⑴ 互聯網保險業務監管辦法
第一章總則第一條為規范互聯網保險業務,有效防範風險,保護消費者合法權益,提升保險業服務實體經濟和社會民生的水平,根據《中華人民共和國保險法》等法律、行政法規,制定本辦法。第二條本辦法所稱互聯網保險業務,是指保險機構依託互聯網訂立保險合同、提供保險服務的保險經營活動。
本辦法所稱保險機構包括保險公司(含相互保險組織和互聯網保險公司)和保險中介機構;保險中介機構包括保險代理人(不含個人保險代理人)、保險經紀人、保險公估人;保險代理人(不含個人保險代理人)包括保險專業代理機構、銀行類保險兼業代理機構和依法獲得保險代理業務許可的互聯網企業;保險專業中介機構包括保險專業代理機構、保險經紀人和保險公估人。
本辦法所稱自營網路平台,是指保險機構為經營互聯網保險業務,依法設立的獨立運營、享有完整數據許可權的網路平台。保險機構分支機構以及與保險機構具有股權、人員等關聯關系的非保險機構設立的網路平台,不屬於自營網路平台。
本辦法所稱互聯網保險產品,是指保險機構通過互聯網銷售的保險產品。第三條互聯網保險業務應由依法設立的保險機構開展,其他機構和個人不得開展互聯網保險業務。保險機構開展互聯網保險業務,不得超出該機構許可證(備案表)上載明的業務范圍。第四條保險機構開展互聯網保險業務,應符合新發展理念,依法合規,防範風險,以人為本,滿足人民群眾多層次風險保障需求,不得損害消費者合法權益和社會公共利益。
保險機構開展互聯網保險業務,應由總公司集中運營、統一管理,建立統一集中的業務平台、業務流程和管理制度。保險機構應科學評估自身風險管控能力、客戶服務能力,合理確定適合互聯網經營的保險產品及其銷售范圍,不能有效管控風險、保障售後服務質量的,不得開展互聯網保險銷售或保險經紀活動。
保險機構應持續提高互聯網保險業務風險防控水平,健全風險監測預警和早期干預機制,保證自營網路平台運營的獨立性,在財務、業務、信息系統、客戶信息保護等方面與公司股東、實際控制人、公司高級管理人員等關聯方實現有效隔離。第五條保險機構通過互聯網和自助終端設備銷售保險產品或提供保險經紀服務,消費者能夠通過保險機構自營網路平台的銷售頁面獨立了解產品信息,並能夠自主完成投保行為的,適用本辦法。
投保人通過保險機構及其從業人員提供的保險產品投保鏈接自行完成投保的,應同時滿足本辦法及所屬渠道相關監管規定。涉及線上線下融合開展保險銷售或保險經紀業務的,其線上和線下經營活動分別適用線上和線下監管規則;無法分開適用監管規則的,同時適用線上和線下監管規則,規則不一致的,堅持合規經營和有利於消費者的原則。第六條中國銀行保險監督管理委員會(以下簡稱銀保監會)及其派出機構依法對互聯網保險業務實施監督管理。第二章基本業務規則第一節業務條件第七條開展互聯網保險業務的保險機構及其自營網路平台應具備以下條件:
(一)服務接入地在中華人民共和國境內。自營網路平台是網站或移動應用程序(APP)的,應依法向互聯網行業管理部門履行互聯網信息服務備案手續、取得備案編號。自營網路平台不是網站或移動應用程序(APP)的,應符合相關法律法規的規定和相關行業主管部門的資質要求。
(二)具有支持互聯網保險業務運營的信息管理系統和核心業務系統,並與保險機構其他無關的信息系統有效隔離。
(三)具有完善的網路安全監測、信息通報、應急處置工作機制,以及完善的邊界防護、入侵檢測、數據保護、災難恢復等網路安全防護手段。
(四)貫徹落實國家網路安全等級保護制度,開展網路安全定級備案,定期開展等級保護測評,落實相應等級的安全保護措施。對於具有保險銷售或投保功能的自營網路平台,以及支持該自營網路平台運營的信息管理系統和核心業務系統,相關自營網路平台和信息系統的安全保護等級應不低於三級;對於不具有保險銷售和投保功能的自營網路平台,以及支持該自營網路平台運營的信息管理系統和核心業務系統,相關自營網路平台和信息系統的安全保護等級應不低於二級。
(五)具有合法合規的營銷模式,建立滿足互聯網保險經營需求、符合互聯網保險用戶特點、支持業務覆蓋區域的運營和服務體系。
(六)建立或明確互聯網保險業務管理部門,並配備相應的專業人員,指定一名高級管理人員擔任互聯網保險業務負責人,明確各自營網路平台負責人。
(七)具有健全的互聯網保險業務管理制度和操作規程。
(八)保險公司開展互聯網保險銷售,應符合銀保監會關於償付能力、消費者權益保護監管評價等相關規定。
(九)保險專業中介機構應是全國性機構,經營區域不限於總公司營業執照登記注冊地所在省(自治區、直轄市、計劃單列市),並符合銀保監會關於保險專業中介機構分類監管的相關規定。
(十)銀保監會規定的其他條件。
⑵ 保監會關於網路安全的規定
以下解答摘自谷安天下咨詢顧問發表的相關文章!
一、信息安全管理體系已解決的保險公司信息安全問題
保險行業通過信息安全技術的實施,信息安全管理制度的實施,解決了大量具有普遍性的信息安全問題,並形成了行業在信息安全管理方面的特色和管理優勢。概要如下:
建立了比較詳盡的在安全策略,並且總公司的各項IT制度會直接下放到各級分支機構。
在安全組織方面,結合保監會建立「網路安全工作小組」的要求,成立的信息安全組織,由公司的主要領導擔任組長及副組長,組員由主要業務部門、人力資源部門、稽核部門及信息技術部門等部門組成。
在物理環境方面,機房建設按國家A類機房標准建設,符合國家的有關標准;機房實現授權出入管理,出入計算機機房有嚴格的審批程序和出入記錄,物理環境的防火、防水、空調、電力等基本達到安全要求。
建立了較合理的總公司與分支機構的網路基礎架構,網路核心交換機與路由器雙機容錯;公司重要的廣域網接入專用線路都有冗餘。
對網站採用了網頁防篡改技術並定期進行檢查,員工訪問互聯網進行了分級限制,外來人員訪問互聯網有專用網段。
對員工PC集中防病毒管理、集中補丁管理,定期對重要主機與網路設備進行安全檢查。
在計算機信息系統開發、管理與應用上有相對比較清晰和明確的職責分工的要求,在核心業務系統的設計、開發、測試環境基本能做到主機環境的分離,軟體源代碼通過版本控制器集中進行管理。
重要業務系統和數據均有良好的備份措施,特別是進行了數據異地存放等工作。
IT人員責任心強,工作勤勉,在超負荷的工作狀態下能基本維持系統正常運行。
二、信息安全管理體系正在解決的保險公司信息安全問題
當前保險行業信息安全現狀還有許多待改進與提高的地方,與國際標准和最佳信息安全實踐相比,還存在著一定的差距,特別是分支機構在資產管理、物理與環境安全、人力資源管理、通信與操作管理、訪問控制、軟體開發等方面還需付出較大的努力。
以下對信息安全管理體系正在解決的保險行業信息安全方面的主要表現在以下幾個方面:
信息安全投入
IT規劃
資產管理
人力資源安全
物理與環境安全
通信與操作管理
訪問控制
信息系統獲得、開發與維護
信息安全事件管理
擴展閱讀:【保險】怎麼買,哪個好,手把手教你避開保險的這些"坑"
⑶ 信息安全等級保護的標准規范
計算機信息系統安全等級保護劃分准則 (GB 17859-1999) (基礎類標准)
信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標准)
信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標准)
信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標准)
信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標准)
信息系統等級保護安全設計技術要求 (GB/T 25070-2010) (應用類建設標准)
信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標准)
信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標准)
信息系統安全管理要求 (GB/T 20269-2006) (應用類管理標准)
信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標准) GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求
GB/T 20270-2006 信息安全技術 網路基礎安全技術要求
GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
GB/T 20272-2006 信息安全技術 操作系統安全技術要求
GB/T 20273-2006 信息安全技術 資料庫管理系統安全技術要求
GB/T 20984-2007 信息安全技術 信息安全風險評估規范
GB/T 20985-2007 信息安全技術 信息安全事件管理指南
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
GB/T 20988-2007 信息安全技術 信息系統災難恢復規范
⑷ 網路安全等級保護規定
法律分析:國家對網路安全實行等級保護制度,對公共通信和信息服務、能源、交通等重要行業和領域,在網路等級保護的基礎上,實行重點保護。
法律依據:《中華人民共和國網路安全法》
第十五條 國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。