第八章 应急响应和灾难恢复
第三十二条 保险机构针对信息系统的风险应建立科学的预警机制,在信息系统发生紧急事件后,应建立应急指挥中心,统一领导、协调和指挥所有应急响应工作,加强信息沟通和跨部门协调,提高机构整体的应急响应和应急处置能力;组织灾难恢复专业人员尽快对事件进行响应和评估;采取相应的风险处置和弥补工作,降低可能造成的损失,防范事态恶化;根据对紧急事件的处置和评估结果,决策是否对灾难备份中心发出灾难预警或灾难宣告。
保险机构应加强媒体公关和客户服务工作,避免造成恶劣的社会影响。发生重大灾难事件,应根据有关要求,及时向中国保监会报告。
第三十三条 灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作,并及时跟踪事态变化和恢复进程,加强沟通,加强恢复工作的统一指挥和管理。
保险机构应保证并合理配置恢复所需的各项资源,确保灾难恢复工作的顺利实施。
第三十四条 保险机构应明确信息系统的重建方案,在进行信息系统重建前应评估灾难造成的损失。根据损失评估情况,结合灾难备份系统运行可接受的最长时间,确定修复或者重新建设方案,执行信息系统的重新建设和功能恢复。
信息系统的回退是指将灾难备份系统的功能转移到新建或恢复的信息系统,各项业务恢复到正常运行状态的过程。加强信息数据安全处理,防止重要信息的泄漏,将灾难备份系统恢复为备用状态。
第三十五条 灾难恢复之后,应及时组织相关人员进行总结,修订灾难恢复策略和灾难恢复预案。
第九章 审计和备案
第三十六条 灾难恢复工作的审计分为内部审计和外部审计。内部审计由保险机构内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。
中国保监会可依据法律法规,委托并授权具有资质的中介机构对保险机构进行外部审计。中介机构根据保监会或其派出机构委托或授权对保险机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。中介机构根据授权出具的审计报告经中国保监会审阅确定后具备法律效力,被审计保险机构应对该审计报告在规定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。
