保险公司信息系统安全管理指引10

1、保险公司信息系统安全管理指南（doc10页）部门：xxx时间：xxx制作人：xxx整理范文，仅供参考，勿作商业用途保监发2011 68 号各保险公司、保险资产管理公司：为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了保险公司信息系统安全管理指引（试行）。现印发给你们，请遵照执行。中国保险监督管理委员会二。一一年十一月十六日保险公司信息系统安全管理指引（试行）一、总则第一条为防范化解保险公司信息系统安全风险，完善 信息系统安全保障体系，确保信息系统安全、稳定运行， 根据中华人民共和国保险法、国家信息安全相关法律 法规和有关要求

2、，制定本指引。第二条本指引适用于在中华人民共和国境内依法设立 的保险公司和保险资产管理公司。第三条本指引所称信息系统安全，是指利用信息安全 技术及管理手段，保护信息在采集、传输、交换、处理和 存储等过程中的可用性、保密性、完整性和不可抵赖性， 保障信息系统的安全、稳定运行。第四条信息系统安全是公司持续稳定发展的重要基 础。各公司应通过管理机制和技术手段，加强信息安全保 障工作，保障业务活动的连续性。实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规 划执行。第五条中国保监会依法对保险公司信息系统安全工作 实施监督管理。二、安全管理总体要求第六条信息

3、系统安全工作应按照 积极防御、综合防范 的原则，与自身业务及信息系统同步规划、同步建设、同 步运行，构建完备的信息系统安全保障体系。第七条各公司是信息系统安全的责任主体。公司法定 代表人或主要负责人为信息系统安全的第一责任人。第八条信息化工作委员会之下应设立信息安全专业工 作机构，全面统筹协调公司信息系统安全相关事项的研判 决策，并应指定公司级高级管理人员负责信息安全专业工 作机构，作为信息系统安全的直接责任人。第九条各公司应履行以下信息系统安全管理职责: 理的法律法规、技术标准和相关要求。（二）组织公司信息系统安全规划与建设工作，制订 相关管理规定。（三）建立有效的信息系统安全保障体系并定期

4、或根 据工作需要及时进行检查、评估、审计、改进、监控等工 作。（四）对信息系统安全事件进行管理、处置和上报。（五）组织公司员工信息系统安全教育与培训。（六）开展与信息系统安全相关的其他工作。第十条 建立覆盖物理环境、网络、主机系统、桌面系 统、数据、存储、灾备、安全事件管理及应用等各层面的 安全管理规章制度，并定期或根据需要及时对安全管理规 章制度进行评审、修订。第十一条针对信息系统安全的各层面、各环节，结合 各部门和岗位职责，建立职责明确的授权机制、审批流程 以及完备有效、相互制衡的内部控制体系，并对审批文档 和内部控制过程进行及时记录。第十二条配备足够的具有专业知识和技能的信息系统安全工作

5、人员。明确信息系统安全相关人员角色和职责， 建立必要的岗位分离和职责权限制约机制，实行最小授 权，避免单一人员权限过于集中引发风险，重要岗位应设 定候补员工及工作接替计划。第十三条定期或根据工作需要及时对高级管理人员开 展信息安全管理与治理相关培训，对参与信息系统建设、 运行维护和操作使用的人员进行安全教育、技能培训和考 核。加强岗位管理，明确上岗与离岗要求，重要岗位须签 署相关岗位协议。对涉密岗位工作人员应特别进行保密教 育培训，并签订保密承诺书。第十四条 按照国家和监管部门信息系统安全规范、技 术标准及等级保护管理要求，明确信息系统安全保护等 级，实施信息系统安全等级保护，按等级安全要求进

6、行备 案并定期测评和整改。第十五条制定信息管理相关制度和流程，规范管理信 息采集、传输、交换、存储、备份、恢复和销毁等环节， 加强重要数据信息控制和保护，保障信息的合法、合规使 用。第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准，推进信息系统灾难恢复建设工作 并定期进行演练，确保业务连续性。第十七条对信息系统安全事件进行等级划分和事件分 类，制定安全事件报告、响应处理程序等应急预案，并定 期进行演练，评审和修订。遇有重大信息系统事故或突发 事件，应按应急预案快速响应处理，并按规定及时向中国 保监会报告。第十八条建立有效可靠的安全信息获取渠道，获取与 公司信息系统运营相关的

7、外部安全预警信息，汇总、整理 公司内部安全信息，及时提交公司信息安全专业工作机 构，并按相关流程发布实施。第十九条 设立独立于信息技术部门的信息科技风险审 计岗位，负责信息科技审计制度制订和信息系统风险评估 与审计。至少每年对信息安全控制策略和措施及落实情况 进行检查，至少每两年开展一次信息科技风险评估与审 计，并将信息科技风险评估审计报告报送中国保监会。豉励公司在符合国家有关法律、法规和监管要求的情 况下，聘请具备相应资质的外部机构进行外部审计和风险 评估。第二十条加强信息系统知识产权保护和推进正版化工作，禁止复制、传播或使用非授权软件。第二十一条 申请信息安全管理体系认证的公司应按国 家及

8、监管部门要求，加强信息安全管理体系认证安全管 理，选择国家认证认可监督管理部门批准的机构进行认 证，并与认证机构签订安全和保密协议。第二十二条 在信息系统可能对客户服务造成较大影响 时，根据有关法律法规及时和规范地披露信息系统风险状 况，并以适当的方式告知客户。三、基础设施与网络设备环境第二十三条 根据信息化发展需要，建设相应的中心机 房和灾备机房（以下统称 机房”）O机房应设置在中华人民 共和国境内（不包括港、澳、台地区），机房建设须符合 国家有关标准规范和监管部门要求。将机房外包托管的公 司，应保证受托方机房符合上述标准，主机托管应具有独 立的操作空间和严格的安全措施。第二十四条建立健全机

9、房运行维护安全管理制度，指 定专门部门及专人负责机房安全管理，采取合理的物理访问控制，对出入机房人员进行审查、登记，确保对机房实施7X24小时实时监控。第二十五条建立信息系统资产安全管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产分配、使用、存储、维护和销毁等各种行为，定期对资产清单进行一致性检查并保留检查记录。第二十六条根据设备功能及软件应用等性质设立物理安全保护区域，采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域, 重要设备或主要部件应进行固定并设置明显的标记。第二十七条根据业务、应用系统的功能及信息安全级别，将网络与信息系统划分成不同的逻辑安全区域，在

10、网络各区域之间以及网络边界建立访问控制措施，部署监控手段，控制数据流向安全。第二十八条建立较为完备的网络体系，具有合理的网络结构，重要网络设备和通信线路应具有冗余备份，确保业务系统安全稳定运行。第二十九条建立网络安全管理制度，规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更 审核，保障安全策略的有效执行。第三十条 内部网络与互联网、外联单位网络等连接 时，应明确网络外联种类方式，采用可靠连接策略及技术 手段，实现彼此有效隔离，并对跨网络流量、网络用户行 为等进行记录和定期审计，同时确保审计记录不被删除、 修改或覆盖。第三十一条严

11、格控制移动式设备接入、无线接入和远 程接入等网络接入行为，明确接入方式、访问控制等措施 要求，形成网络接入日志并定期审计，确保未经审查通过 的设备无法接入。第三十二条加强信息系统平台软件安全管理，确保配 置标准落实。对入侵行为、恶意代码、病毒等风险即进行 防范部署，严格控制信息系统身份访问、资源访问，监控 主机系统的资源使用情况，并在服务水平降低到设定阈值 时发生报警。第三十三条 分类对计算机终端的安全提由要求，制订 终端网络准入、安全策略、软件安装等管理规范。第三十四条 规范化管理信息系统相关硬件设备，规范 设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态，定期进行

12、巡检、维护和保养 并保留相关记录。第三十五条 制定介质分类管理制度。根据介质存储内 容与重要性明确存储介质类型、存放技术指标、保存期限 等，并定期检查介质中存储的信息是否完整可用。重要备 份介质应进行异地存放。介质送由维修或销毁时，应保证 介质信息预先得到审查并妥善处理。对于存储客户隐私等 涉密信息的存储介质，应严格依据国家及监管部门要求进 行保存与销毁等管理。四、应用系统与数据安全第三十六条建立完善的信息系统开发运行维护管理组 织体系，制订完备管理制度与操作规范，确保信息系统开 发与运行维护过程独立、人员分离。第三十七条生产系统应与开发、测试系统有效隔离， 确保生产系统安全、稳定运行。第三十

13、八条信息系统开发、实施过程应明确控制方法 和人员行为准则，保存相关文档和记录。制定信息系统代 码编写安全规范，规范开发人员对源代码访问权限的管 理，有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统，应采取必要的保密措施确保其开发实施安 全，不得使用敏感生产数据用于开发、测试环境。第三十九条信息系统正式上线运行前，应对系统进行 功能、性能与安全性测试与验收，经相关流程审批后方可 投入使用。第四十条制定有效的信息系统变更管理流程，控制系 统变更过程，分析变更影响，确保生产环境的完整性和可 靠性。包括紧急变更在内的所有变更都应记入日志，并做 好系统变更前准备。第四十一条 对信息系统的运行维

14、护负责，保持运行维 护控制力。加强安全入侵检测监控，进行风险评估与安全 扫描，及时发现并处置安全事件。第四十二条建立覆盖信息系统全生命周期的信息安全 问题管理流程。建立系统身份鉴别机制，严格帐号权限控 制管理，规范权限分配和回收流程，保存审计记录，及时 进行分析处理。确保全面的追踪、分析和解决信息系统问 题，并对问题记录、分类和索引。在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况，应妥善处理，保证系统及数据安全。第四十三条 根据内部控制与审计的要求，保存信息系统相关日志，并采取适当措施确保日志内容不被删除、修 改或覆盖。第四十四条对主机系统进行审计，妥善管理并及时分 析处理

15、审计记录。对重要用户行为、异常操作和重要系统 命令的使用等应进行重点审计。第四十五条建立信息系统灾难恢复管理机制。根据数 据及系统的重要性，明确数据及系统的备份与灾难恢复策 略。第四十六条 采用必要的技术手段和管理措施，保证数 据通信的保密性和完整性。涉密信息应进行加密处理，确 保涉密信息在传输、处理、存储过程中不被泄露或篡改。与外部相关单位信息交换时要保证信息交换协议、策 略、密钥等开发运维安全管理，采用国家和行业相关数据 交换标准，保障数据交换过程安全可控。第四十七条 按照国家密码管理相关规定和要求，建立 健全密码设备管理制度，加强密码设备使用人员管理，使 用符合国家要求和信息加密强度要求

16、的加密技术和产品， 加强相关信息系统安全保密设计和建设。第四十八条 加强互联网门户网站系统安全管理工作， 建立严格信息发布审批制度，严格控制网站内容发布权 限，对网站系统进行安全评估，确保网站系统安全稳定运 行。第四十九条 电子商务、交易系统等应用系统建设应具 备相应管理规范，明确各交易环节或过程安全要求，采取 必要安全技术和管理措施，保护个人信息和客户敏感商业 信息，保留交易相关日志，确保交易行为安全可靠。第五十条加强信息系统病毒防护工作，集中进行防病 毒产品的选型测试和部署实施，及时更新防病毒软件和病 毒代码，发现病毒或异常情况及时处理。建立恶意代码防范管理制度，并部署防恶意代码软 件，对

17、防恶意代码软件的授权使用、恶意代码库升级、定 期汇报等做由明确规定，采取管理与技术措施，确保具备 主动发现和有效阻止恶意代码传播的能力。五、信息化工作外包与采购服务第五十一条 实施信息化工作外包的公司，应制定完备 的外包服务管理制度，将外包纳入全面风险管理体系，合 理审慎实施外包。不得将信息系统安全管理责任外包。对涉及国家及本 公司商业秘密和客户隐私等敏感信息系统内容进行外包 时，应遵守国家和监管部门有关法律法规与要求，并经过 公司决策机构批准。第五十二条 根据国家与监管部门有关外包与采购规 定，结合风险控制和实际需要，建立有效的外包和采购内 部评估审核流程与监督管理机制。第五十三条 实施数据

18、中心、信息科技基础设施等重要 外包应格外谨慎，在准备实施重要外包时应以书面材料正 式报告中国保监会。第五十四条 建立健全外包承包方考核、评估机制，定 期对承包方财务状况、技术实力、安全资质、风险控制水 平和诚信记录等进行审查、评估与考核，确保其设施和能 力满足外包要求。公司应优先选用通过信息安全管理体系 认证的信息技术服务机构提供外包服务。第五十五条与外包承包方签订书面外包服务合同，合同包括但不限于外包服务范围、安全保密、知识产权、业 务连续性要求、争端解决机制、合同变更或终止的过渡安 排、违约责任等条款，且承包方须承诺配合保险公司接受 保险监督管理机构的检查。第五十六条 严格控制外包承包方的再转包行为。对于 确有第三方外包供应商参与实施的项目，应采取有力措 施，确保外