⑴ 互联网保险业务监管办法
第一章总则第一条为规范互联网保险业务,有效防范风险,保护消费者合法权益,提升保险业服务实体经济和社会民生的水平,根据《中华人民共和国保险法》等法律、行政法规,制定本办法。第二条本办法所称互联网保险业务,是指保险机构依托互联网订立保险合同、提供保险服务的保险经营活动。
本办法所称保险机构包括保险公司(含相互保险组织和互联网保险公司)和保险中介机构;保险中介机构包括保险代理人(不含个人保险代理人)、保险经纪人、保险公估人;保险代理人(不含个人保险代理人)包括保险专业代理机构、银行类保险兼业代理机构和依法获得保险代理业务许可的互联网企业;保险专业中介机构包括保险专业代理机构、保险经纪人和保险公估人。
本办法所称自营网络平台,是指保险机构为经营互联网保险业务,依法设立的独立运营、享有完整数据权限的网络平台。保险机构分支机构以及与保险机构具有股权、人员等关联关系的非保险机构设立的网络平台,不属于自营网络平台。
本办法所称互联网保险产品,是指保险机构通过互联网销售的保险产品。第三条互联网保险业务应由依法设立的保险机构开展,其他机构和个人不得开展互联网保险业务。保险机构开展互联网保险业务,不得超出该机构许可证(备案表)上载明的业务范围。第四条保险机构开展互联网保险业务,应符合新发展理念,依法合规,防范风险,以人为本,满足人民群众多层次风险保障需求,不得损害消费者合法权益和社会公共利益。
保险机构开展互联网保险业务,应由总公司集中运营、统一管理,建立统一集中的业务平台、业务流程和管理制度。保险机构应科学评估自身风险管控能力、客户服务能力,合理确定适合互联网经营的保险产品及其销售范围,不能有效管控风险、保障售后服务质量的,不得开展互联网保险销售或保险经纪活动。
保险机构应持续提高互联网保险业务风险防控水平,健全风险监测预警和早期干预机制,保证自营网络平台运营的独立性,在财务、业务、信息系统、客户信息保护等方面与公司股东、实际控制人、公司高级管理人员等关联方实现有效隔离。第五条保险机构通过互联网和自助终端设备销售保险产品或提供保险经纪服务,消费者能够通过保险机构自营网络平台的销售页面独立了解产品信息,并能够自主完成投保行为的,适用本办法。
投保人通过保险机构及其从业人员提供的保险产品投保链接自行完成投保的,应同时满足本办法及所属渠道相关监管规定。涉及线上线下融合开展保险销售或保险经纪业务的,其线上和线下经营活动分别适用线上和线下监管规则;无法分开适用监管规则的,同时适用线上和线下监管规则,规则不一致的,坚持合规经营和有利于消费者的原则。第六条中国银行保险监督管理委员会(以下简称银保监会)及其派出机构依法对互联网保险业务实施监督管理。第二章基本业务规则第一节业务条件第七条开展互联网保险业务的保险机构及其自营网络平台应具备以下条件:
(一)服务接入地在中华人民共和国境内。自营网络平台是网站或移动应用程序(APP)的,应依法向互联网行业管理部门履行互联网信息服务备案手续、取得备案编号。自营网络平台不是网站或移动应用程序(APP)的,应符合相关法律法规的规定和相关行业主管部门的资质要求。
(二)具有支持互联网保险业务运营的信息管理系统和核心业务系统,并与保险机构其他无关的信息系统有效隔离。
(三)具有完善的网络安全监测、信息通报、应急处置工作机制,以及完善的边界防护、入侵检测、数据保护、灾难恢复等网络安全防护手段。
(四)贯彻落实国家网络安全等级保护制度,开展网络安全定级备案,定期开展等级保护测评,落实相应等级的安全保护措施。对于具有保险销售或投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于三级;对于不具有保险销售和投保功能的自营网络平台,以及支持该自营网络平台运营的信息管理系统和核心业务系统,相关自营网络平台和信息系统的安全保护等级应不低于二级。
(五)具有合法合规的营销模式,建立满足互联网保险经营需求、符合互联网保险用户特点、支持业务覆盖区域的运营和服务体系。
(六)建立或明确互联网保险业务管理部门,并配备相应的专业人员,指定一名高级管理人员担任互联网保险业务负责人,明确各自营网络平台负责人。
(七)具有健全的互联网保险业务管理制度和操作规程。
(八)保险公司开展互联网保险销售,应符合银保监会关于偿付能力、消费者权益保护监管评价等相关规定。
(九)保险专业中介机构应是全国性机构,经营区域不限于总公司营业执照登记注册地所在省(自治区、直辖市、计划单列市),并符合银保监会关于保险专业中介机构分类监管的相关规定。
(十)银保监会规定的其他条件。
⑵ 保监会关于网络安全的规定
以下解答摘自谷安天下咨询顾问发表的相关文章!
一、信息安全管理体系已解决的保险公司信息安全问题
保险行业通过信息安全技术的实施,信息安全管理制度的实施,解决了大量具有普遍性的信息安全问题,并形成了行业在信息安全管理方面的特色和管理优势。概要如下:
建立了比较详尽的在安全策略,并且总公司的各项IT制度会直接下放到各级分支机构。
在安全组织方面,结合保监会建立“网络安全工作小组”的要求,成立的信息安全组织,由公司的主要领导担任组长及副组长,组员由主要业务部门、人力资源部门、稽核部门及信息技术部门等部门组成。
在物理环境方面,机房建设按国家A类机房标准建设,符合国家的有关标准;机房实现授权出入管理,出入计算机机房有严格的审批程序和出入记录,物理环境的防火、防水、空调、电力等基本达到安全要求。
建立了较合理的总公司与分支机构的网络基础架构,网络核心交换机与路由器双机容错;公司重要的广域网接入专用线路都有冗余。
对网站采用了网页防篡改技术并定期进行检查,员工访问互联网进行了分级限制,外来人员访问互联网有专用网段。
对员工PC集中防病毒管理、集中补丁管理,定期对重要主机与网络设备进行安全检查。
在计算机信息系统开发、管理与应用上有相对比较清晰和明确的职责分工的要求,在核心业务系统的设计、开发、测试环境基本能做到主机环境的分离,软件源代码通过版本控制器集中进行管理。
重要业务系统和数据均有良好的备份措施,特别是进行了数据异地存放等工作。
IT人员责任心强,工作勤勉,在超负荷的工作状态下能基本维持系统正常运行。
二、信息安全管理体系正在解决的保险公司信息安全问题
当前保险行业信息安全现状还有许多待改进与提高的地方,与国际标准和最佳信息安全实践相比,还存在着一定的差距,特别是分支机构在资产管理、物理与环境安全、人力资源管理、通信与操作管理、访问控制、软件开发等方面还需付出较大的努力。
以下对信息安全管理体系正在解决的保险行业信息安全方面的主要表现在以下几个方面:
信息安全投入
IT规划
资产管理
人力资源安全
物理与环境安全
通信与操作管理
访问控制
信息系统获得、开发与维护
信息安全事件管理
扩展阅读:【保险】怎么买,哪个好,手把手教你避开保险的这些"坑"
⑶ 信息安全等级保护的标准规范
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准) GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
⑷ 网络安全等级保护规定
法律分析:国家对网络安全实行等级保护制度,对公共通信和信息服务、能源、交通等重要行业和领域,在网络等级保护的基础上,实行重点保护。
法律依据:《中华人民共和国网络安全法》
第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。