关于印发《保险公司信息系统安全管理指引（试行）》的通知

保监发〔2011〕68号


各保险公司、保险资产管理公司：

　　为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。现印发给你们，请遵照执行。




　　　　　　　　　　　　　　　　　　　　　　　 　中国保险监督管理委员会

　　　　　　　　　　　　　　　　　　　　　　　 　 二〇一一年十一月十六日

　　保险公司信息系统安全管理指引（试行）

一、总 则　

　　第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。

　　第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

　　第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。

　　第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。

　　实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规划执行。

　　第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。

　　
二、安全管理总体要求　　

　　第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。

　　第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。

　　第八条信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。

　　第九条各公司应履行以下信息系统安全管理职责：

　　（一）贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。

　　（二）组织公司信息系统安全规划与建设工作，制订相关管理规定。

　　（三）建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。

　　（四）对信息系统安全事件进行管理、处置和上报。

　　（五）组织公司员工信息系统安全教育与培训。

　　（六）开展与信息系统安全相关的其他工作。

　　第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行评审、修订。

　　第十一条针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制过程进行及时记录。

　　第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责，建立必要的岗位分离和职责权限制约机制，实行最小授权，避免单一人员权限过于集中引发风险，重要岗位应设定候补员工及工作接替计划。

　　第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训，对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理，明确上岗与离岗要求，重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训，并签订保密承诺书。

　　第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求，明确信息系统安全保护等级，实施信息系统安全等级保护，按等级安全要求进行备案并定期测评和整改。

　　第十五条 制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节，加强重要数据信息控制和保护，保障信息的合法、合规使用。

　　第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准，推进信息系统灾难恢复建设工作并定期进行演练，确保业务连续性。

　　第十七条 对信息系统安全事件进行等级划分和事件分类，制定安全事件报告、响应处理程序等应急预案，并定期进行演练，评审和修订。遇有重大信息系统事故或突发事件，应按应急预案快速响应处理，并按规定及时向中国保监会报告。

　　第十八条 建立有效可靠的安全信息获取渠道，获取与公司信息系统运营相关的外部安全预警信息，汇总、整理公司内部安全信息，及时提交公司信息安全专业工作机构，并按相关流程发布实施。

总共4页  1 [2] [3] [4] 
下一页