一、案例背景
某财产保险公司（以下简称“被审计机构”）经营范围涵盖车辆保险、企业财产保险、货物运输保险、意外伤害保险等各类财产险业务，在全国设有15家分公司、86家支公司，员工总数3000余人。近年来，该机构逐步推进信息化转型，先后上线核心业务系统、数据管理系统、网络安全系统及外包运维服务，依托信息系统实现承保、理赔、销售等全业务流程线上化，年均处理保单超100万份、理赔案件超8万件。

二、保险行业信息系统专项审计项目介绍

（一）保险行业信息系统专项审计的现状
为落实《银行保险机构数据安全管理办法》《保险机构信息化监管规定》等监管要求，防范信息系统合规风险、安全风险，提升信息化治理能力，审计组依据《保险行业信息系统专项审计工作方案》，对该被审计机构近两个会计年度的信息系统开展专项审计。本次审计覆盖该机构总公司及3家重点分公司，聚焦核心业务系统、数据管理系统、外包运维系统等关键系统，围绕合规性、安全性、有效性、可靠性四大维度，全面排查信息系统全生命周期中的风险隐患，推动机构规范信息系统管理，保障业务有序开展和消费者合法权益。

（二）保险行业信息系统专项审计案例介绍

1、保险行业信息系统专项审计依据
（1）. 法律法规：《中华人民共和国审计法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国保险法》等；
（2）. 监管政策：《银行保险机构数据安全管理办法》（金融监管总局2025年第7号）、《保险机构信息化监管规定》、《保险公司信息系统安全管理指引（试行）》、《保险业信息系统灾难恢复管理指引》等金融监管总局及行业主管部门出台的相关政策规范；
（3）. 行业标准：GB/T22239《信息安全技术 信息系统安全等级保护基本要求》、保险行业信息系统建设与管理相关标准、信息系统审计相关规范等；
（4）. 内部制度：被审计保险机构制定的信息系统管理制度、操作规程、风险控制制度、数据管理制度、应急预案等内部文件。

2、保险行业信息系统专项审计的目标
立足审计监督职责，紧扣当前保险行业信息化监管政策要求，聚焦保险机构信息系统的合规性、安全性、有效性和可靠性，全面排查信息系统在规划、建设、运维、应用全生命周期中的风险隐患，规范信息系统管理流程，防范数据安全、网络安全、业务合规等各类风险，保障保险业务有序开展、消费者合法权益不受侵害，推动保险机构提升信息化治理能力，助力保险行业高质量发展。本次审计重点落实《银行保险机构数据安全管理办法》《中华人民共和国国家审计准则》等政策要求，强化信息系统对保险业务的支撑保障作用，防范化解信息化领域重大风险。

3、保险行业信息系统专项审计范围
本次保险行业信息系统专项审计范围包括：
（1）. 机构范围：被审计保险机构（含总公司、分公司及下属分支机构）的信息管理部门、业务部门、运维部门、风控部门等涉及信息系统规划、建设、运维、应用的相关部门；
（2）. 系统范围：保险机构核心业务系统（承保、理赔、销售、退保等）、数据管理系统（数据采集、存储、加工、分析等）、网络安全系统（防火墙、入侵检测、数据加密等）、办公自动化系统、灾备系统、外包开发及运维相关系统，以及与第三方机构（中介、支付、数据服务商等）对接的信息系统；重点覆盖综合业务信息系统，兼顾外网信息系统、管理信息系统等各类核心系统；
（3）. 时间范围：本次专项审计的时间范围为近两个会计年度，重点关注重大信息系统上线、升级、运维变更及数据安全事件相关的时间段，必要时可追溯至相关系统建设初

4、保险行业信息系统专项审计方法与技巧
结合保险行业信息系统的特点，综合运用传统审计方法与信息化审计方法，提升审计效率和质量，确保审计结果精准、可靠。

（1）传统审计方法
1）. 查阅资料法：全面查阅被审计机构信息系统相关的管理制度、操作规程、规划文档、立项审批资料、合同协议、测试报告、验收报告、运维日志、应急演练记录、监管检查报告等资料，梳理审计线索，核实相关情况；重点查阅系统业务流程及规则说明、需求规格说明书、详细设计说明书、用户操作手册、岗位职责、部门制度等相关资料，了解系统开展业务的实际流程。
2）. 访谈法：与被审计机构信息管理部门、业务部门、运维部门、风控部门、外包服务商等相关人员进行访谈，了解信息系统建设、运维、应用的实际情况，核实审计发现的问题，收集相关审计证据；重点访谈系统管理员、业务操作人员，了解权限设置、操作流程等情况。
3）. 现场勘查法：深入被审计机构机房、办公区域，现场检查信息系统硬件设备、安全设备、终端设备的运行状态，查看机房环境、安全防护措施、数据备份情况等，核实相关制度的落实情况；在系统管理员等相关人员的陪同下，查看保单申请和理赔审批等功能模块权限设置的具体配置情况。
4）. 抽样审计法：针对信息系统操作记录、数据录入记录、系统变更记录、外包监管记录等，采用随机抽样、重点抽样等方式，抽取一定数量的样本进行核查，推断整体情况，聚焦高风险领域和重点环节，提升审计效率；重点抽样保单承保、理赔等核心业务相关的系统操作和数据。

（2）信息化审计方法
1）. 系统测试法：运用专业的系统测试工具，对信息系统的功能、性能、安全性进行测试，验证系统功能是否合规、运行是否稳定、安全防护是否到位；采用测试数据法，准备一组较为典型和完整的测试数据，在系统中建立测试账号，给其分配不同角色，沿着保单申请和理赔审批业务流程进行测试，审查是否存在权限分配和审批控制不当等问题；采用受控处理法，把一批预先设计好的保单业务数据输入到系统中，并对输入数据进行查验，将处理的结果与预期的结果进行比较，检测系统的控制与处理功能是否恰当、有效。
2）. 数据分析法：运用数据挖掘、数据分析工具，对信息系统中的业务数据、操作数据、日志数据等进行全面分析，排查虚假数据、违规操作、数据异常等问题；采用数据验证法，通过检查数据之间逻辑关系，验证输入数据的正确性和保存数据的完整性，重点关注数据输入的完整性、合理性和准确性；对比分析系统数据与业务实际数据、纸质资料，验证数据真实性和完整性。
3）. 漏洞扫描与渗透测试法：运用漏洞扫描工具，对信息系统、网络设备、终端设备进行全面扫描，排查系统漏洞、安全隐患；通过渗透测试，模拟黑客攻击，检验系统安全防护能力，发现系统存在的安全漏洞和风险点；重点扫描敏感数据存储、传输相关的系统环节。
4）. 日志分析法：收集信息系统的操作日志、网络日志、运维日志等，运用日志分析工具，对日志数据进行筛选、分析，追溯操作行为，排查违规操作、系统故障等问题；重点分析权限变更、数据修改、异常登录等相关日志，发现潜在风险。

（3）审计技巧
1）. 聚焦重点，精准发力：围绕核心业务系统、敏感数据、高风险环节（如理赔、销售、数据外包），优先开展审计，重点排查重大违规问题和安全隐患；将业务流程应用控制的审计作为重点，根据可能的风险因素确定关键控制点，主要针对业务授权与审批控制、数据输入控制、数据处理逻辑、数据输出控制等审计事项实施审计。
2）. 注重关联，全面排查：将信息系统审计与保险业务审计相结合，关注系统操作与业务实际的关联性，排查通过系统操作实现的违规业务行为；将数据审计与安全审计相结合，关注数据安全与数据真实性的关联，防范数据泄露和虚假数据风险；采用流程图检查法，利用系统流程图检查系统的控制功能是否可靠和处理数据的逻辑是否正确，追踪样本业务，检查处理功能是否正常。
3）. 借力技术，提升效率：充分运用信息化审计工具，减少人工核查工作量，提升审计效率和准确性；针对保险行业数据量大、系统复杂的特点，运用数据分析法实现批量核查，快速发现异常数据和违规线索；采用程序运行结果检查法，通过对系统输出结果的检查，来推断系统处理功能的正确性和控制措施的健全性。
4）. 多方印证，确保证据可靠：对审计发现的问题，通过查阅资料、访谈、现场勘查、系统测试、数据验证等多种方式收集证据，确保审计证据的真实性、相关性、充分性；注重与被审计机构的沟通确认，核实问题细节，避免误判；对关键问题，收集多维度证据进行印证，提升审计结论的可信度。
5）. 关注政策衔接，强化合规审计：密切关注最新保险行业信息化监管政策，确保审计内容与政策要求保持一致，重点排查政策落实不到位的问题；结合被审计机构的业务特点，精准解读政策要求，避免机械套用政策，确保审计结论符合行业实际。

5、保险行业信息系统专项审计难点
结合本次审计实践，结合被审计机构信息化建设实际，主要面临以下4个难点，均通过优化审计方法、强化沟通协作逐一突破，确保审计工作顺利推进。
（1）. 系统复杂度高，审计范围广：被审计机构信息系统数量多、关联性强，涵盖核心业务、数据管理、网络安全等多个领域，且各分公司系统存在一定差异，部分老旧系统与新系统并行运行，数据接口不统一，增加了审计核查的难度和工作量，需针对性制定分系统审计流程，避免遗漏。
（2）. 数据量大且类型复杂，核查难度高：该机构年均产生业务数据、操作日志、运维数据等各类数据超500GB，数据类型涵盖结构化、非结构化数据，部分数据存在缺失、重复、异常等情况，如何快速筛选有效数据、核查数据真实性，成为审计重点难点，需运用数据挖掘、批量比对等信息化审计方法提升效率。
（3）. 外包运维环节审计难度大：被审计机构信息系统运维、部分模块开发采用外包模式，涉及3家外包服务商，外包合同条款复杂，运维过程不透明，部分外包操作未留存完整记录，难以全面核查外包合规性和风险管控情况，需通过访谈外包服务商、核查外包合同及监管记录、现场检查外包运维流程等方式多方印证。
（4）. 合规性认定难度大：保险行业信息化监管政策更新快，部分政策条款较为原则，对于系统建设、数据管理等环节的合规性界定缺乏明确细化标准，且被审计机构内部制度与监管政策存在衔接不畅的情况，需结合行业实际、政策精神，精准界定违规问题，避免机械套用政策。

三、保险行业信息系统专项审计内容及程序
本次专项审计围绕信息系统全生命周期，结合保险行业业务特点，重点审计合规性、安全性、有效性、可靠性四大维度，分阶段推进审计实施，确保审计内容全面、程序规范。

（一）信息系统合规性审计
核心审计内容：聚焦信息系统建设、应用、运维全流程的合规性，对照监管政策和内部制度，排查违规问题。
1. 系统规划与建设合规性：是否按照监管要求制定信息系统建设规划，规划是否贴合机构业务发展需求；信息系统建设项目是否履行立项、审批、招标等程序，流程是否规范；系统建设是否符合行业标准和安全等级保护要求，是否完成等级保护测评及备案；新建、升级系统是否经过充分测试、验收，验收流程是否规范，是否存在未验收即上线运行的情况；信息系统开发与测试是否符合相关规范，项目管理、测试管理、验收和发布管理是否到位。
2. 系统应用合规性：信息系统是否严格按照监管政策和内部制度开展业务，是否存在违规操作、越权操作等情况；核心业务系统（承保、理赔、销售）的功能是否符合保险监管要求，是否存在规避监管、违规承保、虚假理赔等通过系统操作实现的违规行为；信息系统数据录入、修改、删除等操作是否符合规定，是否留存操作痕迹；是否按照“业务必要授权”原则，对敏感级及以上数据严格实施授权管理，数据访问闭环管理机制是否健全。
3. 数据合规性：数据收集是否符合《个人信息保护法》等法律法规要求，是否取得用户同意，是否存在非法收集、泄露、滥用个人信息的情况；数据存储、加工、传输、销毁等环节是否符合监管要求，是否落实数据分级分类管理；数据质量是否符合标准，是否存在虚假数据、缺失数据、错误数据等情况；是否定期对数据操作行为进行审计，审计周期是否不超过六个月；每年是否开展一次数据安全风险评估，审计部门是否每三年至少开展一次数据安全全面审计，重大数据安全事件后是否开展专项审计。
4. 外包合规性：信息系统外包（开发、运维、数据服务等）是否履行审批程序，外包服务商是否具备相应资质；外包合同是否明确双方权利义务、安全责任、数据保密要求等核心条款；是否对於外包服务商进行常态化监管，是否存在外包风险失控的情况；委托处理数据时，是否以合同协议方式约定相关事项，对数据处理活动是否进行记录和审计。
审计程序：查阅系统规划文档、立项审批资料、招标合同、验收报告、等级保护测评报告、外包合同、数据管理制度等；访谈信息管理部门、业务部门、外包服务商相关人员；抽查系统操作日志、数据录入记录、外包监管记录等；对系统功能进行抽样测试，验证其合规性。

（二）信息系统安全性审计
核心审计内容：聚焦信息系统网络安全、数据安全、终端安全，排查安全隐患，评估安全防护能力，落实信息安全管理相关要求。
1. 网络安全：网络拓扑结构是否合理，是否划分网络区域，边界防护是否严密；防火墙、入侵检测、入侵防御等安全设备是否部署到位、正常运行，规则配置是否合理；网络访问控制是否严格，是否存在非法访问、越权访问等情况；网络日志是否完整留存，是否定期进行日志分析和安全审计；存放或者传输敏感级及以上数据的机房、网络是否实施重点防护，是否设立物理安全保护区域，对网络边界、重要网络节点是否进行安全监控与审计。
2. 数据安全：数据加密机制是否健全，敏感数据（个人信息、保单信息、资金信息等）是否进行加密存储和传输；数据备份机制是否完善，备份数据是否定期校验、妥善保管，是否能够实现快速恢复；数据访问权限是否严格管控，是否落实最小权限原则，是否存在权限滥用、权限泄露等情况；是否建立数据安全应急处置机制，发生数据泄露、丢失等事件时是否能够及时处置、上报；信息安全管理体系是否健全，信息安全教育是否到位，安全认证、等级保护等工作是否落实。
3. 终端安全：办公终端、服务器等设备是否安装安全防护软件，是否定期更新病毒库、系统补丁；终端设备接入网络是否经过审批，是否存在非法终端接入情况；终端设备数据存储、传输是否安全，是否存在终端设备丢失、被盗导致数据泄露的风险；员工终端使用是否符合安全管理规定，是否存在违规拷贝、传输敏感数据的情况。
4. 灾备安全：是否建立完善的灾难恢复体系，灾备系统是否与核心系统同步运行，灾备能力是否符合监管要求；灾难恢复预案是否科学合理，是否定期开展应急演练，演练效果是否达标；灾备数据是否完整、可用，是否能够在规定时间内完成灾难恢复，保障业务连续性；灾难恢复管理是否符合相关指引，需求分析和策略定制、灾备中心运维、应急响应和灾难恢复等环节是否规范。
审计程序：查阅网络拓扑图、安全设备配置文档、数据加密方案、备份记录、应急演练报告、灾备方案等；现场检查安全设备运行状态、终端安全防护情况、灾备系统运行情况；通过技术检测工具，对网络安全、数据安全进行渗透测试、漏洞扫描；访谈信息运维部门、安全管理部门相关人员，了解安全管理措施落实情况。

（三）信息系统有效性审计
核心审计内容：聚焦信息系统对保险业务的支撑作用，评估系统运行效率、功能适配性、运维水平，排查系统运行中的堵点、难点问题。
1. 系统功能有效性：信息系统功能是否能够满足保险业务开展需求，是否存在功能缺失、功能冗余等情况；核心业务系统的承保、理赔、销售等流程是否顺畅，是否存在流程卡顿、效率低下等问题；系统功能是否与业务流程适配，是否能够支撑业务创新和高质量发展；互联网保险相关系统的技术资质条件、网站技术安全保障、内容安全和风险提示是否到位。
2. 系统运行效率：系统运行是否稳定，是否存在频繁宕机、卡顿等情况；系统响应速度是否符合业务需求，是否影响业务正常开展；系统并发处理能力是否能够满足业务高峰期需求，是否存在并发瓶颈；信息化系统运行管理是否规范，系统管理、配置与变更管理、事件管理、基础设施运行管理、可用性管理等是否到位。
3. 运维管理有效性：是否建立完善的运维管理制度和操作规程，运维流程是否规范；运维团队是否具备相应的专业能力，是否能够及时处理系统故障；系统变更、升级是否履行审批程序，变更测试、上线验证是否到位，是否存在变更风险；运维日志是否完整、规范，是否能够为故障排查、问题追溯提供支撑；外包与采购审计是否到位，IT自主可控能力是否达标，外包软件开发管理是否规范。
4. 成本效益有效性：信息系统建设、运维投入与产出是否匹配，是否存在资源浪费、投入低效等情况；系统升级、优化是否能够带来业务效率提升、风险降低等实际效益；是否对信息系统投入产出进行定期评估，是否根据评估结果优化系统建设和运维策略。
审计程序：查阅运维管理制度、操作规程、故障处理记录、系统变更记录、运维投入资料等；访谈业务部门、运维部门相关人员，了解系统运行和运维情况；对系统运行效率进行抽样测试，统计系统响应时间、宕机次数等指标；分析系统投入产出数据，评估成本效益。

（四）信息系统可靠性审计
核心审计内容：聚焦信息系统数据真实性、系统稳定性、操作可追溯性，评估系统运行的可靠性，防范虚假数据、系统故障等风险。
1. 数据可靠性：系统数据是否真实、准确、完整，是否存在虚假数据、篡改数据等情况；数据录入、修改、删除等操作是否有明确的权限控制和操作痕迹，是否可追溯；数据之间的逻辑关系是否合理，是否存在数据矛盾、数据缺失等问题；数据验证机制是否健全，是否能够及时发现和纠正数据错误。
2. 系统稳定性：系统是否具备良好的稳定性和容错能力，是否能够应对突发故障、业务峰值等情况；系统硬件、软件是否正常运行，是否存在硬件老化、软件漏洞等影响系统稳定性的问题；是否建立系统故障应急处置机制，故障响应、处置是否及时有效。
3. 操作可追溯性：系统是否对所有操作（数据录入、修改、删除、查询、审批等）进行详细记录，操作日志是否完整、规范，是否包含操作人、操作时间、操作内容等关键信息；操作日志是否能够长期留存，是否可追溯、可核查；是否建立操作追溯机制，对违规操作能够及时定位、追溯责任。
审计程序：查阅系统操作日志、数据校验记录、故障处置记录等；对系统数据进行抽样核查，比对系统数据与纸质资料、业务实际情况，验证数据真实性；对系统稳定性进行测试，模拟突发故障、业务峰值，评估系统容错能力和应急处置能力；检查操作日志留存情况，验证操作可追溯性。

四、保险行业信息系统专项审计问题与建议

（一）保险行业信息系统专项审计问题
本次审计围绕信息系统合规性、安全性、有效性、可靠性四大维度，发现问题具体如下：

1、合规性方面
（1）. 系统建设合规性不足：2023年上线的某核心业务升级系统，未履行完整的立项审批程序，未开展充分的测试验收，存在未验收即上线运行的情况，违反《保险机构信息化监管规定》相关要求；部分系统开发与测试未分离，测试记录不完整，项目管理、发布管理不到位。
（2）. 系统应用违规：核心业务系统存在越权操作情况，部分业务人员违规获取理赔审批权限，存在虚假理赔操作痕迹；数据录入、修改未严格履行审批程序，部分保单数据修改未留存完整操作痕迹，未落实“业务必要授权”原则，敏感数据授权管理不规范。
（3）. 数据合规性存在短板：个人信息收集未完全取得用户明确同意，部分投保页面未明确告知用户信息收集范围和用途，违反《个人信息保护法》要求；未落实数据分级分类管理，敏感数据（如投保人身份证号、银行卡信息）未进行专项管控；未按规定每三年开展一次数据安全全面审计，2022-2023年度未开展数据安全风险评估。
（4）. 外包合规性问题突出：信息系统运维外包未履行完整审批程序，外包服务商资质审核不严格，其中1家服务商未具备相应的网络安全服务资质；外包合同未明确数据保密责任和安全管控要求，对於外包服务商的常态化监管缺失，外包运维操作未留存完整日志，委托处理数据未以合同协议明确相关事项。

2、安全性方面
（1）. 网络安全防护不到位：网络拓扑结构不合理，未明确划分网络区域，边界防护不严密；部分防火墙规则配置不合理，存在安全漏洞，未及时更新；网络日志留存不完整，未定期开展日志分析和安全审计，存放敏感数据的机房未实施重点物理防护，网络边界未进行常态化安全监控。
（2）. 数据安全存在隐患：敏感数据未进行加密存储和传输，数据备份机制不完善，备份数据未定期校验，部分备份数据无法正常恢复；数据访问权限管控不严格，未落实最小权限原则，部分离职员工未及时注销数据访问权限，存在权限滥用、数据泄露风险；未建立完善的数据安全应急处置机制，未开展数据安全应急演练。
（3）. 终端安全管理薄弱：部分办公终端未安装安全防护软件，部分终端病毒库、系统补丁未及时更新；存在非法终端接入网络的情况，员工终端存在违规拷贝、传输敏感数据的行为，终端安全管理制度未有效落实。
（4）. 灾备安全不达标：灾难恢复体系不完善，灾备系统与核心系统未同步运行，灾备能力未达到监管要求；灾难恢复预案不科学，未定期开展应急演练，灾备数据完整性不足，无法在规定时间内完成灾难恢复，难以保障业务连续性。

3、有效性方面
（1）. 系统功能适配性不足：核心业务系统部分功能与业务流程脱节，理赔流程卡顿、效率低下，无法满足业务高峰期需求；互联网保险相关系统未落实技术安全保障要求，风险提示不到位，部分功能缺失，难以支撑业务创新发展。
（2）. 系统运行效率不高：核心业务系统存在频繁卡顿、偶发宕机情况，2023年共发生宕机事件5起，影响业务正常开展；系统并发处理能力不足，业务高峰期响应速度慢，存在并发瓶颈；信息化系统运行管理不规范，配置与变更管理、事件管理不到位。
（3）. 运维管理不规范：未建立完善的运维管理制度和操作规程，运维流程混乱；运维团队专业能力不足，部分系统故障无法及时处置；系统变更、升级未履行审批程序，变更测试、上线验证不到位，存在变更风险；外包软件开发管理不规范，IT自主可控能力不足。
（4）. 成本效益低效：信息系统建设、运维投入与产出不匹配，部分系统升级投入较大，但未带来明显的业务效率提升和风险降低；未对信息系统投入产出进行定期评估，资源浪费现象较为突出。

4、可靠性方面
（1）. 数据可靠性不足：系统数据存在虚假、错误、缺失等情况，抽样核查发现，15%的保单数据存在信息填写错误，5%的理赔数据存在虚假录入情况；数据之间逻辑关系不合理，存在数据矛盾，数据验证机制不健全，无法及时发现和纠正数据错误。
（2）. 系统稳定性较差：系统容错能力不足，遇到突发故障时无法快速恢复；部分硬件设备老化、软件存在漏洞，影响系统稳定性；系统故障应急处置机制不健全，故障响应、处置不及时，平均故障处置时间超过规定标准。
（3）. 操作可追溯性不足：系统操作日志不完整，部分操作未记录操作人、操作时间等关键信息；操作日志留存时间不足，无法实现长期追溯、核查；未建立完善的操作追溯机制，对违规操作无法及时定位、追溯责任。

（二）保险行业信息系统专项审计建议
1. 强化合规管理，补齐合规短板：完善信息系统建设立项、审批、测试、验收流程，对未验收即上线的系统补充验收手续，规范系统开发与测试管理；严格规范系统操作权限，杜绝越权操作，完善数据录入、修改审批程序，留存完整操作痕迹；落实数据分级分类管理，规范个人信息收集、存储、传输、销毁等环节，按规定开展数据安全风险评估和全面审计；规范外包管理，重新审核外包服务商资质，完善外包合同条款，建立外包常态化监管机制，留存外包运维完整记录。
2. 筑牢安全防线，防范安全风险：优化网络拓扑结构，划分网络区域，完善防火墙等安全设备配置，及时修复安全漏洞；建立健全数据加密机制，对敏感数据进行加密存储和传输，完善数据备份和恢复机制，定期校验备份数据；加强终端安全管理，为所有办公终端安装安全防护软件，及时更新病毒库和系统补丁，严禁非法终端接入；完善灾难恢复体系，推动灾备系统与核心系统同步运行，修订灾难恢复预案，定期开展应急演练，提升灾备能力；建立数据安全应急处置机制，及时处置数据安全事件并按规定上报。
3. 提升系统效能，优化运维管理：优化核心业务系统功能，完善业务流程，提升系统运行效率和并发处理能力，解决系统卡顿、宕机问题；完善互联网保险系统技术安全保障，补充缺失功能，规范风险提示；建立健全运维管理制度和操作规程，提升运维团队专业能力，规范系统变更、升级审批流程，加强外包软件开发管理，提升IT自主可控能力；定期对信息系统投入产出进行评估，优化资源配置，杜绝资源浪费。
4. 强化数据管控，提升系统可靠性：建立数据验证机制，定期开展数据核查，纠正虚假、错误、缺失数据，确保数据真实、准确、完整；升级系统硬件设备，修复软件漏洞，提升系统稳定性和容错能力，完善系统故障应急处置机制，缩短故障处置时间；完善操作日志管理，确保操作日志完整、规范，实现操作可追溯，建立违规操作追溯机制，明确责任追究办法。
5. 健全长效机制，提升信息化治理能力：完善信息系统管理制度体系，加强制度与监管政策的衔接，强化制度执行；加强员工信息化培训和安全警示教育，提升员工合规意识和安全意识；建立信息化治理考核机制，将信息系统管理工作纳入部门和员工绩效考核，确保各项整改措施落地见效。