保险公司信息系统安全管理指引.pdf
《保险公司信息系统安全管理指引.pdf》由会员分享,可在线阅读,更多相关《保险公司信息系统安全管理指引.pdf(9页珍藏版)》请在三一文库上搜索。
1、精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 关于印发保险公司信息系统安全管理指引(试行)的通知 保监发 2011 68 号 各保险公司、保险资产管理公司: 为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安 全、稳定运行, 中国保险监督管理委员会制定了保险公司信息系统安全管理指引(试行) 。 现印发给你们,请遵照执行。 中国保险监督管理委 员会 二一一年十一月十 六日 保险公司信息系统安全管理指引(试行) 一、总则 第一条 为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息
2、 系统安全、稳定运行,根据中华人民共和国保险法、国家信息安全相关法律法规和有关 要求,制定本指引。 第二条 本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。 第三条 本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、 传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统 的安全、稳定运行。 第四条 信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手 段,加强信息安全保障工作,保障业务活动的连续性。 实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信 息系统安全工作统筹规划执行。
3、 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第五条 中国保监会依法对保险公司信息系统安全工作实施监督管理。 二、安全管理总体要求 第六条 信息系统安全工作应按照“ 积极防御、 综合防范 ” 的原则, 与自身业务及信息系统 同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。 第七条 各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安 全的第一责任人。 第八条 信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系 统安全相关事项的研判决策,并应指定公司级高级管理人员负责信
4、息安全专业工作机构,作 为信息系统安全的直接责任人。 第九条 各公司应履行以下信息系统安全管理职责: (一) 贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要 求。 (二)组织公司信息系统安全规划与建设工作,制订相关管理规定。 (三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、 审计、改进、监控等工作。 (四)对信息系统安全事件进行管理、处置和上报。 (五)组织公司员工信息系统安全教育与培训。 (六)开展与信息系统安全相关的其他工作。 第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事 件管理及应用等各层面的安全管理规章制
5、度,并定期或根据需要及时对安全管理规章制度进 行评审、修订。 第十一条 针对信息系统安全的各层面、各环节, 结合各部门和岗位职责,建立职责明确 的授权机制、 审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制 过程进行及时记录。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第十二条配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安 全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权, 避免单 一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。 第十
6、三条定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培 训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加 强岗位管理, 明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应 特别进行保密教育培训,并签订保密承诺书。 第十四条按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明 确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测 评和整改。 第十五条制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备 份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
7、 第十六条按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信 息系统灾难恢复建设工作并定期进行演练,确保业务连续性。 第十七条对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处 理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应 按应急预案快速响应处理,并按规定及时向中国保监会报告。 第十八条建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安 全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相 关流程发布实施。 第十九条设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度
8、制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检 查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中 国保监会。 鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机 构进行外部审计和风险评估。 第二十条 加强信息系统知识产权保护和推进正版化工作,禁止复制、 传播或使用非授权 软件。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第二十一条 申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全 管理体系认证安全管理,选择国家
9、认证认可监督管理部门批准的机构进行认证,并与认证机 构签订安全和保密协议。 第二十二条在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规 范地披露信息系统风险状况,并以适当的方式告知客户。 三、基础设施与网络设备环境 第二十三条 根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称 “ 机房 ” )。 机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标 准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托 管应具有独立的操作空间和严格的安全措施。 第二十四条建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房
10、安全 管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施724 小时实时监控。 第二十五条建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门 与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性 检查并保留检查记录。 第二十六条根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、 检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行 固定并设置明显的标记。 第二十七条根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不 同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控
11、制措施,部署监控手段, 控 制数据流向安全。 第二十八条 建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路 应具有冗余备份,确保业务系统安全稳定运行。 第二十九条建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全 控制软件升级与打补丁、口令更新、 文件备份和外部连接等方面的授权批准与变更审核,保 障安全策略的有效执行。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第三十条内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采 用可靠连接策略及技术手段,实现彼此有效隔离,并对跨
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 保险公司 信息系统安全 管理 指引
链接地址:https://www.31doc.com/p-4712646.html