第十八条 【数据安全检测认证与安全保障】

●法律

1.《网络安全法》（2016年11月7日）

第17条 国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

第23条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

●行政法规及文件

2.《关键信息基础设施安全保护条例》（2021年7月30日）

第15条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：

（一）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；

（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；

（三）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；

（四）认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议；

（五）组织网络安全教育、培训；

（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度；

（七）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；

（八）按照规定报告网络安全事件和重要事项。

●部门规章及文件

3.《互联网保险业务监管办法》（2020年12月7日）

第37条 保险机构应严格按照网络安全相关法律法规，建立完善与互联网保险业务发展相适应的信息技术基础设施和安全保障体系，提升信息化和网络安全保障能力：

（一）按照国家相关标准要求，采取边界防护、入侵检测、数据保护以及灾难恢复等技术手段，加强信息系统和业务数据的安全管理。

（二）制定网络安全应急预案，定期开展应急演练，建立快速应急响应机制，开展网络安全实时监测，发现问题后立即采取防范和处置措施，并按照银行业保险业突发事件报告、应对相关规定及时向负责日常监管的银保监会或其派出机构、当地公安网安部门报告。

（三）对提供技术支持和客户服务的合作机构加强合规管理，督促其保障服务质量和网络安全，其相关信息系统至少应获得网络安全等级保护二级认证。

（四）防范假冒网站、假冒互联网应用程序等与互联网保险业务相关的违法犯罪活动，开辟专门渠道接受公众举报。