关于报送保险信息系统基本情况及安全状况等有关情况的函
中国保险监督管理委员会
关于报送保险信息系统基本情况及安全状况等有关情况的函
保监厅函〔2005〕24号
国家网络与信息安全信息通报中心:
根据《关于对2004年国家基础信息网络和重要信息系统基本情况和安全状况调查的通知》(信安通〔2005〕2号),我会对保险信息系统的基本情况及安全状况进行了调查,现将有关情况报送你中心。
二○○五年二月二十八日
二ОО四年保险信息系统基本情况及安全状况
伴随着保险业的快速发展,近年来保险信息化工作取得了显著成绩。2004年,保险业各单位高度重视信息化工作,加强了组织领导和战略规划,加大了信息化建设的投入,加快了保险信息化的前进步伐,提高了保险信息系统的安全保障水平。信息化应用水平的进步有力地促进了保险业务自动化的处理水平和管理能力的提高,增强了创新能力,改进了服务质量,大大提高了保险业的整体竞争能力和现代化水平。
一、保险信息系统基本情况
保险信息系统包括保险监管信息系统及信息网络,保险机构业务、财务信息系统及信息网络。
保险监管信息系统及网络:主要用于中国保监会系统(包括保监会机关和35家地方派出机构)的各项监管工作。目前,保监会系统内部网络以机关为中心,遍及35家地方派出机构,保险监管业务网络以保监会机关为中心,专线连接各家保险公司总公司,都是典型的星型网络,主要采用了VLAN技术、防火墙、防病毒等安全技术。系统涉及保监会有关办公公文数据,以及各保险公司提供的用于监管的业务、财务数据。
保险机构业务、财务信息系统及网络:主要用于保险机构经营各项保险业务以及财务工作,信息网络遍及各保险机构经营区域,总体来说,基本覆盖了全国各地市县。目前主要采用了VLAN技术、防火墙、入侵检测、防病毒、双机热备、数据异地备份等安全与备份措施,部分公司还建立了灾备中心;建立了机房管理制度、信息系统运行管理制度、网络安全管理制度等制度;系统涉及各保险机构和广大被保险人的利益,关系到经济的发展和社会的稳定。
保险信息系统面临的主要威胁就是病毒、网络攻击、网络犯罪、系统设备的损坏和各种自然灾害等。根据“谁主管谁负责,谁运营谁负责”的原则,中国保监会是保险信息系统的主管部门,是保险监管信息系统及信息网络的运行责任部门;各保险机构是各自业务、财务信息系统的运行责任部门。
二、信息安全工作情况
2004年,在中国保监会的领导下,保险系统在加强保险信息安全保障工作上做了大量的工作,取得了一定的成绩。
(一)中国保监会制定了保监会系统信息安全的总体规划,增加了一些安全设备的配备,并根据规划进行了新的部署;在保监会系统内下发了《关于加强计算机系统安全管理的通知》等一系列文件。
(二)为有效预防保险行业的重大突发事件,中国保监会制订了《保险机构计算机系统重大系统性故障突发事件应急预案》、《保险信息系统应急协调预案》,与国信办、国家网络与信息安全信息通报中心建立了联系、沟通、通报机制。
(三)中国保监会在保险行业内下发了《关于进一步加强保险系统信息安全保障工作的通知》以及《关于做好保险信息系统灾难备份工作的通知》,进一步明确了保险信息系统在信息安全保障工作、信息系统灾难备份建设等方面的有关要求,推进和提升了保险业信息安全保障体系建设的进程和水平。
(四)各保险机构高度重视信息安全保障工作,强化了安全工作的组织领导,加强了信息安全相关的制度建设。一是明确了信息安全保障工作的主管领导,落实了责任部门,设立信息安全管理的专门岗位,有效的加强了信息安全保障工作的组织领导;二是加强了信息安全相关的制度建设,目前各保险机构参考国内外相关技术标准,基本建立了信息系统安全、网络安全、机房安全等制度,但某些安全措施还不完善,安全技术岗位的人员还需要加大培训力度,安全管理工作有待进一步加强。
(五)2004年保险业加大了信息安全的投入,积极采取各项措施,不断提升保险信息系统的信息安全防护水平。
在网络建设方面,中国保监会的监管网络、办公自动化网络、互联网网络采用了物理隔离方案,保证了信息与网络的安全。大多数保险公司采用业务网络与互联网网络逻辑隔离的方案,部份公司还使用了专门的审计和监控设备,能够监控网络运行和用户的使用情况。
在灾难备份和恢复设施的建设方面,各保险机构都非常重视,不同程度地建立了应急机制与设施,制定了应急预案,超过50%的公司开展了灾难演习或制订了灾难演习工作计划,部分公司正在建设异地灾备中心。另外,考虑到灾难备份中心的建设需要较大的投入,并且利用率很低,许多公司都在探索新的灾备中心建设模式。
在安全产品和技术的使用方面,防火墙产品和防病毒产品在保险信息系统中得到广泛的使用,各单位相关人员都能熟练的进行配置等操作,绝大部分公司还与专业的信息安全服务公司签订了服务协议;部分公司配备了入侵检测系统,并安排专人负责,根据系统产生的报警信息制订了相关的处理步骤和措施;部分公司采用数字证书的身份认证技术,主要应用在电子商务方面。
在信息安全管理方面,各保险机构普遍加强了密码管理、授权管理、补丁管理等工作,部分公司采用集中管理模式,并制定了密码、帐户、授权和补丁管理的相关制度和操作流程;保险信息系统各相关单位根据实际需要,关闭了不必要的服务和端口;另外,各保险机构开展了定期对管理和技术方面的安全措施进行检查的工作,部分公司还聘请专业公司不定期的进行安全评估。
(六)2004年,保险信息系统总体运行状况良好,没有发生重大信息安全事件,没有造成较大经济损失和社会影响。
三、相关建议
一、保险信息系统包含保监会信息系统和保险机构信息系统两大部分。随着保险业的全面对外开放,外资公司、中外合资公司数量不断增加,已经超过保险公司数量的一半。通报中心的发文经常以密级下发,不便于我们转发执行。希望你中心能考虑我会的实际情况,在下发文件时制定恰当的文件密级,或在文件中说明使用范围。
二、目前金融业能获取的国际上适用的信息技术标准基本上都属于银行业和证券业,而保险业信息技术国际标准十分缺乏,希望能够提供有关保险业信息技术国际适用标准和规范。
三、各单位从事信息安全工作的人员较少,为了加强信息安全保障工作,建议国家网络与信息安全协调小组与有关部门协调,要求各单位按一定比例或数量配备信息安全技术和管理人员。
陕西省外商投资项目核准暂行管理办法
陕西省发改委
陕西省外商投资项目核准暂行管理办法
2005-3-1 陕西省发改委
第一章 总则
第一条 为扩大对外开放,推进招商引资,规范对外商投资项目的核准管理,根据《中华人民共和国行政许可法》、国家发展和改革委员会《外商投资项目核准暂行管理办法》、《陕西省人民政府贯彻“国务院关于投资体制改革的决定”的实施意见》、《陕西省企业投资项目核准暂行办法》等有关法律法规,特制定本办法。
第二条 本办法适用于在我省的中外合资、中外合作、外商独资、外商购并省内企业、外商投资企业增资等各类外商投资项目的核准。
第二章 核准机关及权限
第三条 外商投资项目核准实行国务院投资主管部门、省政府投资主管部门和市政府投资主管部门三级核准管理制度。其中,省政府投资主管部门核准的项目,由省发展和改革委员会核准。
第四条 按照《外商投资产业指导目录》和《中西部地区外商投资优势产业目录》分类,总投资1000万美元(含)—1亿美元(不含)的鼓励类、允许类项目和总投资5000万美元以下的限制类项目,由省发展改革委核准;总投资1000万美元以下的鼓励类、允许类项目由市级投资主管部门核准。限制类项目由市级投资主管部门审核后报省发展改革委核准。
上述项目之外的外商投资项目,由省发展改革委对项目申请报告审核后报国家发展改革委核准。
第三章 项目申请报告
第五条 申请核准的外商投资项目应编制项目申请报告。项目申请报告包括以下内容:
(一)项目名称、经营期限、投资方基本情况;
(二)项目建设规模、主要建设内容及产品,采用的主要技术和工艺,产品目标市场,计划用工人数;
(三)项目建设地点,对土地、水、能源等资源的需求,以及主要原材料的消耗量;
(四)环境影响评价;
(五)安全生产情况分析;
(六)涉及公共产品或服务的价格;
(七)项目总投资、注册资本及各方出资额、出资方式及融资方案,需要进口设备及金额。
第六条 项目申请报告应附以下文件:
(一)投资各方的企业注册证(营业执照)、商务登记证及经审计的最新企业财务报表(包括资产负债表、损益表和现金流量表)、开户银行出具的资金信用证明;
(二)投资意向书,增资、购并项目的公司董事会决议;
(三)以银行信贷融资的应出具银行融资意向书;
(四)环境保护行政主管部门出具的环境影响评价意见书;
(五)规划部门出具的规划选址意见书;
(六)国土资源部门出具的项目用地预审意见书; (七)以国有资产或土地使用权出资的,需由有关主管部门出具的确认文件。
第四章 核准程序
第七条 外商投资项目按核准权限,属于省发展改革委核准的,项目申请人向所在地市级发展改革部门或省级行业主管部门提出项目申请报告,经市级或省级行业主管部门审核后报省发展改革委核准。属于国家发展改革委和国务院核准的项目,项目申请人按程序向省发展改革委提出申请报告,经省发展改革委审核后报国家发展改革委核准。
第八条 省发展改革委核准项目报告时,需要征求省行业主管部门意见的,应向省行业主管部门出具征求意见函并附相关材料,省行业主管部门接到省发展改革委征求意见函和相关材料后,7个工作日内向省发展改革委提出书面意见。
第九条 省发展改革委在受理项目申请报告时,应在5个工作日内对需要进行评估论证的项目委托有资质的咨询机构进行评估论证。接受委托的咨询机构应在规定的时间内向省发展改革委提出评估报告。
第十条 省发展改革委自受理项目申请报告之日起20个工作日内,完成对项目申请报告的核准或向国家发展改革委报送审核意见。如20个工作日内不能做出核准决定或报送审核意见的,由省发展改革委负责人批准延长10个工作日,并将延期理由告知项目申请人。
上述规定的核准期限不包括委托咨询机构进行评估的时间。
第十一条 省发展改革委对核准的项目出具书面核准文件,有条件的可上网公布,接受社会监督;对不予核准的项目应以书面决定通知项目申请人,说明理由,并告知项目申请人享有行政复议或者提起行政诉讼的权利。
第五章 核准条件及效力
第十二条 省发展改革委对项目申请报告的核准条件是:
(一)符合国家有关法律、法规和陕西省颁布的地方性法规的规定;
(二)符合《外商投资产业指导目录》、《中西部地区外商投资优势产业目录》的规定;
(三)符合国家和本地区国民经济和社会发展中长期规划、行业规划和产业调整政策的要求;
(四)符合国家规定的技术、工艺标准的要求;
(五)符合公共利益和国家反垄断的有关规定;
(六)符合土地利用总体规划、城市总体规划和环境保护政策的要求;
(七)符合国家资本项目管理、外债管理的有关规定。
第十三条 经核准的外商投资项目,项目申请人凭核准文件,依法办理土地使用、城建规划、质量监管、安全生产、资源利用、企业设立(变更)、资本项目管理、设备进口及其它适用税收政策等方面手续。
第十四条 省发展改革委核准的项目应规定核准文件有效期,核准文件有效期自核准之日起计算,最长不得超过两年。超过核准时限仍需办理第十三条所列相关手续的,项目申请人应向原核准机关申请延期。
第十五条 已经核准的外商投资项目,虽然没有超过核准文件有效期,但如出现下列情况之一的,需向原核准机关申请变更核准:
(一)建设地点发生变化;
(二)投资方或股权发生变化;
(三)主要建设内容、主要产品及销售渠道发生变化;
(四)总投资超过原核准投资额20%及以上;
(五)有关法律法规和产业政策规定需要变更的其它情况。
变更核准的程序比照本办法第四章的规定执行。
第十六条 未经核准的外商投资项目,土地、规划、质量监管、安全生产监管、工商、海关、税务、外汇管理等部门不得办理相关手续。
第十七条 项目申请人以拆分项目或提供虚假材料等不正当手段取得项目核准文件的,核准机关有权撤销对该项目的核准文件。
第十八条 经核准的外商投资项目,省发展改革委可以对项目执行情况进行监督检查,并对查实问题依法进行处理。项目单位应定期向省发展改革委报送项目建设情况。
第六章 附 则
第十九条 为及时掌握核准项目信息,市级核准的总投资1000万美元以下外商投资项目,由市级发展改革部门在项目核准之日起20个工作日内,将项目核准文件抄报省发展改革委。
第二十条 在陕西省境内的国家计划单列企业集团和中央管理企业向国家发展改革委提交项目申请核准报告时,应同时抄送省发展改革委。
第二十一条 本办法由省发展和改革委员会负责解释。
第二十二条 香港特别行政区、澳门特别行政区和台湾地区的投资者在祖国大陆举办的投资项目,参照本办法执行。
第二十三条 外商投资项目的核准权限,如与《陕西省政府核准的投资项目目录》有抵触的,按《陕西省政府核准的投资项目目录》规定的核准权限执行。
第二十四条 本办法自2005年2月18日起施行,本办法发布后,此前有关外商投资项目审批的规定,凡与本办法有抵触的,均按本办法执行。