沒有等級保護的保險中介不符合信息安全要求
中介機構信息化工作與經營管理水平,規(guī)范保險中介機構市場行為,維護消費者合法權益;同時推動保險中介行業(yè)的持續(xù)性的健康發(fā)展;中國銀保監(jiān)會近日正式印發(fā)了《保險中介機構信息化工作監(jiān)管辦法》(以下簡稱《辦法》)。
《辦法》共6章36條,從基本要求、信息系統(tǒng)、信息安全、監(jiān)督管理等方面提出了全方位細致要求,其中重點內容如下:
-
保險中介機構信息系統(tǒng)應能夠及時、完整、準確記錄財務、業(yè)務、人員情況;
-
保險中介信息系統(tǒng)應與合作保險公司系統(tǒng)互通、業(yè)務互聯(lián)、數(shù)據(jù)對接,并同時與保險中介監(jiān)管相關信息系統(tǒng)數(shù)據(jù)對接;
-
對信息系統(tǒng)的安全體系、等級保護、數(shù)據(jù)安全提出硬性測評要求;
-
明確保險中介機構可采取自主開發(fā)、合作開發(fā)、定制開發(fā)、外包開發(fā)和購買云服務等形式建設信息系統(tǒng);
-
《辦法》同時對兼業(yè)機構提出了與專業(yè)機構相同的信息化工作要求;
-
保險中介沒有信息系統(tǒng),不得經營保險中介業(yè)務。
以下是《辦法》關于信息安全的詳細要求:
第二十三條保險中介機構應建立健全信息安全管理制度,部署實施邊界防護、病毒防護、入侵檢測、數(shù)據(jù)備份、災難恢復等信息安全措施,保障業(yè)務持續(xù)和數(shù)據(jù)安全。
第二十四條保險中介機構應按照國家網絡安全等級保護相關規(guī)定,合理確定信息系統(tǒng)的安全等級,并按照國家網絡安全等級保護相關標準進行防護,獲得相應的國家網絡安全等級保護認證。
第二十五條保險中介機構應對重要數(shù)據(jù)采取保護措施,保障數(shù)據(jù)在收集、存儲、傳輸、使用、提供、備份、恢復和銷毀等過程中的安全,合法使用數(shù)據(jù),嚴防數(shù)據(jù)泄露、篡改和損毀,保障數(shù)據(jù)的完整性、保密性和可用性。
保險中介機構應采取可靠措施進行數(shù)據(jù)存儲和備份,定期開展備份數(shù)據(jù)恢復驗證。系統(tǒng)數(shù)據(jù)應至少保存五年,系統(tǒng)日志應至少保存六個月。
第二十六條保險中介機構收集、處理和應用數(shù)據(jù)涉及到個人信息的,應遵循合法、正當、必要的原則,遵守國家相關法律、行政法規(guī),符合與個人信息安全相關的國家標準。
未經允許或授權,保險中介機構不得收集與其提供的服務無關的個人信息;不得違反法律、行政法規(guī)和合同約定收集、使用、提供和處理個人信息;不得泄露、篡改個人信息。
第二十七條保險中介機構應加強對臺式計算機、便攜式計算機、智能手機、平板電腦、移動存儲介質等終端設備的管理,根據(jù)法律、行政法規(guī)要求和本機構網絡安全實際情況對終端設備選擇實施登錄控制、病毒防護、軟件安裝與卸載管理、移動存儲介質管理、固定資產管理、網絡準入、違規(guī)監(jiān)測等安全措施。
第二十八條保險中介機構應經常開展信息化培訓、信息安全培訓和保密教育,與員工簽訂信息安全和保密協(xié)議,督促員工履行與其工作崗位相應的信息安全和保密職責。