亚洲欧美人精品高清_精品亚洲成a人在线观看_国产高清 日本在线观看国产-久久精品一区二区三区不卡-2021国产精品视频-亚洲精品成人久久久

中國保險監(jiān)督管理委員會|保監(jiān)發(fā)〔2011〕68號|2011-11-16發(fā)布|2011-11-16實施|現(xiàn)行有效
保監(jiān)發(fā)〔2011〕68號

各保險公司、保險資產(chǎn)管理公司：
為防范化解保險公司信息系統(tǒng)安全風險，完善信息系統(tǒng)安全保障體系，確保信息系統(tǒng)安全、穩(wěn)定運行，中國保險監(jiān)督管理委員會制定了《保險公司信息系統(tǒng)安全管理指引（試行）》?，F(xiàn)印發(fā)給你們，請遵照執(zhí)行。
中國保險監(jiān)督管理委員會
二〇一一年十一月十六日
保險公司信息系統(tǒng)安全管理指引（試行）
一、總
則
第一條
為防范化解保險公司信息系統(tǒng)安全風險，完善信息系統(tǒng)安全保障體系，確保信息系統(tǒng)安全、穩(wěn)定運行，根據(jù)《中華人民共和國保險法》、國家信息安全相關(guān)法律法規(guī)和有關(guān)要求，制定本指引。
第二條
本指引適用于在中華人民共和國境內(nèi)依法設立的保險公司和保險資產(chǎn)管理公司。
第三條
本指引所稱信息系統(tǒng)安全，是指利用信息安全技術(shù)及管理手段，保護信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性，保障信息系統(tǒng)的安全、穩(wěn)定運行。
第四條
信息系統(tǒng)安全是公司持續(xù)穩(wěn)定發(fā)展的重要基礎(chǔ)。各公司應通過管理機制和技術(shù)手段，加強信息安全保障工作，保障業(yè)務活動的連續(xù)性。
實現(xiàn)信息化工作集中管理的保險集團（控股）公司，可以集團（控股）公司為單位對信息系統(tǒng)安全工作統(tǒng)籌規(guī)劃執(zhí)行。
第五條
中國保監(jiān)會依法對保險公司信息系統(tǒng)安全工作實施監(jiān)督管理。
二、安全管理總體要求
第六條
信息系統(tǒng)安全工作應按照“積極防御、綜合防范”的原則，與自身業(yè)務及信息系統(tǒng)同步規(guī)劃、同步建設、同步運行，構(gòu)建完備的信息系統(tǒng)安全保障體系。
第七條
各公司是信息系統(tǒng)安全的責任主體。公司法定代表人或主要負責人為信息系統(tǒng)安全的第一責任人。
第八條
信息化工作委員會之下應設立信息安全專業(yè)工作機構(gòu)，全面統(tǒng)籌協(xié)調(diào)公司信息系統(tǒng)安全相關(guān)事項的研判決策，并應指定公司級高級管理人員負責信息安全專業(yè)工作機構(gòu)，作為信息系統(tǒng)安全的直接責任人。
第九條
各公司應履行以下信息系統(tǒng)安全管理職責：
（一）貫徹落實國家和監(jiān)管部門有關(guān)信息系統(tǒng)安全管理的法律法規(guī)、技術(shù)標準和相關(guān)要求。
（二）組織公司信息系統(tǒng)安全規(guī)劃與建設工作，制訂相關(guān)管理規(guī)定。
（三）建立有效的信息系統(tǒng)安全保障體系并定期或根據(jù)工作需要及時進行檢查、評估、審計、改進、監(jiān)控等工作。
（四）對信息系統(tǒng)安全事件進行管理、處置和上報。
（五）組織公司員工信息系統(tǒng)安全教育與培訓。
（六）開展與信息系統(tǒng)安全相關(guān)的其他工作。
第十條
建立覆蓋物理環(huán)境、網(wǎng)絡、主機系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、存儲、災備、安全事件管理及應用等各層面的安全管理規(guī)章制度，并定期或根據(jù)需要及時對安全管理規(guī)章制度進行評審、修訂。
第十一條
針對信息系統(tǒng)安全的各層面、各環(huán)節(jié)，結(jié)合各部門和崗位職責，建立職責明確的授權(quán)機制、審批流程以及完備有效、相互制衡的內(nèi)部控制體系，并對審批文檔和內(nèi)部控制過程進行及時記錄。
第十二條
配備足夠的具有專業(yè)知識和技能的信息系統(tǒng)安全工作人員。明確信息系統(tǒng)安全相關(guān)人員角色和職責，建立必要的崗位分離和職責權(quán)限制約機制，實行最小授權(quán)，避免單一人員權(quán)限過于集中引發(fā)風險，重要崗位應設定候補員工及工作接替計劃。
第十三條
定期或根據(jù)工作需要及時對高級管理人員開展信息安全管理與治理相關(guān)培訓，對參與信息系統(tǒng)建設、運行維護和操作使用的人員進行安全教育、技能培訓和考核。加強崗位管理，明確上崗與離崗要求，重要崗位須簽署相關(guān)崗位協(xié)議。對涉密崗位工作人員應特別進行保密教育培訓，并簽訂保密承諾書。
第十四條
按照國家和監(jiān)管部門信息系統(tǒng)安全規(guī)范、技術(shù)標準及等級保護管理要求，明確信息系統(tǒng)安全保護等級，實施信息系統(tǒng)安全等級保護，按等級安全要求進行備案并定期測評和整改。
第十五條
制定信息管理相關(guān)制度和流程，規(guī)范管理信息采集、傳輸、交換、存儲、備份、恢復和銷毀等環(huán)節(jié)，加強重要數(shù)據(jù)信息控制和保護，保障信息的合法、合規(guī)使用。
第十六條
按照國家和監(jiān)管部門信息系統(tǒng)災難恢復管理要求、規(guī)范和技術(shù)標準，推進信息系統(tǒng)災難恢復建設工作并定期進行演練，確保業(yè)務連續(xù)性。
第十七條
對信息系統(tǒng)安全事件進行等級劃分和事件分類，制定安全事件報告、響應處理程序等應急預案，并定期進行演練，評審和修訂。遇有重大信息系統(tǒng)事故或突發(fā)事件，應按應急預案快速響應處理，并按規(guī)定及時向中國保監(jiān)會報告。
第十八條
建立有效可靠的安全信息獲取渠道，獲取與公司信息系統(tǒng)運營相關(guān)的外部安全預警信息，匯總、整理公司內(nèi)部安全信息，及時提交公司信息安全專業(yè)工作機構(gòu)，并按相關(guān)流程發(fā)布實施。
第十九條
設立獨立于信息技術(shù)部門的信息科技風險審計崗位，負責信息科技審計制度制訂和信息系統(tǒng)風險評估與審計。至少每年對信息安全控制策略和措施及落實情況進行檢查，至少每兩年開展一次信息科技風險評估與審計，并將信息科技風險評估審計報告報送中國保監(jiān)會。
鼓勵公司在符合國家有關(guān)法律、法規(guī)和監(jiān)管要求的情況下，聘請具備相應資質(zhì)的外部機構(gòu)進行外部審計和風險評估。
第二十條
加強信息系統(tǒng)知識產(chǎn)權(quán)保護和推進正版化工作，禁止復制、傳播或使用非授權(quán)軟件。
第二十一條
申請信息安全管理體系認證的公司應按國家及監(jiān)管部門要求，加強信息安全管理體系認證安全管理，選擇國家認證認可監(jiān)督管理部門批準的機構(gòu)進行認證，并與認證機構(gòu)簽訂安全和保密協(xié)議。
第二十二條
在信息系統(tǒng)可能對客戶服務造成較大影響時，根據(jù)有關(guān)法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風險狀況，并以適當?shù)姆绞礁嬷蛻簟?br>三、基礎(chǔ)設施與網(wǎng)絡設備環(huán)境
第二十三條
根據(jù)信息化發(fā)展需要，建設相應的中心機房和災備機房（以下統(tǒng)稱“機房”）。機房應設置在中華人民共和國境內(nèi)（不包括港、澳、臺地區(qū)），機房建設須符合國家有關(guān)標準規(guī)范和監(jiān)管部門要求。將機房外包托管的公司，應保證受托方機房符合上述標準，主機托管應具有獨立的操作空間和嚴格的安全措施。
第二十四條
建立健全機房運行維護安全管理制度，指定專門部門及專人負責機房安全管理，采取合理的物理訪問控制，對出入機房人員進行審查、登記，確保對機房實施7×24小時實時監(jiān)控。
第二十五條
建立信息系統(tǒng)資產(chǎn)安全管理制度，編制資產(chǎn)清單，明確資產(chǎn)管理責任部門與人員，規(guī)范資產(chǎn)分配、使用、存儲、維護和銷毀等各種行為，定期對資產(chǎn)清單進行一致性檢查并保留檢查記錄。
第二十六條
根據(jù)設備功能及軟件應用等性質(zhì)設立物理安全保護區(qū)域，采取必要的預防、檢測和恢復控制措施。重要保護區(qū)域前應設置交付或過渡區(qū)域,重要設備或主要部件應進行固定并設置明顯的標記。
第二十七條
根據(jù)業(yè)務、應用系統(tǒng)的功能及信息安全級別，將網(wǎng)絡與信息系統(tǒng)劃分成不同的邏輯安全區(qū)域，在網(wǎng)絡各區(qū)域之間以及網(wǎng)絡邊界建立訪問控制措施，部署監(jiān)控手段，控制數(shù)據(jù)流向安全。
第二十八條
建立較為完備的網(wǎng)絡體系，具有合理的網(wǎng)絡結(jié)構(gòu)，重要網(wǎng)絡設備和通信線路應具有冗余備份，確保業(yè)務系統(tǒng)安全穩(wěn)定運行。
第二十九條
建立網(wǎng)絡安全管理制度，規(guī)范管理網(wǎng)絡結(jié)構(gòu)、安全配置、日志保存、安全控制軟件升級與打補丁、口令更新、文件備份和外部連接等方面的授權(quán)批準與變更審核，保障安全策略的有效執(zhí)行。
第三十條
內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)、外聯(lián)單位網(wǎng)絡等連接時，應明確網(wǎng)絡外聯(lián)種類方式，采用可靠連接策略及技術(shù)手段，實現(xiàn)彼此有效隔離，并對跨網(wǎng)絡流量、網(wǎng)絡用戶行為等進行記錄和定期審計，同時確保審計記錄不被刪除、修改或覆蓋。
第三十一條
嚴格控制移動式設備接入、無線接入和遠程接入等網(wǎng)絡接入行為，明確接入方式、訪問控制等措施要求，形成網(wǎng)絡接入日志并定期審計，確保未經(jīng)審查通過的設備無法接入。
第三十二條
加強信息系統(tǒng)平臺軟件安全管理，確保配置標準落實。對入侵行為、惡意代碼、病毒等風險即進行防范部署，嚴格控制信息系統(tǒng)身份訪問、資源訪問，監(jiān)控主機系統(tǒng)的資源使用情況，并在服務水平降低到設定閾值時發(fā)出報警。
第三十三條
分類對計算機終端的安全提出要求，制訂終端網(wǎng)絡準入、安全策略、軟件安裝等管理規(guī)范。
第三十四條
規(guī)范化管理信息系統(tǒng)相關(guān)硬件設備，規(guī)范設備選型、購置、登記、保養(yǎng)、維修、報廢等相關(guān)流程，實時動態(tài)監(jiān)控設備運行狀態(tài)，定期進行巡檢、維護和保養(yǎng)并保留相關(guān)記錄。
第三十五條
制定介質(zhì)分類管理制度。根據(jù)介質(zhì)存儲內(nèi)容與重要性明確存儲介質(zhì)類型、存放技術(shù)指標、保存期限等，并定期檢查介質(zhì)中存儲的信息是否完整可用。重要備份介質(zhì)應進行異地存放。介質(zhì)送出維修或銷毀時，應保證介質(zhì)信息預先得到審查并妥善處理。對于存儲客戶隱私等涉密信息的存儲介質(zhì)，應嚴格依據(jù)國家及監(jiān)管部門要求進行保存與銷毀等管理。
四、應用系統(tǒng)與數(shù)據(jù)安全
第三十六條
建立完善的信息系統(tǒng)開發(fā)運行維護管理組織體系，制訂完備管理制度與操作規(guī)范，確保信息系統(tǒng)開發(fā)與運行維護過程獨立、人員分離。
第三十七條
生產(chǎn)系統(tǒng)應與開發(fā)、測試系統(tǒng)有效隔離，確保生產(chǎn)系統(tǒng)安全、穩(wěn)定運行。
第三十八條
信息系統(tǒng)開發(fā)、實施過程應明確控制方法和人員行為準則，保存相關(guān)文檔和記錄。制定信息系統(tǒng)代碼編寫安全規(guī)范，規(guī)范開發(fā)人員對源代碼訪問權(quán)限的管理，有效保護公司信息資產(chǎn)安全。涉及公司核心或機密數(shù)據(jù)的信息系統(tǒng)，應采取必要的保密措施確保其開發(fā)實施安全，不得使用敏感生產(chǎn)數(shù)據(jù)用于開發(fā)、測試環(huán)境。
第三十九條
信息系統(tǒng)正式上線運行前，應對系統(tǒng)進行功能、性能與安全性測試與驗收，經(jīng)相關(guān)流程審批后方可投入使用。
第四十條
制定有效的信息系統(tǒng)變更管理流程，控制系統(tǒng)變更過程，分析變更影響，確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應記入日志，并做好系統(tǒng)變更前準備。
第四十一條
對信息系統(tǒng)的運行維護負責，保持運行維護控制力。加強安全入侵檢測監(jiān)控，進行風險評估與安全掃描，及時發(fā)現(xiàn)并處置安全事件。
第四十二條
建立覆蓋信息系統(tǒng)全生命周期的信息安全問題管理流程。建立系統(tǒng)身份鑒別機制，嚴格帳號權(quán)限控制管理，規(guī)范權(quán)限分配和回收流程，保存審計記錄，及時進行分析處理。確保全面的追蹤、分析和解決信息系統(tǒng)問題，并對問題記錄、分類和索引。
在遇有系統(tǒng)及數(shù)據(jù)升級、存檔、存儲、遷移、消除等需要系統(tǒng)終止運行情況，應妥善處理，保證系統(tǒng)及數(shù)據(jù)安全。
第四十三條
根據(jù)內(nèi)部控制與審計的要求，保存信息系統(tǒng)相關(guān)日志，并采取適當措施確保日志內(nèi)容不被刪除、修改或覆蓋。
第四十四條
對主機系統(tǒng)進行審計，妥善管理并及時分析處理審計記錄。對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應進行重點審計。
第四十五條
建立信息系統(tǒng)災難恢復管理機制。根據(jù)數(shù)據(jù)及系統(tǒng)的重要性，明確數(shù)據(jù)及系統(tǒng)的備份與災難恢復策略。
第四十六條
采用必要的技術(shù)手段和管理措施，保證數(shù)據(jù)通信的保密性和完整性。涉密信息應進行加密處理，確保涉密信息在傳輸、處理、存儲過程中不被泄露或篡改。
與外部相關(guān)單位信息交換時要保證信息交換協(xié)議、策略、密鑰等開發(fā)運維安全管理，采用國家和行業(yè)相關(guān)數(shù)據(jù)交換標準，保障數(shù)據(jù)交換過程安全可控。
第四十七條
按照國家密碼管理相關(guān)規(guī)定和要求，建立健全密碼設備管理制度，加強密碼設備使用人員管理，使用符合國家要求和信息加密強度要求的加密技術(shù)和產(chǎn)品，加強相關(guān)信息系統(tǒng)安全保密設計和建設。
第四十八條
加強互聯(lián)網(wǎng)門戶網(wǎng)站系統(tǒng)安全管理工作，建立嚴格信息發(fā)布審批制度，嚴格控制網(wǎng)站內(nèi)容發(fā)布權(quán)限，對網(wǎng)站系統(tǒng)進行安全評估，確保網(wǎng)站系統(tǒng)安全穩(wěn)定運行。
第四十九條
電子商務、交易系統(tǒng)等應用系統(tǒng)建設應具備相應管理規(guī)范，明確各交易環(huán)節(jié)或過程安全要求，采取必要安全技術(shù)和管理措施，保護個人信息和客戶敏感商業(yè)信息，保留交易相關(guān)日志，確保交易行為安全可靠。
第五十條
加強信息系統(tǒng)病毒防護工作，集中進行防病毒產(chǎn)品的選型測試和部署實施，及時更新防病毒軟件和病毒代碼，發(fā)現(xiàn)病毒或異常情況及時處理。
建立惡意代碼防范管理制度，并部署防惡意代碼軟件，對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報等做出明確規(guī)定，采取管理與技術(shù)措施，確保具備主動發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力。
五、信息化工作外包與采購服務
第五十一條
實施信息化工作外包的公司，應制定完備的外包服務管理制度，將外包納入全面風險管理體系，合理審慎實施外包。
不得將信息系統(tǒng)安全管理責任外包。對涉及國家及本公司商業(yè)秘密和客戶隱私等敏感信息系統(tǒng)內(nèi)容進行外包時，應遵守國家和監(jiān)管部門有關(guān)法律法規(guī)與要求，并經(jīng)過公司決策機構(gòu)批準。
第五十二條
根據(jù)國家與監(jiān)管部門有關(guān)外包與采購規(guī)定，結(jié)合風險控制和實際需要，建立有效的外包和采購內(nèi)部評估審核流程與監(jiān)督管理機制。
第五十三條
實施數(shù)據(jù)中心、信息科技基礎(chǔ)設施等重要外包應格外謹慎，在準備實施重要外包時應以書面材料正式報告中國保監(jiān)會。
第五十四條
建立健全外包承包方考核、評估機制，定期對承包方財務狀況、技術(shù)實力、安全資質(zhì)、風險控制水平和誠信記錄等進行審查、評估與考核，確保其設施和能力滿足外包要求。公司應優(yōu)先選用通過信息安全管理體系認證的信息技術(shù)服務機構(gòu)提供外包服務。
第五十五條
與外包承包方簽訂書面外包服務合同，合同包括但不限于外包服務范圍、安全保密、知識產(chǎn)權(quán)、業(yè)務連續(xù)性要求、爭端解決機制、合同變更或終止的過渡安排、違約責任等條款，且承包方須承諾配合保險公司接受保險監(jiān)督管理機構(gòu)的檢查。
第五十六條
嚴格控制外包承包方的再轉(zhuǎn)包行為。對于確有第三方外包供應商參與實施的項目，應采取有力措施，確保外包服務質(zhì)量和安全不受影響和不衰減。
第五十七條
與外包承包方建立有效信息交流與溝通機制，確保外包服務人員的相對穩(wěn)定性。對于人員的必要流動，應要求外包承包方承諾確保外包服務的連續(xù)性與安全性。
第五十八條
中國保監(jiān)會根據(jù)需要對外包活動進行現(xiàn)場檢查，采集外包活動過程中數(shù)據(jù)信息和相關(guān)資料，對于違反相關(guān)法律、法規(guī)或存在重大風險隱患的外包情形，可以要求公司進行整改，并視情況予以問責。
六、附則
第五十九條
本指引由中國保監(jiān)會負責解釋、修訂。
第六十條
信息化工作重大事項范圍請參考《關(guān)于加強保險業(yè)信息化工作重大事項管理的通知》（保監(jiān)廳發(fā)〔2007〕8號）
第六十一條
本指引自發(fā)布之日起實施。