《保险中介机构信息化工作监管办法》-第6页

第二十条保险中介机构应按照最少功能、最小权限原则合理确定信息系统访问权限并定期检查核对，确保用户权限与其工作职责相匹配。严格控制系统访问权限，禁止未经授权查看、下载数据。严格控制通过系统后台修改数据，确需修改的要做到事前批准、事中监控和事后留痕。

第二十一条保险中介机构应通过信息系统全面、准确、完整地记录管理业务、财务和人员等情况，确保信息系统记录管理的数据与真实业务经营情况一致。

保险中介机构应在各保险业务环节发生之日起3个工作日内，将业务明细数据录入信息系统，如同时涉及财务、人员事项应同步完成财务和人员明细数据录入。

第二十二条保险中介机构开展信息系统投产、变更或数据迁移等工作的，应组织风险评估，编制实施计划，制定系统回退和应急处置方案，开展演练测试和培训，审慎实施，并在实施完成后进行有效性验证。

第四章信息安全

第二十三条保险中介机构应建立健全信息安全管理制度，部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施，保障业务持续和数据安全。

第二十四条保险中介机构应按照国家网络安全等级保护相关规定，合理确定信息系统的安全等级，并按照国家网络安全等级保护相关标准进行防护，获得相应的国家网络安全等级保护认证。

第二十五条保险中介机构应对重要数据采取保护措施，保障数据在收集、存储、传输、使用、提供、备份、恢复和销毁等过程中的安全，合法使用数据，严防数据泄露、篡改和损毁，保障数据的完整性、保密性和可用性。