保险公司信息系统建设情况的调研报告

保险公司信息系统建设情况的调研报告辖区部分产寿险公司分支机构的信息系统管理工作开展了调研，了解了保险公司及分支机构信息系统建设情况，发现了管理中存在的信息安全等问题。一、基本情况（一）系统结构。保险公司信息系统主要分为核心业务系统和其他子系统，子系统主要分为业务管理和支持系统、财务管理系统、行政管理系统等几大类。各公司信息系统结构差异较大：部分公司的信息系统采用模块化结构管理，便于后期新功能的开发，但子系统/模块的总数较大，如中华联合有3个核心系统共26个子系统，信诚人寿有2个核心系统共36个子系统/模块；部分公司采用整体系统模式，后期开发空间受限制，但系统数量较少，系统整合较优，如天安保险仅核心业务系统、财务SAP系统、费用控制系统、定损核价系统等4个系统。（二）系统开发。保险公司信息系统开发主要有公司技术部门独立开发、外包软件公司专门开发、直接购买成熟软件系统等三种模式。目前，公司核心业务系统以及关键子系统主要是外包软件公司专门开发，一般财务管理系统、行政管理系统是直接外购成熟的系统软件，而由公司技术部门独立开发系统的情况较少，在调研的公司中仅天安保险的核心业务系统、信诚人寿的6个系统子模块是保险公司完全独立开发。（三）数据管理。保险公司不同系统的开发环境和数据格式存在差异，保险公司信息系统基本上采用独立数据库存储数据。大多数保险公司业务系统数据库设于总公司后台服务器，由总公司信息管理部门负责日常维护。目前，各公司核心业务系统和各子系统之间大都实现了实时数据传输，但财务系统、行政管理系统数据库一般独立于业务系统，且对数据即时性要求不高，通常采取每日定时打包传输的方式传输数据。（四）权限设置。调研公司的信息系统账号根据岗位或角色设立了基础权限，部分公司也可以根据具体人员单独修改岗位权限，但也有部分公司的岗位权限完全锁定，不能作个别调整，如信诚人寿。信息系统账号的设立大都需要由保险公司省级分支机构向总公司统一提交申请，分公司工作人员无法自行设立新的账号，但也存在个别保险公司的账户权限下放至省级机构的情况，如中华联合的账号权限更改可由省级分公司完成。二、存在问题（一）信息安全方面。保险公司虽然都制定了信息系统安全管理制度，但执行的情况并不理想。如，保险机构工作人员为登录方便，长期不修改系统登录密码，或在醒目位置抄写登录密码的情况比较普遍；有些部门为便于员工之间代办业务，甚至长期统一使用初始密码或设置相同登录密码，使一人或多人使用多个权限不同账号，实际上账号使用权限过大，弱化了系统账号权限设置的有效性，存在较大的信息系统安全风险。（二）出单管控方面。保险公司在中介机构设置的远程出单系统一般由业务部门负责管理，在实际操作过程中存在一些问题：一是设立或变更审核不严。保险中介机构出单账号一般由保险机构业务部门向上级公司进行申请设立，但上级公司仅根据合作协议进行简单审核，且未对设立数量进行限制。账号设立、变更以后的实际使用情况基本无管控，在现场检查过程中曾发现保险机构业务部门自行使用中介机构账号出单的情况。二是对出单点无法管控。虽然大部分保险公司对远程出单账号与硬件网卡地址进行锁定，但出单机构可通过申请变更、交换网卡甚至直接使用软件改变网卡地址的方式进行规避。三是个别出单系统未实现联网出单。一些业务量较大的出单系统未实现与公司核心业务系统联网出单，如乘客意外险出单系统等，中介机构出单点可以在脱机环境下自行打印保单，承保公司无法确保保单信息的准确性。（三）客户信息管理。大部分寿险公司已实现由业务系统对录入的客户信息进行自动识别，对于姓名、身份证号、手机号等信息与系统记录信息不一致的情况进行提示或锁定，但仍然存在一些问题：一是信息识别存漏洞。一些保险公司系统对保全或内部变更客户信息等操作不进行信息识别，容易导致客户信息错误。二是错误信息更正问题。由于团险业务不需要审核客户身份证件，容易出现身份信息错误的情况，个别公司系统处理时会将新信息直接覆盖原信息，导致客户信息错误，甚至出现将不同客户的投保、理赔等信息合并为同一客户名下的情况。三是客户信息安全问题。近期，保险客户信息安全问题引起了社会公众的广泛关注，个别保险机构也牵涉其中，其中的主要原因是大多数保险公司信息系统没有对客户的敏感信息进行必要屏蔽，也没有对电脑外置移动存储设备使用情况进行锁定，导致了保险客户的敏感信息泄露的问题。三、工作建议（一）强化信息安全制度执行。建议督促保险公司认真梳理系统安全管理制度，组织开展系统安全制度宣导，全面排查密码管理、权限管理等方面存在的疏漏，建立日常监督机制，定期清理长期闲置、一人多号、权限不匹配的账号，利用系统手段强化制度落实，如在系统登录中添加强制定期更换密码的功能。（二）加强远程出单系统管控。建议对部分未联网出单的远程出单系统进行升级，实现强制性联网出单。加强远程出单点的管控，定期对远程出单点进行信息安全检查，清理私自设立或搬迁的远程出单点。（三）进一步完善系统功能。目前保险信息系统统计查询功能相对落后，数据传输效率不高，系统的用户友好性不强，特别是个别系统基于非windows平台