《保险公司信息系统安全管理指引.pdf》由会员分享,可在线阅读,更多相关《保险公司信息系统安全管理指引.pdf(9页珍藏版)》请在三一文库上搜索。
1、精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 关于印发保险公司信息系统安全管理指引(试行)的通知 保监发 2011 68 号 各保险公司、保险资产管理公司: 为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安 全、稳定运行, 中国保险监督管理委员会制定了保险公司信息系统安全管理指引(试行) 。 现印发给你们,请遵照执行。 中国保险监督管理委 员会 二一一年十一月十 六日 保险公司信息系统安全管理指引(试行) 一、总则 第一条 为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息
2、 系统安全、稳定运行,根据中华人民共和国保险法、国家信息安全相关法律法规和有关 要求,制定本指引。 第二条 本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。 第三条 本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、 传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统 的安全、稳定运行。 第四条 信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手 段,加强信息安全保障工作,保障业务活动的连续性。 实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信 息系统安全工作统筹规划执行。
3、 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第五条 中国保监会依法对保险公司信息系统安全工作实施监督管理。 二、安全管理总体要求 第六条 信息系统安全工作应按照“ 积极防御、 综合防范 ” 的原则, 与自身业务及信息系统 同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。 第七条 各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安 全的第一责任人。 第八条 信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系 统安全相关事项的研判决策,并应指定公司级高级管理人员负责信
4、息安全专业工作机构,作 为信息系统安全的直接责任人。 第九条 各公司应履行以下信息系统安全管理职责: (一) 贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要 求。 (二)组织公司信息系统安全规划与建设工作,制订相关管理规定。 (三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、 审计、改进、监控等工作。 (四)对信息系统安全事件进行管理、处置和上报。 (五)组织公司员工信息系统安全教育与培训。 (六)开展与信息系统安全相关的其他工作。 第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事 件管理及应用等各层面的安全管理规章制
5、度,并定期或根据需要及时对安全管理规章制度进 行评审、修订。 第十一条 针对信息系统安全的各层面、各环节, 结合各部门和岗位职责,建立职责明确 的授权机制、 审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制 过程进行及时记录。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第十二条配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安 全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权, 避免单 一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。 第十
6、三条定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培 训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加 强岗位管理, 明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应 特别进行保密教育培训,并签订保密承诺书。 第十四条按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明 确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测 评和整改。 第十五条制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备 份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
7、 第十六条按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信 息系统灾难恢复建设工作并定期进行演练,确保业务连续性。 第十七条对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处 理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应 按应急预案快速响应处理,并按规定及时向中国保监会报告。 第十八条建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安 全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相 关流程发布实施。 第十九条设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度
8、制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检 查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中 国保监会。 鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机 构进行外部审计和风险评估。 第二十条 加强信息系统知识产权保护和推进正版化工作,禁止复制、 传播或使用非授权 软件。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第二十一条 申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全 管理体系认证安全管理,选择国家
9、认证认可监督管理部门批准的机构进行认证,并与认证机 构签订安全和保密协议。 第二十二条在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规 范地披露信息系统风险状况,并以适当的方式告知客户。 三、基础设施与网络设备环境 第二十三条 根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称 “ 机房 ” )。 机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标 准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托 管应具有独立的操作空间和严格的安全措施。 第二十四条建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房
10、安全 管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施724 小时实时监控。 第二十五条建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门 与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性 检查并保留检查记录。 第二十六条根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、 检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行 固定并设置明显的标记。 第二十七条根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不 同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控
11、制措施,部署监控手段, 控 制数据流向安全。 第二十八条 建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路 应具有冗余备份,确保业务系统安全稳定运行。 第二十九条建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全 控制软件升级与打补丁、口令更新、 文件备份和外部连接等方面的授权批准与变更审核,保 障安全策略的有效执行。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第三十条内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采 用可靠连接策略及技术手段,实现彼此有效隔离,并对跨
12、网络流量、网络用户行为等进行记 录和定期审计,同时确保审计记录不被删除、修改或覆盖。 第三十一条严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接 入方式、 访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无 法接入。 第三十二条加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意 代码、 病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统 的资源使用情况,并在服务水平降低到设定阈值时发出报警。 第三十三条分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件 安装等管理规范。 第三十四条规范化管理信息系统相关硬
13、件设备,规范设备选型、购置、登记、保养、 维修、 报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相 关记录。 第三十五条制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、 存放技术指标、 保存期限等, 并定期检查介质中存储的信息是否完整可用。重要备份介质应 进行异地存放。 介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存 储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管 理。 四、应用系统与数据安全 第三十六条建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操 作规范,确保信息系统开发与运行维
14、护过程独立、人员分离。 第三十七条生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。 第三十八条信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档 和记录。 制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保 护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其 开发实施安全,不得使用敏感生产数据用于开发、测试环境。 第三十九条信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收, 经相关流程审批后方可投入使用。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有
15、- - - -精品文档 - 第四十条制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确 保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变 更前准备。 第四十一条对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监 控,进行风险评估与安全扫描,及时发现并处置安全事件。 第四十二条 建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别 机制, 严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处 理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。 在遇有系统及数据升级、存档、存储、迁
16、移、消除等需要系统终止运行情况,应妥善处 理,保证系统及数据安全。 第四十三条根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确 保日志内容不被删除、修改或覆盖。 第四十四条对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行 为、异常操作和重要系统命令的使用等应进行重点审计。 第四十五条建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及 系统的备份与灾难恢复策略。 第四十六条 采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信 息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。 与外部相关单位信息交换时要保证信息交换
17、协议、策略、 密钥等开发运维安全管理,采 用国家和行业相关数据交换标准,保障数据交换过程安全可控。 第四十七条按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密 码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关 信息系统安全保密设计和建设。 第四十八条加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严 格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。 第四十九条电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环 节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保 留
18、交易相关日志,确保交易行为安全可靠。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第五十条加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施, 及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。 建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、 恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有 效阻止恶意代码传播的能力。 五、信息化工作外包与采购服务 第五十一条 实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入 全面风险
19、管理体系,合理审慎实施外包。 不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信 息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构 批准。 第五十二条 根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立 有效的外包和采购内部评估审核流程与监督管理机制。 第五十三条实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重 要外包时应以书面材料正式报告中国保监会。 第五十四条建立健全外包承包方考核、评估机制, 定期对承包方财务状况、技术实力、 安全资质、 风险控制水平和诚信记录等进行审查、评估与考核, 确保其设施和能
20、力满足外包 要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。 第五十五条与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、 安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约 责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。 第五十六条严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施 的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。 第五十七条与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳 定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性
21、与安全性。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 第五十八条 中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信 息和相关资料, 对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进 行整改,并视情况予以问责。 六、附则 第五十九条 本指引由中国保监会负责解释、修订。 第六十条 信息化工作重大事项范围请参考关于加强保险业信息化工作重大事项管理的 通知(保监厅发2007 8 号) 第六十一条 本指引自发布之日起实施。 2010 年读书节活动方案 一、活动目的: 书是人类的朋友,书是人类
22、进步的阶梯!为了拓宽学生的知识面,通过开展“和书交朋友,遨游知识大海洋”系列读书活动,激发学生读书的兴趣,让每一个学生都想读书、爱读书、会 读书,从小养成热爱书籍,博览群书的好习惯,并在读书实践活动中陶冶情操,获取真知,树立理想! 二、活动目标: 1、通过活动,建立起以学校班级、个人为主的班级图书角和个人小书库。 2、通过活动,在校园内形成热爱读书的良好风气。 3、通过活动,使学生养成博览群书的好习惯。 4、通过活动,促进学生知识更新、思维活跃、综合实践能力的提高。 三、活动实施的计划 1、做好读书登记簿 (1)每个学生结合个人实际,准备一本读书登记簿,具体格式可让学生根据自己喜好来设计、装饰
23、,使其生动活泼、各具特色,其中要有读书的内容、容量、实现时间、好词佳句集 锦、心得体会等栏目,高年级可适当作读书笔记。 (2) 每个班级结合学生的计划和班级实际情况,也制定出相应的班级读书目标和读书成长规划书,其中要有措施、有保障、有效果、有考评,简洁明了,易于操作。 (3)中队会组织一次“读书交流会”展示同学们的读书登记簿并做出相应评价。 2、举办读书展览: 各班级定期举办“读书博览会”,以“名人名言” 、格言、谚语、经典名句、“书海拾贝” 、 “我最喜欢的”、 “好书推荐”等形式,向同学们介绍看过的新书、好书、及书中的部分内容 交流自己在读书活动中的心得体会, 在班级中形成良好的读书氛围。 精品文档就在这里 - 各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- - - -精品文档 - 3、出读书小报: