搜索
保险业信息科技风险非现场监管报表及风险评价体系中国保监会统计信息部2014年10月目录序言...........................................................-1-第一部分信息科技风险评价指南.....................................-3-一、监管评级目的...................................................-3-二、风险评价内容...................................................-3-三、评级要素与方法.................................................-4-(一)评级要素.....................................................-4-(二)评级方法.....................................................-5-四、风险评价内容及指标.............................................-8-(一)监管内容:信息科技治理(KJZL)(100分,权重占10%)..........-8-(二)监管内容:信息科技风险管理(FXGL)(100分,权重占10%).....-13-(三)监管内容:信息安全(XXAQ)(100分,权重占20%).............-18-(四)监管内容:信息系统开发与测试(KFCS)(100分,权重占10%).....-27-(五)监管内容:信息系统运行(XTYX)(100分,权重占15%).........-34-(六)监管内容:灾难恢复管理(ZNHF)(100分,权重占15%).........-41-(七)监管内容:外包与采购(WBCG)(100分,权重占7%)............-50-(八)监管内容:互联网保险(HLWBX)(100分,权重占5%).............-54-(九)监管内容:信息科技审计(SJ)(100分,权重占8%)............-62-第二部分信息科技风险监管报表....................................-69-一、设计目的......................................................-69-二、设计原则......................................................-69-三、内容和使用方法................................................-70-四、分类及填报说明................................................-70-五、报表目录......................................................-71-六、附件:监管报表................................................-74-保险业信息科技风险非现场监管报表及风险评价体系-1-序言随着保险业对信息科技的广泛深入应用,信息技术基础设施和应用系统日趋完善,信息科技有力地支持了保险业务的发展,特别是云计算、移动互联、物联网、大数据等新技术的引入,极大提升了保险业的客户服务能力、产品创新能力和精细化经营管理能力,互联网保险业务的发展更是说明了信息科技从后台业务支撑逐步走向前端业务融合。保险业务对信息科技的依赖和融合新形势,对信息科技风险监管的内容和方式提出挑战。为应对新形势下信息科技风险监管的挑战,切实推动监管法规的落实,积极防范信息科技风险对保险秩序的影响,保监会组织编写了《保险业信息科技风险非现场监管报表及风险评价体系》。在保监会已经发布的《保险业信息系统灾难恢复管理指引》(保监发〔2008〕20号)、《保险机构信息化工作管理指引(试行)》(保监发〔2009〕133号)、《保险机构信息系统安全管理指引(试行)》(保监发〔2011〕68号)等多部监管法规基础上,融入了信息安全等级保护、客户信息保护、互联网保险安全及信息科技审计等新内容,进一步完善信息科技风险监管内容,构建了更加完整信息科技风险监管框架,并且逐步纳入到第二代偿付能力监管体系。保险业信息科技风险非现场监管报表及风险评价体系-2-《保险业信息科技风险非现场监管报表及风险评价体系》,包括信息科技监管评级指南和信息科技风险监管报表两个部分。信息科技风险监管报表围绕保监会相关监管法规的监管内容进行设计,收集保险机构信息科技风险管理相关信息,为监管人员分析、识别和评估信息科技风险提供有力依据并以此驱动现场监管;信息科技监管评级指南将信息科技的主要监管要求指标化、分值化、评级化,以便于监管人员系统地评价保险机构信息科技治理水平和风险管理能力。保险业信息科技风险非现场监管报表及风险评价体系-3-第一部分信息科技风险评价指南一、监管评级目的信息科技风险,是指信息科技在合规管理、支持业务创新和业务运营过程中,由于管理流程及资源缺失或不足、自然因素、人为因素和技术漏洞产生的操作、法律、声誉等风险。信息科技风险管理已成为保险业全面风险管理体系中的重要组成部分。近年来,保监会对保险机构信息科技风险管理高度重视,并提出了明确要求。为实现对保险机构信息科技风险的识别、计量、评价、预警和控制,有效防范保险机构运用信息科技进行业务处理、经营管理和内部控制过程中产生的风险,促进我国保险业务安全、持续、稳健发展,根据保监会的相关监管法规,制定本监管评级指南。二、风险评价内容本风险评价指南旨在明确保监会信息科技风险评价的指导原则及基本思路,确定保险业的信息科技风险分类及监管策略。本风险评价指南主要内容包括:(一)风险评价目的介绍信息科技风险评价目的、内容和方法以及信息科技风保险业信息科技风险非现场监管报表及风险评价体系-4-险定义;(二)信息科技风险监管总体工作方法介绍保监会信息科技风险监管工作的监管指标、评估点、评估目的和评分标准;(三)监管评分评级表指导监管人员根据保险机构上报的监管报表进行评分评级。三、评级要素与方法(一)评级要素评级要素主要来源于保监会针对信息科技风险监管中的各项要求和国家信息安全等级保护制度,同时借鉴国际信息科技风险管理标准和最佳实践。评级要素分为综合评分、监管内容评分、监管指标评分、评估点评分四层结构。1.综合评分由信息科技治理、信息科技风险管理、信息安全、信息系统开发与测试、信息系统运行、灾难恢复管理、外包与采购、互联网保险和信息科技审计等,主要监管内容按权重构成,满分为100分,上述监管内容的权重设置分别为10%、10%、20%、10%、15%、15%、7%、5%、8%。2.每个监管内容满分为100分,包含若干个监管指标。监保险业信息科技风险非现场监管报表及风险评价体系-5-管内容得分为各指标得分总和。3.每个监管指标包含若干个评估点,监管指标得分为各评估点得分总和。4.评估点内容设定和分值设置,偏重于对保险机构针对保监会各项要求的执行力和风险控制有效性方面的考量。(二)评级方法1.四层结构评级要素的综合评分、监管内容评分、监管指标评分及评估点评分的评级,均以评分的得分率划分为五级,有利于统计被评级单位的信息科技风险管理缺陷所在。得分率在90%(含90%)以上为A级(高),得分率在75%(含75%)至90%为B级(较高),得分率在60%(含60%)至75%为C级(中),得分率在45%(含45%)至60%为D级(较低),得分率在45%以下为E级(低)。越低的得分率,表明越低的评价、越低的级别和越高的监管关注程度。2.综合评分为各监管内容评分的加权汇总,即各单项监管内容的评分分别乘以对应的权重系数后进行加总,计算出综合评分的得分,确定综合评级的等级;综合评级的评价方法详见风险评价水平定义表。保险业信息科技风险非现场监管报表及风险评价体系-6-表1风险评价水平定义表风险管理能力水平监管评价监管关注程度信息科技风险管理执行力组织计划风险控制管理效果高很好地落实了保监会信息科技风险管理相关要求。具有成熟的信息科技管理流程,相关风险可以在业务过程中持续改进。有良好的组织计划,并得到很好的执行和优化。提供了清晰明确的管理程序,信息科技风险可以在管理过程中被识别、监控和改进。信息科技风险得到有效的管理,使得信息科技能快速适应市场变化,以及业务和技术的发展需求。不引起监管关注。较高较好地落实了保监会信息科技风险管理的相关要求。具有较完善的管理流程,但存在一定的缺陷,这些缺陷可以在业务过程中得到解决。组织计划有明确定义,但是需要被分类,在组织中需进一步沟通和协调。充分的识别并控制了信息科技风险。管理不能及时应对市场、业务及技术的变化。主要依赖于审计和管理干涉对缺陷采取恰当的控制措施。监管需求不显著,监管活动通常采取非正式的并且有限的。中落实保监会关于信息科技风险管理要求程度一般。信息科技风险管理存在不足,若不加以改进,将阻碍保险机构的发展。组织计划的定义是模糊的,不能给信息科技提供充分的导向。不能有效地识别风险,对风险的大小、特征认识不恰当。难于应对市场、业务、技术的变化;自我评估活动较弱的,且通常是对审计和管理异常的被动反应。需要适当的监管关注。保险业信息科技风险非现场监管报表及风险评价体系-7-风险管理能力水平监管评价监管关注程度信息科技风险管理执行力组织计划风险控制管理效果较低落实保监会关于信息科技风险管理要求程度较低。风险控制环境不健康,机制是不健全。信息科技管理执行力不足,这将削弱机构的生存能力。定义不足,并且不能在整个组织中协调或沟通。不适当的识别和控制风险。不能确保技术需求与市场、业务需求相吻合。管理者没有意愿或没有能力应对审计上和管理上关注的问题。需要密切的监管关注,需要督促其重点整改。低基本没有落实保监会关于信息科技风险管理的要求。执行能力严重不足,需要立刻采取补救措施。整个组织中都存在操作问题和严重的缺点。不存在或无效。风险管理过程严重不足,几乎没有风险管理和风险意识。管理是无意识的。不能够或不愿意改正审计上或管理上关注的问题。需要被持续监管关注。需要强制整改。保险业信息科技风险非现场监管报表及风险评价体系-8-四、风险评价内容及指标(一)监管内容:信息科技治理(KJZL)(100分,权重占10%)1.监管指标(KJZL-1):信息化目标与规划(10分)(1)评估点(KJZL-1-1):工作目标与规划制定(5分)评估目的:应根据业务发展战略,制定与业务发展目标相一致的未来3-5年的信息化工作目标和规划,并提交管理层批准。评分标准:根据业务发展目标明确信息化目标和规划,3分;信息科技规划得到批准,2分。非现场检查项:《Y1信息科技治理情况表》Y1-6。现场检查方法:查看信息科技规划报告与审批记录。(2)评估点(KJZL-1-2):规划实施与定期评估(5分)评估目的:应根据信息化规划开展工作,并每年至少进行一次评估和审查;如有修订,应经管理层批准。评分标准:根据信息科技规划开展工作,3分;每年进行一次评估和审查,2分。非现场检查项:《Y1信息科技治理情况表》Y1-6。现场检查方法:查看信息化规划的实施方案或阶段性报告相关文件。保险业信息科技风险非现场监管报表及风险评价体系-9-2.监管指标(KJZL-2):信息科技治理架构(40分)(1)评估点(KJZL-2-1):信息化工作委员会(10分)评估目的:设立一个由来自高级管理层、信息科技部门、业务部门等相关部门的代表组成的信息化工作委员会。该委员会下应设立或者依托现有机构设立信息科技风险管理等专业工作小组或办公室,具体负责信息科技风险管理、信息安全、灾难恢复等管理协调工作。评分标准:按照要求设立信息化工作委员会,5分