专业网络保险公司 需设独立信息安全部门
针对专业网络保险公司开业验收,中国保监会近日在《保险公司开业验收指引》的基础上制定了有关补充条件,并专门向各中资保险公司筹备组下发通知。根据保监会要求,专业网络保险公司开业验收时应设立独立的信息安全部门,配备专职信息安全工作人员,明确分管信息安全工作的公司主管领导和责任人,同时建立明确的信息安全风险战略并提交信息安全审计和风险评估报告。
为有效防范风险、保护保险消费者利益,保监会同时要求专业网络保险公司具有支持投保、报价、承保、支付、理赔、客户服务等保险业务全流程的电子商务系统和核心业务系统等应用系统,并建立相应管理规范,明确各关键环节与过程的安全要求,采取必要的安全技术和管理措施,确保客户信息和敏感商业信息不泄漏。此外,申请开业的公司还应建立健全日志留痕功能,保留交易相关日志,确保交易行为可稽核,满足风险控制和业务审计要求,并且能够按照监管部门数据采集要求将需报送的统计数据按业务属地划分上报。“网上电子商务、交易系统应建立与内部财务系统、其他核心业务系统以及合作单位网络、信息系统的有效隔离机制,避免风险通过公司内外部传递与蔓延。此外,依托于云计算模式的电子商务系统等应用系统,应明确与虚拟化资源相对应的具体物理机器设备,以满足保险监管机关检查工作的需要。公司应与云计算服务提供商签订书面协议,确保数据安全和业务连续性。”据保监会相关部门负责人介绍,保监会要求专业网络保险公司建立同城应用级、异地数据级灾难备份体系,在公司开业后3年之内做到异地应用级灾难备份,并且每年至少进行一次系统应急演练。此外,电子保单应实现条款通俗解释和网络动态演示,投保流程设置确认环节应确保投保人阅读保险条款的全部内容,从而保障消费者的知情权和选择权。张兰