保險(xiǎn)公司信息系統(tǒng)建設(shè)情況的調(diào)研報(bào)告轄區(qū)部分產(chǎn)壽險(xiǎn)公司分支機(jī)構(gòu)的信息系統(tǒng)管理工作開(kāi)展了調(diào)研，了解了保險(xiǎn)公司及分支機(jī)構(gòu)信息系統(tǒng)建設(shè)情況，發(fā)現(xiàn)了管理中存在的信息安全等問(wèn)題。一、基本情況（一）系統(tǒng)結(jié)構(gòu)。保險(xiǎn)公司信息系統(tǒng)主要分為核心業(yè)務(wù)系統(tǒng)和其他子系統(tǒng)，子系統(tǒng)主要分為業(yè)務(wù)管理和支持系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、行政管理系統(tǒng)等幾大類(lèi)。各公司信息系統(tǒng)結(jié)構(gòu)差異較大：部分公司的信息系統(tǒng)采用模塊化結(jié)構(gòu)管理，便于后期新功能的開(kāi)發(fā)，但子系統(tǒng)/模塊的總數(shù)較大，如中華聯(lián)合有3個(gè)核心系統(tǒng)共26個(gè)子系統(tǒng)，信誠(chéng)人壽有2個(gè)核心系統(tǒng)共36個(gè)子系統(tǒng)/模塊；部分公司采用整體系統(tǒng)模式，后期開(kāi)發(fā)空間受限制，但系統(tǒng)數(shù)量較少，系統(tǒng)整合較優(yōu)，如天安保險(xiǎn)僅核心業(yè)務(wù)系統(tǒng)、財(cái)務(wù)SAP系統(tǒng)、費(fèi)用控制系統(tǒng)、定損核價(jià)系統(tǒng)等4個(gè)系統(tǒng)。（二）系統(tǒng)開(kāi)發(fā)。保險(xiǎn)公司信息系統(tǒng)開(kāi)發(fā)主要有公司技術(shù)部門(mén)獨(dú)立開(kāi)發(fā)、外包軟件公司專(zhuān)門(mén)開(kāi)發(fā)、直接購(gòu)買(mǎi)成熟軟件系統(tǒng)等三種模式。目前，公司核心業(yè)務(wù)系統(tǒng)以及關(guān)鍵子系統(tǒng)主要是外包軟件公司專(zhuān)門(mén)開(kāi)發(fā)，一般財(cái)務(wù)管理系統(tǒng)、行政管理系統(tǒng)是直接外購(gòu)成熟的系統(tǒng)軟件，而由公司技術(shù)部門(mén)獨(dú)立開(kāi)發(fā)系統(tǒng)的情況較少，在調(diào)研的公司中僅天安保險(xiǎn)的核心業(yè)務(wù)系統(tǒng)、信誠(chéng)人壽的6個(gè)系統(tǒng)子模塊是保險(xiǎn)公司完全獨(dú)立開(kāi)發(fā)。（三）數(shù)據(jù)管理。保險(xiǎn)公司不同系統(tǒng)的開(kāi)發(fā)環(huán)境和數(shù)據(jù)格式存在差異，保險(xiǎn)公司信息系統(tǒng)基本上采用獨(dú)立數(shù)據(jù)庫(kù)存儲(chǔ)數(shù)據(jù)。大多數(shù)保險(xiǎn)公司業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)設(shè)于總公司后臺(tái)服務(wù)器，由總公司信息管理部門(mén)負(fù)責(zé)日常維護(hù)。目前，各公司核心業(yè)務(wù)系統(tǒng)和各子系統(tǒng)之間大都實(shí)現(xiàn)了實(shí)時(shí)數(shù)據(jù)傳輸，但財(cái)務(wù)系統(tǒng)、行政管理系統(tǒng)數(shù)據(jù)庫(kù)一般獨(dú)立于業(yè)務(wù)系統(tǒng)，且對(duì)數(shù)據(jù)即時(shí)性要求不高，通常采取每日定時(shí)打包傳輸?shù)姆绞絺鬏敂?shù)據(jù)。（四）權(quán)限設(shè)置。調(diào)研公司的信息系統(tǒng)賬號(hào)根據(jù)崗位或角色設(shè)立了基礎(chǔ)權(quán)限，部分公司也可以根據(jù)具體人員單獨(dú)修改崗位權(quán)限，但也有部分公司的崗位權(quán)限完全鎖定，不能作個(gè)別調(diào)整，如信誠(chéng)人壽。信息系統(tǒng)賬號(hào)的設(shè)立大都需要由保險(xiǎn)公司省級(jí)分支機(jī)構(gòu)向總公司統(tǒng)一提交申請(qǐng)，分公司工作人員無(wú)法自行設(shè)立新的賬號(hào)，但也存在個(gè)別保險(xiǎn)公司的賬戶(hù)權(quán)限下放至省級(jí)機(jī)構(gòu)的情況，如中華聯(lián)合的賬號(hào)權(quán)限更改可由省級(jí)分公司完成。二、存在問(wèn)題（一）信息安全方面。保險(xiǎn)公司雖然都制定了信息系統(tǒng)安全管理制度，但執(zhí)行的情況并不理想。如，保險(xiǎn)機(jī)構(gòu)工作人員為登錄方便，長(zhǎng)期不修改系統(tǒng)登錄密碼，或在醒目位置抄寫(xiě)登錄密碼的情況比較普遍；有些部門(mén)為便于員工之間代辦業(yè)務(wù)，甚至長(zhǎng)期統(tǒng)一使用初始密碼或設(shè)置相同登錄密碼，使一人或多人使用多個(gè)權(quán)限不同賬號(hào)，實(shí)際上賬號(hào)使用權(quán)限過(guò)大，弱化了系統(tǒng)賬號(hào)權(quán)限設(shè)置的有效性，存在較大的信息系統(tǒng)安全風(fēng)險(xiǎn)。（二）出單管控方面。保險(xiǎn)公司在中介機(jī)構(gòu)設(shè)置的遠(yuǎn)程出單系統(tǒng)一般由業(yè)務(wù)部門(mén)負(fù)責(zé)管理，在實(shí)際操作過(guò)程中存在一些問(wèn)題：一是設(shè)立或變更審核不嚴(yán)。保險(xiǎn)中介機(jī)構(gòu)出單賬號(hào)一般由保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)部門(mén)向上級(jí)公司進(jìn)行申請(qǐng)?jiān)O(shè)立，但上級(jí)公司僅根據(jù)合作協(xié)議進(jìn)行簡(jiǎn)單審核，且未對(duì)設(shè)立數(shù)量進(jìn)行限制。賬號(hào)設(shè)立、變更以后的實(shí)際使用情況基本無(wú)管控，在現(xiàn)場(chǎng)檢查過(guò)程中曾發(fā)現(xiàn)保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)部門(mén)自行使用中介機(jī)構(gòu)賬號(hào)出單的情況。二是對(duì)出單點(diǎn)無(wú)法管控。雖然大部分保險(xiǎn)公司對(duì)遠(yuǎn)程出單賬號(hào)與硬件網(wǎng)卡地址進(jìn)行鎖定，但出單機(jī)構(gòu)可通過(guò)申請(qǐng)變更、交換網(wǎng)卡甚至直接使用軟件改變網(wǎng)卡地址的方式進(jìn)行規(guī)避。三是個(gè)別出單系統(tǒng)未實(shí)現(xiàn)聯(lián)網(wǎng)出單。一些業(yè)務(wù)量較大的出單系統(tǒng)未實(shí)現(xiàn)與公司核心業(yè)務(wù)系統(tǒng)聯(lián)網(wǎng)出單，如乘客意外險(xiǎn)出單系統(tǒng)等，中介機(jī)構(gòu)出單點(diǎn)可以在脫機(jī)環(huán)境下自行打印保單，承保公司無(wú)法確保保單信息的準(zhǔn)確性。（三）客戶(hù)信息管理。大部分壽險(xiǎn)公司已實(shí)現(xiàn)由業(yè)務(wù)系統(tǒng)對(duì)錄入的客戶(hù)信息進(jìn)行自動(dòng)識(shí)別，對(duì)于姓名、身份證號(hào)、手機(jī)號(hào)等信息與系統(tǒng)記錄信息不一致的情況進(jìn)行提示或鎖定，但仍然存在一些問(wèn)題：一是信息識(shí)別存漏洞。一些保險(xiǎn)公司系統(tǒng)對(duì)保全或內(nèi)部變更客戶(hù)信息等操作不進(jìn)行信息識(shí)別，容易導(dǎo)致客戶(hù)信息錯(cuò)誤。二是錯(cuò)誤信息更正問(wèn)題。由于團(tuán)險(xiǎn)業(yè)務(wù)不需要審核客戶(hù)身份證件，容易出現(xiàn)身份信息錯(cuò)誤的情況，個(gè)別公司系統(tǒng)處理時(shí)會(huì)將新信息直接覆蓋原信息，導(dǎo)致客戶(hù)信息錯(cuò)誤，甚至出現(xiàn)將不同客戶(hù)的投保、理賠等信息合并為同一客戶(hù)名下的情況。三是客戶(hù)信息安全問(wèn)題。近期，保險(xiǎn)客戶(hù)信息安全問(wèn)題引起了社會(huì)公眾的廣泛關(guān)注，個(gè)別保險(xiǎn)機(jī)構(gòu)也牽涉其中，其中的主要原因是大多數(shù)保險(xiǎn)公司信息系統(tǒng)沒(méi)有對(duì)客戶(hù)的敏感信息進(jìn)行必要屏蔽，也沒(méi)有對(duì)電腦外置移動(dòng)存儲(chǔ)設(shè)備使用情況進(jìn)行鎖定，導(dǎo)致了保險(xiǎn)客戶(hù)的敏感信息泄露的問(wèn)題。三、工作建議（一）強(qiáng)化信息安全制度執(zhí)行。建議督促保險(xiǎn)公司認(rèn)真梳理系統(tǒng)安全管理制度，組織開(kāi)展系統(tǒng)安全制度宣導(dǎo)，全面排查密碼管理、權(quán)限管理等方面存在的疏漏，建立日常監(jiān)督機(jī)制，定期清理長(zhǎng)期閑置、一人多號(hào)、權(quán)限不匹配的賬號(hào)，利用系統(tǒng)手段強(qiáng)化制度落實(shí)，如在系統(tǒng)登錄中添加強(qiáng)制定期更換密碼的功能。（二）加強(qiáng)遠(yuǎn)程出單系統(tǒng)管控。建議對(duì)部分未聯(lián)網(wǎng)出單的遠(yuǎn)程出單系統(tǒng)進(jìn)行升級(jí)，實(shí)現(xiàn)強(qiáng)制性聯(lián)網(wǎng)出單。加強(qiáng)遠(yuǎn)程出單點(diǎn)的管控，定期對(duì)遠(yuǎn)程出單點(diǎn)進(jìn)行信息安全檢查，清理私自設(shè)立或搬遷的遠(yuǎn)程出單點(diǎn)。（三）進(jìn)一步完善系統(tǒng)功能。目前保險(xiǎn)信息系統(tǒng)統(tǒng)計(jì)查詢(xún)功能相對(duì)落后，數(shù)據(jù)傳輸效率不高，系統(tǒng)的用戶(hù)友好性不強(qiáng)，特別是個(gè)別系統(tǒng)基于非windows平臺(tái)