保险公司信息系统安全管理指南(doc 10页)

保险公司信息系统安全管理指南(doc 10页)

保监发〔2011〕68号

各保险公司、保险资产管理公司：

为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。现印

发给你们，请遵照执行。

中国保险监督管理委员会

二〇一一年十一月十六日

保险公司信息系统安全管理指引（试行）

一、总则

第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。

第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全

的第一责任人。

第八条信息化工作委员会之下应设立信息

安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。

第九条各公司应履行以下信息系统安全管

理职责：

（一）贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。

（二）组织公司信息系统安全规划与建设工作，制订相关管理规定。

（三）建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。

（四）对信息系统安全事件进行管理、处置和上报。

（五）组织公司员工信息系统安全教育与培训。

（六）开展与信息系统安全相关的其他工作。

第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行评审、修订。

第十一条针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制过程进行及时记录。

第十二条配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责，建立必要的岗位分离和职责权限制约机制，实行最小授权，避免单一人员权

限过于集中引发风险，重要岗位应设定候补员工及工作接替计划。

第十三条定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训，对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理，明确上岗与离岗要求，重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训，并签订保密承诺书。

第十四条按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求，明确信息系统安全保护等级，实施信息系统安全等级保护，按等级安全要求进行备案并定期测评和整改。

第十五条制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节，加强重要数据信息控制和保护，保障信息的合法、合规使用。

第十六条按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准，推进信息系

统灾难恢复建设工作并定期进行演练，确保业务连续性。

第十七条对信息系统安全事件进行等级划分和事件分类，制定安全事件报告、响应处理程序等应急预案，并定期进行演练，评审和修订。遇有重大信息系统事故或突发事件，应按应急预案快速响应处理，并按规定及时向中国保监会报告。

第十八条建立有效可靠的安全信息获取渠道，获取与公司信息系统运营相关的外部安全预警信息，汇总、整理公司内部安全信息，及时提交公司信息安全专业工作机构，并按相关流程发布实施。

第十九条设立独立于信息技术部门的信息科技风险审计岗位，负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查，至少每两年开展一次信息科技风险评估与审计，并将信息科技风险评估审计报告报送中国保监会。

鼓励公司在符合国家有关法律、法规和监管要求的情况下，聘请具备相应资质的外部机构进行外部审计和风险评估。

第二十条加强信息系统知识产权保护和推进正版化工作，禁止复制、传播或使用非授权软件。

第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求，加强信息安全管理体系认证安全管理，选择国家认证认可监督管理部门批准的机构进行认证，并与认证机构签订安全和保密协议。

第二十二条在信息系统可能对客户服务造成较大影响时，根据有关法律法规及时和规范地披露信息系统风险状况，并以适当的方式告知客户。

三、基础设施与网络设备环境

第二十三条根据信息化发展需要，建设相应的中心机房和灾备机房（以下统称“机房”）。机

房应设置在中华人民共和国境内（不包括港、澳、台地区），机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司，应保证受托方机房符合上述标准，主机托管应具有独立的操作空间和严格的安全措施。

第二十四条建立健全机房运行维护安全管理制度，指定专门部门及专人负责机房安全管理，采取合理的物理访问控制，对出入机房人员进行审查、登记，确保对机房实施7×24小时实时监控。

第二十五条建立信息系统资产安全管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产分配、使用、存储、维护和销毁等各种行为，定期对资产清单进行一致性检查并保留检查记录。

第二十六条根据设备功能及软件应用等性质设立物理安全保护区域，采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。