中国保险监督管理委员会关于印发《保险行政规章制定程序的规定》的通知
中国保险监督管理委员会
中国保险监督管理委员会关于印发《保险行政规章制定程序的规定》的通知
中国保险监督管理委员会
机关各部门:
为规范保险行政规章的起草、制定工作,使保险行政立法程序化、科学化,提高保险行政规章质量,现将《保险行政规章制定程序的规定》印发给你们。请组织学习,认真贯彻执行。
特此通知
第一章 总则
第一条 为规范保险行政规章的制定工作,使保险行政立法程序化、科学化、规范化,提高保险行政规章质量,根据《中华人民共和国保险法》、国务院《行政法规制定程序条例》、《法规、规章备案规定》等法律、法规,制定本规定。
第二条 本规定所称保险行政规章(以下简称“规章”),指中国保险监督管理委员会(以下简称“中国保监会”)为行使国务院授予的行政管理职能,监督管理保险市场,根据法律、行政法规制定的对保险业实行规范管理,调整保险法律关系的规范性文件的总称。
第三条 中国保监会规章的名称为“规定”、“办法”、“实施细则”等。对保险监管或保险活动作部分的规定,称“规定”;对保险监管或保险活动作比较具体的规定,称“办法”;对某一法律、法规的执行或操作作全面和具体的规定,称“实施细则”。
第四条 中国保监会政策法规部是保险行政规章制定的工作部门,中国保监会各部、室(简称各部门,下同)及其派出机构参与或协助有关保险规章制定的起草工作。
第五条 中国保监会及其派出机构制定和发布的有关其内部工作制度的文件;对具体事项的布告、公告、通知以及行政处理决定等,不适用本规定。
第六条 制定规章应当遵循以下原则:
一、符合法律、行政法规的有关规定;
二、符合党和国家的路线、方针、政策;
三、符合我国国情和保险市场实际,具有可操作性;
四、适应我国保险市场发展的需要;
五、充分发扬民主,坚持民主集中制原则。
第二章 立法规划与计划
第七条 中国保监会根据我国保险改革与发展需要,制定具有指导性的立法规划和年度计划。
立法规划。由政策法规部在中国保监会确定的保险法规体系的基础上,结合各部门规章制定的建议,拟订草案报中国保监会主席办公会(简称主席办公会会议,下同)审定。
年度计划。由中国保监会各部门、派出机构根据五年立法规划,在上年度11月底以前提出,经政策法规部汇总,报主席办公会审定。
第八条 立法规划由政策法规部负责组织实施。
第九条 对未列入立法规划和年度计划的立法项目,各部门可以根据形势发展的需要,提出调整建议,由政策法规部报主席办公会议审定或主席、主管副主席审批后实施。
第三章 起草
第十条 根据立法规划的要求,中国保监会各职能部门负责起草其主管业务范围内的规章;规章内容涉及两个或两个以上职能部门的,由主席或主管副主席指定起草部门或由政策法规部牵头组织、协调有关部门开展起草工作。
在起草工作开始时,规章起草部门应当通知政策法规部,政策法规部可以参与并协助起草工作。
第十一条 起草规章应当以条文形式表达,规章条文较多的可以分章、分节。整个规章应当结构严谨、条理清楚、概念明确、文字简练规范。
第十二条 规章草案的内容应包括:制定规章的依据、立法宗旨、适应范围、权利与义务主体、具体规范、法律责任、解释权、施行日期等。
规章草案应附该草案起草说明和有关参考资料。
规章起草说明的内容应包括:立法目的和依据、立法指导思想和原则、起草过程、需要说明的问题等。
第十三条 起草规章应当注意与现行规章的衔接和协调。对同一事项,如果作出与已有规章不一致的规定,应当在送审时专门说明情况和理由。
第十四条 起草规章应当对现行内容相同的规章进行清理。
以新的规章取代现行的规章,必须在草案中写明予以废止规章的名称;如果新的规章仅对现行规章的部分内容进行了修改,则应当在草案中写明修改现行规章的名称、条目及内容。
第十五条 在规章起草过程中,起草部门应征求有关部门的意见,对于涉及其他业务部门或者与其他业务部门关系密切的规章,应当与有关部门协商一致;经过协商不能取得一致意见的,应在规章草案送审时,将不同意见一并提出,并说明其情况与理由。
规章内容直接涉及保险监管对象(保险公司、保险代理人、保险经纪人等)利益的,应当征求其意见。在必要时,应当举行听证会。
规章内容涉及国务院其他部门的,应征求其意见并协商一致。
第四章 审定
第十六条 各部门拟出规章草案初稿后,由起草部门负责人签署并与有关部门会签后,将送审稿、起草说明、有关参考资料一并送政策法规部进行初审。
第十七条 政策法规部收到规章草案初稿后,应进行下列工作:
一、审查该规章是否列入立法计划或者经会领导特别批准;
二、规章涉及法律、法规依据,及其与以往发布的规章衔接问题进行审查;
三、规章的制定是否符合规定程序和规范化要求;
四、对规章中存在意见分歧较大的问题,进一步协调有关部门的意见;
五、对存在疑难问题的规章草案,进一步组织有关单位和专家进行会审论证。
六、将审查和论证的结果反馈给起草部门,并提出修改意见或方案。
第十八条 在初审中发现有下列情形之一的,政策法规部应当予以退回并说明理由,由原起草部门予以修改:
一、内容与现行法律、行政法规、国务院规范性文件相抵触的;
二、体例和内容结构不符合本规定的;
三、所述内容不明确,不具有实质性规范作用的;
四、适用性不强或者不具有可操作性的;
五、简单重复现行法律法规、规范性文
件内容的;
六、存在需要修改的其他内容或问题的。
第十九条 由各职能部门起草的规章经初审会签后,按以下程序办理:
一、对法规草案或者重要的规章草案,需由起草部门报经主席办公会审议,审议时由起草部门负责人作起草说明。审议通过后,由分管副主席审签并报主席签发。
对主席办公会上提出的重大问题,或者提出的修改意见,由原起草部门根据主席办公会的意见进行修改,修改后,再提交主席办公会审定。
二、调整对象单一、涉及问题比较简单、有关方面的意见基本一致或者争议的问题已经解决了的规章草案,由政策法规部审签后,报主管副主席审签并报主席签发。
对未经政策法规部审签的规章草案,各起草部门不得直接提交给主席或分管副主席签发。
第二十条 中国保监会授权其派出机构代拟的区域性规章,应当连同起草说明一并报中国保监督会政策法规部,由中国保监会政策法规部会有关业务部门后,报主席或主管副主席签发。
第五章 发布与备案
第二十一条 中国保监会各职能部门起草的规章,以及中国保监会授权派出机构代拟的规章,均由中国保监会统一对外发布。
中国保监会制定的重要保险规章,应以主席令的形式发布。
保险行政规章对外发布应包括序号、规章名称、通过形式和日期、生效日期、发布机关和签署人等内容。
第二十二条 中国保监会发布的规章,应按规定报国务院法制办备案。
第二十三条 中国保监会的规章印少量文本,供有关部门和单位存档备查。涉及保险市场或面向社会的规章应在全国性报刊上全文刊登。
第二十四条 规章的外文正式译本,由政策法规部商国际部审定后,方可发布。
第六章 修改、废止和解释
第二十五条 现行规章有下列情形之一的,应当予以修改:
一、因有关法律、行政法规和国务院规范性文件的修订,应作相应修改的;
二、因党和国家的方针、政策的调整,有必要进行相应修改的;
三、因保险市场发展变化,必须适应新的情况进行修改的;
四、对同一事项在两个以上规章中规定,相互抵触或者不必要分别存在的;
现行规章修改的程序,按照本规定的有关起草程序规定执行。
第二十六条 现行规章有下列情形之一的,应当予以废止:
一、因有关法律、行政法规或者规范性文件的废止、或者修订而失去立法依据的;
二、同一事项已被新的法律、行政法规或规章规定取代,并发布实施的;
三、规章所规定的事项已经不存在或者已经执行完毕无继续施行必要的。
第二十七条 现行规章的废止,由业务主管部门提出意见,经政策法规部审查后,报主席或主管副主席批准,以会发文的形式公布。
第二十八条 对现行规章解释权属于中国保监会的,经业务主管部门提出解释意见后,由政策法规部统一办文,报经主席或主管副主席批准。
第七章 清理、编纂
第二十九条 各部门应当于每年一月份将上一年该部门起草的规章进行清理,并将清理结果送政策法规部和办公室档案室。
第三十条 各派出机构应当于每年一月份将上一年本区域发布的规章进行清理,并将清理结果报政策法规部。
第三十一条 政策法规部应当在每年一季度将中国保险监督管理委员会及其派出机构发布的规章进行清理,并编纂《保险法规汇编》。汇编应包括以下内容:
一、全国人民代表大会及其常务委员会审议通过的涉及我会职责的法律、法令、条例、决议、决定、命令等;
二、国务院发布的涉及我会职责的行政法规和规范性文件;
三、国务院有关部、办、委发布的涉及我会职责的规章及规范性文件;
四、有关司法部门发布的涉及我会职责的规定、司法解释等;
五、中国保监会及其派出机构发布的保险规章及其规范性文件。
《保险法规汇编》编纂完成后,交由中央一级出版社出版。
第八章 附则
第三十二条 中国保监会向国务院提出行政法规的立法建议或者向国务院提请全国人民代表大会常务委员会审议的法律立法建议,由主席签署,报国务院。
第三十三条 国务院委托中国保监会代理法律、行政法规草案的起草工作,参照本规定的有关程序进行。
政策法规部负责或者参加代拟法律、法规草案的起草工作。
代拟的法律草案和行政法规草案经主席办公会审议后,由主席或主管副主席签署报送国务院。
第三十四条 全国人民代表大会及其常务委员会、国务院、国务院各职能部门送中国保监会征求意见的法律、行政法规和部门规章以及规范性文件草案,由政策法律部协调有关职能部门提出修改意见。
对法律、行政法规草案的修改意见,以我会名义函复;对部门规章和规范性文件的修改意见,由政策法规部征求各有关职能部门的意见后函复。
第三十五条 由中国保监会主办,与国务院其他部、办、委联合制定的规章,按照本规定办理。
第三十六条 授权中国保监会解释的法律、行政法规;各职能部门起草,由中国保监会下发的调整保险监督管理和保险活动的规范性文件,参照本规定的有关程序办理。
第三十七条 各派出机构根据中国保监会发布的规章制定的具体业务制度、办法、细则以及规范性文件,应在发布实施后30日内一式十份报政策法规部备案。
第三十八条 本规定自1999年7月1日起执行。
1999年7月2日
对外贸易经济合作部关于放开对台贸易进口经营权的通知
对外贸易经济合作部
对外贸易经济合作部关于放开对台贸易进口经营权的通知
(1998年5月28日外经贸台发第388号)
各省、自治区、直辖市及计划单列市外经贸委(厅、局),本部各直属单位,各部委直属公司:
在“和平统一、一国两制”方针指引下,祖国大陆对台经贸交流取得了长足的发展。目前,台湾省已是祖国大陆第五大贸易伙伴、第二大进口市场。海峡两岸经济相互促进,互补互利的局面已初步形成。为适应两岸经贸交流发展的新形势,进一步推动对台贸易健康发展,特通知如下:
一、重申各类进出口企业均可在其经营范围内开展对台出口业务的规定。1988年我部下发的《关于修订对台湾省贸易有关办法的通知》(〖88〗外经贸台字第158号)已有有关规定,现再次予以重申和明确。
二、自本通知下发之日起,各类进出口企业均可在其经营范围内开展对台进口业务。
三、取消自台湾进口水泥、人造革、地板胶、纸及许可证管理商品需报我部(台港澳司)审批的规定。对台进口业务按国家一般进口进行管理。
各进出口企业要认真了解分析台湾市场情况,抓住机遇,进出结合,充分发挥自身优势,挖掘潜力,努力扩大对台出口,进一步促进两岸贸易的发展。本通知未尽事宜以及各地在开展对台贸易和两岩经贸交流中遇到的重大问题请与我部(台港澳司)联系。
关于印发《保险公司信息系统安全管理指引(试行)》的通知
中国保险监督管理委员会
关于印发《保险公司信息系统安全管理指引(试行)》的通知
保监发〔2011〕68号
各保险公司、保险资产管理公司:
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二〇一一年十一月十六日
保险公司信息系统安全管理指引(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
第六十一条本指引自发布之日起实施。