沒有等級(jí)保護(hù)的保險(xiǎn)中介不符合信息安全要求
中介機(jī)構(gòu)信息化工作與經(jīng)營(yíng)管理水平,規(guī)范保險(xiǎn)中介機(jī)構(gòu)市場(chǎng)行為,維護(hù)消費(fèi)者合法權(quán)益;同時(shí)推動(dòng)保險(xiǎn)中介行業(yè)的持續(xù)性的健康發(fā)展;中國(guó)銀保監(jiān)會(huì)近日正式印發(fā)了《保險(xiǎn)中介機(jī)構(gòu)信息化工作監(jiān)管辦法》(以下簡(jiǎn)稱《辦法》)。
《辦法》共6章36條,從基本要求、信息系統(tǒng)、信息安全、監(jiān)督管理等方面提出了全方位細(xì)致要求,其中重點(diǎn)內(nèi)容如下:
-
保險(xiǎn)中介機(jī)構(gòu)信息系統(tǒng)應(yīng)能夠及時(shí)、完整、準(zhǔn)確記錄財(cái)務(wù)、業(yè)務(wù)、人員情況;
-
保險(xiǎn)中介信息系統(tǒng)應(yīng)與合作保險(xiǎn)公司系統(tǒng)互通、業(yè)務(wù)互聯(lián)、數(shù)據(jù)對(duì)接,并同時(shí)與保險(xiǎn)中介監(jiān)管相關(guān)信息系統(tǒng)數(shù)據(jù)對(duì)接;
-
對(duì)信息系統(tǒng)的安全體系、等級(jí)保護(hù)、數(shù)據(jù)安全提出硬性測(cè)評(píng)要求;
-
明確保險(xiǎn)中介機(jī)構(gòu)可采取自主開發(fā)、合作開發(fā)、定制開發(fā)、外包開發(fā)和購(gòu)買云服務(wù)等形式建設(shè)信息系統(tǒng);
-
《辦法》同時(shí)對(duì)兼業(yè)機(jī)構(gòu)提出了與專業(yè)機(jī)構(gòu)相同的信息化工作要求;
-
保險(xiǎn)中介沒有信息系統(tǒng),不得經(jīng)營(yíng)保險(xiǎn)中介業(yè)務(wù)。
以下是《辦法》關(guān)于信息安全的詳細(xì)要求:
第二十三條保險(xiǎn)中介機(jī)構(gòu)應(yīng)建立健全信息安全管理制度,部署實(shí)施邊界防護(hù)、病毒防護(hù)、入侵檢測(cè)、數(shù)據(jù)備份、災(zāi)難恢復(fù)等信息安全措施,保障業(yè)務(wù)持續(xù)和數(shù)據(jù)安全。
第二十四條保險(xiǎn)中介機(jī)構(gòu)應(yīng)按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)規(guī)定,合理確定信息系統(tǒng)的安全等級(jí),并按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)進(jìn)行防護(hù),獲得相應(yīng)的國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)認(rèn)證。
第二十五條保險(xiǎn)中介機(jī)構(gòu)應(yīng)對(duì)重要數(shù)據(jù)采取保護(hù)措施,保障數(shù)據(jù)在收集、存儲(chǔ)、傳輸、使用、提供、備份、恢復(fù)和銷毀等過(guò)程中的安全,合法使用數(shù)據(jù),嚴(yán)防數(shù)據(jù)泄露、篡改和損毀,保障數(shù)據(jù)的完整性、保密性和可用性。
保險(xiǎn)中介機(jī)構(gòu)應(yīng)采取可靠措施進(jìn)行數(shù)據(jù)存儲(chǔ)和備份,定期開展備份數(shù)據(jù)恢復(fù)驗(yàn)證。系統(tǒng)數(shù)據(jù)應(yīng)至少保存五年,系統(tǒng)日志應(yīng)至少保存六個(gè)月。
第二十六條保險(xiǎn)中介機(jī)構(gòu)收集、處理和應(yīng)用數(shù)據(jù)涉及到個(gè)人信息的,應(yīng)遵循合法、正當(dāng)、必要的原則,遵守國(guó)家相關(guān)法律、行政法規(guī),符合與個(gè)人信息安全相關(guān)的國(guó)家標(biāo)準(zhǔn)。
未經(jīng)允許或授權(quán),保險(xiǎn)中介機(jī)構(gòu)不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息;不得違反法律、行政法規(guī)和合同約定收集、使用、提供和處理個(gè)人信息;不得泄露、篡改個(gè)人信息。
第二十七條保險(xiǎn)中介機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)臺(tái)式計(jì)算機(jī)、便攜式計(jì)算機(jī)、智能手機(jī)、平板電腦、移動(dòng)存儲(chǔ)介質(zhì)等終端設(shè)備的管理,根據(jù)法律、行政法規(guī)要求和本機(jī)構(gòu)網(wǎng)絡(luò)安全實(shí)際情況對(duì)終端設(shè)備選擇實(shí)施登錄控制、病毒防護(hù)、軟件安裝與卸載管理、移動(dòng)存儲(chǔ)介質(zhì)管理、固定資產(chǎn)管理、網(wǎng)絡(luò)準(zhǔn)入、違規(guī)監(jiān)測(cè)等安全措施。
第二十八條保險(xiǎn)中介機(jī)構(gòu)應(yīng)經(jīng)常開展信息化培訓(xùn)、信息安全培訓(xùn)和保密教育,與員工簽訂信息安全和保密協(xié)議,督促員工履行與其工作崗位相應(yīng)的信息安全和保密職責(zé)。