保险公司信息系统安全管理指引(试行).docx

《保险公司信息系统安全管理指引(试行).docx》由会员分享，可在线阅读，更多相关《保险公司信息系统安全管理指引(试行).docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、保险公司信息系统安全管理指引(试行) 保险公司信息系统平安管理指引（试行） 一、总 则 第一条为防范化解保险公司信息系统平安风险，完善信息系统平安保障体系，确保信息系统平安、稳定运行，依据中华人民共和国保险法、国家信息平安相关法律法规和有关要求，制定本指引。 其次条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。 第三条本指引所称信息系统平安，是指利用信息平安技术及管理手段，爱护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不行抵赖性，保障信息系统的平安、稳定运行。 第四条信息系统平安是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段，加强

2、信息平安保障工作，保障业务活动的连续性。 实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统平安工作统筹规划执行。 第五条中国保监会依法对保险公司信息系统平安工作实施监督管理。 二、平安管理总体要求 第六条信息系统平安工作应根据“主动防卫、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统平安保障体系。 第七条各公司是信息系统平安的责任主体。公司法定代表人或主要负责人为信息系统平安的第一责任人。 第八条信息化工作委员会之下应设立信息平安专业工作机构，全面统筹协调公司信息系统平安相关事项的研判决策，并应指定公司级高级管理人员负责

3、信息平安专业工作机构，作为信息系统平安的干脆责任人。 第九条各公司应履行以下信息系统平安管理职责： （一）实行国家和监管部门有关信息系统平安管理的法律法规、技术标准和相关要求。 （二）组织公司信息系统平安规划与建设工作，制订相关管理规定。 （三）建立有效的信息系统平安保障体系并定期或依据工作须要刚好进行检查、评估、审计、改进、监控等工作。 （四）对信息系统平安事务进行管理、处置和上报。 （五）组织公司员工信息系统平安教化与培训。 （六）开展与信息系统平安相关的其他工作。 第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、平安事务管理及应用等各层面的平安管理规章制度，并定期或

4、依据须要刚好对平安管理规章制度进行评审、修订。 第十一条针对信息系统平安的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部限制体系，并对审批文档和内部限制过程进行刚好记录。 第十二条 配备足够的具有专业学问和技能的信息系统平安工作人员。明确信息系统平安相关人员角色和职责，建立必要的岗位分别和职责权限制约机制，实行最小授权，避开单一人员权限过于集中引发风险，重要岗位应设定候补员工及工作接替安排。 第十三条 定期或依据工作须要刚好对高级管理人员开展信息平安管理与治理相关培训，对参加信息系统建设、运行维护和操作运用的人员进行平安教化、技能培训和考核。

5、加强岗位管理，明确上岗与离岗要求，重要岗位须签署相关岗位协议。对涉密岗位工作人员应特殊进行保密教化培训，并签订保密承诺书。 第十四条 根据国家和监管部门信息系统平安规范、技术标准及等级爱护管理要求，明确信息系统平安爱护等级，实施信息系统平安等级爱护，按等级平安要求进行备案并定期测评和整改。 第十五条 制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、复原和销毁等环节，加强重要数据信息限制和爱护，保障信息的合法、合规运用。 第十六条 根据国家和监管部门信息系统灾难复原管理要求、规范和技术标准，推动信息系统灾难复原建设工作并定期进行演练，确保业务连续性。 第十七条 对信息系统平

6、安事务进行等级划分和事务分类，制定平安事务报告、响应处理程序等应急预案，并定期进行演练，评审和修订。遇有重大信息系统事故或突发事务，应按应急预案快速响应处理，并按规定刚好向中国保监会报告。 第十八条 建立有效牢靠的平安信息获得渠道，获得与公司信息系统运营相关的外部平安预警信息，汇总、整理公司内部平安信息，刚好提交公司信息平安专业工作机构，并按相关流程发布实施。 第十九条 设立独立于信息技术部门的信息科技风险审计岗位，负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息平安限制策略和措施及落实状况进行检查，至少每两年开展一次信息科技风险评估与审计，并将信息科技风险评估审计报告报送中国

7、保监会。 激励公司在符合国家有关法律、法规和监管要求的状况下，聘请具备相应资质的外部机构进行外部审计和风险评估。 其次十条加强信息系统学问产权爱护和推动正版化工作，禁止复制、传播或运用非授权软件。 其次十一条申请信息平安管理体系认证的公司应按国家及监管部门要求，加强信息平安管理体系认证平安管理，选择国家认证认可监督管理部门批准的机构进行认证，并与认证机构签订平安和保密协议。 其次十二条 在信息系统可能对客户服务造成较大影响时，依据有关法律法规刚好和规范地披露信息系统风险状况，并以适当的方式告知客户。 三、基础设施与网络设备环境 其次十三条依据信息化发展须要，建设相应的中心机房和灾备机房（以下统

8、称“机房”）。机房应设置在中华人民共和国境内（不包括港、澳、台地区），机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司，应保证受托方机房符合上述标准，主机托管应具有独立的操作空间和严格的平安措施。 其次十四条 建立健全机房运行维护平安管理制度，指定特地部门及专人负责机房平安管理，实行合理的物理访问限制，对出入机房人员进行审查、登记，确保对机房实施724小时实时监控。 其次十五条 建立信息系统资产平安管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产安排、运用、存储、维护和销毁等各种行为，定期对资产清单进行一样性检查并保留检查记录。 其次十六条 依据设备功能及软件应用

9、等性质设立物理平安爱护区域，实行必要的预防、检测和复原限制措施。重要爱护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。 其次十七条 依据业务、应用系统的功能及信息平安级别，将网络与信息系统划分成不同的逻辑平安区域，在网络各区域之间以及网络边界建立访问限制措施，部署监控手段，限制数据流向平安。 其次十八条建立较为完备的网络体系，具有合理的网络结构，重要网络设备和通信线路应具有冗余备份，确保业务系统平安稳定运行。 其次十九条 建立网络平安管理制度，规范管理网络结构、平安配置、日志保存、平安限制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核，保障

10、平安策略的有效执行。 第三十条 内部网络与互联网、外联单位网络等连接时，应明确网络外联种类方式，采纳牢靠连接策略及技术手段，实现彼此有效隔离，并对跨网络流量、网络用户行为等进行记录和定期审计，同时确保审计记录不被删除、修改或覆盖。 第三十一条 严格限制移动式设备接入、无线接入和远程接入等网络接入行为，明确接入方式、访问限制等措施要求，形成网络接入日志并定期审计，确保未经审查通过的设备无法接入。 第三十二条 加强信息系统平台软件平安管理，确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署，严格限制信息系统身份访问、资源访问，监控主机系统的资源运用状况，并在服务水平降低到设定阈值时发

11、出报警。 第三十三条 分类对计算机终端的平安提出要求，制订终端网络准入、平安策略、软件安装等管理规范。 第三十四条 规范化管理信息系统相关硬件设备，规范设备选型、购置、登记、保养、修理、报废等相关流程，实时动态监控设备运行状态，定期进行巡检、维护和保养并保留相关记录。 第三十五条 制定介质分类管理制度。依据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等，并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出修理或销毁时，应保证介质信息预先得到审查并妥当处理。对于存储客户隐私等涉密信息的存储介质，应严格依据国家及监管部门要求进行保存与销毁等管理。 四、应用系

12、统与数据平安 第三十六条 建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分别。 第三十七条 生产系统应与开发、测试系统有效隔离，确保生产系统平安、稳定运行。 第三十八条 信息系统开发、实施过程应明确限制方法和人员行为准则，保存相关文档和记录。制定信息系统代码编写平安规范，规范开发人员对源代码访问权限的管理，有效爱护公司信息资产平安。涉及公司核心或机密数据的信息系统，应实行必要的保密措施确保其开发实施平安，不得运用敏感生产数据用于开发、测试环境。 第三十九条 信息系统正式上线运行前，应对系统进行功能、性能与平安性测试与验收，经相关

13、流程审批后方可投入运用。 第四十条 制定有效的信息系统变更管理流程，限制系统变更过程，分析变更影响，确保生产环境的完整性和牢靠性。包括紧急变更在内的全部变更都应记入日志，并做好系统变更前打算。 第四十一条 对信息系统的运行维护负责，保持运行维护限制力。加强平安入侵检测监控，进行风险评估与平安扫描，刚好发觉并处置平安事务。 第四十二条建立覆盖信息系统全生命周期的信息平安问题管理流程。建立系统身份鉴别机制，严格帐号权限限制管理，规范权限安排和回收流程，保存审计记录，刚好进行分析处理。确保全面的追踪、分析和解决信息系统问题，并对问题记录、分类和索引。 在遇有系统及数据升级、存档、存储、迁移、消退等须

14、要系统终止运行状况，应妥当处理，保证系统及数据平安。 第四十三条 依据内部限制与审计的要求，保存信息系统相关日志，并实行适当措施确保日志内容不被删除、修改或覆盖。 第四十四条 对主机系统进行审计，妥当管理并刚好分析处理审计记录。对重要用户行为、异样操作和重要系统吩咐的运用等应进行重点审计。 第四十五条 建立信息系统灾难复原管理机制。依据数据及系统的重要性，明确数据及系统的备份与灾难复原策略。 第四十六条采纳必要的技术手段和管理措施，保证数据通信的保密性和完整性。涉密信息应进行加密处理，确保涉密信息在传输、处理、存储过程中不被泄露或篡改。 与外部相关单位信息交换时要保证信息交换协议、策略、密钥等

15、开发运维平安管理，采纳国家和行业相关数据交换标准，保障数据交换过程平安可控。 第四十七条 根据国家密码管理相关规定和要求，建立健全密码设备管理制度，加强密码设备运用人员管理，运用符合国家要求和信息加密强度要求的加密技术和产品，加强相关信息系统平安保密设计和建设。 第四十八条 加强互联网门户网站系统平安管理工作，建立严格信息发布审批制度，严格限制网站内容发布权限，对网站系统进行平安评估，确保网站系统平安稳定运行。 第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范，明确各交易环节或过程平安要求，实行必要平安技术和管理措施，爱护个人信息和客户敏感商业信息，保留交易相关日志，确保交易行为

16、平安牢靠。 第五十条 加强信息系统病毒防护工作，集中进行防病毒产品的选型测试和部署实施，刚好更新防病毒软件和病毒代码，发觉病毒或异样状况刚好处理。 建立恶意代码防范管理制度，并部署防恶意代码软件，对防恶意代码软件的授权运用、恶意代码库升级、定期汇报等做出明确规定，实行管理与技术措施，确保具备主动发觉和有效阻挡恶意代码传播的实力。 五、信息化工作外包与选购服务 第五十一条实施信息化工作外包的公司，应制定完备的外包服务管理制度，将外包纳入全面风险管理体系，合理审慎实施外包。 不得将信息系统平安管理责任外包。对涉及国家及本公司商业隐私和客户隐私等敏感信息系统内容进行外包时，应遵守国家和监管部门有关法

17、律法规与要求，并经过公司决策机构批准。 第五十二条依据国家与监管部门有关外包与选购规定，结合风险限制和实际须要，建立有效的外包和选购内部评估审核流程与监督管理机制。 第五十三条 实施数据中心、信息科技基础设施等重要外包应特别谨慎，在打算实施重要外包时应以书面材料正式报告中国保监会。 第五十四条 建立健全外包承包方考核、评估机制，定期对承包方财务状况、技术实力、平安资质、风险限制水平和诚信记录等进行审查、评估与考核，确保其设施和实力满意外包要求。公司应优先选用通过信息平安管理体系认证的信息技术服务机构供应外包服务。 第五十五条 与外包承包方签订书面外包服务合同，合同包括但不限于外包服务范围、平安

18、保密、学问产权、业务连续性要求、争端解决机制、合同变更或终止的过渡支配、违约责任等条款，且承包方须承诺协作保险公司接受保险监督管理机构的检查。 第五十六条 严格限制外包承包方的再转包行为。对于确有第三方外包供应商参加实施的项目，应实行有力措施，确保外包服务质量和平安不受影响和不衰减。 第五十七条 与外包承包方建立有效信息沟通与沟通机制，确保外包服务人员的相对稳定性。对于人员的必要流淌，应要求外包承包方承诺确保外包服务的连续性与平安性。 第五十八条中国保监会依据须要对外包活动进行现场检查，采集外包活动过程中数据信息和相关资料，对于违反相关法律、法规或存在重大风险隐患的外包情形，可以要求公司进行整

19、改，并视状况予以问责。 六、附则 第五十九条本指引由中国保监会负责说明、修订。 第六十条信息化工作重大事项范围请参考关于加强保险业信息化工作重大事项管理的通知（保监厅发20078号） 第六十一条本指引自发布之日起实施。 保险公司信息系统平安管理指引(试行) 公司信息系统平安管理方法 国美公司信息系统平安管理分析 信息系统平安 信息系统平安管理规范 信息系统平安管理方案 电力信息系统平安 银行信息系统平安管理方案 11.保险公司风险管理指引(试行) 信息系统平安应急预案 本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第14页 共14页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页