保险业信息科技风险非现场监管报表及风险评价体系-意见修订稿(排版)

保险业信息科技风险

非现场监管报表及风险评价体系

中国保监会统计信息部

2014年10月

目 录

序 言 ........................................................... - 1 - 第一部分 信息科技风险评价指南 ..................................... - 3 -

一、监管评级目的 ................................................... - 3 -

二、风险评价内容 ................................................... - 3 -

三、评级要素与方法 ................................................. - 4 -

（一）评级要素 ..................................................... - 4 -

（二）评级方法 ..................................................... - 5 -

四、风险评价内容及指标 ............................................. - 8 -

（一）监管内容：信息科技治理（KJZL）（100分，权重占10%） .......... - 8 -

（二）监管内容：信息科技风险管理（FXGL）（100分，权重占10%） ..... - 13 -

（三）监管内容：信息安全（XXAQ）（100分，权重占20%） ............. - 18 -

（四）监管内容：信息系统开发与测试(KFCS)（100分，权重占10%） ..... - 27 -

（五）监管内容：信息系统运行（XTYX）（100分，权重占15%） ......... - 34 -

（六）监管内容：灾难恢复管理（ZNHF）（100分，权重占15%） ......... - 41 -

（七）监管内容：外包与采购（WBCG）（100分，权重占7%） ............ - 50 -

（八）监管内容：互联网保险(HLWBX)（100分，权重占5%） ............. - 54 -

（九）监管内容：信息科技审计（SJ）（100分，权重占8%） ............ - 62 - 第二部分 信息科技风险监管报表 .................................... - 69 -

一、设计目的 ...................................................... - 69 -

二、设计原则 ...................................................... - 69 -

三、内容和使用方法 ................................................ - 70 -

四、分类及填报说明 ................................................ - 70 -

五、报表目录 ...................................................... - 71 -

六、附件：监管报表 ................................................ - 74 -

序 言

随着保险业对信息科技的广泛深入应用，信息技术基础设施和应用系统日趋完善，信息科技有力地支持了保险业务的发展，特别是云计算、移动互联、物联网、大数据等新技术的引入，极大提升了保险业的客户服务能力、产品创新能力和精细化经营管理能力，互联网保险业务的发展更是说明了信息科技从后台业务支撑逐步走向前端业务融合。保险业务对信息科技的依赖和融合新形势，对信息科技风险监管的内容和方式提出挑战。

为应对新形势下信息科技风险监管的挑战，切实推动监管法规的落实，积极防范信息科技风险对保险秩序的影响，保监会组织编写了《保险业信息科技风险非现场监管报表及风险评价体系》。在保监会已经发布的《保险业信息系统灾难恢复管理指引》（保监发〔2008〕20号）、《保险机构信息化工作管理指引（试行）》（保监发〔2009〕133号）、《保险机构信息系统安全管理指引（试行）》（保监发〔2011〕68号）等多部监管法规基础上，融入了信息安全等级保护、客户信息保护、互联网保险安全及信息科技审计等新内容，进一步完善信息科技风险监管内容，构建了更加完整信息科技风险监管框架，并且逐步纳入到第二代偿付能力监管体系。

- 1 -

《保险业信息科技风险非现场监管报表及风险评价体

系》，包括“信息科技监管评级指南”和“信息科技风险监管报表”两个部分。

“信息科技风险监管报表”围绕保监会相关监管法规的监管内容进行设计，收集保险机构信息科技风险管理相关信息，为监管人员分析、识别和评估信息科技风险提供有力依据并以此驱动现场监管；“信息科技监管评级指南”将信息科技的主要监管要求指标化、分值化、评级化，以便于监管人员系统地评价保险机构信息科技治理水平和风险管理能力。

- 2 -

第一部分 信息科技风险评价指南

一、监管评级目的

信息科技风险，是指信息科技在合规管理、支持业务创新和业务运营过程中，由于管理流程及资源缺失或不足、自然因素、人为因素和技术漏洞产生的操作、法律、声誉等风险。

信息科技风险管理已成为保险业全面风险管理体系中的重要组成部分。近年来，保监会对保险机构信息科技风险管理高度重视，并提出了明确要求。为实现对保险机构信息科技风险的识别、计量、评价、预警和控制，有效防范保险机构运用信息科技进行业务处理、经营管理和内部控制过程中产生的风险，促进我国保险业务安全、持续、稳健发展，根据保监会的相关监管法规，制定本监管评级指南。

二、风险评价内容

本风险评价指南旨在明确保监会信息科技风险评价的指导原则及基本思路，确定保险业的信息科技风险分类及监管策略。

本风险评价指南主要内容包括：

（一）风险评价目的

介绍信息科技风险评价目的、内容和方法以及信息科技风

- 3 -

险定义；

（二）信息科技风险监管总体工作方法

介绍保监会信息科技风险监管工作的监管指标、评估点、评估目的和 …… 此处隐藏：5545字，全部文档内容请下载后查看。喜欢就下载吧 ……