第一篇:商業銀行數據中心監管指引
商業銀行數據中心監管指引
第一章 總則
第一條 為加強商業銀行數據中心風險管理,保障數據中心安全、可靠、穩定運行,提高商業銀行業務連續性水平,根據《中華人民共和國銀行業監督管理法》及《中華人民共和國商業銀行法》制定本指引。
第二條 在中華人民共和國境內設立的國有商業銀行、股份制商業銀行、郵政儲蓄銀行、城市商業銀行、省級農村信用聯合社、外商獨資銀行、中外合資銀行適用本指引。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本指引執行。
第三條 以下術語適用于本指引:
(一)本指引所稱數據中心包括生產中心和災難備份中心(以下簡稱災備中心)。
(二)本指引所稱生產中心是指商業銀行對全行業務、客戶和管理等重要信息進行集中存儲、處理和維護,具備專用場所,為業務運營及管理提供信息科技支撐服務的組織。
(三)本指引所稱災備中心是指商業銀行為保障其業務連續性,在生產中心故障、停頓或癱疾后,能夠接替生產中心運行,具備專用場所,進行數據處理和支持重要業務持續運行的組織。
(四)本指引所稱災備中心同城模式是指災備中心與生產中心位于同一地理區域,一般距離數十公里,可防范火災、建筑物破壞、電力或通信系統中斷等事件。災備中心異地模式是指災備中心與生產中心處于不同地理區域,一般距離在數百公里以上,不會同時面臨同類區域性災難風險,如地震、臺風和洪水等。
(五)本指引所稱重要信息系統是指支撐重要業務,其信息安全和服務質量關系公民、法人和組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且時效性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第四條 《 信息安全技術信息系統災難恢復規范》(GB/T20988-2007)中的條款通過本指引的引用而成為本指引的條款。
第二章 設立與變更
第五條 商業銀行應于取得金融許可證后兩年內,設立生產中心;生產中心設立后兩年內,設立災備中心。
第六條 商業銀行數據中心應配臵滿足業務運營與管理要求的場地、基礎設施、網絡、信息系統和人員,并具備支持業務不間斷服務的能力。
第七條 總資產規模一千億元人民幣以上且跨省設立分支機構的法人商業銀行,及省級農村信用聯合社應設立異地模式災備中心,重要信息系統災難恢復能力應達到《 信息安全技術信息系統災難恢復規范》 中定義的災難恢復等級第5級(含)以上;其他法人商業銀行應設立同城模式災備中心并實現數據異地備份,重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規范》中定義的災難恢復等級第4級(含)以上。
第八條 商業銀行應就數據中心設立,數據中心服務范圍、服務職能和場所變更,以及其他對數據中心持續運行具有較大影響的重大變更事項向中國銀監會或其派出機構報告。
第九條 商業銀行應在數據中心規劃籌建階段,以及在數據中心正式運營前至少20個工作日,向中國銀監會或其派出機構報告。
第十條 商業銀行變更數據中心場所時應至少提前2個月,其他重大變更應至少提前10個工作日向中國銀監會或其派出機構報告。
第三章 風險管理
第十一條 商業銀行信息科技風險管理部門應制定數據中心風險管理策略、風險識別和評估流程,定期開展風險評估工作,對風險進行分級管理,持續監督風險管理狀況,及時預警,將風險控制在可接受水平。
第十二條 商業銀行信息科技部門應指導、監督和協調數據中心明確信息系統運營維護管理策略,建立運營維護管理制度、標準和流程,落實信息科技風險管理措施。
第十三條 商業銀行數據中心應建立健全各項管理與內控制度,從技術和管理等方面實施風險控制措施。
第十四條 商業銀行數據中心應設立專門管理崗位,監督、檢查數據中心各項規范、制度、標準和流程的執行情況以及風險管理狀況。
第十五條 商業銀行應根據業務影響分析所識別出風險的可能性和損失程度,決定是否購買商業保險以應對不同類型的災難,并定期檢查其保險策略及范圍。投保資產清單應保存于安全場所,以便索賠時使用。
第十六條 商業銀行內部審計部門應至少每三年進行一次數據中心內部審計。
第十七條 商業銀行在采取有效信息安全控制措施的前提下,可聘請合格的外部審計機構定期對數據中心進行審計。第十八條商業銀行數據中心應根據內、外部審計意見,及時制定整改計劃并實施整改。
第四章 運行環境管理
第十九條 商業銀行進行數據中心選址時,應進行全面的風險評估,綜合考慮地理位臵、環境、設施等各種因素對數據中心安全運營的潛在影響,規避選址不當風險,避免數據中心選址過度集中。
第二十條 數據中心選址應滿足但不限于以下要求:
(一)生產中心與災備中心的場所應保持合理距離,避免同時遭受同類風險。
(二)應選址于電力供給可靠,交通、通信便捷地區;遠離水災和火災隱患區域;遠離易燃、易爆場所等危險區域;遠離強振源和強噪聲源,避開強電磁場干擾;應避免選址于地震、地質災害高發區域。
第二十一條 數據中心基礎設施建設應以滿足重要信息系統運行高可用性和高可靠性要求、保障業務連續性為目標,應滿足但不限于以下要求:
(一)建筑物結構,如層高、承重、抗震等,應滿足專用機房建設要求。
(二)應根據使用要求劃分功能區域,各功能區域原則上相對獨立。
(三)應配備不間斷電源、應急發電設施等以滿足信息技術設備連續運行的要求。
(四)通信線路、供電、機房專用空調等基礎設施應具備冗余能力,進行冗余配臵,消除單點隱患。
(五)機房區域應采用氣體消防和自動消防預警系統,內部通道設臵、裝飾材料等應滿足消防要求,并通過消防驗收。
(六)應采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護措施。
(七)應采用環保節能技術,降低能耗,提高效率。
第二十二條 數據中心安防與基礎設施保障應滿足但不限于以下要求:
(一)各功能區域應根據使用功能劃分安全控制級別,不同級別區域采用獨立的出入控制設備,并集中監控,各區域出入口及重要位臵應采用視頻監控,監控記錄保存時間應滿足亭件分析、監督審計的需要。
(二)應具備機房環境監控系統,對基礎設施設備、機房環境狀況、安防系統狀況進行7x24小時實時監測,監測記錄保存時間應滿足故障診斷、事后審計的需要。
(三)每年至少開展一次針對基礎設施的安全評估,對基礎設施的可用性和可靠性、運維管理流程以及人員的安全意識等方面進行檢查,及時發現安全隱患并落實整改。
第二十三條 數據中心應來用兩家或多家通信運營商線路互為備份。互為備份的通信線路不得經過同一路由節點。
第五章 運營維護管理
第二十四條 商業銀行應建立滿足業務發展要求的數據中心運營維護管理體系,根據業務需求定義運營維護服務內容,制定服務標準和評價方法,建立運營維護管理持續改進機制。
第二十五條 數據中心應建立滿足信息科技服務要求的運營管理組織架構。設立生產調度、信.息安全、操作運行維護、質量合規管理等職能相關的部門或崗位,明確崗位和職責,配備專職人員,提供崗位專業技能培訓,確保關鍵崗位職責分離,通過職責分工和崗位制約降低數據中心操作風險。
第二十六條 數據中心應建立信息科技運行維護服務管理流程,提高整體運行效率和服務水平,包括:
(一)應建立事件和問題管理機制。明確亭件管理流程,定義事件類別、事件分級響應要求和事件升級、上報規則,及時受理、響應、審批和交付服務請求,保障生產服務質量,盡可能降低對業務影響;建立服務臺負責受理、跟蹤、解答各類運營問題;建立問題根源分析及跟蹤解決機制,查明運營事件產生的根本原因,避免事件再次發生。
(二)應建立變更管理流程,減少或防止變更對信息科技服務的影響。根據變更對業務影響大小進行變更分級,對變更影響、變更風險、資源需求和變更批準進行控制和管理;變更方案應包括應急及回退措施,并經過充分測試和驗證;建立變更管理聯動機制,當生產中心發生變更時,應同步分析災備系統變更需求并進行相應的變更,評估災備恢復的有效性;應盡量減少緊急變更。
(三)應建立配臵管理流程,統一管理、及時更新數據中心基礎設施和重要信息系統配臵信息,支持變更風險評估、變更實施、故障事件排查、問題根源分析等服務管理流程。
(四)應對重要信息系統和通信網絡的容量和性能需求進行前瞻性規劃,分析、調整和優化容量和性能,滿足業務發展要求。
(五)應統一調度各項運維任務,協調和解決各項運維任務沖突,妥善記錄和保存運維任務調度過程。
(六)應制定驗收交接標準及流程,規范重要信息系統投產驗收管理。加強版本控制,防范因軟件版本、操作文檔等不一致產生的風險。
(七)應根據商業銀行總體風險控制策略及應急管理要求,從基礎設施、網絡、信息系統等不同方面分別制定應急預案,并及時修訂應急預案,定期進行演練,保證其有效性。
(八)應集中監控重要信息系統和通信網絡運行狀態。采用監控管理工具,實時監控重要信息系統和通信網絡的運行狀況,通過監測、采集、分析和調優,提升生產系統運行的可靠性、穩定性和可用性。監控記錄應滿足故障定位、診斷及事后審計等要求。
第二十七條 數據中心應建立信息安全管理規范,保證重要信息的機密性、完整性和可用性,包括:
(一)應設立專門的信息安全管理部門或崗位,制定安全管理制度和實施計劃,定期對信息安全策略、制度和流程的執行情況進行檢查和報告。
(二)應建立和落實人員安全管理制度,明確信息安全管理職責;通過安全教育與培訓,提高人員的安全意識和技能;建立重要崗位人員備份制度和監督制約機制。
(三)應加強信息資產管理,識別信息資產并建立責任制,根據信息資產重要性實施分類控制和分級保護,防范信息資產生成、使用和處臵過程中的風險。
(四)應建立和落實物理環境安全管理制度,明確安全區域、規范區域訪問管理,減少未授權訪問所造成的風險。
(五)應建立操作安全管理制度,制定操作規程文檔,規范信息系統監控、日常維護和批處理操作等過程。
(六)應建立數據安全管理制度,規范數據的產生、獲取、存儲、傳輸、分發、備份、恢復和清理的管理,以及存儲介質的臺帳、轉儲、抽檢、報廢和銷毀的管理,保證數據的保密、真實、完整和可用。
(七)應建立網絡通信與訪問安全策略,隔離不同網絡功能區域,采取與其安全級別對應的預防、監測等控制措施,防范對網絡的未授權訪問,保證網絡通信安全。
(八)應建立基礎設施和重要信息的授權訪問機制,制定訪問控制流程,保留訪問記錄,防止未授權訪問。
第六章 災難恢復管理
第二十八條 商業銀行應將災難恢復管理納入業務連續性管理框架,建立災難恢復管理組織架構,明確災難恢復管理機制和流程。
第二十九條 商業銀行應統籌規劃災難恢復工作,定期進行風險評估和業務影響分析,確定災難恢復目標和恢復等級,明確災難恢復策略、預案并及時更新。
第三十條 商業銀行災難恢復預案應包括但不限于以下內容:災難恢復指揮小組和工作小組人員組成及聯系方式、匯報路線和溝通協調機制、災難恢復資源分配、基礎設施與信息系統的恢復優先次序、災難恢復與回切流程及時效性要求、對外溝通機制、最終用戶操作指導及第三方技術支持和應急響應服務等內容。
第三十一條 商業銀行應為災難恢復提供充分的資源保障,包括基礎設施、網絡通信、運維及技術支持人力資源、技術培訓等。
第三十二條 商業銀行應建立與服務提供商、電力部門、公安部門、當地政府和新聞媒體等單位的外部協作機制,保證災難恢復時能及時獲取外部支持。
第三十三條 商業銀行應建立災難恢復有效性測試驗證機制,測試驗證應定期或在重大變更后進行,內容應包含業務功能的恢復驗證。
第三十四條 商業銀行應每年至少進行一次重要信息系統專項災備切換演練,每三年至少進行一次重要信息系統全面災備切換演練,以真實業務接管為目標,驗證災備系統有效接管生產系統及安全回切的能力。
第三十五條 商業銀行進行全面災備切換和真實業務接管演練前應向中國銀監會或其派出機構報告,并在演練結束后報送演練總結。
第三十六條 商業銀行因災難亭件啟動災難恢復或將災備中心回切至生產中心后,應及時向中國銀監會或其派出機構報告,報告內容包括但不限于:災難亭件發生時間、影響范圍和程度,亭件起因、應急處臵措施、災難恢復實施情況和結果、回切方案。
第七章 外包管理
第三十七條 商業銀行董事會對外包負最終管理責任,應推動和完善外包風險管理體系建設,確保商業銀行有效應對外包風險。
第三十八條 商業銀行應根據信.息科技戰略規劃制定數據中心外包策略;應制定數據中心服務外包管理制度、流程,建立全面的風險控制機制。
第三十九條 商業銀行應確定外包服務所涉及的信息資產的關鍵性和敏感程度,審慎確定數據中心外包服務范圍。
第四十條 商業銀行應充分識別、分析、評估數據中心外包風險,包括信息安全風險、服務中斷風險、系統失控風險以及聲譽風險、戰略風險等,形成風險評估報告并報董事會和高管層審核。
第四十一條 實施數據中心服務外包時,商業銀行的管理責任不得外包。
第四十二條 數據中心服務外包一般包括:
(一)基礎設施類:外包服務商向商業銀行提供數據中心機房、配套設施或運行設備的服務。
(二)運營維護類:外包服務商向商業銀行提供數據中心信息系統或墓礎設施的日常運行、維護等服務。
第四十三條 商業銀行在選擇數據中心外包服務商時,應充分審查、評估外包服務商的資質、專業能力和服務方案,對外包服務商進行風險評估,考查其服務能力是否足以承擔相應的貴任。評估包括:外包服務商的企業信譽及財務德定性,外包服務商的信息安全和信息科技服務管理體系,銀行業服務經驗等。提供數據中心基礎設施外包服務的服務商,其運行環境應符合商業銀行要求,并具有完備的安全管理規范。
第四十四條 商業銀行應與數據中心外包服務商簽訂書面合同,在合同中明確重要亭項,包括但不限于雙方的權利和義務、外包服務水平、服務的可靠性、服務的可用性、信息安全控制、服務持續性計劃、審計、合規性要求、違約賠償等。
第四十五條 商業銀行應要求外包服務商購買商業保險以保證其有足夠的賠償能力,并告知保險覆蓋范圍。
第四十六條 商業銀行應加強對數據中心外包服務活動的安全管理,包括但不限于:
(一)商業銀行應將數據中心外包服務安全管理納入數據中心的整體安全策略,保障業務、管理和客戶敏感數據信息安全。
(二)商業銀行應按照“必需知道”和“最小授權”原則,嚴格控制外包服務商信息訪問的權限,要求外包服務商不得對外泄露所接觸的商業銀行信息。
(三)商業銀行應要求外包服務商保留操作痕跡、記錄完整的日志,相關內容和保存期限應滿足事件分析、安全取證、獨立審計和監督檢查需要。
(四)商業銀行應要求外包服務商遵守商業銀行有關信息科技風險管理制度和流程。
(五)商業銀行應要求外包服務商每年至少開展一次信息安全風險評估并提交評估報告。
(六)商業銀行應要求外包服務商聘請外部機構定期對其進行安全審計并提交審計報告,督促其及時整改發現的問題。
第四十七條 商業銀行應禁止外包服務商轉包并嚴格控制分包,保證外包服務水平。
第四十八條 商業銀行應制定數據中心外包服務應急計劃,制訂供應商替換方案,以應對外包服務商破產、不可抗力或其它潛在問題導致服務中斷或服務水平下降的情形,支持數據中心連續、可靠運行。
第四十九條 商業銀行應建立外包服務考核、評價機制,定期對外包服務活動和外包服務商的服務能力進行審核和評估,確保獲得持續、穩定的外包服務。
第五十條 商業銀行在實施數據中心整體服務外包以及涉及影響業務、管理和客戶敏感數據信息安全的外包前,應向中國銀監會或其派出機構報告。
第五十一條 商業銀行應在外包服務協議條款中明確商業銀行和監管機構有權對協議范圍內的服務活動進行監督檢查,包括外包商的服務職能、責任、系統和設施等內容。
第八章 監督管理
第五十二條 中國銀監會及其派出機構可依法對商業銀行的數據中心實施非現場監管及現場檢查。現場檢查原則上每三年一次。
第五十三條 針對商業銀行數據中心設立、變更、運營過程存在的風險,中國銀監會或其派出機構可向商業銀行提示風險并提出整改意見。商業銀行應及時整改并反饋結果。
第九章 附則
第五十四條 本指引由中國銀監會負責解釋、修訂。
第五十五條 本指引自公布之日起執行。
附件:《 商業銀行數據中心監管指引》 報告材料目錄和格式要求
附件:
《 商業銀行數據中心監管指引》 報告材料目錄和格式要求
一、數據中心規劃報告材料目錄
(一)數據中心建設規劃報告,包括: .立項報告和可行性分析報告,包括建設背景、建設目標、風險評估、效益分析、成本投入等。.基礎設施規劃方案,包括選址、建筑物結構、功能區域劃分、監控、防雷接地及消防等配套設施、機房等級等。
.信息系統建設規劃方案,包括功能與技術方案規劃、人員配臵計劃、系統服務的區域和業務范圍等。災備中心還需提供災難恢復目標、災難恢復等級、災備技術方案規劃及風險評佑報告等。
(二)區域環境及基礎設施風險評估說明,包括風險識別,風險分析和風險控制策略等。
(三)建設及運營模式說明,包括技術支持及運行維護體系等。如采用外包,需提供外包的服務內容和外包風險評估報告;
(四)組織架構規劃。包括擬設立的部門與崗位職責、計劃采用的人員數量等。
(五)建設及投入運營的時間進度計劃和財務預算(基礎設施建設和運維管理費用等)。
(六)中國銀監會或其派出機構要求提供的其它文件和資料。
二、數據中心設立報告材料目錄
(一)由商業銀行法定代表人簽署的數據中心投產審批文件,包括數據中心上線申請,數據中心上線審批報告等。
(二)基礎設施情況,包括地址、建筑物結構、功能區域劃分、監控、防雷接地及消防等配套設施驗收報告、機房及附屬設施驗收報告等。
(三)信息系統情況,包括系統架構、系統名稱、系統服務的區域和業務范圍、數據備份方案、災備技術方案等。
(四)運營模式說明,包括技術支持及運行維護體系等。如采用外包需說明主要外包管理情況,包括主要外包項目名稱、外包內容(業務類型及范圍等)、外包商基本情況、外包合同(包括安全保密條款、知識產權保護條款)、外包服務水平協議和外包風險評估報告等。
(五)組織架構,包括部門設臵與崗位職責、人員配備、主要負責人名單等。
(六)管理制度和規范清單及相關說明,包括運行管理流程、安全管理制度、應急管理制度和規范(含應急恢復策略、信息系統備份和恢復方案、應急管理流程及預案、應急演練及培訓計劃等)、災難恢復預案。
(七)中國銀監會或其派出機構要求提供的其它文件和資料。
三、數據中心重大變更報告材料目錄
(一)變更說明,包括變更原因、目的、內容、時間和影響范圍等。
(二)變更方案,包括變更準備、變更計劃和步驟、變更應急和回退措施。
(三)風險評估報告,包括風險分析,控制措施、變更有效性評估。
(四)中國銀監會或其派出機構要求提供的其它文件和資料。
四、報告材料格式要求
數據中心規劃、設立及重大變更報告材料應向中國銀監會或其派出機構報送紙質材料和電子文檔。
第二篇:《商業銀行數據中心監管指引》
中國銀行業監督管理委員會北京監管局辦公室轉發中國銀監會辦公廳關于印發《商業銀行數據中心監管指引》文件的通知
(京銀監辦[2010]87號)
各政策性銀行北京市分行及總行營業部、國家開發銀行在京營業機構、各國有商業銀行北京市分行、轄內各股份制商業銀行、北京銀行、北京農村商業銀行、轄內各村鎮銀行、各城市商業銀行北京分行、中國郵政儲蓄銀行北京分行、轄內各外資銀行、各金融資產管理公司北京辦事處、轄內各信托公司、轄內各企業集團財務公司、金融租賃公司、轄內各汽車金融公司、中國工商銀行牡丹卡中心、中國銀行銀行卡中心、中國民生銀行信用卡中心、中國工商銀行票據營業部北京分部、中國工商銀行私人銀行部北京分部:
為加強商業銀行數據中心風險控制和管理,現將《中國銀監會辦公廳關于印發<商業銀行數據中心監管指引>的通知》(銀監辦發[2010]114號)轉發給你們,請遵照執行。
中國銀行業監督管理委員會北京監管局辦公室
二0一0年四月二十七日
中國銀行業監督管理委員會辦公廳關于印發《商業銀行數據中心監管指引》的通
知
(銀監辦發[2010]114號)
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行,郵政儲蓄銀行,各省級農村信用聯社:
為加強商業銀行數據中心風險管理,保障數據中心安全、可靠、穩定運行,加強災難恢復管理,提高業務連續性水平,現將《商業銀行數據中心監管指引》印發給你們,請遵照執行。
請各銀監局將本通知轉發至轄內相關銀行業金融機構。
中國銀行業監督管理委員會辦公廳
二0一0年四月二十日
商業銀行數據中心監管指引
第一章 總則
第一條 為加強商業銀行數據中心風險管理,保障數據中心安全、可靠、穩定運行,提高商業銀行業務連續性水平,根據《中華人民共和國銀行業監督管理法》及《中華人民共和國商業銀行法》制定本指引。第二條 在中華人民共和國境內設立的國有商業銀行、股份制商業銀行、郵政儲蓄銀行、城市商業銀行、省級農村信用聯合社、外商獨資銀行、中外合資銀行適用本指引。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本指引執行。
第三條 以下術語適用于本指引:
(一)本指引所稱數據中心包括生產中心和災難備份中心(以下簡稱災備中心)。
(二)本指引所稱生產中心是指商業銀行對全行業務、客戶和管理等重要信息進行集中存儲、處理和維護,具備專用場所,為業務運營及管理提供信息科技支撐服務的組織。
(三)本指引所稱災備中心是指商業銀行為保障其業務連續性,在生產中心故障、停頓或癱疾后,能夠接替生產中心運行,具備專用場所,進行數據處理和支持重要業務持續運行的組織。
(四)本指引所稱災備中心同城模式是指災備中心與生產中心位于同一地理區域,一般距離數十公里,可防范火災、建筑物破壞、電力或通信系統中斷等事件。災備中心異地模式是指災備中心與生產中心處于不同地理區域,一般距離在數百公里以上,不會同時面臨同類區域性災難風險,如地震、臺風和洪水等。
(五)本指引所稱重要信息系統是指支撐重要業務,其信息安全和服務質量關系公民、法人和組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且時效性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網絡等基礎設施。
第四條 《 信息安全技術信息系統災難恢復規范》(GB/T20988-2007)
第二章 設立與變更 中的條款通過本指引的引用而成為本指引的條款。
第五條 商業銀行應于取得金融許可證后兩年內,設立生產中心;生產中心第六條 商業銀行數據中心應配置滿足業務運營與管理要求的場地、基礎設第七條 總資產規模一千億元人民幣以上且跨省設立分支機構的法人商業銀設立后兩年內,設立災備中心。
施、網絡、信息系統和人員,并具備支持業務不間斷服務的能力。
行,及省級農村信用聯合社應設立異地模式災備中心,重要信息系統災難恢復能力應達到《 信息安全技術信息系統災難恢復規范》 中定義的災難恢復等級第5級(含)以上;其他法人商業銀行應設立同城模式災備中心并實現數據異地備份,重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規范》中定義的災難恢復等級第4級(含)以上。第八條 商業銀行應就數據中心設立,數據中心服務范圍、服務職能和場所變更,以及其他對數據中心持續運行具有較大影響的重大變更事項向中國銀監會或其派出機構報告。
第九條 商業銀行應在數據中心規劃籌建階段,以及在數據中心正式運營前第十條 商業銀行變更數據中心場所時應至少提前2個月,其他重大變更應
第三章 風險管理 至少20個工作日,向中國銀監會或其派出機構報告。
至少提前10個工作日向中國銀監會或其派出機構報告。
第十一條 商業銀行信息科技風險管理部門應制定數據中心風險管理策略、風險識別和評估流程,定期開展風險評估工作,對風險進行分級管理,持續監督風險管理狀況,及時預警,將風險控制在可接受水平。
第十二條 商業銀行信息科技部門應指導、監督和協調數據中心明確信息系統運營維護管理策略,建立運營維護管理制度、標準和流程,落實信息科技風險管理措施。
第十三條 商業銀行數據中心應建立健全各項管理與內控制度,從技術和管第十四條 商業銀行數據中心應設立專門管理崗位,監督、檢查數據中心各第十五條 商業銀行應根據業務影響分析所識別出風險的可能性和損失程度,理等方面實施風險控制措施。
項規范、制度、標準和流程的執行情況以及風險管理狀況。
決定是否購買商業保險以應對不同類型的災難,并定期檢查其保險策略及范圍。投保資產清單應保存于安全場所,以便索賠時使用。
第十六條 商業銀行內部審計部門應至少每三年進行一次數據中心內部審計。第十七條 商業銀行在采取有效信息安全控制措施的前提下,可聘請合格的外部審計機構定期對數據中心進行審計。第十八條商業銀行數據中心應根據內、外部審計意見,及時制定整改計劃并實施整改。
第四章 運行環境管理
第十九條 商業銀行進行數據中心選址時,應進行全面的風險評估,綜合考慮地理位置、環境、設施等各種因素對數據中心安全運營的潛在影響,規避選址不當風險,避免數據中心選址過度集中。
第二十條 數據中心選址應滿足但不限于以下要求:
(一)生產中心與災備中心的場所應保持合理距離,避免同時遭受同類風險。
(二)應選址于電力供給可靠,交通、通信便捷地區;遠離水災和火災隱患區域;遠離易燃、易爆場所等危險區域;遠離強振源和強噪聲源,避開強電磁場干擾;應避免選址于地震、地質災害高發區域。第二十一條 數據中心基礎設施建設應以滿足重要信息系統運行高可用性和高可靠性要求、保障業務連續性為目標,應滿足但不限于以下要求:
(一)建筑物結構,如層高、承重、抗震等,應滿足專用機房建設要求。
(二)應根據使用要求劃分功能區域,各功能區域原則上相對獨立。
(三)應配備不間斷電源、應急發電設施等以滿足信息技術設備連續運行的要求。
(四)通信線路、供電、機房專用空調等基礎設施應具備冗余能力,進行冗余配置,消除單點隱患。
(五)機房區域應采用氣體消防和自動消防預警系統,內部通道設置、裝飾材料等應滿足消防要求,并通過消防驗收。
(六)應采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護措施。
(七)應采用環保節能技術,降低能耗,提高效率。
第二十二條 數據中心安防與基礎設施保障應滿足但不限于以下要求:
(一)各功能區域應根據使用功能劃分安全控制級別,不同級別區域采用獨立的出入控制設備,并集中監控,各區域出入口及重要位置應采用視頻監控,監控記錄保存時間應滿足亭件分析、監督審計的需要。
(二)應具備機房環境監控系統,對基礎設施設備、機房環境狀況、安防系統狀況進行7x24小時實時監測,監測記錄保存時間應滿足故障診斷、事后審計的需要。
(三)每年至少開展一次針對基礎設施的安全評估,對基礎設施的可用性和可靠性、運維管理流程以及人員的安全意識等方面進行檢查,及時發現安全隱患并落實整改。
第二十三條 數據中心應來用兩家或多家通信運營商線路互為備份。互為備
第五章 運營維護管理 份的通信線路不得經過同一路由節點。
第二十四條 商業銀行應建立滿足業務發展要求的數據中心運營維護管理體系,根據業務需求定義運營維護服務內容,制定服務標準和評價方法,建立運營維護管理持續改進機制。
第二十五條 數據中心應建立滿足信息科技服務要求的運營管理組織架構。設立生產調度、信.息安全、操作運行維護、質量合規管理等職能相關的部門或崗位,明確崗位和職責,配備專職人員,提供崗位專業技能培訓,確保關鍵崗位職責分離,通過職責分工和崗位制約降低數據中心操作風險。
第二十六條 數據中心應建立信息科技運行維護服務管理流程,提高整體運行效率和服務水平,包括:
(一)應建立事件和問題管理機制。明確亭件管理流程,定義事件類別、事件分級響應要求和事件升級、上報規則,及時受理、響應、審批和交付服務請求,保障生產服務質量,盡可能降低對業務影響;建立服務臺負責受理、跟蹤、解答各類運營問題;建立問題根源分析及跟蹤解決機制,查明運營事件產生的根本原因,避免事件再次發生。
(二)應建立變更管理流程,減少或防止變更對信息科技服務的影響。根據變更對業務影響大小進行變更分級,對變更影響、變更風險、資源需求和變更批準進行控制和管理;變更方案應包括應急及回退措施,并經過充分測試和驗證;建立變更管理聯動機制,當生產中心發生變更時,應同步分析災備系統變更需求并進行相應的變更,評估災備恢復的有效性;應盡量減少緊急變更。
(三)應建立配置管理流程,統一管理、及時更新數據中心基礎設施和重要信息系統配置信息,支持變更風險評估、變更實施、故障事件排查、問題根源分析等服務管理流程。
(四)應對重要信息系統和通信網絡的容量和性能需求進行前瞻性規劃,分析、調整和優化容量和性能,滿足業務發展要求。
(五)應統一調度各項運維任務,協調和解決各項運維任務沖突,妥善記錄和保存運維任務調度過程。
(六)應制定驗收交接標準及流程,規范重要信息系統投產驗收管理。加強版本控制,防范因軟件版本、操作文檔等不一致產生的風險。
(七)應根據商業銀行總體風險控制策略及應急管理要求,從基礎設施、網絡、信息系統等不同方面分別制定應急預案,并及時修訂應急預案,定期進行演練,保證其有效性。
(八)應集中監控重要信息系統和通信網絡運行狀態。采用監控管理工具,實時監控重要信息系統和通信網絡的運行狀況,通過監測、采集、分析和調優,提升生產系統運行的可靠性、穩定性和可用性。監控記錄應滿足故障定位、診斷及事后審計等要求。
第二十七條 數據中心應建立信息安全管理規范,保證重要信息的機密性、完整性和可用性,包括:
(一)應設立專門的信息安全管理部門或崗位,制定安全管理制度和實施計劃,定期對信息安全策略、制度和流程的執行情況進行檢查和報告。
(二)應建立和落實人員安全管理制度,明確信息安全管理職責;通過安全教育與培訓,提高人員的安全意識和技能;建立重要崗位人員備份制度和監督制約機制。
(三)應加強信息資產管理,識別信息資產并建立責任制,根據信息資產重要性實施分類控制和分級保護,防范信息資產生成、使用和處置過程中的風險。
(四)應建立和落實物理環境安全管理制度,明確安全區域、規范區域訪問管理,減少未授權訪問所造成的風險。
(五)應建立操作安全管理制度,制定操作規程文檔,規范信息系統監控、日常維護和批處理操作等過程。
(六)應建立數據安全管理制度,規范數據的產生、獲取、存儲、傳輸、分發、備份、恢復和清理的管理,以及存儲介質的臺帳、轉儲、抽檢、報廢和銷毀的管理,保證數據的保密、真實、完整和可用。
(七)應建立網絡通信與訪問安全策略,隔離不同網絡功能區域,采取與其安全級別對應的預防、監測等控制措施,防范對網絡的未授權訪問,保證網絡通信安全。
(八)應建立基礎設施和重要信息的授權訪問機制,制定訪問控制流程,保留訪問記錄,防止未授權訪問。
第六章 災難恢復管理
第二十八條 商業銀行應將災難恢復管理納入業務連續性管理框架,建立災第二十九條 商業銀行應統籌規劃災難恢復工作,定期進行風險評估和業務第三十條 商業銀行災難恢復預案應包括但不限于以下內容:災難恢復指揮難恢復管理組織架構,明確災難恢復管理機制和流程。
影響分析,確定災難恢復目標和恢復等級,明確災難恢復策略、預案并及時更新。
小組和工作小組人員組成及聯系方式、匯報路線和溝通協調機制、災難恢復資源分配、基礎設施與信息系統的恢復優先次序、災難恢復與回切流程及時效性要求、對外溝通機制、最終用戶操作指導及第三方技術支持和應急響應服務等內容。
第三十一條 商業銀行應為災難恢復提供充分的資源保障,包括基礎設施、第三十二條 商業銀行應建立與服務提供商、電力部門、公安部門、當地政第三十三條 商業銀行應建立災難恢復有效性測試驗證機制,測試驗證應定第三十四條 商業銀行應每年至少進行一次重要信息系統專項災備切換演網絡通信、運維及技術支持人力資源、技術培訓等。
府和新聞媒體等單位的外部協作機制,保證災難恢復時能及時獲取外部支持。
期或在重大變更后進行,內容應包含業務功能的恢復驗證。
練,每三年至少進行一次重要信息系統全面災備切換演練,以真實業務接管為目標,驗證災備系統有效接管生產系統及安全回切的能力。
第三十五條 商業銀行進行全面災備切換和真實業務接管演練前應向中國第三十六條 商業銀行因災難亭件啟動災難恢復或將災備中心回切至生產銀監會或其派出機構報告,并在演練結束后報送演練總結。
中心后,應及時向中國銀監會或其派出機構報告,報告內容包括但不限于:災難亭件發生時間、影響范圍和程度,亭件起因、應急處置措施、災難恢復實施情況和結果、回切方案。
第七章 外包管理
第三十七條 商業銀行董事會對外包負最終管理責任,應推動和完善外包風險管理體系建設,確保商業銀行有效應對外包風險。第三十八條 商業銀行應根據信息科技戰略規劃制定數據中心外包策略;應第三十九條 商業銀行應確定外包服務所涉及的信息資產的關鍵性和敏感第四十條 商業銀行應充分識別、分析、評估數據中心外包風險,包括信息制定數據中心服務外包管理制度、流程,建立全面的風險控制機制。
程度,審慎確定數據中心外包服務范圍。
安全風險、服務中斷風險、系統失控風險以及聲譽風險、戰略風險等,形成風險評估報告并報董事會和高管層審核。
第四十一條 實施數據中心服務外包時,商業銀行的管理責任不得外包。第四十二條 數據中心服務外包一般包括:
(一)基礎設施類:外包服務商向商業銀行提供數據中心機房、配套設施或運行設備的服務。
(二)運營維護類:外包服務商向商業銀行提供數據中心信息系統或墓礎設施的日常運行、維護等服務。
第四十三條 商業銀行在選擇數據中心外包服務商時,應充分審查、評估外包服務商的資質、專業能力和服務方案,對外包服務商進行風險評估,考查其服務能力是否足以承擔相應的貴任。評估包括:外包服務商的企業信譽及財務德定性,外包服務商的信息安全和信息科技服務管理體系,銀行業服務經驗等。提供數據中心基礎設施外包服務的服務商,其運行環境應符合商業銀行要求,并具有完備的安全管理規范。
第四十四條 商業銀行應與數據中心外包服務商簽訂書面合同,在合同中明確重要亭項,包括但不限于雙方的權利和義務、外包服務水平、服務的可靠性、服務的可用性、信息安全控制、服務持續性計劃、審計、合規性要求、違約賠償等。
第四十五條 商業銀行應要求外包服務商購買商業保險以保證其有足夠的第四十六條 商業銀行應加強對數據中心外包服務活動的安全管理,包括但賠償能力,并告知保險覆蓋范圍。
不限于:
(一)商業銀行應將數據中心外包服務安全管理納入數據中心的整體安全策略,保障業務、管理和客戶敏感數據信息安全。
(二)商業銀行應按照“必需知道”和“最小授權”原則,嚴格控制外包服務商信息訪問的權限,要求外包服務商不得對外泄露所接觸的商業銀行信息。
(三)商業銀行應要求外包服務商保留操作痕跡、記錄完整的日志,相關內容和保存期限應滿足事件分析、安全取證、獨立審計和監督檢查需要。
(四)商業銀行應要求外包服務商遵守商業銀行有關信息科技風險管理制度和流程。
(五)商業銀行應要求外包服務商每年至少開展一次信息安全風險評估并提交評估報告。
(六)商業銀行應要求外包服務商聘請外部機構定期對其進行安全審計并提交審計報告,督促其及時整改發現的問題。
第四十七條 商業銀行應禁止外包服務商轉包并嚴格控制分包,保證外包服第四十八條 商業銀行應制定數據中心外包服務應急計劃,制訂供應商替換務水平。
方案,以應對外包服務商破產、不可抗力或其它潛在問題導致服務中斷或服務水平下降的情形,支持數據中心連續、可靠運行。
第四十九條 商業銀行應建立外包服務考核、評價機制,定期對外包服務活第五十條 商業銀行在實施數據中心整體服務外包以及涉及影響業務、管理第五十一條 商業銀行應在外包服務協議條款中明確商業銀行和監管機構動和外包服務商的服務能力進行審核和評估,確保獲得持續、穩定的外包服務。
和客戶敏感數據信息安全的外包前,應向中國銀監會或其派出機構報告。
有權對協議范圍內的服務活動進行監督檢查,包括外包商的服務職能、責任、系統和設施等內容。
第八章 監督管理
第五十二條 中國銀監會及其派出機構可依法對商業銀行的數據中心實施第五十三條 針對商業銀行數據中心設立、變更、運營過程存在的風險,中非現場監管及現場檢查。現場檢查原則上每三年一次。
國銀監會或其派出機構可向商業銀行提示風險并提出整改意見。商業銀行應及時整改并反饋結果。
第九章 附則
第五十四條 本指引由中國銀監會負責解釋、修訂。第五十五條 本指引自公布之日起執行。
附件:
《 商業銀行數據中心監管指引》 報告材料目錄和格式要求
一、數據中心規劃報告材料目錄
(一)數據中心建設規劃報告,包括: .立項報告和可行性分析報告,包括建設背景、建設目標、風險評估、效益分析、成本投入等。.基礎設施規劃方案,包括選址、建筑物結構、功能區域劃分、監控、防雷接地及消防等配套設施、機房等級等。.信息系統建設規劃方案,包括功能與技術方案規劃、人員配置計劃、系統服務的區域和業務范圍等。災備中心還需提供災難恢復目標、災難恢復等級、災備技術方案規劃及風險評估報告等。
(二)區域環境及基礎設施風險評估說明,包括風險識別,風險分析和風險控制策略等。
(三)建設及運營模式說明,包括技術支持及運行維護體系等。如采用外包,需提供外包的服務內容和外包風險評估報告;
(四)組織架構規劃。包括擬設立的部門與崗位職責、計劃采用的人員數量等。
(五)建設及投入運營的時間進度計劃和財務預算(基礎設施建設和運維管理費用等)。
(六)中國銀監會或其派出機構要求提供的其它文件和資料。
二、數據中心設立報告材料目錄
(一)由商業銀行法定代表人簽署的數據中心投產審批文件,包括數據中心上線申請,數據中心上線審批報告等。
(二)基礎設施情況,包括地址、建筑物結構、功能區域劃分、監控、防雷接地及消防等配套設施驗收報告、機房及附屬設施驗收報告等。
(三)信息系統情況,包括系統架構、系統名稱、系統服務的區域和業務范圍、數據備份方案、災備技術方案等。
(四)運營模式說明,包括技術支持及運行維護體系等。如采用外包需說明主要外包管理情況,包括主要外包項目名稱、外包內容(業務類型及范圍等)、外包商基本情況、外包合同(包括安全保密條款、知識產權保護條款)、外包服務水平協議和外包風險評估報告等。
(五)組織架構,包括部門設置與崗位職責、人員配備、主要負責人名單等。
(六)管理制度和規范清單及相關說明,包括運行管理流程、安全管理制度、應急管理制度和規范(含應急恢復策略、信息系統備份和恢復方案、應急管理流程及預案、應急演練及培訓計劃等)、災難恢復預案。
(七)中國銀監會或其派出機構要求提供的其它文件和資料。
三、數據中心重大變更報告材料目錄
(一)變更說明,包括變更原因、目的、內容、時間和影響范圍等。
(二)變更方案,包括變更準備、變更計劃和步驟、變更應急和回退措施。
(三)風險評估報告,包括風險分析,控制措施、變更有效性評估。
(四)中國銀監會或其派出機構要求提供的其它文件和資料。
四、報告材料格式要求
數據中心規劃、設立及重大變更報告材料應向中國銀監會或其派出機構報送紙質材料和電子文檔。
發布部門:北京市其他機構 發布日期:2010年04月27日 實施日期:2010年04月27日(地方法規)
第三篇:《商業銀行數據中心監管指引》(銀監辦發﹝2010﹞114號)
中國銀行業監督管理委員會辦公廳關于印發《商業銀行數據中心監管指引》的通知
銀監辦發[2010]114號
各銀監局,各政策性銀行、國有商業銀行、股份制商業銀行,郵政儲蓄銀行,各省級農村信用聯社:
為加強商業銀行數據中心風險管理,保障數據中心安全、可靠、穩定運行,加強災難恢復管理,提高業務連續性水平,現將《商業銀行數據中心監管指引》印發給你們,請遵照執行。
請各銀監局將本通知轉發至轄內相關銀行業金融機構。
中國銀行業監督管理委員會辦公廳
二0一0年四月二十日
商業銀行數據中心監管指引
(三)應配備不間斷電源、應急發電設施等以滿足信息技術設備連續運行的要求。
(四)通信線路、供電、機房專用空調等基礎設施應具備冗余能力,進行冗余配置,消除單點隱患。
(五)機房區域應采用氣體消防和自動消防預警系統,內部通道設置、裝飾材料等應滿足消防要求,并通過消防驗收。
(六)應采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護措施。
(七)應采用環保節能技術,降低能耗,提高效率。
(八)應集中監控重要信息系統和通信網絡運行狀態。采用監控管理工具,實時監控重要信息系統和通信網絡的運行狀況,通過監測、采集、分析和調優,提升生產系統運行的可靠性、穩定性和可用性。監控記錄應滿足故障定位、診斷及事后審計等要求。
國銀監會或其派出機構報告,報告內容包括但不限于:災難亭件發生時間、影響范圍和程度,亭件起因、應急處置措施、災難恢復實施情況和結果、回切方案。
(五)組織架構,包括部門設置與崗位職責、人員配備、主要負責人名單等。
(六)管理制度和規范清單及相關說明,包括運行管理流程、安全管理制度、應急管理制度和規范(含應急恢復策略、信息系統備份和恢復方案、應急管理流程及預案、應急演練及培訓計劃等)、災難恢復預案。
(七)中國銀監會或其派出機構要求提供的其它文件和資料。
三、數據中心重大變更報告材料目錄
(一)變更說明,包括變更原因、目的、內容、時間和影響范圍等。
(二)變更方案,包括變更準備、變更計劃和步驟、變更應急和回退措施。
(三)風險評估報告,包括風險分析,控制措施、變更有效性評估。
(四)中國銀監會或其派出機構要求提供的其它文件和資料。
四、報告材料格式要求
數據中心規劃、設立及重大變更報告材料應向中國銀監會或其派出機構報送紙質材料和電子文檔。
第四篇:《商業銀行代理保險業務監管指引》
商業銀行代理保險業務監管指引
第一章 總 則 第二章 代理關系 第一節 合作對象 第二節 代理資格 第三節 代理協議 第三章 經營規則 第一節 保險產品 第二節 代理費用 第三節 銷售模式 第四節 銷售行為 第五節 財務核算 第六節 應急機制 第七節 同業交流 第四章 監督檢查 第五章 附 則
第一章 總則
第一條 為了規范商業銀行代理保險業務的經營行為,保護保險消費者的合法權益,促進商業銀行代理保險業務持續健康發展,根據《中華人民共和國保險法》(以下簡稱《保險法》)、《中華人民共
第1頁(共12頁)
和國商業銀行法》(以下簡稱《商業銀行法》)、《中華人民共和國銀行業監督管理法》(以下簡稱《銀行業監督管理法》)等法律、行政法規及規章,制定本指引。
第二條 本指引所稱商業銀行代理保險業務是指商業銀行接受保險公司委托,在保險公司授權的范圍內,代理保險公司銷售保險產品及提供相關服務,并依法向保險公司收取代理費用的經營活動。
第三條 保險公司和商業銀行雙方開展商業銀行代理保險業務,應當遵守法律、行政法規和中國保監會、中國銀監會的有關規定,遵循自愿、誠實信用和公平競爭的原則,實現雙方優勢互補,互利共贏,為保險消費者創造價值。
第四條 中國保監會、中國銀監會根據《保險法》、《商業銀行法》、《銀行業監督管理法》和國務院授權,對商業銀行代理保險業務履行監管職責。
中國保監會、中國銀監會派出機構,在中國保監會、中國銀監會授權范圍內履行監管職責。
第二章 代理關系
第一節 合作對象
第五條保險公司和商業銀行應當結合自身及對方的資本狀況、資產規模、管控能力等因素審慎選擇合作對象,合理確定合作對象的范圍和數量。
第2頁(共12頁)
第六條 保險公司選擇合作商業銀行時,應當充分考慮其資本充足率、風險管控能力、營業場所、代理保險業務和財務管理制度健全性、近兩年受監管部門處罰情況等。
第七條 商業銀行選擇合作保險公司時,應當充分考慮其償付能力狀況、風險管控能力、業務和財務管理信息系統、近兩年受監管部門處罰情況等。
第八條 保險公司和商業銀行選擇和評價合作對象,應當參考監管部門、外部審計、評級機構以及行業協會披露的信息,確保獲取的有關信息真實可靠。
第九條保險公司和商業銀行應當保持合作關系和客戶服務的穩定性。單一商業銀行代理網點與每家保險公司的連續合作期限不得少于一年。
合作期間內,如果一方出現對雙方合作關系有實質影響的不利情形,另一方可以提前中止合作。對保險公司與商業銀行網點已經中止合作的情況,商業銀行應配合保險公司做好滿期給付、退保、投訴處理等保單后續服務。
第十條商業銀行不得將保險代理業務轉委托給其他機構或個人。
第二節 代理資格
第十一條 中國保監會依法對商業銀行網點代理保險業務實施資格管理。
(一)商業銀行代理保險業務的,每個營業網點在代理保險業務前應當取得中國保監會頒發的經營保險代理業務許可證,并獲得商業
第3頁(共12頁)
銀行一級分支機構(含省、自治區、直轄市和計劃單列市分行)的授權。
(二)保險公司不得委托沒有取得經營保險代理業務許可證的商業銀行網點開展代理保險業務。
(三)商業銀行網點經營保險代理業務許可證的使用和管理,應當按照中國保監會《保險許可證管理辦法》有關規定辦理。
(四)商業銀行網點應當在營業場所顯著位置張貼統一制式的投保提示。
第十二條中國保監會依法對商業銀行代理保險業務銷售人員和保險公司銀保專管員實施資格管理。
(一)商業銀行和保險公司應當按照監管部門有關規定,對商業銀行代理保險業務銷售人員和保險公司銀保專管員進行法律法規、業務知識培訓和職業道德教育。
(二)商業銀行從事代理保險業務的銷售人員,應當符合中國保監會規定的保險銷售從業資格條件,取得中國保監會頒發的《保險銷售從業人員資格證書》。其中,投資連結保險銷售人員還應至少有1年以上保險銷售經驗,接受過不少于40小時的專項培訓,并無不良記錄。
(三)保險公司銀保專管員,應當取得中國保監會頒發的《保險銷售從業人員資格證書》,每年應接受不少于36小時的培訓。
第三節 代理協議
第4頁(共12頁)
第十三條 保險公司委托商業銀行代理保險業務,原則上應當由總公司和總行統一簽訂代理協議。保險公司和商業銀行的一級分支機構(含省、自治區、直轄市和計劃單列市分公司、分行等)確需簽訂代理協議的,應當事先分別取得總公司和總行書面授權,并在代理協議簽訂后及時向總公司和總行進行備案。
第十四條 保險公司委托區域性商業銀行代理保險業務的,可以由區域性商業銀行總行同保險公司總公司或其業務開展地的保險公司一級分支機構簽訂代理協議。保險公司一級分支機構應當事先取得總公司書面授權,并在代理協議簽訂后及時向總公司進行備案。
第十五條 保險公司和商業銀行簽訂的代理協議應當包括但不限于以下主要條款:代理產品種類,代理費用標準及支付方式,單證及宣傳資料管理,客戶賬戶及身份信息核對,反洗錢,客戶信息保密,雙方權利責任劃分,爭議的解決,危機應對及客戶投訴處理機制,合作期限,協議生效、變更和終止,違約責任等。
第三章 經營規則
第一節 保險產品
第十六條 保險公司委托商業銀行銷售的保險產品,應當是按照中國保監會保險產品審批備案管理的有關規定,經過中國保監會審批或備案的保險產品。
第十七條 保險公司委托商業銀行銷售的保險產品,保單封面主體部分應當以顯著的字體印有“保險單”或“保險合同”字樣、保險公司名稱等內容,保險合同中應當包含保險條款及其他合同要件。
第5頁(共12頁)
第十八條 保險公司應當充分發揮長期資產負債匹配管理和風險保障的核心技術優勢,商業銀行應當充分發揮銷售渠道優勢,在商業銀行代理保險業務中大力發展長期儲蓄型和風險保障型保險產品,持續調整和優化商業銀行代理保險業務結構,為客戶提供全面的金融服務。
第十九條 保險公司和商業銀行在合作過程中,應當加大產品創新力度,以消費者需求為導向,推進商業銀行代理保險產品的多樣化和差異化,不斷滿足客戶日益增長的保險保障和金融資產管理需求。
第二節 代理費用
第二十條 保險公司和商業銀行協商代理費用時,應當本著互利共贏、共同發展、保護消費者利益的原則,共同促進商業銀行代理保險市場的持續健康發展。
第二十一條 保險公司向商業銀行支付代理費用,應當通過保險公司一級分支機構向代理商業銀行一級分支機構或至少二級分支機構統一轉賬支付,具備條件的要實現保險公司總公司集中統一向代理商業銀行總行支付;委托地方性商業銀行代理保險業務的,應當由保險公司一級分支機構向地方性商業銀行總部或一級分支機構統一轉賬支付。
第二十二條 保險公司應當按照財務制度據實列支向商業銀行支付的代理費用,不得賬外核算和經營;商業銀行應當加強代理費用集中管理,從代理費用中列支代理保險業務銷售人員的業務激勵費用。
第6頁(共12頁)
第二十三條保險公司及其工作人員不得在賬外直接或者間接給予合作商業銀行及其工作人員合作協議約定以外的利益,包括支付現金、各類有價證券,或者報銷費用、提供旅游等;商業銀行及其工作人員不得以任何方式向保險公司及其工作人員收取、索要合作協議約定以外的任何利益。保險公司和商業銀行應當加強對員工的教育管理,完善各項管理制度,防范商業賄賂風險。
第二十四條 保險業協會和銀行業協會要通過加強行業自律,在維護市場秩序、促進公平競爭方面發揮積極作用。
第二十五條監管部門對通過給予、收取或索要合作協議約定外利益等不正當競爭手段擾亂市場秩序、侵害消費者利益的行為將依法嚴厲查處。
第三節 銷售模式
第二十六條商業銀行和保險公司應當按照代理協議約定加強協作。通過商業銀行網點直接向客戶銷售保險產品的人員,應當是持有保險代理從業人員資格證書的商業銀行銷售人員;商業銀行不得允許保險公司人員派駐銀行網點。保險公司銀保專管員負責向銀行提供培訓、單證交換等服務,協助商業銀行做好保險產品銷售后的滿期給付、續期繳費等相關客戶服務。
第二十七條商業銀行應當根據保險產品的復雜程度區分不同的銷售區域。投資連結保險產品不得通過商業銀行儲蓄柜臺銷售。對于保單期限和繳費期限較長、保障程度高、產品設計相對復雜以及需較長時間解釋說明的保險產品,商業銀行應當積極開拓理財服務區、理
第7頁(共12頁)
財專柜、財富中心、私人銀行等專門銷售區域,通過對銷售區域和銷售隊伍的控制,提高銷售品質,將合適的產品通過合適的人員銷售給合適的客戶。
第二十八條 商業銀行和保險公司應當加強戰略性合作,在依法合規、風險可控的前提下,合作開展電話銷售、網上銷售等創新銷售模式。
第二十九條商業銀行通過電話銷售保險產品的,應當先征得客戶同意;銷售人員應當是具有保險銷售從業人員資格的商業銀行人員;銷售行為應當按照統一的規范用語進行,明確告知客戶銷售的是保險產品,銷售過程應當全程錄音并妥善保存。
第三十條 商業銀行通過網上銀行銷售保險產品的,應當有醒目的風險提示,銷售過程中的各項風險管控措施不得低于商業銀行網點的標準,且銷售過程應保留完整記錄;保險公司應配合商業銀行提供電子保單,不斷改進和提升服務質量;高風險的復雜保險產品應確保銷售給有相應風險承受能力的合適客戶。
第四節 銷售行為
第三十一條商業銀行作為代理保險業務銷售行為的實施主體,應當加強代理保險業務銷售行為管理,加大內部對銷售人員的培訓力度,強化對誤導銷售、錯誤銷售等違規行為的內部責任追究,建立健全相應管理制度和處罰制度。
第8頁(共12頁)
第三十二條 商業銀行及其工作人員應當使用保險公司總公司或經總公司授權的保險公司一級分支機構統一印制的保險產品宣傳資料,不得擅自印制代銷產品的宣傳資料或變更產品宣傳資料的內容。
第三十三條 銷售人員在產品銷售過程中應當以書面形式向投保人提供保險監管部門要求的投保提示書、產品說明書,應當引導投保人在投保單上填寫真實完整的客戶信息,并在人身保險新型產品投保書上抄錄有關聲明,不得代抄錄有關聲明或代投保人或被保險人簽名;對投資連結保險產品投保人還應當進行風險承受能力測評,不得將投資連結保險產品銷售給未經過風險測評或風險測評結果顯示不適合的客戶。
第三十四條 銷售人員負責在銷售過程中全面客觀介紹保險產品,應當按保險條款將保險責任、責任免除、退保費用、保單現金價值、繳費期限、猶豫期等重要事項明確告知客戶。
第三十五條 銷售人員不得進行誤導銷售或錯誤銷售。在銷售過程中不得將保險產品與儲蓄存款、銀行理財產品等混淆,不得使用“銀行和保險公司聯合推出”、“銀行推出”、“銀行理財新業務”等不當用語,不得套用“本金”、“利息”、“存入”等概念,不得將保險產品的利益與銀行存款收益、國債收益等進行片面類比,不得夸大或變相夸大保險合同的收益,不得承諾固定分紅收益。
第三十六條商業銀行網點及其銷售人員不得以中獎、抽獎、送實物、送保險、產品停售等方式進行誤導或誘導銷售。保險公司不得支持或鼓勵商業銀行采取上述行為。
第9頁(共12頁)
第三十七條 商業銀行應當向保險公司提供全面、完整、真實的客戶投保信息,確保保險公司承保業務和客戶回訪工作順利開展。保險公司應當建立投保單信息審查機制,對投保單信息不全、捏造變更客戶信息的保險業務不得承保。
第三十八條 商業銀行和保險公司應當逐步統一投保人風險承受能力測評體系,為客戶投保提供便利。
第三十九條 對于保險公司應當披露的信息,保險公司應當根據中國保監會信息披露管理辦法的有關要求,通過公司官方網站或指定媒體進行統一披露。
第四十條 保險公司應當對通過商業銀行渠道銷售的一年期以上的人身保險產品投保人進行猶豫期內回訪。對于到商業銀行申請退保、滿期給付、續期繳費業務的,商業銀行和保險公司應當相互配合,及時做好相應工作。
第五節 財務核算
第四十一條 保險公司開展商業銀行代理保險業務,應當建立商業銀行代理保險業務的財務獨立核算及評價機制,做到對新業務價值、利潤及費用進行獨立核算。
第四十二條 保險公司應當根據審慎原則,科學制定商業銀行代理保險業務的財務預算政策和業務激勵政策,防止出現為了業務規模不計成本的經營行為,防范費差損風險。總公司應切實承擔對分支機構的管理責任,監管部門將依法嚴厲查處銀保業務惡性價格競爭行為,加大對法人機構和各級高管人員管理責任的追究力度。
第10頁(共12頁)
第四十三條 商業銀行對代理保險業務取得的代理費用應當如實入賬,對不同保險公司的代收保費、代理費用進行獨立核算。
第六節 應急機制
第四十四條保險公司和商業銀行應當將商業銀行代理保險業務中出現的群訪群訴、群體性退保等事件作為重大事件,建立重大事件聯合應急處理機制。應當共同制定重大事件處理辦法、指定專門人員、成立應急處理小組、建立共同信息披露機制,在出現重大事件時及時妥善做好應對工作。
第四十五條 保險公司和商業銀行應當在客戶投訴、退保等事件發生的第一時間積極處理,實行首問負責制度,不得相互推諉,避免產生負面影響使事態擴大。按照雙方共同制定的重大事件處理辦法規定,及時采取措施,妥善解決。
第四十六條對于出現的重大事件,保險公司和商業銀行總部應當及時向中國保監會、中國銀監會報告;事件發生地的分支機構,應當及時向當地中國保監會、中國銀監會派出機構報告。
第七節 同業交流
第四十七條保險公司和商業銀行應當建立定期交流機制,定期交流商業銀行代理保險業務信息。
第四十八條保險業協會和銀行業協會應當建立定期交流機制,定期交流行業間商業銀行代理保險業務信息及自律情況。
第四章 監督檢查
第11頁(共12頁)
第四十九條 中國保監會、中國銀監會及其派出機構依法對商業銀行代理保險業務進行現場檢查。
中國保監會、中國銀監會及其派出機構對商業銀行代理保險業務可以進行聯合現場檢查,依法對違規行為采取監管措施,追究相應責任,并給予相應處罰。
第五十條保險公司、商業銀行及其分支機構或者其從業人員違反本指引,由中國保監會、中國銀監會及其派出機構依照法律、行政法規、規章進行處罰;涉嫌犯罪的,依法移交司法機關追究其刑事責任。
第五十一條 中國保監會、中國銀監會及其派出機構應加強對商業銀行代理保險業務監管的溝通交流,定期溝通和交流商業銀行代理保險業務監管信息,及時向對方通報商業銀行代理保險業務現場檢查及處罰情況。
第五章 附則
第五十二條 其他銀行業金融機構、郵政公司代理保險業務的,參照本指引執行。
第五十三條 本指引自下發之日起施行。
第12頁(共12頁)
第五篇:商業銀行代理保險業務監管指引
保監發〔2011〕10號
各保監局、各銀監局、各保險公司、各國有商業銀行、各股份制商業銀行、中國郵政儲蓄銀行、各省級農村信用聯社:
為了規范商業銀行代理保險市場秩序,保護金融保險消費者權益,促進商業銀行代理保險業務健康發展,中國保監會和中國銀監會聯合制定了《商業銀行代理保險業務監管指引》(以下簡稱《監管指引》)。現予以印發,請遵照執行。現將做好《監管指引》執行工作的有關要求通知如下:
一、各單位要高度重視《監管指引》的貫徹落實工作。各保險公司、各商業銀行總部要加強領導,組織全系統做好《監管指引》的傳達、學習和執行工作。各保監局、各銀監局要加強監管,督促轄內保險機構、銀行機構嚴格執行《監管指引》的各項要求。
二、各保險公司要堅持調整和優化銀保業務結構,加快轉變銀保業務發展方式。要注重與銀行加強戰略性合作,發揮銀保雙方優勢,創新銀保產品和銷售模式;要注重維護銀保專管員隊伍穩定,從職能定位、工作方式、組織發展等方面加快銀保專管員隊伍轉型,不斷提高專管員隊伍的專業素質、培訓能力和服務能力。
三、各商業銀行要加強對代理保險業務銷售行為的管控,不斷提高銷售品質,為客戶提供優質服務。要注重加強對代理保險業務銷售人員的培訓和資格管理,切實提高銷售人員的專業素質、銷售能力和服務能力;要注重深化與保險公司的合作關系,積極發展多樣化的銀保銷售模式,滿足客戶日益增長的保險保障、長期儲蓄和金融資產管理需求。
四、各保險公司、各商業銀行要注重從改進和完善體制機制入手,防止出現商業賄賂、銷售誤導、惡性價格競爭等違法違規行為。總部要切實承擔起對下級機構和人員的管控責任,要建立并強化內部責任追究制。
五、各保監局、各銀監局要把規范商業銀行代理保險業務作為規范金融市場秩序、保護金融保險消費者權益的一項重點工作。要把打擊銀保市場商業賄賂、銷售誤導、惡性價格競爭等作為現場檢查重點,加大檢查和處罰力度,加大對上級機構和各級高管人員管理責任的追究力度,依法對相關責任人進行問責。各保監局、各銀監局要注重加強溝通與合作,共同規范銀保市場。
六、本通知下發后,保險公司與商業銀行已簽訂的代理協議與《監管指引》要求不符的,應當在2011年3月31日前完成修訂工作。
中國保險監督管理委員會
二○一一年三月七日
商業銀行代理保險業務監管指引
第一章 總則
第一條 為了規范商業銀行代理保險業務的經營行為,保護保險消費者的合法權益,促進商業銀行代理保險業務持續健康發展,根據《中華人民共和國保險法》(以下簡稱《保險法》)、《中華人民共和國商業銀行法》(以下簡稱《商業銀行法》)、《中華人民共和國銀行業監督管理法》(以下簡稱《銀行業監督管理法》)等法律、行政法規及規章,制定本指引。
第二條 本指引所稱商業銀行代理保險業務是指商業銀行接受保險公司委托,在保險公司授權的范圍內,代理保險公司銷售保險產品及提供相關服務,并依法向保險公司收取代理費用的經營活動。
第三條 保險公司和商業銀行雙方開展商業銀行代理保險業務,應當遵守法律、行政法規和中國保監會、中國銀監會的有關規定,遵循自愿、誠實信用和公平競爭的原則,實現雙方優勢互補,互利共贏,為保險消費者創造價值。
第四條 中國保監會、中國銀監會根據《保險法》、《商業銀行法》、《銀行業監督管理法》和國務院授權,對商業銀行代理保險業務履行監管職責。
中國保監會、中國銀監會派出機構,在中國保監會、中國銀監會授權范圍內履行監管職責。
第二章 代理關系
第一節 合作對象
第五條保險公司和商業銀行應當結合自身及對方的資本狀況、資產規模、管控能力等因素審慎選擇合作對象,合理確定合作對象的范圍和數量。
第六條 保險公司選擇合作商業銀行時,應當充分考慮其資本充足率、風險管控能力、營業場所、代理保險業務和財務管理制度健全性、近兩年受監管部門處罰情況等。
第七條 商業銀行選擇合作保險公司時,應當充分考慮其償付能力狀況、風險管控能力、業務和財務管理信息系統、近兩年受監管部門處罰情況等。
第八條 保險公司和商業銀行選擇和評價合作對象,應當參考監管部門、外部審計、評級機構以及行業協會披露的信息,確保獲取的有關信息真實可靠。
第九條保險公司和商業銀行應當保持合作關系和客戶服務的穩定性。單一商業銀行代理網點與每家保險公司的連續合作期限不得少于一年。
合作期間內,如果一方出現對雙方合作關系有實質影響的不利情形,另一方可以提前中止合作。對保險公司與商業銀行網點已經中止合作的情況,商業銀行應配合保險公司做好滿期給付、退保、投訴處理等保單后續服務。
第十條商業銀行不得將保險代理業務轉委托給其他機構或個人。
第二節 代理資格
第十一條 中國保監會依法對商業銀行網點代理保險業務實施資格管理。
(一)商業銀行代理保險業務的,每個營業網點在代理保險業務前應當取得中國保監會頒發的經營保險代理業務許可證,并獲得商業銀行一級分支機構(含省、自治區、直轄市和計劃單列市分行)的授權。
(二)保險公司不得委托沒有取得經營保險代理業務許可證的商業銀行網點開展代理保險業務。
(三)商業銀行網點經營保險代理業務許可證的使用和管理,應當按照中國保監會《保險許可證管理辦法》有關規定辦理。
(四)商業銀行網點應當在營業場所顯著位置張貼統一制式的投保提示。
第十二條中國保監會依法對商業銀行代理保險業務銷售人員和保險公司銀保專管員實施資格管理。
(一)商業銀行和保險公司應當按照監管部門有關規定,對商業銀行代理保險業務銷售人員和保險公司銀保專管員進行法律法規、業務知識培訓和職業道德教育。
(二)商業銀行從事代理保險業務的銷售人員,應當符合中國保監會規定的保險銷售從業資格條件,取得中國保監會頒發的《保險銷售從業人員資格證書》。其中,投資連結保險銷售人員還應至少有1年以上保險銷售經驗,接受過不少于40小時的專項培訓,并無不良記錄。
(三)保險公司銀保專管員,應當取得中國保監會頒發的《保險銷售從業人員資格證書》,每年應接受不少于36小時的培訓。
第三節 代理協議
第十三條 保險公司委托商業銀行代理保險業務,原則上應當由總公司和總行統一簽訂代理協議。保險公司和商業銀行的一級分支機構(含省、自治區、直轄市和計劃單列市分公司、分行等)確需簽訂代理協議的,應當事先分別取得總公司和總行書面授權,并在代理協議簽訂后及時向總公司和總行進行備案。第十四條 保險公司委托區域性商業銀行代理保險業務的,可以由區域性商業銀行總行同保險公司總公司或其業務開展地的保險公司一級分支機構簽訂代理協議。保險公司一級分支機構應當事先取得總公司書面授權,并在代理協議簽訂后及時向總公司進行備案。
第十五條 保險公司和商業銀行簽訂的代理協議應當包括但不限于以下主要條款:代理產品種類,代理費用標準及支付方式,單證及宣傳資料管理,客戶賬戶及身份信息核對,反洗錢,客戶信息保密,雙方權利責任劃分,爭議的解決,危機應對及客戶投訴處理機制,合作期限,協議生效、變更和終止,違約責任等。
第三章 經營規則
第一節 保險產品
第十六條 保險公司委托商業銀行銷售的保險產品,應當是按照中國保監會保險產品審批備案管理的有關規定,經過中國保監會審批或備案的保險產品。
第十七條 保險公司委托商業銀行銷售的保險產品,保單封面主體部分應當以顯著的字體印有“保險單”或“保險合同”字樣、保險公司名稱等內容,保險合同中應當包含保險條款及其他合同要件。
第十八條 保險公司應當充分發揮長期資產負債匹配管理和風險保障的核心技術優勢,商業銀行應當充分發揮銷售渠道優勢,在商業銀行代理保險業務中大力發展長期儲蓄型和風險保障型保險產品,持續調整和優化商業銀行代理保險業務結構,為客戶提供全面的金融服務。
第十九條 保險公司和商業銀行在合作過程中,應當加大產品創新力度,以消費者需求為導向,推進商業銀行代理保險產品的多樣化和差異化,不斷滿足客戶日益增長的保險保障和金融資產管理需求。
第二節 代理費用
第二十條 保險公司和商業銀行協商代理費用時,應當本著互利共贏、共同發展、保護消費者利益的原則,共同促進商業銀行代理保險市場的持續健康發展。
第二十一條 保險公司向商業銀行支付代理費用,應當通過保險公司一級分支機構向代理商業銀行一級分支機構或至少二級分支機構統一轉賬支付,具備條件的要實現保險公司總公司集中統一向代理商業銀行總行支付;委托地方性商業銀行代理保險業務的,應當由保險公司一級分支機構向地方性商業銀行總部或一級分支機構統一轉賬支付。
第二十二條 保險公司應當按照財務制度據實列支向商業銀行支付的代理費用,不得賬外核算和經營;商業銀行應當加強代理費用集中管理,從代理費用中列支代理保險業務銷售人員的業務激勵費用。
第二十三條保險公司及其工作人員不得在賬外直接或者間接給予合作商業銀行及其工作人員合作協議約定以外的利益,包括支付現金、各類有價證券,或者報銷費用、提供旅游等;商業銀行及其工作人員不得以任何方式向保險公司及其工作人員收取、索要合作協議約定以外的任何利益。保險公司和商業銀行應當加強對員工的教育管理,完善各項管理制度,防范商業賄賂風險。
第二十四條 保險業協會和銀行業協會要通過加強行業自律,在維護市場秩序、促進公平競爭方面發揮積極作用。
第二十五條監管部門對通過給予、收取或索要合作協議約定外利益等不正當競爭手段擾亂市場秩序、侵害消費者利益的行為將依法嚴厲查處。
第三節 銷售模式
第二十六條商業銀行和保險公司應當按照代理協議約定加強協作。通過商業銀行網點直接向客戶銷售保險產品的人員,應當是持有保險代理從業人員資格證書的商業銀行銷售人員;商業銀行不得允許保險公司人員派駐銀行網點。保險公司銀保專管員負責向銀行提供培訓、單證交換等服務,協助商業銀行做好保險產品銷售后的滿期給付、續期繳費等相關客戶服務。
第二十七條商業銀行應當根據保險產品的復雜程度區分不同的銷售區域。投資連結保險產品不得通過商業銀行儲蓄柜臺銷售。對于保單期限和繳費期限較長、保障程度高、產品設計相對復雜以及需較長時間解釋說明的保險產品,商業銀行應當積極開拓理財服務區、理財專柜、財富中心、私人銀行等專門銷售區域,通過對銷售區域和銷售隊伍的控制,提高銷售品質,將合適的產品通過合適的人員銷售給合適的客戶。第二十八條 商業銀行和保險公司應當加強戰略性合作,在依法合規、風險可控的前提下,合作開展電話銷售、網上銷售等創新銷售模式。
第二十九條商業銀行通過電話銷售保險產品的,應當先征得客戶同意;銷售人員應當是具有保險銷售從業人員資格的商業銀行人員;銷售行為應當按照統一的規范用語進行,明確告知客戶銷售的是保險產品,銷售過程應當全程錄音并妥善保存。
第三十條 商業銀行通過網上銀行銷售保險產品的,應當有醒目的風險提示,銷售過程中的各項風險管控措施不得低于商業銀行網點的標準,且銷售過程應保留完整記錄;保險公司應配合商業銀行提供電子保單,不斷改進和提升服務質量;高風險的復雜保險產品應確保銷售給有相應風險承受能力的合適客戶。
第四節 銷售行為
第三十一條商業銀行作為代理保險業務銷售行為的實施主體,應當加強代理保險業務銷售行為管理,加大內部對銷售人員的培訓力度,強化對誤導銷售、錯誤銷售等違規行為的內部責任追究,建立健全相應管理制度和處罰制度。
第三十二條 商業銀行及其工作人員應當使用保險公司總公司或經總公司授權的保險公司一級分支機構統一印制的保險產品宣傳資料,不得擅自印制代銷產品的宣傳資料或變更產品宣傳資料的內容。
第三十三條 銷售人員在產品銷售過程中應當以書面形式向投保人提供保險監管部門要求的投保提示書、產品說明書,應當引導投保人在投保單上填寫真實完整的客戶信息,并在人身保險新型產品投保書上抄錄有關聲明,不得代抄錄有關聲明或代投保人或被保險人簽名;對投資連結保險產品投保人還應當進行風險承受能力測評,不得將投資連結保險產品銷售給未經過風險測評或風險測評結果顯示不適合的客戶。第三十四條 銷售人員負責在銷售過程中全面客觀介紹保險產品,應當按保險條款將保險責任、責任免除、退保費用、保單現金價值、繳費期限、猶豫期等重要事項明確告知客戶。
第三十五條 銷售人員不得進行誤導銷售或錯誤銷售。在銷售過程中不得將保險產品與儲蓄存款、銀行理財產品等混淆,不得使用“銀行和保險公司聯合推出”、“銀行推出”、“銀行理財新業務”等不當用語,不得套用“本金”、“利息”、“存入”等概念,不得將保險產品的利益與銀行存款收益、國債收益等進行片面類比,不得夸大或變相夸大保險合同的收益,不得承諾固定分紅收益。
第三十六條商業銀行網點及其銷售人員不得以中獎、抽獎、送實物、送保險、產品停售等方式進行誤導或誘導銷售。保險公司不得支持或鼓勵商業銀行采取上述行為。
第三十七條 商業銀行應當向保險公司提供全面、完整、真實的客戶投保信息,確保保險公司承保業務和客戶回訪工作順利開展。保險公司應當建立投保單信息審查機制,對投保單信息不全、捏造變更客戶信息的保險業務不得承保。
第三十八條 商業銀行和保險公司應當逐步統一投保人風險承受能力測評體系,為客戶投保提供便利。第三十九條 對于保險公司應當披露的信息,保險公司應當根據中國保監會信息披露管理辦法的有關要求,通過公司官方網站或指定媒體進行統一披露。
第四十條 保險公司應當對通過商業銀行渠道銷售的一年期以上的人身保險產品投保人進行猶豫期內回訪。對于到商業銀行申請退保、滿期給付、續期繳費業務的,商業銀行和保險公司應當相互配合,及時做好相應工作。
第五節 財務核算
第四十一條 保險公司開展商業銀行代理保險業務,應當建立商業銀行代理保險業務的財務獨立核算及評價機制,做到對新業務價值、利潤及費用進行獨立核算。
第四十二條 保險公司應當根據審慎原則,科學制定商業銀行代理保險業務的財務預算政策和業務激勵政策,防止出現為了業務規模不計成本的經營行為,防范費差損風險。總公司應切實承擔對分支機構的管理責任,監管部門將依法嚴厲查處銀保業務惡性價格競爭行為,加大對法人機構和各級高管人員管理責任的追究力度。
第四十三條 商業銀行對代理保險業務取得的代理費用應當如實入賬,對不同保險公司的代收保費、代理費用進行獨立核算。
第六節 應急機制
第四十四條保險公司和商業銀行應當將商業銀行代理保險業務中出現的群訪群訴、群體性退保等事件作為重大事件,建立重大事件聯合應急處理機制。應當共同制定重大事件處理辦法、指定專門人員、成立應急處理小組、建立共同信息披露機制,在出現重大事件時及時妥善做好應對工作。
第四十五條 保險公司和商業銀行應當在客戶投訴、退保等事件發生的第一時間積極處理,實行首問負責制度,不得相互推諉,避免產生負面影響使事態擴大。按照雙方共同制定的重大事件處理辦法規定,及時采取措施,妥善解決。
第四十六條對于出現的重大事件,保險公司和商業銀行總部應當及時向中國保監會、中國銀監會報告;事件發生地的分支機構,應當及時向當地中國保監會、中國銀監會派出機構報告。
第七節 同業交流
第四十七條保險公司和商業銀行應當建立定期交流機制,定期交流商業銀行代理保險業務信息。第四十八條保險業協會和銀行業協會應當建立定期交流機制,定期交流行業間商業銀行代理保險業務信息及自律情況。
第四章 監督檢查
第四十九條 中國保監會、中國銀監會及其派出機構依法對商業銀行代理保險業務進行現場檢查。中國保監會、中國銀監會及其派出機構對商業銀行代理保險業務可以進行聯合現場檢查,依法對違規行為采取監管措施,追究相應責任,并給予相應處罰。
第五十條保險公司、商業銀行及其分支機構或者其從業人員違反本指引,由中國保監會、中國銀監會及其派出機構依照法律、行政法規、規章進行處罰;涉嫌犯罪的,依法移交司法機關追究其刑事責任。第五十一條 中國保監會、中國銀監會及其派出機構應加強對商業銀行代理保險業務監管的溝通交流,定期溝通和交流商業銀行代理保險業務監管信息,及時向對方通報商業銀行代理保險業務現場檢查及處罰情況。
第五章 附則
第五十二條 其他銀行業金融機構、郵政公司代理保險業務的,參照本指引執行。
第五十三條 本指引自下發之日起施行。
點擊咨詢 