保险公司信息系统安全管理指引(试行) 一、总 则 第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。 第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。 第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。 实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。 第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。 二、安全管理总体要求 第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。 第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。 第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。 第九条各公司应履行以下信息系统安全管理职责: (一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。 (二)组织公司信息系统安全规划与建设工作,制订相关管理规定。 (三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。 (四)对信息系统安全事件进行管理、处置和上报。 (五)组织公司员工信息系统安全教育与培训。 (六)开展与信息系统安全相关的其他工作。 第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。 第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。 第...
