优先原则，信息化全流程嵌入合规审查机制，所有系统建设、数据应用均符合监管要求，不触碰合规红线；五是迭代优化原则，建立动态优化机制，根据技术发展、业务变化、监管要求持续迭代信息化体系。1.4工作目标到2025年末，建成架构统一、安全可控、支撑有力的数字化信息化体系，核心系统国产化率达到80%以上，数据质量达标率超过99.5%，核心系统可用性不低于99.99%，信息化投入占上年度总营收比例不低于1.5%，数字化能力达到行业前30%分位水平，有效支撑业务增长、风险防控与客户体验提升。2组织与职责2.1董事会职责董事会是信息化工作的最高责任主体，负责审批公司信息化战略规划、年度信息化投入预算、重大信息化项目立项及重大安全事件处置方案，每年至少召开1次专题会议研究信息化工作，对信息化建设的有效性、安全性承担最终责任。2.2经营管理层职责公司设立首席信息官（CIO）岗位，作为高管层成员专职分管信息化工作，不得同时分管保险业务销售、投资等业务条线，负责统筹信息化规划落地、系统建设、安全管控、资源协调等工作，向董事会及总经理室汇报信息化工作。2.3信息化管理部门职责总公司设立独立的信息化管理部门，配置不低于公司总人数3%的专职信息化人员，承担以下职责：制定公司信息化管理制度、标准及流程；编制信息化战略规划及年度计划；统筹信息系统的建设、迭代、运维管理；牵头数据资产管理、网络与信息安全管控；负责外包服务商的准入、考核及退出管理；组织信息化培训及应急演练；配合监管部门的信息化检查及审计工作。2.4分支机构及业务部门职责各省级分公司至少配置2名专职信息化岗位人员，地市级分支机构至少配置1名专职信息化岗位人员，县级分支机构配置1名兼职信息化联络员；各业务部门设置专职信息化对接人，负责本部门信息化需求提报、系统测试、推广使用、数据质量管控、用户反馈收集等工作，承担本业务条线的数据质量第一责任。2.5审计及合规部门职责内部审计部门每年至少开展1次信息化专项审计，覆盖信息化规划、建设、安全、数据、外包全流程，审计报告报送董事会及银保监会属地监管机构；合规部门负责信息化全流程的合规审查，重点审核个人信息保护、数据合规、反垄断、反欺诈等内容，对信息化项目的合规性出具审查意见。3信息化规划管理3.1规划编制周期公司信息化中期规划周期为3-5年，与公司整体发展战略周期匹配，每年编制年度滚动执行计划，确保规划落地。3.2规划编制流程每年10月由各业务部门、分支机构提交下一年度及中长期信息化需求，信息化管理部门牵头开展现状评估、行业对标、技术可行性论证，充分征求合规、风控、财务部门意见后形成规划草案，经经营层审议后报董事会审批生效。3.3投入要求每年信息化投入占上一年度总营收比例不低于1%，其中网络与信息安全投入占年度信息化总投入比例不低于10%，人才队伍建设投入占信息化总投入比例不低于15%，投入预算优先保障核心系统升级、安全体系建设、数据中台建设等重点项目。3.4规划落地管控每半年开展一次规划执行进度评估，进度滞后10%以上的项目要出具专项说明并制定整改方案；规划调整需经CIO审批，涉及整体架构变更、预算调整超过20%的重大调整需报董事会审批；新技术（人工智能、区块链、大数据、RPA、元宇宙等）应用需先开展小范围试点，试点周期不超过6个月，经效果评估达标后方可全量推广，杜绝盲目技术投入。4信息系统建设与迭代管理4.1系统分类管控公司信息系统分为五大类实行分级管理：①核心类系统：包括承保、理赔、收付、再保、保单管理系统，属于最高管控级别，需实现自主可控，源代码必须存储在公司自有代码仓库，不得完全交由外包厂商掌控；②业务类系统：包括销售管理、代理人管理、客户服务、营销活动系统，需符合统一数据标准，对接核心系统；③管理类系统：包括OA、人力资源、财务、办公系统，需满足等保二级及以上要求；④风控类系统：包括反欺诈、反洗钱、合规管理、偿付能力管理系统，需实现数据实时同步，规则可灵活配置；⑤基础类系统：包括服务器、数据库、存储、网络设备，优先采用国产化产品。4.2系统建设流程所有系统建设严格执行标准化流程：①需求提报：业务部门提交书面需求说明书，明确业务场景、预期效果、性能要求、时效需求，经部门负责人签字确认；②需求评审：信息化、业务、合规、风控部门联合开展需求评审，10个工作日内出具评审意见，不符合合规要求、技术可行性不足的需求予以退回；③立项审批：评审通过的项目提交立项申请，明确预算、项目责任人、时间节点，预算超过500万的项目报董事会审批；④开发/采购：自研项目实行阶段性验收，每两周同步一次开发进度；采购项目优先选择具备保险行业3年以上服务经验、无重大违法违规记录的厂商，核心系统优先选择国内头部服务商；⑤测试：单元测试、集成测试、用户验收测试（UAT）覆盖率100%，核心系统需开展压力测试，支撑峰值业务量1.5倍以上稳定运行，测试不通过的项目不得上线；⑥上线审批：上线前提交测试报告、应急预案、合规评估报告，报CIO审批，核心系统上线需提前10个工作日向属地监管机构报备；⑦后评估：系统上线运行3个月后开展后评估，用户满意度低于70分的项目需限期整改。4.3系统迭代与退役小功能迭代每月最多开展2次，大版本迭代每季度最多开展1次，迭代时间避开开门红、理赔高峰期等业务峰值时段，迭代前完成全量数据备份；系统退役前需完成数据迁移、归档，数据留存期限不低于15年，符合保险档案管理要求，核心系统退役需报董事会及监管机构备案。5数据资产管理5.1数据标准管理制定公司统一的数据标准，覆盖客户、保单、理赔、财务、人员五大类共1200+数据元，明确数据元的命名、格式、编码规则，与银保监会发布的保险业数据标准100%对齐，新增系统必须符合统一数据标准，不符合标准的系统不得上线。5.2数据质量管理建立“谁产生、谁负责，谁使用、谁监督”的数据质量责任机制，明确数据质量考核指标：数据准确率不低于99.9%，数据完整性不低于99.8%，数据及时性不低于99.5%；每月开展全量数据质量巡检，问题数据7个工作日内完成整改，监管报送数据准确率100%，不得出现迟报、错报、漏报。5.3数据全生命周期管控5.3.1数据采集：遵循最小必要原则，不得过度收集客户信息，收集个人信息需取得客户明示授权，健康告知、生物识别等敏感信息采集需单独告知客户使用范围。5.3.2数据存储：核心数据采用加密存储，建立本地+异地+灾备中心三级备份体系，异地备份中心与主数据中心物理距离不低于100公里，核心数据每日备份，备份保留周期不低于15年。5.3.3数据加工：客户身份证号、手机号、银行卡号、健康记录等敏感信息加工时必须脱敏，非授权人员不得查看明文信息，数据加工日志留存至少6个月。5.3.4数据共享：内部数据共享明确使用范围、期限，经数据归属部门及信息化部门审批；外部数据共享需符合监管要求，签订保密协议，涉及个人信息的需取得客户单独授权，不得向境外机构、境外服务器传输任何客户敏感信息。5.3.5数据销毁：采用物理销毁或不可逆擦除方式销毁数据，销毁过程全程留痕，记录留存至少3年。5.4数据应用管理建设统一数据中台，支撑精准营销、智能风控、智能理赔、客户画像等场景应用，数据应用不得实施大数据杀熟、算法歧视等违规行为，算法模型上线前需经合规部门审核。6网络与信息安全管理6.1等级保护建设所有信息系统必须符合网络安全等级保护要求，核心类、风控类系统按照等保三级要求建设，每年开展1次等保测评；其他系统按照等保二级及以上要求建设，每2年开展1次等保测评，测评不合格的系统限期整改，整改期间暂停对外服务。6.2身份与权限管控内部系统采用双因素认证（账号密码+动态令牌/人脸/短信验证），客户-facing系统重要操作（退保、理赔转账、修改客户信息、保单质押）需二次身份验证；系统权限实行最小化配置，开发人员、外包人员不得拥有生产环境最高权限，权限变更需走审批流程，离岗人员24小时内注销所有权限。6.3安全防护管控配齐防火墙、入侵检测、入侵防御、WAF、防病毒等安全设备，安全规则每月更新1次；每周开展1次全量漏洞扫描，每月开展1次渗透测试，高危漏洞24小时内修复，中危漏洞72小时内修复，低危漏洞7天内修复；所有运维操作全程留痕，操作日志留存至少6个月。6.4终端安全管控所有办公电脑、移动办公设备安装终端安全管理系统，禁止使用个人邮箱、微信、QQ等工具传输公司敏感数据，禁止私自拷贝、带走公司核心数据，敏感数据打印需经部门负责人审批。7运维与应急管理7.1运维体系建设建立724小时运维值班制度，核心系统可用性不低于99.99%（年停机时间不超过52分钟）；对服务器、网络、数据库、应用系统实行全量实时监控，告警响应时间不超过10分钟，一般故障恢复时间不超过2小时，重大故障恢复时间不超过4小时。7.2备份与演练每季度开展1次备份恢复演练，恢复成功率100%；每年至少开展2次应急演练，其中核心系统宕机、数据泄露专项演练每年至少1次，演练后3个工作日内出具复盘报告，优化应急预案。7.3事件分级处置信息安全事件分为三级：①一般事件：核心系统宕机小于30分钟、影响用户小于1万人、无数据泄露，1小时内报CIO；②较大事件：核心系统宕机30分钟-2小时、影响用户1-10万人、泄露客户信息小于1万条，2小时内报总经理室；③重大事件：核心系统宕机超过2小时、影响用户超过10万人、泄露客户信息超过1万条，2小时内报属地监管机构，配合开展处置。8外包服务商管理8.1准入管理建立外包服务商准入白名单制度，核心系统服务商需具备保险行业同类项目实施经验不少于3年、服务保险机构不少于5家、近3年无重大违法违规及安全事件记录，准入前开展尽职调查，核查服务商资质、技术能力、安全管控水平、合规记录。8.2合同管理外包合同明确服务内容、质量标准、安全责任、保密义务、知识产权归属、违约责任，明确服务商不得私自留存公司核心数据、源代码，确需接触敏感数据的需经专项审批，服务结束后7天内销毁所有留存的公司数据并出具销毁证明。8.3过程与退出管理每季度对外包服务商开展考核，考核指标包括服务响应速度、需求完成率、安全合规情况，连续2次考核不合格的终止合作；服务商退出时24小时内注销所有系统权限，收回所有办公设备，开展数据泄露风险排查。8.4禁止外包范围核心系统源代码管理、数据资产管理、核心安全运维岗位不得外包，不得将整体信息化工作全权交由第三方服务商负责。9考核与问责9.1考核机制将信息化工作纳入各部门、各级分支机构年度绩效考核，权重不低于5%，考核指标包括信息化规划落地率、系统上线及时率、数据质量达标率、安全事件发生率、系统用户满意度，考核结果与部门绩效、负责人薪资挂钩。9.2奖励机制对在信息化建设、技术创新、风险防控方面做出突出贡献的部门及个人，给予年度薪资10%-30%的专项奖励，优先获得职称评定、晋升资格。9.3问责机制出现以下情形的对相关责任人予以问责：①未按要求落实信息化规划，造成资源浪