汇邦人寿保险股份有限公司-信息技术部汇邦人寿保险股份有限公司互联网业务安全管理办法1汇邦人寿保险股份有限公司-信息技术部目录第一章总则......................................................3第二章基础架构安全规范...........................................3第三章应用系统安全规范...........................................4第四章附则......................................................52汇邦人寿保险股份有限公司-信息技术部第一章总则第一条为规范公司互联网电子商务平台的经营活动,保护企业和消费者合法权益,依据保监会《保险公司信息系统安全管理指引(试行)》等相关规定,特制定本管理办法。第二条本管理办法适用范围为涉及电子商务系统管理开发、维护和使用的所有部门。第二章基础架构安全规范第三条公司应为互联网交易划定独立网络区域,与其他网络区域建立明确的安全边界。信息技术部门人员需从网络各级建立完善的访问控制措施,安装防火墙(含应用防火墙)、入侵检测,加强授权管理和认证。第四条电子商务交易系统应建立与内部财务系统、其他核心业务系统,以及合作单位网络、信息系统的有效隔离机制,并严格控制数据流向,做好相应管理。第五条信息技术部应加强系统主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件,启用防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对主机系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补。3汇邦人寿保险股份有限公司-信息技术部第六条信息技术部利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击。第七条信息技术部应建立健全日志留痕功能,保留销售、服务等交易日志、以及投保人操作轨迹等投保相关信息,确保交易行为可稽核,满足风险控制和业务审计要求。第八条原则上,公司电子商务系统应建立在公司自有及自主可控的硬件平台之上,如有特殊情况需依托于外部云计算资源的,应明确与虚拟化资源相对应的具体物理机器设备。公司应与云计算服务提供商签订书面协议,确保数据安全和业务连续性。第三章应用系统安全规范第九条任何系统在部署到互联交易区内之前,应先通过信息技术部组织的功能及性能测试。第十条互联网交易区内的系统部署、变更、撤销均需经信息技术部及分管领导审批同意。第十一条信息技术部应充分利用各种技术手段,加强客户信息的使用管理和密码管理。第十二条信息技术部应该加强相关人员的管理和行业4汇邦人寿保险股份有限公司-信息技术部操守培训,严禁相关人员未经授权向第三方提供客户信息。第十三条信息技术部应加强电子单证管理,电子保单须采用由国家工业和信息化部颁发电子认证服务许可证的电子认证服务商颁发的数字证书,符合《电子签名法》有关要求。第十四条通过合作机构网站经营互联网保险业务,应于合同成立24小时内将保单完整信息导入人身保险公司核心业务系统,保监会另有规定的应遵循相关规定。第四章附则第十五条本管理办法由信息技术部负责修订和解释。第十六条本管理办法自发布之日起实施。5
