保险公司信息系统安全管理指引
保险信息化安全管理制度
一、目的为加强保险信息化安全管理,保障保险信息系统的安全稳定运行,确保客户信息安全,依据国家有关法律法规和行业规范,结合我司实际情况,特制定本制度。
二、适用范围本制度适用于我司所有涉及保险信息化系统的部门、岗位及人员。
三、组织机构及职责1.信息化安全管理领导小组:负责制定信息化安全管理制度,组织、协调、监督信息化安全管理工作。
2.信息化安全管理办公室:负责信息化安全管理制度的具体实施,组织开展信息化安全检查、评估、整改等工作。
3.各部门及岗位:按照本制度要求,落实信息化安全管理工作,确保信息系统安全稳定运行。
四、信息化安全管理制度1.系统安全(1)确保操作系统、数据库、应用系统等关键软件的安全性和可靠性,定期进行安全漏洞扫描和修复。
(2)设置合理的系统访问权限,严格控制用户权限分配,定期进行权限审核和调整。
(3)对重要系统进行数据备份,确保数据安全。
2.网络安全(1)采用防火墙、入侵检测系统、防病毒软件等网络安全设备,保障网络安全。
(2)严格控制外部访问,对内外部访问进行身份认证和权限控制。
(3)对重要数据进行加密传输,确保数据传输安全。
3.数据安全(1)建立健全数据管理制度,明确数据分类、存储、使用、共享等要求。
(2)对敏感数据进行加密存储,确保数据安全。
(3)定期对数据进行备份,确保数据可恢复。
4.人员安全管理(1)加强员工信息化安全意识培训,提高员工安全防范能力。
(2)严格执行员工离职、调岗等手续,确保信息系统访问权限及时变更。
(3)对违反信息化安全规定的行为,依法依规进行处理。
五、信息化安全检查与评估1.定期开展信息化安全检查,发现安全隐患及时整改。
2.定期开展信息化安全评估,评估结果纳入年度工作考核。
3.对重要信息系统进行安全审计,确保信息系统安全稳定运行。
六、附则1.本制度由信息化安全管理领导小组负责解释。
2.本制度自发布之日起施行。
保险公司信息系统管理制度
保险公司信息系统管理制度1. 简介该文档旨在规范保险公司的信息系统管理制度,确保信息系统运作的顺畅和安全性。
本制度适用于保险公司内的所有信息系统和相关设备的管理和运维。
2. 信息系统管理职责保险公司的信息系统管理职责由指定的信息系统管理员负责。
信息系统管理员的主要职责包括:- 确保信息系统的正常运行和维护;- 监督信息系统的安全性,包括数据保护和网络安全;- 制定信息系统管理策略和标准,并监督其执行;- 协助员工使用信息系统和解决技术问题;- 定期评估信息系统的性能和效能。
3. 信息系统安全措施为保证信息系统的安全性,保险公司应采取以下安全措施:- 确立和执行信息系统访问权限控制机制,包括用户账号管理、密码策略和访问授权;- 实施数据备份和恢复策略,保障关键数据的可靠性和可用性;- 部署防火墙、入侵检测系统和安全审计工具,保护网络免受恶意攻击;- 提供员工培训,加强信息安全意识和技能;- 建立事件管理和应急响应机制,及时应对信息安全事件和紧急情况。
4. 信息系统维护和更新为确保信息系统的有效运行,保险公司应进行定期的系统维护和更新。
以下是一些关键的维护和更新措施:- 定期巡检和维护信息系统的硬件设备和软件程序;- 及时应用安全补丁和更新,防止已知漏洞的滥用;- 做好系统容量规划和性能优化,确保系统的稳定和可扩展性;- 监测和记录系统运行状况,以及对应的维护操作和问题解决过程;- 管理信息系统供应商关系,与其保持良好的沟通和合作。
5. 法律合规性在信息系统管理中,保险公司应严格遵守相关的法律法规和政府要求。
以下是一些需要注意的法律合规事项:- 保护用户隐私和个人信息,合理收集、使用和存储用户数据,并遵守相关隐私保护法律;- 遵循电子交易法规定,确保电子合同和交易的合法性和有效性;- 定期进行信息系统安全审计,并配合相关审计工作;- 如有发生安全事件或信息泄露,及时报告有关部门,并采取应急措施进行处理。
保险公司信息化工作管理指引
关于印发《保险公司信息化工作管理指引(试行)》的通知保监发〔2009〕133号各保监局,各保险公司、保险资产管理公司:为加强保险公司信息化工作管理,提高保险业信息化工作水平,中国保险监督管理委员会制定了《保险公司信息化工作管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二○○九年十二月二十九日保险公司信息化工作管理指引(试行)一、总则第一条为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条中国保监会依法对保险公司信息化工作实施监督管理。
二、组织管理与规划第六条各公司是信息化工作规划、建设、管理和安全的责任主体。
公司法定代表人或主要负责人对此负有最终责任。
第七条各公司应建立信息化工作委员会,明确其工作职责和工作制度。
定期或根据需要召开工作会议,对信息化工作重大事项决策研判,并提交公司最高决策层批准实施。
第八条信息化工作委员会负责人应由公司高级管理人员担任,组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。
有条件的公司可聘请外部专家参加。
信息化工作委员会应下设办公室,负责落实和协调信息化工作委员会的具体事宜。
保险公司信息化工作管理指引(试行)
保险公司信息化工作管理指引(试行)一、背景和意义随着信息技术的发展,保险行业也逐渐加快了信息化步伐,信息化已经成为保险公司提高经营管理效率、降低成本、提升服务质量的必然选择。
保险公司信息化工作管理指引的制定旨在规范和指导保险公司在信息化建设方面的工作,促进信息化与业务发展的有效结合,推动保险行业向数字化、智能化、网络化、现代化发展。
二、总体要求1. 加强领导,引导全员参与。
保险公司高层领导要高度重视信息化工作,制定明确的信息化发展战略和规划,落实信息化责任,引领全员积极参与信息化建设,营造良好的信息化氛围。
2. 结合业务需求,突出创新驱动。
信息化建设要贴近保险业务发展的实际需求,以提高效率、降低成本、提升服务质量为目标,注重技术创新和业务创新,推动业务模式和流程改革。
3. 加强安全保障,保障数据完整性和机密性。
保险公司信息化工作要建立健全的信息安全管理体系,加强对数据的保护,保障数据完整性和机密性,防范信息泄露和网络攻击风险。
4. 提升服务能力,满足客户需求。
信息化建设要加强对客户需求的了解,优化服务流程,提升服务能力,满足客户个性化、多样化的需求,提高客户满意度。
5. 加强监督管理,落实责任。
建立信息化管理与监督体系,明确信息化工作的责任分工,加强对信息化项目的管理和监督,确保信息化工作的顺利推进。
三、主要内容1. 信息化战略规划制定信息化发展战略和规划,明确信息化建设的方向和目标,结合保险业务需求,确定信息化建设的重点和优先领域,制定长期、中期和短期的信息化规划。
2. 信息系统建设管理对保险公司的信息系统建设进行统一管理,包括选型、开发、实施、维护和升级等环节,建立健全的信息系统建设管理制度,确保信息系统的高效稳定运行。
3. 数据管理与安全建立完善的数据管理和数据安全保障机制,包括数据收集、存储、加工、传输和应用等全过程管理,保障数据的完整性、可靠性和安全性。
4. 业务流程优化结合信息化建设,推动业务流程改革和优化,提高业务处理效率和服务质量,提升客户体验和满意度。
保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)
保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)第一篇:保险公司信息化工作管理指引(试行)(保监发〔2009〕133号)中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(试行)》的通知(保监发〔2009〕133号)各保监局,各保险公司、保险资产管理公司:为加强保险公司信息化工作管理,提高保险业信息化工作水平,中国保险监督管理委员会制定了《保险公司信息化工作管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二○○九年十二月二十九日保险公司信息化工作管理指引(试行)一、总则第一条为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条中国保监会依法对保险公司信息化工作实施监督管理。
二、组织管理与规划第六条各公司是信息化工作规划、建设、管理和安全的责任主体。
公司法定代表人或主要负责人对此负有最终责任。
第七条各公司应建立信息化工作委员会,明确其工作职责和工作制度。
定期或根据需要召开工作会议,对信息化工作重大事项决策研判,并提交公司最高决策层批准实施。
第八条信息化工作委员会负责人应由公司高级管理人员担任,组成人员应包括信息技术、业务、财务、人事、发展规划和风险控制等部门的负责人。
保险公司信息安全管理方法
保险公司信息安全管理方法全文共四篇示例,供读者参考第一篇示例:保险公司信息安全管理方法随着信息技术的快速发展,保险公司的业务范围逐渐扩大,信息处理和传输的方式也越来越多样化。
在信息技术发展的信息安全问题也日益引起人们的重视。
保险公司作为大型金融机构,所处理的信息种类繁多、数量庞大、价值巨大,一旦信息泄露或遭受攻击,将会带来严重的后果。
信息安全管理对于保险公司而言至关重要。
信息安全管理是指保险公司对信息系统及其中的信息进行保护和管理的活动。
保险公司需要采取有效的信息安全管理方法来保护客户信息、财务信息以及公司内部机密信息的安全。
以下将介绍一些保险公司常用的信息安全管理方法。
1. 制定信息安全政策保险公司应该建立健全的信息安全政策,明确公司对信息安全的重视和要求。
这些政策应该包括信息安全目标、管理责任、信息安全的范围、信息安全管理体系和信息安全控制措施等内容。
通过制定信息安全政策,可以帮助保险公司建立一个信息安全的文化,提高员工的安全意识和信息安全水平。
2. 风险评估和管理保险公司应该对自身的信息系统进行全面的风险评估,识别潜在的信息安全风险,并制定相应的风险管理措施。
风险评估可以帮助保险公司了解自身的信息安全状况,及时发现和解决存在的问题,有效减少信息安全风险。
3. 建立信息安全管理体系保险公司应该建立完善的信息安全管理体系,确保信息安全管理工作的有效执行。
信息安全管理体系应包括组织结构、管理制度、技术措施等内容。
在信息安全管理体系的基础上,保险公司可以建立一整套完善的信息安全管理流程,包括信息安全培训、监控和审计、事件响应等环节。
4. 技术措施保险公司应该采取各种技术手段来加强信息安全保护。
包括加密技术、防火墙、入侵检测系统、反病毒软件等可以有效地保护信息的安全性。
保险公司还可以采用多重认证、访问控制、安全审计等技术手段来保护信息系统的安全性。
5. 管理控制措施除了技术措施外,保险公司还应该实施管理控制措施来强化信息安全管理。
保险信息系统安全管理制度
保险信息系统安全管理制度第一章总则第一条为了规范保险公司信息系统安全管理行为,防范各类信息安全风险,确保信息系统安全稳定运行,保护客户信息安全,依法合规开展业务,根据国家相关法律法规和监管要求,制定本制度。
第二条本制度适用于保险公司所有信息系统安全管理工作,包括信息系统的安全规划、安全建设、安全管理和安全运维等方面。
第三条保险公司应当建立健全信息系统安全管理组织架构和管理制度,完善信息系统安全风险管理体系,明确各级人员的信息安全管理职责与权利。
第四条保险公司应当加强信息系统安全管理能力建设,确保信息系统安全管理工作能够有效开展,提供足够的资源和支持。
第五条保险公司应当积极开展信息系统安全管理宣传教育工作,提高相关人员的信息安全意识,增强信息安全保密意识。
第六条保险公司应当建立健全信息系统安全管理监督检查机制,及时发现和纠正信息系统安全管理工作中存在的问题。
第七条保险公司应当加强与其他相关单位的信息系统安全管理合作,形成合力,共同维护信息系统的安全。
第八条本制度由保险公司信息系统管理部门负责解释与监督执行,经公司领导班子审定后生效,如有需要修改,须报经公司领导班子审定。
第二章信息系统安全管理组织架构第九条保险公司信息系统安全管理组织架构应当包括公司领导班子、信息系统管理部门、信息系统安全风险管理部门、信息系统安全技术支持部门、信息系统运维部门等部门。
第十条信息系统管理部门负责公司信息系统安全管理工作的规划、组织、领导和协调工作。
第十一条信息系统安全风险管理部门负责公司信息系统安全风险评估和分析工作,提出安全改进建议,监督安全管理实施情况。
第十二条信息系统安全技术支持部门负责公司信息系统安全防护技术支持工作,协助应对各类安全事件。
第十三条信息系统运维部门负责公司信息系统的规范运维工作,确保系统的安全可靠运行。
第三章信息系统安全风险管理第十四条保险公司应当建立健全信息系统安全风险管理制度,明确风险管理的责任部门和责任人员。
保险公司信息系统管理制度
保险公司信息系统管理制度一、总则为了规范和管理保险公司的信息系统,保障信息系统的安全性、完整性和可靠性,提高信息系统的运行效率和管理水平,特制定本制度。
二、责任主体1、信息系统管理部门是保险公司信息系统的牵头负责部门,负责制定信息系统管理政策、规划信息系统发展、组织信息系统建设、维护信息系统运行,确保信息系统安全、稳定、有效运行。
2、各业务部门是信息系统的使用和管理主体,应严格遵守信息系统管理制度,保护信息系统的安全性和完整性。
三、信息系统的建设和开发1、信息系统的建设和开发应基于业务需求,保险公司应根据自身的业务特点和发展需求,制定信息系统建设规划,明确信息系统建设的目标和内容。
2、信息系统的建设和开发应符合国家和行业的相关标准,保险公司应遵守有关法律法规和标准,确保信息系统的合法性和规范性。
3、信息系统的建设和开发应保证系统的安全性和可靠性,保险公司应采取必要的技术和管理措施,防范信息系统的各类风险和威胁。
四、信息系统的运行和维护1、信息系统的运行和维护是保险公司信息系统管理的重要环节,保险公司应建立健全的信息系统运行和维护管理制度,保证信息系统的稳定运行。
2、信息系统的运行和维护应遵循规范的操作流程,保险公司应制定详细的操作规程和工作流程,规范信息系统的运行和维护过程。
3、信息系统的运行和维护应定期进行检查和审计,保险公司应建立定期的信息系统检查和审计机制,保障信息系统的安全和稳定。
五、信息系统的安全保护1、信息系统的安全保护是保险公司信息系统管理的核心内容,保险公司应建立健全的信息系统安全管理制度,确保信息系统的安全性和完整性。
2、保险公司应进行信息系统安全风险评估,识别信息系统的各类安全风险和威胁,采取有效的安全措施,防范信息系统的安全威胁。
3、保险公司应加强对信息系统的安全监控,建立信息系统安全事件监测和响应机制,及时发现和应对信息系统的安全事件。
六、信息系统的管理和监督1、保险公司应建立健全的信息系统管理和监督机制,督促各部门严格执行信息系统管理制度,确保信息系统的安全和稳定运行。
保险公司信息系统安全管理指南
保险公司信息系统安全管理指南为了保护保险公司的信息系统安全,确保客户数据受到保护并防止潜在的信息泄露和黑客攻击,以下是一些信息系统安全管理的指南:1. 制定和执行严格的访问控制策略:确保只有经过授权的员工才能访问敏感的系统和数据,同时限制员工对系统和数据的访问权限,以最小化潜在的风险。
2. 定期进行安全漏洞检测和修复:对系统进行定期的安全漏洞扫描和修复,及时更新和修补系统,以防止黑客利用已知漏洞进行攻击。
3. 加强对外部连接和网络防火墙的控制:确保外部连接和网络防火墙被正确配置和管理,限制未经授权的外部访问,并阻止潜在的网络攻击。
4. 进行员工安全培训和意识教育:定期对员工进行信息安全培训,增强他们对信息安全的意识,并确保他们了解如何处理敏感数据和避免常见的安全风险。
5. 实施数据备份和恢复计划:定期对关键系统和数据进行备份,并确保备份数据的安全存储和可靠性,以应对潜在的数据丢失和系统故障。
6. 加强对供应商和第三方服务提供商的监管和审计:定期审计和监管供应商和第三方服务提供商的信息安全措施,确保他们符合公司的信息安全标准并保护客户数据的安全。
以上是一些保险公司信息系统安全管理的指南,通过严格执行这些指南,可以帮助保险公司确保其信息系统的安全,并最大程度地保护客户数据的安全。
7. 实施加密和身份验证技术:采用强大的加密技术来保护敏感数据的存储和传输,在对敏感数据进行传输时使用加密,并要求用户进行身份验证,以保证数据只被授权的用户访问。
8. 设立安全审计和监测机制:建立安全审计和监测机制,对系统和网络进行实时监控和审计,定期对系统进行安全事件分析,确保能够及时发现和应对潜在的安全威胁。
9. 制定紧急事件响应计划:建立紧急事件响应计划,包括对数据泄露、黑客攻击和系统故障等紧急事件的应对措施,确保公司能够及时、有效地应对紧急情况,最大程度地减少损失。
10. 定期进行安全漏洞评估和安全渗透测试:雇佣专业的安全团队来进行安全漏洞评估和安全渗透测试,发现和修复潜在的安全漏洞,预防黑客入侵和攻击。
保险公司信息系统安全管理指引
保险公司信息系统安全管理指引(试行)【61】为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保监会日前发布《保险公司信息系统安全管理指引(试行)》的通知,通知要求,建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
全文如下:各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则【5】第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求【17】第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于印发《保险公司信息系统安全管理指引(试行)》的通知保监发〔2011〕68号各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条配备足够的具有专业知识和技能的信息系统安全工作人员。
明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。
加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。
对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。
遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。
至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。
机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。
将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。
重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条加强信息系统平台软件安全管理,确保配置标准落实。
对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条制定介质分类管理制度。
根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。
重要备份介质应进行异地存放。
介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。
对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全第三十六条建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。
制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。
涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。
包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条对信息系统的运行维护负责,保持运行维护控制力。
加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。
建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。
确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条对主机系统进行审计,妥善管理并及时分析处理审计记录。
对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条建立信息系统灾难恢复管理机制。
根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。
涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。