根据《监管办法》，保险中介机构是信息化工作的第一责任主体，法定代表人或主要负责人对信息化建设承担首要责任，这一要求与《网络安全法》中“网络运营者对其网络安全负责”的核心原则完全衔接，即使系统由第三方供应商提供，中介机构对整体合规性、数据安全、风险处置的最终责任仍不可转移，仅可依据约定划分服务商的具体操作责任。

• 服务商核心职责：聚焦技术层面的安全保障，包括系统安全架构设计、核心数据存储、访问权限管控、系统漏洞的周期性扫描与修复、安全审计日志的技术留存、应急响应的技术支持等。此外，还需按规范要求生成数据文件并与监管信息系统对接。

• 中介机构核心职责：聚焦管理层面的责任落实，包括明确内部安全管理责任人、制定符合自身业务的安全管理制度、对员工开展安全意识培训、审核服务商的合规资质、监督服务商责任履行情况等。

• 协同职责：包括安全事件的联合处置、合规材料的协同整理、系统变更的同步沟通等，需通过书面约定明确衔接流程。

以上海金融监管局通报为代表的地方监管要求，更强调“可验证、可追溯”的实操性，核心细化点包括：

• 升级身份认证机制，对重要互联网系统及敏感数据存储系统，可实施“双因子认证+强密码校验”等必要的访问控制措施，对关键环境、应用启用二次鉴权手段。

• 规范全流程开发运维体系，将安全要求贯穿“需求－设计－编码－测试－上线”全环节，关键节点需留存安全评审记录。

• 建立常态化监测体系，及时发现并处置安全态势，定期开展渗透测试，及时处置高危漏洞，建立漏洞整改闭环机制。

作为第一责任主体，中介机构需与供应商围绕“业务场景－风险点－责任方－举证要求”明确权责，比如客户敏感数据存储环节，服务商承担加密技术实现责任、中介机构承担采集合法性审核责任，双方自行留存对应佐证材料；供应商管理需构建“准入－考评－退出”全流程机制，准入核查服务资质与数据隔离方案，日常将安全架构完整性、漏洞修复及时性纳入供应商考评，退出时明确数据交接与权限回收要求，确保全链路风险可控。

• 系统安全架构：需满足网络安全等级保护要求，建议至少达到等保二级；

• 数据安全与隐私保护：需建立数据分类分级制度，对核心业务数据、重要数据等采取加密、脱敏措施；

• 日志管理与审计溯源：记录数据查询、导出、删除等敏感操作，确保操作可追溯。

将安全要求嵌入系统开发生命周期，涵盖需求、设计、编码、测试、上线等环节。建立漏洞修复与应急响应机制，定期开展渗透测试与整改验证。