保险公司信息系统安全管理指引(试行).pdfVIP

保保险险公公司司信信息息系系统统安安全全管管理理指指引引 （（试试行行）） 　　一、总则 　　第一条 为防范化解保险公司信息系统安全风险 完善信息系统 安全保障体系 确保信息系统安全、稳定运行 根据 《中华人民共 和国保险法》、国家信息安全相关法律法规和有关要求 制定本指 引。 　　第二条 本指引适用于在中华人民共和国境内依法设立的保险公 司和保险资产管理公司。 　　第三条 本指引所称信息系统安全 是指利用信息安全技术及管 理手段 保护信息在采集、传输、交换、处理和存储等过程中的可 用性、保密性、完整性和不可抵赖性 保障信息系统的安全、稳定 运行。 　　第四条 信息系统安全是公司持续稳定发展的重要基础。各公司 应通过管理机制和技术手段 加强信息安全保障工作 保障业务活 动的连续性。 　　实现信息化工作集中管理的保险集团 （控股）公司 可以集团 （控股）公司为单位对信息系统安全工作统筹规划执行。 　　第五条 中国保监会依法对保险公司信息系统安全工作实施监督 管理。 　　二、安全管理总体要求 　　第六条 信息系统安全工作应按照“积极防御、综合防范”的原 则 与自身业务及信息系统同步规划、同步建设、同步运行 构建 完备的信息系统安全保障体系。 　　第七条 各公司是信息系统安全的责任主体。公司法定代表人或 主要负责人为信息系统安全的第一责任人。 　　第八条 信息化工作委员会之下应设立信息安全专业工作机构 全面统筹协调公司信息系统安全相关事项的研判决策 并应指定公 司级高级管理人员负责信息安全专业工作机构 作为信息系统安全 的直接责任人。 　　第九条 各公司应履行以下信息系统安全管理职责： 　　 （一）贯彻落实国家和监管部门有关信息系统安全管理的法律 法规、技术标准和相关要求。 　　 （二）组织公司信息系统安全规划与建设工作 制订相关管理 规定。 　　 （三）建立有效的信息系统安全保障体系并定期或根据工作需 要及时进行检查、评估、审计、改进、监控等工作。 　　 （四）对信息系统安全事件进行管理、处置和上报。 　　 （五）组织公司员工信息系统安全教育与培训。 　　 （六）开展与信息系统安全相关的其他工作。 　　第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数 据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制 度 并定期或根据需要及时对安全管理规章制度进行评审、修订。 　　第十一条 针对信息系统安全的各层面、各环节 结合各部门和 岗位职责 建立职责明确的授权机制、审批流程以及完备有效、相 互制衡的内部控制体系 并对审批文档和内部控制过程进行及时记 录。 　　第十二条 配备足够的具有专业知识和技能的信息系统安全工作 人员。明确信息系统安全相关人员角色和职责 建立必要的岗位分 离和职责权限制约机制 实行最小授权 避免单一人员权限过于集 中引发风险 重要岗位应设定候补员工及工作接替计划。 　　第十三条 定期或根据工作需要及时对高级管理人员开展信息安 全管理与治理相关培训 对参与信息系统建设、运行维护和操作使 用的人员进行安全教育、技能培训和考核。加强岗位管理 明确上 岗与离岗要求 重要岗位须签署相关岗位协议。对涉密岗位工作人 员应特别进行保密教育培训 并签订保密承诺书。 　　第十四条 按照国家和监管部门信息系统安全规范、技术标准及 等级保护管理要求 明确信息系统安全保护等级 实施信息系统安 全等级保护 按等级安全要求进行备案并定期测评和整改。 　　第十五条 制定信息管理相关制度和流程 规范管理信息采集、 传输、交换、存储、备份、恢复和销毁等环节 加强重要数据信息 控制和保护 保障信息的合法、合规使用。 　　第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规 范和技术标准 推进信息系统灾难恢复建设工作并定期进行演练 确保业务连续性。 　　第十七条 对信息系统安全事件进行等级划分和事件分类 制定 安全事件报告、响应处理程序等应急预案 并定期进行演练 评审 和修订。遇有重大信息系统事故或突发事件 应按应急预案快速响 应处理 并按规定及时向中国保监会报告。 　　第十八条 建立有效可靠的安全信息获取渠道 获取与公司信息 系统运营相关的外部安全预警信息 汇总、整理公司内部安全信 息 及时提交公司信息安全专业工作机构 并按相关流程发布实 施。 　　第十九条 设立独立于信息技术部门的信息科技风险审计岗位 负责信息科技审计制度制订和信息系统风险评估与审计。至少每年 对信息安全控制策略和措施及落实情况进行检查 至少每两年开展 一次信息科技风险评估与审计 并将信息科