中国保险监督管理委员会|保监发〔2013〕66号|2013-08-13发布|2013-08-13实施|现行有效
保监发〔2013〕66号

一、设立独立的信息安全部门，配备专职信息安全工作人员，明确分管信息安全工作的公司主管领导和责任人。建立明确的信息安全风险战略，并提交信息安全审计和风险评估报告（以后至少每年开展一次）。
二、具有支持投保、报价、承保、支付、理赔、客户服务等保险业务全流程的电子商务系统和核心业务系统等应用系统，并建立相应管理规范，明确各关键环节与过程的安全要求，采取必要的安全技术和管理措施，确保客户信息和敏感商业信息不泄漏。
三、建立健全日志留痕功能，保留交易相关日志，确保交易行为可稽核，满足风险控制和业务审计要求。能够按照监管部门数据采集要求，将需报送的统计数据按业务属地划分上报。
四、网上电子商务、交易系统应建立与内部财务系统、其他核心业务系统，以及合作单位网络、信息系统的有效隔离机制，避免风险通过公司内外部传递与蔓延。
五、依托于云计算模式的电子商务系统等应用系统，应明确与虚拟化资源相对应的具体物理机器设备，以满足保险监管机关检查工作的需要。公司应与云计算服务提供商签订书面协议，确保数据安全和业务连续性。
六、建立同城应用级、异地数据级灾难备份体系，公司开业后3年之内做到异地应用级灾难备份。定期（至少每年一次）进行系统应急演练。
七、电子保单应实现条款通俗解释和网络动态演示，保障消费者的知情权和选择权。能够根据有关监管规定或投保人要求提供纸质保单并送达。
八、投保流程设置确认环节，确保投保人阅读保险条款的全部内容，了解并接受包括免除保险公司责任条款、犹豫期、费用扣除、退保、保险单现金价值等在内的重要事项。
九、确保消费者享有的咨询、保单信息查询、保全、退保、业务接报案、理赔等各项服务标准不低于其他业务渠道消费者享有的服务。
十、具有完善的外包业务管理制度，有效控制外包业务的风险源。
十一、合理使用股东单位的公共平台资源，不得采取排他性协议等妨碍保险市场公平竞争的行为。
中国保监会
2013年8月13日