中国银保监会办公厅关于 印发保险中介机构信息化工作监管办法的通知 各银保监局，各保险公司、各保险专业中介机构、各保险兼业代理机构： 经银保监会同意，现将《保险中介机构信息化工作监管办法》印发 给你们，请遵照执行。 2021 年 1 月 5 日 （请各银保监局转发至辖内各保险专业中介机构、各保险兼业代理 机构） 保险中介机构信息化工作监管办法 第一章 总则 第一条 为加强保险中介监管，提高保险中介机构信息化工作与经营 管理水平，推动保险中介行业高质量发展，根据《中华人民共和国保险法》 《中华人民共和国网络安全法》《保险代理人监管规定》《保险经纪人监 管规定》《保险公估人监管规定》等法律、行政法规，制定本办法。 第二条 在中华人民共和国境内依法设立的保险中介机构适用本办 法。 第三条 本办法所称保险中介机构，是指保险代理人（不含个人代理 人）、保险经纪人和保险公估人，包括法人机构和分支机构。保险代理人 （不含个人代理人）包括保险专业代理机构和保险兼业代理机构。 本办法所称保险中介机构信息化工作，是指保险中介机构将计算机、 通信、网络等现代信息技术，应用于业务处理、经营管理和内部控制等方 面，以持续提高运营效率、优化内部资源配置和提升风险防范水平为目的 所开展的工作。其中保险兼业代理机构信息化工作，仅指该机构与保险兼 业代理业务相关的信息化工作。 本办法所称信息化突发事件，是指信息系统或信息化基础设施出现 故障、受到网络攻击，导致保险中介机构在同一省份的营业网点、电子渠 道业务中断 3 小时以上，或在两个及以上省份的营业网点、电子渠道业务 中断 30 分钟以上；或者因网络欺诈或其它信息安全事件，导致保险中介机 构或客户资金损失 1000 万元以上，或造成重大社会影响；或者保险中介机 构丢失或泄露大量重要数据或客户信息等，已经或可能造成重大损失、严 重影响。 第四条 保险中介机构信息化工作应当符合中华人民共和国法律、行 政法规和中国银行保险监督管理委员会（以下简称银保监会）监管制度要 求。 保险中介机构信息化工作要遵循安全性、可靠性和有效性相统一、 技术路线与业务发展方向相一致、信息系统与管理需求相匹配的原则。 第五条 保险中介机构是本机构信息化工作的责任主体，保险中介机 构法定代表人或主要负责人对本机构信息化工作承担首要责任。 第六条 银保监会及其派出机构依法对保险中介机构信息化工作实 施监督管理。 第二章 基本要求 第七条 保险中介机构应履行以下信息化工作职责： （一）贯彻国家网络安全与信息化工作的法律、行政法规、技术标 准和银保监会监管制度。 （二）制定本机构信息化工作规划，确保与总体业务规划相一致。 （三）制定信息化工作制度，建立分工合理、职责明确、报告关系 清晰的信息化管理机制。 （四）编制信息化预算，保障信息化工作所需资金。 （五）开展本机构信息化建设，确保完整掌握本机构信息系统和数 据的管理权。 （六）制定本机构信息化突发事件应急预案，组织开展应急演练， 及时报告、快速响应和处置本机构发生的信息化突发事件。 （七）配合银保监会及其派出机构开展的信息化工作监督检查，如 实提供相关文件资料，并按照监管意见进行整改。 （八）开展信息化培训，强化本机构人员的信息化意识、信息安全 意识和软件正版化意识。 （九）银保监会规定的其他信息化工作职责。 第八条 保险中介机构应自主开展信息化工作。信息化工作与关联企 业（含股东、参股企业、其他关联企业）有关联的，保险中介机构应厘清 与关联企业之间的信息化工作职责，各自承担信息安全管理责任。保险中 介机构的重要信息化机制、设施及其管理应保持独立完整，与关联企业相 关设施有效隔离，严格规范信息系统和数据的访问、使用、转移、复制等 行为，不得违规向关联企业泄露保单、个人信息等数据信息。重要信息化 机制、设施包括但不限于信息化治理与规划，业务、财务、人员等重要信 息系统及其中的数据信息。 信息化事项外包给关联企业的，应按照本办法外包要求实施有效管 理。 第九条 保险中介法人机构应指定一名高级管理人员统筹负责法人 机构及分支机构的信息化管理工作。 第十条 保险中介法人机构应设置信息化部门或信息化岗位，负责信 息化工作的正式工作人员不少于一人。分支机构应有正式工作人员辅助法 人机构开展信息化工作。 第十一条 申请开展保险中介业务的法人机构应按照本办法开展信 息化建设，并向机构营业执照登记注册地银保监会派出机构报送信息化工 作情况报告，报告内容应包括信息化管理机制和制度情况、信息系统满足 本办法第十七条要求的情况、信息系统采购合同或知识产权证书等。 设立保险中介机构分支机构，保险中介法人机构或其省级分支机构 应向分支机构营业执照登记注册地银保监会派出机构报送法人机构及该分 支机构的信息化工作情况报告。 第十二条 保险中介法人机构应加强分支机构信息化管理，除法律、 行政法规和银保监会监管制度另有规定外，法人机构与分支机构应使用同 一套信息系统。法人机构应督促分支机构及时录入经营数据，通过信息系 统对各分支机构的经营情况进行管理与监控。 第十三条 保险中介机构应按监管要求通过保险中介监管相关信息 系统及时向银保监会及其派出机构报告监管事项、报送监管数据。 第十四条 保险中介机构发生信息化突发事件的，应按照银保监会信 息化突发事件信息报告相关规定在 24 小时内向机构营业执照登记注册地 银保监会派出机构报告信息。特别重大、可能造成严重社会影响的信息化 突发事件发生后，保险中介机构应在 30 分钟内电话报告相关信息、1 小时 内书面报告信息。 第十五条 保险中介机构应使用正版软件，禁止复制、传播或使用非 授权软件。对本机构拥有自主知识产权的信息系统采取有效措施加以保护， 切实提高软件正版化意识和知识产权保护意识。 第十六条 保险中介机构应主动跟踪、研究、应用新兴信息技术，在 防范风险的前提下积极推进业务创新与服务创新，提升核心竞争力。 第三章 信息系统 第十七条 保险中介法人机构应根据业务规模和发展需要，建立相匹 配的业务管理、财务管理和人员管理等信息系统，并符合以下要求： （一）业务管理系统能够记录并管理业务协议、保险业务详细情况、 客户信息、相关凭证和其他业务情况等。 （二）财务管理系统能够记录并管理财务总账、科目明细账、应收 应付、会计报表、发票等。 （三）人员管理系统能够记录并管理保险中介从业人员的基本信息、 入职离职、用工合同、执业登记、人力薪酬、培训和奖惩等情况。 （四）业务管理、财务管理与人员管理系统的数据能够匹配一致、 相互验证。 （五）通过技术手段实现与合作保险公司的系统互通、业务互联、 数据对接。 （六）能够生成符合监管要求的数据文件，通过技术手段实现与保 险中介监管相关信息系统的数据对接。 （七）能够按照合作机构、分支机构、业务类别、业务渠道、险种、 收支口径、区域、时间等维度对机构经营情况进行汇总和分析。 （八）具备用户权限管理功能，能够按照不同角色为用户配置数据 的增加、删除、修改和查看权限。 （九）具备日志管理功能，能够记录用户操作行为和操作时间。 （十）遵循国家标准化管理部门和银保监会发布的相关行业标准和 技术规范。 第十八条 保险中介机构可采取自主开发、合作开发、定制开发、外 包开发和购买云服务等形式建设信息系统。 保险中介机构应充分认识和有效控制信息化建设相关的风险，不论 以何种方式建设信息系统，保险中介机构均应遵守本办法、承担信息安全 管理责任。 第十九条 采用合作开发、定制开发、外包开发和购买云服务等外包 模式建设信息系统的，保险中介机构应识别和分析信息科技外包风险，加 强对外包服务商的资质审查，加强对外包服务的风险管理，规范外包合同 条款，明确外包范围、责任边界、安全保密和个人信息保护责任，采取有 效手段保障数据和信息系统安全且持续可控。保险中介机构应提高自主研 发能力，逐步降低对外包服务商的依赖。 第二十条 保险中介机构应按照最少功能、最小权限原则合理确定信 息系统访问权限并定期检查核对，确保用户权限与其工作职责相匹配。严 格控制系统访问权限，禁止未经授权查看、下载数据。严格控制通过系统 后台修改数据，确需修改的要做到事前批准、事中监控和事后留痕。 第二十一条 保险中介机构应通过信息系统全面、准确、完整地记录 管理业务、财务和人员等情况，确保信息系统记录管理的数据与真实业务 经营情况一致。 保险中介机构应在各保险业务环节发生之日起 3 个工作日内，将业 务明细数据录入信息系统，如同时涉及财务、人员事项应同步完成财务和 人员明细数据录入。 第二十二条 保险中介机构开展信息系统投产、变更或数据迁移等工 作的，应组织风险评估，编制实施计划，制定系统回退和应急处置方案， 开展演练测试和培训，审慎实施，并在实施完成后进行有效性验证。 第四章 信息安全 第二十三条 保险中介机构应建立健全信息安全管理制度，部署实施 边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施， 保障业务持续和数据安全。 第二十四条 保险中介机构应按照国家网络安全等级保护相关规定， 合理确定信息系统的安全等级，并按照国家网络安全等级保护相关标准进 行防护，获得相应的国家网络安全等级保护认证。 第二十五条 保险中介机构应对重要数据采取保护措施，保障数据在 收集、存储、传输、使用、提供、备份、恢复和销毁等过程中的安全，合 法使用数据，严防数据泄露、篡改和损毁，保障数据的完整性、保密性和 可用性。 保险中介机构应采取可靠措施进行数据存储和备份，定期开展备份 数据恢复验证。系统数据应至少保存五年，系统日志应至少保存六个月。 第二十六条 保险中介机构收集、处理和应用数据涉及到个人信息 的，应遵循合法、正当、必要的原则，遵守国家相关法律、行政法规，符 合与个人信息安全相关的国家标准。 未经允许或授权，保险中介机构不得收集与其提供的服务无关的个 人信息；不得违反法律、行政法规和合同约定收集、使用、提供和处理个 人信息；不得泄露、篡改个人信息。 第二十七条 保险中介机构应加强对台式计算机、便携式计算机、智 能手机、平板电脑、移动存储介质等终端设备的管理，根据法律、行政法 规要求和本机构网络安全实际情况对终端设备选择实施登录控制、病毒防 护、软件安装与卸载管理、移动存储介质管理、固定资产管理、网络准入、 违规监测等安全措施。 第二十八条 保险中介机构应经常开展信息化培训、信息安全培训和 保密教育，与员工签订信息安全和保密协议，督促员工履行与其工作岗位 相应的信息安全和保密职责。 第五章 监督管理 第二十九条 银保监会在有效防范保险中介市场风险、维护信息安全 的基础上，建立健全符合保险中介行业发展特点的信息化监管机制，引导 保险中介机构不断提高信息化工作水平，推动保险公司与中介机构系统对 接，