第十九条 设立独立于信息技术部门的信息科技风险审计岗位，负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查，至少每两年开展一次信息科技风险评估与审计，并将信息科技风险评估审计报告报送中国保监会。

　　鼓励公司在符合国家有关法律、法规和监管要求的情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。

　　第二十条加强信息系统知识产权保护和推进正版化工作，禁止复制、传播或使用非授权软件。

　　第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求，加强信息安全管理体系认证安全管理，选择国家认证认可监督管理部门批准的机构进行认证，并与认证机构签订安全和保密协议。

　　第二十二条 在信息系统可能对客户服务造成较大影响时，根据有关法律法规及时和规范地披露信息系统风险状况，并以适当的方式告知客户。

　　
三、基础设施与网络设备环境　　

　　第二十三条根据信息化发展需要，建设相应的中心机房和灾备机房（以下统称“机房”）。机房应设置在中华人民共和国境内（不包括港、澳、台地区），机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司，应保证受托方机房符合上述标准，主机托管应具有独立的操作空间和严格的安全措施。

　　第二十四条 建立健全机房运行维护安全管理制度，指定专门部门及专人负责机房安全管理，采取合理的物理访问控制，对出入机房人员进行审查、登记，确保对机房实施7×24小时实时监控。

　　第二十五条 建立信息系统资产安全管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产分配、使用、存储、维护和销毁等各种行为，定期对资产清单进行一致性检查并保留检查记录。

　　第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域，采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。

　　第二十七条 根据业务、应用系统的功能及信息安全级别，将网络与信息系统划分成不同的逻辑安全区域，在网络各区域之间以及网络边界建立访问控制措施，部署监控手段，控制数据流向安全。

　　第二十八条建立较为完备的网络体系，具有合理的网络结构，重要网络设备和通信线路应具有冗余备份，确保业务系统安全稳定运行。

　　第二十九条 建立网络安全管理制度，规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核，保障安全策略的有效执行。

　　第三十条 内部网络与互联网、外联单位网络等连接时，应明确网络外联种类方式，采用可靠连接策略及技术手段，实现彼此有效隔离，并对跨网络流量、网络用户行为等进行记录和定期审计，同时确保审计记录不被删除、修改或覆盖。

　　第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为，明确接入方式、访问控制等措施要求，形成网络接入日志并定期审计，确保未经审查通过的设备无法接入。

　　第三十二条 加强信息系统平台软件安全管理，确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署，严格控制信息系统身份访问、资源访问，监控主机系统的资源使用情况，并在服务水平降低到设定阈值时发出报警。

　　第三十三条 分类对计算机终端的安全提出要求，制订终端网络准入、安全策略、软件安装等管理规范。

　　第三十四条 规范化管理信息系统相关硬件设备，规范设备选型、购置、登记、保养、维修、报废等相关流程，实时动态监控设备运行状态，定期进行巡检、维护和保养并保留相关记录。

　　第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等，并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时，应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质，应严格依据国家及监管部门要求进行保存与销毁等管理。　　

四、应用系统与数据安全

　　第三十六条 建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离。

　　第三十七条 生产系统应与开发、测试系统有效隔离，确保生产系统安全、稳定运行。

　　第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则，保存相关文档和记录。制定信息系统代码编写安全规范，规范开发人员对源代码访问权限的管理，有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统，应采取必要的保密措施确保其开发实施安全，不得使用敏感生产数据用于开发、测试环境。

　　第三十九条 信息系统正式上线运行前，应对系统进行功能、性能与安全性测试与验收，经相关流程审批后方可投入使用。

总共4页  [1] 2 [3] [4] 
上一页  下一页