贵州省贵阳市人民政府


贵阳市建立统一的企业职工基本养老保险制度若干问题的暂行规定

贵阳市人民政府令
第44号

《贵阳市建立统一的企业职工基本养老保险制度若干问题的暂行规定》已经市人民政府常务会议讲座通过，现予发布施行。


市长 孙国强 　
一九九八年六月二十六日


　　第一条 为了增强社会保险的保障能力，建立统一的企业职工基本养老保险制度，进一步扩大基本养老保险覆盖范围，维护劳动者的合法权益，解决《贵阳市企业职工基本养老保险金计发办法》（市人民政府第20号令）实施以来出现的新情况和新问题，根据《中华人民共和国劳动法》和国务院《关于建立统一的企业职工基本养老保险制度的决定》（国发[1997]26号文），特制定本暂行规定。
　　第二条 参加基本养老保险社会统筹，缴纳基本养老保险费，是《中华人民共和国劳动法》规定的企业和劳动者应尽的义务。用人单位和劳动者都必须依法参加社会保险，缴纳社会保险费。
　　第三条 除已参加本市基本养老保险社会统筹的国有企业外，基本养老保险覆盖范围进一步扩大到以下非国有企业和个体经济组织：
　　（一）本市行政区域内的集体企业，混合所有制企业、股份制企业，服从合作制企业，私营企业和港、澳、台商投资企业，外商投资企业（包括外商独资、合资、合作经营企业），以及个休经济组织。
　　（二）企业职工（包括港、澳、台商企业和外商投资企业的中方职工），个体工商户户主及其使用的城镇从业人员，城镇个体劳动者。
　　第四条 凡未参加基本养老保险社会统筹的企业和职工、个体工商户户主及其使用的城镇从业人员，城镇个体劳动者，必须于1998年7月1日起参加本市基本养老保险社会统筹，发行缴纳基本养老保险费义务。已参加商业保险的，只能作为基本养老保险的补充，不能以此代替基本养老保险。发行缴费义务的人员，达到退休年龄时或经批准退休后，依法享受国家、省、市人民政府规定的养老保险待遇。
　　第五条 基本养老保险费的申报：非国有企业必须如实向社会保险机构和地方税务局申报企业实际支付的工资总额及职工的工资，并作为计算缴费数额的依据；个体工商户户主及其使用的城镇从业人员以及城镇个体劳动者按实际收入申报。
　　实际工资或收低于上年度本市职工平均工资60%的，按60%计算；超过300%以上的，超过部分不计入。
　　第六条 基本养老保险费的缴纳；
　　（一）非国有企业缴纳比例为企业工资总额的24%，其中企业交纳20%，职工个人交纳4%。个人缴费比例的调整与国有企业职工同步，比例达到8%时个人缴费比例不再变动。从缴费之月起计算缴费年限。
　　退休人员较多的非国有企业，其基本养老金支付水平等于或高于国有大型企业缴纳比例（28.5%）的，企业缴费比例按国有企业标准计缴。
　　个体工商户户主及其使用的城镇从业人员以及城镇个体劳动者，缴纳比例为个人实际收入的20%。
　　（二）非国有企业根据社会保险机构缴费数额，按月向地方税务局缴纳基本养老保险费，其中个人缴费部分，由企业按月从职工工资中代扣代缴。个体工商户户主及其使用的城镇从业人员以及城镇个体劳动者，由本人根据社会保险机构核定的缴费数额，按月向地方税务局缴纳。
　　愈期不缴或者少缴的，由市地方税务局按日加收应缴、少缴金额千分之二滞纳金并入基本养老保险基金。
　　在省、市工商行政管理部门登记注册的，向市地方税务局缴纳；在区、县（市）工商行政管理部门登记注册的。向区、县（市）地方税务局缴纳。
　　第七条 市和各区及贵阳经济技术开发区地方税务局（分局）代收缴的基本养老保险费，按月存入市社会保险机构在银行设立的“基本养老保险基金专户”：各县（市）地方税务代缴的基本养老保险费按月存入各县（市）社会保险机构在银行设立的“基本养老保险基金专户”。社会保险机构要保证专款专用，全部用于职工养老保险，严禁挤占挪用。财政、审计部门要依法加强监督和审计，确保基金的安全使用。
　　第八条 基本养老保险个人帐户：
　　（一）凡参加基本养老保险社会统筹的人员，由社会保险机构为其建立基本养老保险个人帐户，发给《职工养老保险手册》，《个人帐户手册》，经劳动部门批准退休手续或达到退休年龄时，作为计发基本养老金的依据。
　　（二）个人帐户记帐办法：
　　企业职工个人帐户按本人缴费工资的11%记帐，其中个人缴费全部记入个人帐户，其余部分从企业缴费中划入。
　　个体工商户户主及其使用的城镇从业人员以及城镇个体劳动者，按本人缴费收入的11%记入个人帐户。
　　个人帐户储存额只用于退休后养老，不得提前支取。发行缴费义务的人员在职或退休后死亡的。个人帐户中的个人缴费部分可以继承，企业缴纳部分并入基本养老保险基金。
　　第九条 非国有企业职工转移就业单位时，由原单位到社会保险机构办理养老保险转移手续，个人帐户全部随同转移；用人单位凭转移手续和《个人帐户手册》；到社会保险机构办理养老保险续保手续，其个人帐户储存额、缴费年限均连续计算。
　　个体工商户户主及其使用的城镇从业人员以及城镇个体劳动者转移就业单位时，由本人到社会保险机构办理养老保险转移手续。
　　第十条 1998年7月1日参加基本养老保险社会统筹的非国有企业，向退休人员发放的基本养老金数额超过企业缴费的数额时，超过的部分由企业和社会统筹共同承担。分四年过渡：第一年统筹承担50%，企业承担50%；第二年统筹承担60%，企业承担40%；第三年统筹承担70%，企业承担30%；第四年统筹承担80%，企业承担20%。第五年起全部由社会统筹承担。
　　就补缴基本养老保险费的，按《贵阳市企业职工基本养老保险金计发办法实施细则》第六条的规定补缴。
　　第十一条 非国有企业和个体工商户在办理工商年度审（验）照，贴花和变更营业执照时，应向工商管理部门出示社会保险机构加盖“基本养老保险基金收缴验讫章”的《职工养老保险手册》。
　　非国有企业和个体工商户在办理减免税收手续时，应向税务部门出示社会保险机构加盖“基本养老保险基金收缴验讫章”的《职工养老保险手册》。
　　非国有企业和个体工商户在城管、外经、城建、交通、文化、公安、卫生、规划、国土等部门办理资质审验、资格认证、年审年检、规划审批、土地审批等与经营主体资格相关的手续时，应出示社会保险机构加盖“基本养老保险基金收缴验讫章”的《职工养老保险手册》。新办企业和个体经济组织应到社会保险机构办理基本养老保险手续。
　　第十二条 参加基本养老保险社会统筹的具体组织工作由企业主管部门负责。
　　（一）集体企业、混合所有制企业、股份制企业、股份合作制企业由企业主管部门和区、县（市）负责；
　　（二）港、澳、台商投资企业和外商投资企业，由主管部门负责，无主管部门的由市外经委负责；
　　（三）私营企业、个体工商户及城镇个体劳动者，由市和区、县（市）工商局负责；
　　（四）建筑施工、房屋开发、房屋装修、物业管理，由市和区、县（市）建委负责；
　　（五）其它无主管部门的，直接到社会保险机构办理，由市和区、县（市）建委负责。
　　第十三条 基本养老保险基金由市集中统一管理。各区和贵阳经济技术开发区于1999年1月1日前纳入市级统筹，社会保险机构改为派出制，由市劳动局和区政府（管委会）实行双重领导。各县（市）逐步纳入市级统筹，社会保险机构的运行暂按现行体制，待条件成熟后逐步向派出制过渡。
　　第十四条 本暂行规定所称的缴费工资是指：计算职工应缴基本养老保险费的企业职工工资额。
缴费收入是指：计算个人应缴基本养老保险费的个人收入额。
　　第十五条 本暂行规定由市人民政府法制局负责解释。
　　第十六条 本暂行规定由1998年7月1日起施行。


中国保险监督管理委员会


关于印发《保险公司信息系统安全管理指引（试行）》的通知

保监发〔2011〕68号


各保险公司、保险资产管理公司：

　　为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。现印发给你们，请遵照执行。




　　　　　　　　　　　　　　　　　　　　　　　 　中国保险监督管理委员会

　　　　　　　　　　　　　　　　　　　　　　　 　 二〇一一年十一月十六日

　　保险公司信息系统安全管理指引（试行）

一、总 则　

　　第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。

　　第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

　　第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。

　　第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。

　　实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规划执行。

　　第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。

　　
二、安全管理总体要求　　

　　第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。

　　第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。

　　第八条信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。

　　第九条各公司应履行以下信息系统安全管理职责：

　　（一）贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。

　　（二）组织公司信息系统安全规划与建设工作，制订相关管理规定。

　　（三）建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。

　　（四）对信息系统安全事件进行管理、处置和上报。

　　（五）组织公司员工信息系统安全教育与培训。

　　（六）开展与信息系统安全相关的其他工作。

　　第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行评审、修订。

　　第十一条针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制过程进行及时记录。

　　第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责，建立必要的岗位分离和职责权限制约机制，实行最小授权，避免单一人员权限过于集中引发风险，重要岗位应设定候补员工及工作接替计划。

　　第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训，对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理，明确上岗与离岗要求，重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训，并签订保密承诺书。

　　第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求，明确信息系统安全保护等级，实施信息系统安全等级保护，按等级安全要求进行备案并定期测评和整改。

　　第十五条 制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节，加强重要数据信息控制和保护，保障信息的合法、合规使用。

　　第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准，推进信息系统灾难恢复建设工作并定期进行演练，确保业务连续性。

　　第十七条 对信息系统安全事件进行等级划分和事件分类，制定安全事件报告、响应处理程序等应急预案，并定期进行演练，评审和修订。遇有重大信息系统事故或突发事件，应按应急预案快速响应处理，并按规定及时向中国保监会报告。

　　第十八条 建立有效可靠的安全信息获取渠道，获取与公司信息系统运营相关的外部安全预警信息，汇总、整理公司内部安全信息，及时提交公司信息安全专业工作机构，并按相关流程发布实施。

　　第十九条 设立独立于信息技术部门的信息科技风险审计岗位，负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查，至少每两年开展一次信息科技风险评估与审计，并将信息科技风险评估审计报告报送中国保监会。

　　鼓励公司在符合国家有关法律、法规和监管要求的情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。

　　第二十条加强信息系统知识产权保护和推进正版化工作，禁止复制、传播或使用非授权软件。

　　第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求，加强信息安全管理体系认证安全管理，选择国家认证认可监督管理部门批准的机构进行认证，并与认证机构签订安全和保密协议。

　　第二十二条 在信息系统可能对客户服务造成较大影响时，根据有关法律法规及时和规范地披露信息系统风险状况，并以适当的方式告知客户。

　　
三、基础设施与网络设备环境　　

　　第二十三条根据信息化发展需要，建设相应的中心机房和灾备机房（以下统称“机房”）。机房应设置在中华人民共和国境内（不包括港、澳、台地区），机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司，应保证受托方机房符合上述标准，主机托管应具有独立的操作空间和严格的安全措施。

　　第二十四条 建立健全机房运行维护安全管理制度，指定专门部门及专人负责机房安全管理，采取合理的物理访问控制，对出入机房人员进行审查、登记，确保对机房实施7×24小时实时监控。

　　第二十五条 建立信息系统资产安全管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产分配、使用、存储、维护和销毁等各种行为，定期对资产清单进行一致性检查并保留检查记录。

　　第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域，采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。

　　第二十七条 根据业务、应用系统的功能及信息安全级别，将网络与信息系统划分成不同的逻辑安全区域，在网络各区域之间以及网络边界建立访问控制措施，部署监控手段，控制数据流向安全。

　　第二十八条建立较为完备的网络体系，具有合理的网络结构，重要网络设备和通信线路应具有冗余备份，确保业务系统安全稳定运行。

　　第二十九条 建立网络安全管理制度，规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核，保障安全策略的有效执行。

　　第三十条 内部网络与互联网、外联单位网络等连接时，应明确网络外联种类方式，采用可靠连接策略及技术手段，实现彼此有效隔离，并对跨网络流量、网络用户行为等进行记录和定期审计，同时确保审计记录不被删除、修改或覆盖。

　　第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为，明确接入方式、访问控制等措施要求，形成网络接入日志并定期审计，确保未经审查通过的设备无法接入。

　　第三十二条 加强信息系统平台软件安全管理，确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署，严格控制信息系统身份访问、资源访问，监控主机系统的资源使用情况，并在服务水平降低到设定阈值时发出报警。

　　第三十三条 分类对计算机终端的安全提出要求，制订终端网络准入、安全策略、软件安装等管理规范。

　　第三十四条 规范化管理信息系统相关硬件设备，规范设备选型、购置、登记、保养、维修、报废等相关流程，实时动态监控设备运行状态，定期进行巡检、维护和保养并保留相关记录。

　　第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等，并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时，应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质，应严格依据国家及监管部门要求进行保存与销毁等管理。　　

四、应用系统与数据安全

　　第三十六条 建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离。

　　第三十七条 生产系统应与开发、测试系统有效隔离，确保生产系统安全、稳定运行。

　　第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则，保存相关文档和记录。制定信息系统代码编写安全规范，规范开发人员对源代码访问权限的管理，有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统，应采取必要的保密措施确保其开发实施安全，不得使用敏感生产数据用于开发、测试环境。

　　第三十九条 信息系统正式上线运行前，应对系统进行功能、性能与安全性测试与验收，经相关流程审批后方可投入使用。

　　第四十条 制定有效的信息系统变更管理流程，控制系统变更过程，分析变更影响，确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志，并做好系统变更前准备。

　　第四十一条 对信息系统的运行维护负责，保持运行维护控制力。加强安全入侵检测监控，进行风险评估与安全扫描，及时发现并处置安全事件。

　　第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制，严格帐号权限控制管理，规范权限分配和回收流程，保存审计记录，及时进行分析处理。确保全面的追踪、分析和解决信息系统问题，并对问题记录、分类和索引。

　　在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况，应妥善处理，保证系统及数据安全。

　　第四十三条 根据内部控制与审计的要求，保存信息系统相关日志，并采取适当措施确保日志内容不被删除、修改或覆盖。

　　第四十四条 对主机系统进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。

　　第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性，明确数据及系统的备份与灾难恢复策略。

　　第四十六条采用必要的技术手段和管理措施，保证数据通信的保密性和完整性。涉密信息应进行加密处理，确保涉密信息在传输、处理、存储过程中不被泄露或篡改。

　　与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理，采用国家和行业相关数据交换标准，保障数据交换过程安全可控。

　　第四十七条 按照国家密码管理相关规定和要求，建立健全密码设备管理制度，加强密码设备使用人员管理，使用符合国家要求和信息加密强度要求的加密技术和产品，加强相关信息系统安全保密设计和建设。

　　第四十八条 加强互联网门户网站系统安全管理工作，建立严格信息发布审批制度，严格控制网站内容发布权限，对网站系统进行安全评估，确保网站系统安全稳定运行。

　　第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范，明确各交易环节或过程安全要求，采取必要安全技术和管理措施，保护个人信息和客户敏感商业信息，保留交易相关日志，确保交易行为安全可靠。

　　第五十条 加强信息系统病毒防护工作，集中进行防病毒产品的选型测试和部署实施，及时更新防病毒软件和病毒代码，发现病毒或异常情况及时处理。

　　建立恶意代码防范管理制度，并部署防恶意代码软件，对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定，采取管理与技术措施，确保具备主动发现和有效阻止恶意代码传播的能力。

　
五、信息化工作外包与采购服务　　

　　第五十一条实施信息化工作外包的公司，应制定完备的外包服务管理制度，将外包纳入全面风险管理体系，合理审慎实施外包。

　　不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时，应遵守国家和监管部门有关法律法规与要求，并经过公司决策机构批准。

　　第五十二条根据国家与监管部门有关外包与采购规定，结合风险控制和实际需要，建立有效的外包和采购内部评估审核流程与监督管理机制。

　　第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎，在准备实施重要外包时应以书面材料正式报告中国保监会。

　　第五十四条 建立健全外包承包方考核、评估机制，定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核，确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。

　　第五十五条 与外包承包方签订书面外包服务合同，合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款，且承包方须承诺配合保险公司接受保险监督管理机构的检查。

　　第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目，应采取有力措施，确保外包服务质量和安全不受影响和不衰减。

　　第五十七条 与外包承包方建立有效信息交流与沟通机制，确保外包服务人员的相对稳定性。对于人员的必要流动，应要求外包承包方承诺确保外包服务的连续性与安全性。

　　第五十八条中国保监会根据需要对外包活动进行现场检查，采集外包活动过程中数据信息和相关资料，对于违反相关法律、法规或存在重大风险隐患的外包情形，可以要求公司进行整改，并视情况予以问责。

　　
六、附则　　

　　第五十九条本指引由中国保监会负责解释、修订。

　　第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》（保监厅发〔2007〕8号）

　　第六十一条本指引自发布之日起实施。