前言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国金融标准化技术委员会保险分技术委员会(SAC/TC 180/SC1)提出并归口。
本文件起草单位:中国人寿保险股份有限公司、中国人民财产保险股份有限公司、中国人寿资产管理有限公司、中国再保险(集团)股份有限公司。
本文件主要起草人:郑晓勇、沙兴濛、彭晓刚、孙健、李赛赛、王涛芳、涂彦、郭继鸿、杨志浩、李琪、杨兴东。
本文件为首次制定。
保险业信息系统分类与建设基本要求
1、范围
本文件规定了保险业信息系统分类和建设基本要求。
本文件适用于保险业开展信息技术应用创新工作规划、实施和验收等工作。
2、规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 36441硬件产品与操作系统兼容性规范
3、术语和定义
下列术语和定义适用于本文件。
3.1 信息系统 information system
信息系统是指具有相关组织资源(如人力资源、技术资源和金融资源)的一种信息处理系统,提供并分配信息。[来源:GB/T 5271.1—2000,01.01.22]
3.2 开源软件 open source software
开源软件是指一种可以获取源代码的计算机软件。注:1.开源软件的著作权持有人通过开源许可证将软件的复制、修改、再发布和商业应用等权利向公众开放。2.部分开源许可证允许开源软件用于商业目的,存在商业版本和技术支持收费等形式,因此开源软件不等同于免费软件。[来源:GB/T 42927—2023,3.1,有修改]
4、分类原则
4.1 通用性
考虑保险业信息系统的共性特征,确保信息系统分类对各类保险机构均具有适用性。
4.2 全面性
内容涵盖保险业已有和最新涌现的各类信息系统,确保覆盖全面性。
4.3 科学性
基于保险业信息系统的实际功能和作用选择分类要素,确保分类结果能够直接反映信息系统的业务功能和重要性,具有科学性和合理性。
4.4可拓展性
在总体框架相对稳定的前提下,考虑未来可能的技术变革和业务发展需求,进行适时调整和修订,实现不断优化和完善。
5、分类规则
5.1 分类方法
采用线分类法,先按照信息系统业务领域和功能作用划分,再按照功能范围进一步细分,同时确定信息技术应用创新工作的重要程度。具体如下:
a)分析分类对象:分析待分类的信息系统的属性,如功能范围、系统架构、数据特征、应用场景、业务领域和功能作用等;
b)识别分类要素:结合信息系统业务领域和功能范围等属性,识别信息系统涉及的分类要素情况;
c)确定最终分类:根据信息系统涉及的所有分类要素项以及要素项的具体内容,逐层确定信息系统各级分类,形成最终分类。
5.2 分类要素
影响信息系统分类的要素包括信息技术应用创新工作的要求、业务领域、功能范围、技术架构、数据特性以及信息安全等。信息系统分类应识别以下分类要素的情况:
a)信息技术应用创新工作要求:行业信息技术应用创新的相关政策文件和工作部署,确保信息系统分类与政策制度协调统一;
b)业务领域:信息系统的基本功能和作用范围,如保险核心业务处理、销售管理、客户服务、风险管理、财务精算等;
c)功能范围:在特定业务领域内信息系统所具备的具体功能,这些功能是信息系统在保险业务中的具体应用和体现;
d)技术架构:信息系统的技术组成和构建方式,如移动互联网技术、云原生技术、分布式技术等;
e)数据特性:数据的类型、格式、存储方式、安全性要求等,数据特性的不同会影响信息系统的数据处理能力和数据安全性;
f)信息安全:直接关联到信息系统的安全性和稳定性,包括但不限于数据加密、访问控制、防火墙设置、安全审计等方面。
6、信息系统分类
6.1 分类框架
按照本文件第5章确定的分类规则将保险业信息系统划分为三个层级:
a)一级分类是按照信息技术应用创新工作的要求划分,包括以下四大类:
1)综合办公系统,用于支持日常办公、信息发布、纪检监察和党群工作的综合性管理系统;
2)生产运营系统,用于支持生产运营活动的系统,涵盖了承保、保全和理赔等业务过程,以及与之相关的资金交易、客户服务和渠道服务等环节;
3)经营管理系统,用于支持企业战略决策、企业资源和风险防控等内部管理系统;
4)重要基础设施,用于支撑公司生产经营的关键技术和设施,包括网络关键设备、安全专用产品、计算机外接设备、云计算服务平台等。
b)二级分类是在一级分类基础上按照业务领域和功能作用进行划分,比如综合办公系统分为办公服务、综合管理,生产运营系统分为人身保险核心、财产保险核心、再保险核心、资管核心等,经营管理系统分为企业资源管理、战略决策管理、风险防控管理等,重要基础设施分为网络关键设备、安全专用产品、计算机外接设备、云计算服务平台等;
c)三级分类是在二级分类基础上按照功能范围进一步细分,比如办公服务分为电子公文、电子邮件等,人身保险核心系统分为承保业务处理、保全业务处理等,保险业务处理辅助分为承保辅助、理赔辅助等,技术服务分为平台服务、数据服务等。保险业信息系统分类框架见图1。
图1 保险业信息系统分类框架图
6.2 综合办公系统
保险业综合办公系统分类见表1。
表1 保险业综合办公系统分类
|
序号 |
一级分类 |
二级分类 |
三级分类 |
说明 |
|
01 |
综合办公系统 |
办公服务 |
电子公文 |
承载内部收发文等相关功能的系统 |
|
02 |
综合办公系统 |
办公服务 |
电子邮件 |
收发内外部邮件的系统 |
|
03 |
综合办公系统 |
办公服务 |
门户网站 |
提供企业宣传、信息咨询、品牌建设的系统 |
|
04 |
综合办公系统 |
综合管理 |
党务及监察管理 |
管理党务工作和监察工作的系统 |
|
05 |
综合办公系统 |
综合管理 |
公文档案管理 |
提供公文电子档案管理和归档功能的系统 |
6.3 生产运营系统
保险业生产运营系统分类见表2。
表2 保险业生产运营系统分类
|
序号 |
一级分类 |
二级分类 |
三级分类 |
说明 |
|
01 |
生产运营系统 |
人身保险核心 |
客户信息管理 |
负责客户信息统一管理的系统 |
|
02 |
生产运营系统 |
人身保险核心 |
销售出单管理 |
支持营销和销售过程,完成投保出单操作的系统 |
|
03 |
生产运营系统 |
人身保险核心 |
承保业务处理 |
处理核保、承保等流程的系统 |
|
04 |
生产运营系统 |
人身保险核心 |
保全业务处理 |
处理保全业务的系统,如信息变更、续期、复效、退保等 |
|
05 |
生产运营系统 |
人身保险核心 |
理赔业务处理 |
处理理赔业务的系统 |
|
06 |
生产运营系统 |
人身保险核心 |
再保业务处理 |
处理分保业务的系统 |
|
07 |
生产运营系统 |
人身保险核心 |
保单管理 |
管理保险合同的整个生命周期的系统 |
|
08 |
生产运营系统 |
人身保险核心 |
保险产品管理 |
管理保险产品数据的系统 |
|
09 |
生产运营系统 |
人身保险核心 |
业务收支处理 |
处理各类业务环节收付款的系统 |
|
10 |
生产运营系统 |
人身保险核心 |
政策性保险业务处理 |
处理人身保险公司的政策类保险业务的系统 |
|
11 |
生产运营系统 |
财产保险核心 |
客户信息管理 |
负责客户信息统一管理的系统 |
|
12 |
生产运营系统 |
财产保险核心 |
销售出单管理 |
通过营销和销售活动,完成投保出单操作,实现从客户投保意向到生成正式保单的系统 |
|
13 |
生产运营系统 |
财产保险核心 |
承保业务处理 |
支持保险产品的投保、定报价、生成保单、批改等核心业务处理的系统 |
|
14 |
生产运营系统 |
财产保险核心 |
核保业务处理 |
支持评估保险标的和选择投保风险的系统 |
|
15 |
生产运营系统 |
财产保险核心 |
再保业务处理 |
处理再保险类业务的系统 |
|
16 |
生产运营系统 |
财产保险核心 |
理赔业务处理 |
处理保险合同的理赔业务的系统 |
|
17 |
生产运营系统 |
财产保险核心 |
专项业务处理 |
承保和理赔业务处理一体化的专项系统 |
|
18 |
生产运营系统 |
财产保险核心 |
业务收支处理 |
为承保、理赔等核心业务环节提供收付款服务的系统 |
|
19 |
生产运营系统 |
财产保险核心 |
保险产品管理 |
管理保险产品数据的系统 |
|
20 |
生产运营系统 |
再保险核心 |
风险管理 |
管理企业风险能力、决策质量和竞争力的系统,如智能风控、巨灾风险等 |
|
21 |
生产运营系统 |
再保险核心 |
承保业务处理 |
处理再保险商机、业务等进行管理的系统 |
|
22 |
生产运营系统 |
再保险核心 |
理赔业务处理 |
处理再保险赔案、赔款账单等业务的系统 |
|
23 |
生产运营系统 |
再保险核心 |
准备金处理 |
处理再保险准备金等业务的系统 |
|
24 |
生产运营系统 |
再保险核心 |
业务预估处理 |
处理再保险预估、业财转换等业务的系统 |
|
25 |
生产运营系统 |
再保险核心 |
客户管理 |
支持再保险业务中客户管理的系统 |
|
26 |
生产运营系统 |
再保险核心 |
合同处理 |
支持再保险业务中合同审批和合同管理的系统 |
|
27 |
生产运营系统 |
再保险核心 |
账单处理 |
支持再保险业务中账单管理的系统 |
|
28 |
生产运营系统 |
再保险核心 |
结算处理 |
支持再保险业务中收款和付款流程管理的系统 |
|
29 |
生产运营系统 |
再保险核心 |
业财处理 |
支持再保险业务中财务管理的系统 |
|
30 |
生产运营系统 |
资管核心 |
投资交易 |
支持投资交易的系统与工具,包括支撑保险资管各品种投资的交易平台、交易风控平台等 |
|
31 |
生产运营系统 |
资管核心 |
估值核算 |
支持资管产品、专户、自有资金投资估值核算业务的系统,包括估值减值、凭证处理、会计核算、税务处理、财务报表等功能 |
|
32 |
生产运营系统 |
资管核心 |
登记结算 |
支持份额过户、权益分配、各类净值份额费用计算的系统 |
|
33 |
生产运营系统 |
养老金核心 |
受托业务处理 |
处理养老金受托业务的系统 |
|
34 |
生产运营系统 |
养老金核心 |
账管业务处理 |
处理企业养老金账户管理业务的系统 |
|
35 |
生产运营系统 |
养老金核心 |
注册登记业务处理 |
处理商业养老金账户注册、份额登记的业务系统 |
|
36 |
生产运营系统 |
销售管理 |
销售人员主数据管理 |
管理销售人员的核心信息的系统 |
|
37 |
生产运营系统 |
销售管理 |
销售支持与管理 |
辅助保险产品销售,为销售过程提供服务和支撑,管理销售过程、监控销售渠道、提升销售活动效率等的系统(不涉及出单) |
|
38 |
生产运营系统 |
销售管理 |
综合金融业务管理 |
管理公司非主营金融业务的系统 |
|
39 |
生产运营系统 |
客户服务 |
客户服务管理 |
为客户提供自主服务和增值服务的系统,如消费者权益保护、增值服务、服务资源等 |
|
40 |
生产运营系统 |
客户服务 |
客户联络管理 |
支持保险机构与客户沟通联系的管理系统 |
|
41 |
生产运营系统 |
客户服务 |
柜面服务管理 |
通过柜台为客户提供服务支持的管理系统 |
|
42 |
生产运营系统 |
客户服务 |
综合金融服务 |
支持保险主业协同发展的综合金融系统,如客户信息共享、数据统计分析等 |
|
43 |
生产运营系统 |
保险业务处理辅助 |
承保辅助 |
为承保的非核心业务处理提供支持的系统 |
|
44 |
生产运营系统 |
保险业务处理辅助 |
理赔辅助 |
为理赔的非核心业务处理提供支持的系统 |
|
45 |
生产运营系统 |
保险业务处理辅助 |
可回溯管理 |
记录和保存各自营网络平台上销售保险产品的交易行为并提供查验的系统 |
|
46 |
生产运营系统 |
保险业务处理辅助 |
单证管理 |
支持企业纸质单证发放、核销、管理等,以及电子单证管理的系统 |
|
47 |
生产运营系统 |
资产管理 |
资管产品管理 |
支持资管产品的创设、募集、投资、管理、退出、客户服务等环节中相关管理功能的系统 |
|
48 |
生产运营系统 |
资产管理 |
资金清算 |
支持资管产品、专户、自有资金投资资金往来业务的系统,包括资金清算、资金交收、资金划付、资金账务等功能 |
|
49 |
生产运营系统 |
资产管理 |
综合运营管理 |
提供投资运营过程中的各项服务,包括运营自动化、运营流程、外部系统对接、交易量管理、对账、特殊估值等 |
|
50 |
生产运营系统 |
养老金业务管理 |
信息披露 |
制作养老金计划的信息披露报告的系统 |
|
51 |
生产运营系统 |
养老金业务管理 |
投资监督 |
支持养老金资产管理监督业务的系统 |
6.4 经营管理系统
保险业经营管理系统分类见表3。
表3 保险业经营管理系统分类
|
序号 |
一级分类 |
二级分类 |
三级分类 |
说明 |
|
01 |
经营管理系统 |
企业资源管理 |
企业协同管理 |
为企业协同办公工作提供支持的系统,如差旅管理、印章管理、工会管理、会议管理、物业管理、内部通讯、文档协同等 |
|
02 |
经营管理系统 |
企业资源管理 |
教育培训管理 |
管理、组织和实施各种教育和培训活动的系统 |
|
03 |
经营管理系统 |
企业资源管理 |
合同管理 |
提供合同全生命周期管理和控制的系统 |
|
04 |
经营管理系统 |
企业资源管理 |
法律管理 |
管理法律事务、知识产权、投资法务、诉讼管理等的系统 |
|
05 |
经营管理系统 |
企业资源管理 |
业务档案管理 |
提供业务电子档案管理和归档功能的系统 |
|
06 |
经营管理系统 |
企业资源管理 |
人力管理 |
管理公司组织架构、员工管理、薪酬绩效等的系统 |
|
07 |
经营管理系统 |
战略决策管理 |
决策分析管理 |
提升企业决策效率和业务优化能力的系统,如报表系统、决策支持、业绩考核等 |
|
08 |
经营管理系统 |
风险防控管理 |
风险管理 |
涵盖风险管理基本流程和内部控制各环节的风险管理系统 |
|
09 |
经营管理系统 |
风险防控管理 |
反洗钱管理 |
支持反洗钱内控要求的系统,包括客户身份识别、大额和可疑交易报告等 |
|
10 |
经营管理系统 |
风险防控管理 |
关联交易 |
根据监管或法律要求开展关联交易识别、记录、数据统计报送的系统 |
|
11 |
经营管理系统 |
风险防控管理 |
合规管理 |
支持遵循法律、行业规范,实施风险控制和监督的系统,如社会关系申报、合规信息申报、证券投资情况申报等 |
|
12 |
经营管理系统 |
风险防控管理 |
审计管理 |
支持审计作业管理的系统,包括内部审计监测、操作及管理功能等 |
|
13 |
经营管理系统 |
风险防控管理 |
监管报送 |
根据监管机构制定的办法或制度向其提供的统计信息或业务明细数据的系统 |
|
14 |
经营管理系统 |
财务精算管理 |
财会管理 |
支持财务管理和会计核算的系统,包括会计核算和编制财务报告、资金管理、预算管理、税务管理、外汇管理、投入产出分析等 |
|
15 |
经营管理系统 |
财务精算管理 |
固定资产管理 |
管理固定资产全生命周期的系统 |
|
16 |
经营管理系统 |
财务精算管理 |
精算分析 |
处理产品定价、准备金评估、财务预测等业务多个方面的系统 |
|
17 |
经营管理系统 |
投资管理 |
投资管理 |
支持保险机构开展投资业务研究与管理的系统 |
|
18 |
经营管理系统 |
投资运营 |
公开数据管理 |
管理投资、研究、交易、风控、估值核算等业务所需的公开市场数据的系统 |
|
19 |
经营管理系统 |
技术服务 |
平台服务 |
构建在基础设施服务类系统之上,为其他系统提供可复用服务的系统,如打印、影像、服务注册中心、统一用户权限认证、知识库、区块链等 |
|
20 |
经营管理系统 |
技术服务 |
人工智能 |
支持人工智能整个生命周期的系统,包括数据准备、模型开发、训练、评估、部署和监控等 |
|
21 |
经营管理系统 |
技术服务 |
数据治理 |
支持数据治理和管理的系统 |
|
22 |
经营管理系统 |
技术服务 |
开发与运维管理 |
支持以软件交付为目标的项目、需求、设计、开发、测试、运维、运营等研发流程的各类工具集,如DevOps、监控、巡检、IT服务等 |
|
23 |
经营管理系统 |
技术服务 |
数据服务 |
对数据进行采集、加工、整合,并提供统一数据服务、数据分析和数据可视化等能力,如大数据平台、数据集市、数据仓库等 |
6.5 重要基础设施
保险业重要基础设施分类见表4。
表4 保险业重要基础设施分类
|
序号 |
一级分类 |
二级分类 |
三级分类 |
说明 |
|
01 |
重要基础设施 |
网络关键设备 |
网络关键设备 |
提供高效、稳定的网络通信服务的基础设施,如路由器、交换机、办公网、专线接入等 |
|
02 |
重要基础设施 |
安全专用产品 |
安全专用产品 |
保护信息系统安全的专用硬件和软件产品,如防火墙、入侵检测系统、安全分析审计系统、加密设备、签名验签服务器、国密网关等 |
|
03 |
重要基础设施 |
计算机外接设备 |
计算机外接设备 |
输入、输出或存储数据的设备,如扫描仪、打印机、移动存储设备等 |
|
04 |
重要基础设施 |
云计算服务平台 |
云计算服务平台 |
IaaS、PaaS、云桌面等多种形态的虚拟化或云基础设施 |
7、信息系统建设基本要求
7.1 总体要求
保险业信息系统建设应遵守“安全可信、稳定可靠”的原则,应采用安全可靠的服务器、操作系统、数据库、中间件、存储、网络和终端。
7.2 服务器技术要求
信息系统运行的服务器应符合下列技术要求:
a)应使用通过安全可靠测评的CPU;
b)应兼容通过安全可靠测评的操作系统;
c)应满足信息系统对处理器、内存、磁盘、网络的运行功能和性能要求;
d)应满足使用方对数据安全、网络安全方面的支持要求,对加密技术、安全隔离技术的支持要求;
e)应满足信息系统对可靠性、可用性、延迟、可扩展性、可维护性、可管理性、多样化适应性的要求;
f)应提供支持信息系统运行所需的硬件、软件、监控、运维、异常保护、节能等基本功能性要求;
g)应提供支持信息系统运行所需的运行性能、安全防护、可靠性等基本非功能性要求。
7.3 操作系统技术要求
信息系统所使用的操作系统应符合GB/T36441及下列技术要求:
a)应为通过安全可靠测评的产品;
b)应兼容通过安全可靠测评的CPU;
c)应兼容通过安全可靠测评的软件,支持主流软件应用;
d)应附带集中管理与远程部署统一运维工具;
e)应具备对CPU、内存、存储等系统资源的精细管理与优化功能、实时监视功能;
f)应提供进程执行时间监控、系统资源使用状态分析等进程管理功能;
g)应满足隔离与容错、访问控制与权限管理、数据备份和恢复、安全审计与日志记录、漏洞扫描与修复、账户加固、文件完整性安全要求;
h)应提供完善的系统文档和系统测试案例,确保后续维护、补丁升级等工作顺利进行。
7.4 数据库技术要求
信息系统所使用的数据库应符合下列技术要求:
a)应为通过安全可靠测评的产品,或自主可控的开源软件;
b)支持数据迁移工具实现同构或异构数据库之间的数据迁移,支持全量数据迁移、增量数据持续同步等迁移模式;
c)应与现有系统兼容,支持跨数据库系统迁移,提供平滑高效的数据迁移和业务系统切换方案;
d)应具备高效的备份和恢复机制,能避免单点故障和数据丢失,能从故障中快速恢复;
e)应支持第三方插件或自定义功能扩展,与其他业务系统或外部服务进行集成。
7.5 中间件技术要求
信息系统所使用的应用中间件应符合下列技术要求:
a)应为安全可靠的商业产品,或自主可控的开源软件;
b)支持通过安全可靠测评的服务器产品;
c)支持通过安全可靠测评的操作系统产品;
d)支持多种开发框架。
7.6 存储设备技术要求
信息系统所使用的存储设备应符合下列技术要求:
a)应使用通过安全可靠测评的CPU;
b)应使用通过安全可靠测评的操作系统;
c)应与其他硬件设备(如服务器、存储、网络、安全、终端、自助机具、辅助设备)、软件(如云计算、数据库、操作系统、中间件、安全、存储管理等软件)和配件(如内存、磁盘、网卡、GPU卡)具备良好的兼容适配性;
d)应提供支持信息系统运行所需的硬件、软件、监控、运维、异常保护、节能等基本功能性要求;
e)应提供运行信息系统所需的运行性能、安全防护、可靠性等基本非功能性要求。
7.7 网络设备技术要求
信息系统所运行的网络设备应符合下列技术要求:
a)如使用CPU,应使用通过安全可靠测评单位生产的CPU;
b)应与其他硬件设备(如服务器、存储、网络、安全、终端、自助机具、辅助设备)、软件(如云计算、数据库、操作系统、中间件、安全、存储管理等软件)和配件(如内存、磁盘、网卡、GPU卡)具备良好的兼容适配性;
c)应提供支持信息系统运行所需的硬件、软件、监控、运维、异常保护、节能等基本功能性要求;
d)应提供运行信息系统所需的运行性能、安全防护、可靠性等基本非功能性要求。
7.8 终端设备技术要求
信息系统所使用的终端设备应符合下列技术要求:
a)应使用通过安全可靠测评的CPU;
b)应使用通过安全可靠测评的操作系统;
c)应与其他硬件设备(如服务器、存储、网络、安全、终端、自助机具、辅助设备)、软件(如云计算、数据库、操作系统、中间件、安全、存储管理等软件)和配件(如内存、磁盘、网卡、GPU卡)具备良好的兼容适配性;
d)应提供支持信息系统运行所需的硬件、软件、监控、运维、异常保护、节能等基本功能性要求;
e)应提供支持信息系统运行所需的运行性能、安全防护、可靠性等基本非功能性要求。
参考文献
[1]GB/T 5271.1—2000 信息技术 词汇 第1部分:基本术语
[2]GB/T 42927—2023 金融行业开源软件测评规范