第三十九条 【关键信息基础设施保护的措施】

●行政法规及文件

1.《关键信息基础设施安全保护条例》（2021年7月30日）

第15条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

（五）组织网络安全教育、培训；

（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

（八）按照规定报告网络安全事件和重要事项。

第27条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测，提出改进措施。

有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

●部门规章及文件

2.《互联网保险业务监管办法》（2020年12月7日）

第7条 开展互联网保险业务的保险机构及其自营网络平台应具备以下条件：

（一）服务接入地在中华人民共和国境内。自营网络平台是网站或移动应用程序（APP）的，应依法向互联网行业管理部门履行互联网信息服务备案手续、取得备案编号。自营网络平台不是网站或移动应用程序（APP）的，应符合相关法律法规的规定和相关行业主管部门的资质要求。

（二）具有支持互联网保险业务运营的信息管理系统和核心业务系统，并与保险机构其他无关的信息系统有效隔离。

（三）具有完善的网络安全监测、信息通报、应急处置工作机制，以及完善的边界防护、入侵检测、数据保护、灾难恢复等网络安全防护手段。

（四）贯彻落实国家网络安全等级保护制度，开展网络安全定级备案，定期开展等级保护测评，落实相应等级的安全保护措施。对于具有保险销售或投保功能的自营网络平台，以及支持该自营网络平台运营的信息管理系统和核心业务系统，相关自营网络平台和信息系统的安全保护等级应不低于三级；对于不具有保险销售和投保功能的自营网络平台，以及支持该自营网络平台运营的信息管理系统和核心业务系统，相关自营网络平台和信息系统的安全保护等级应不低于二级。

（五）具有合法合规的营销模式，建立满足互联网保险经营需求、符合互联网保险用户特点、支持业务覆盖区域的运营和服务体系。

（六）建立或明确互联网保险业务管理部门，并配备相应的专业人员，指定一名高级管理人员担任互联网保险业务负责人，明确各自营网络平台负责人。

（七）具有健全的互联网保险业务管理制度和操作规程。

（八）保险公司开展互联网保险销售，应符合银保监会关于偿付能力、消费者权益保护监管评价等相关规定。

（九）保险专业中介机构应是全国性机构，经营区域不限于总公司营业执照登记注册地所在省（自治区、直辖市、计划单列市），并符合银保监会关于保险专业中介机构分类监管的相关规定。

（十）银保监会规定的其他条件。