网络与信息系统安全管理自查整改表

附件：网络与信息系统安全管理自查整改 表 填表单位（盖章）： 填表日期： 基本情况 本年度自营平台业 务量及各类险种占 比 1、互 联网 保险 业务 概况 本年度第三方平台 业务总量及各类险 种占比 自营平台网址及开 发维护方 E，公司自主研发及维护 外包服务方及提 供的主要服务 第三方合作网站 及网址、保费收 入 2、信 息系 统概 况 已发生网络安全 事件 一、信息安全管理体系建设及落实情况 1信息安全 工作管理架 构 1、（说明信息安全管理组织架构、主管人员、成员分工 等具体情况。） 管理组织架构有信息系统经理、信息系统管理员、信息系统审计员 1、信息系统管理员的任命： 信息系统管理员，审计员的任命应遵循“任期有限，权限分散”的 原则；对重要信息系统管理人员应不定期的循环任职，并对人员进 行培训。应用系统管理员、审计员的任期可根据系统的安全性要求 而定，期满通过考核后可以续任。 2、信息系统管理员的职责： 恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关信息 安全管理的相关规程，熟悉应用系统涉及的业务流程。 负责信息系统的安装、维护和系统及数据备份，根据应用系统的安 全策略，负责应用系统的用户权限设置以及系统安全配置。 密切注意应用系统运行中发生的系统故障、安全事件，关注应用系 统存在的隐患，收集业务用户的问题反映，及时报告信息管理部门 和业务主管部门。 3、信息系统审计员的职责： 恪守职业道德，严守企业秘密；熟悉国家安全生产法以及有关通信 管理的相关规程，熟悉应用系统涉及的业务流程； 负责对应用系统的安装、维护和系统及数据备份的监督检查和登记 工作； 定期检查应用系统的用户权限设置以及系统安全配置，与应用系统 安全策略的符合性； 定期审查应用系统的审计记录，发现安全问题及时报告信息管理部 门和业务主管部门。 2信息安全 管理制度建 设和落实情 况 （说明现行信息安全管理制度以及执行落实情况，是否 存在制度空白漏洞和薄弱环节，是否存在不具体、不清 晰、缺乏可操作性的问题。） 3信息系统 安全责任制 落实情况 （说明信息系统安全工作责任制的具体内容：包括每个 信息系统是否有明确的安全责任人，专职信息安全员的 数量情况，是否签订信息安全责任书，是否建立了责任 追究制度，是否明确了专门的监督管理人员负责责任追 究制度落实等情况。） -3- 4外包服务 管理情况 5第三方合 作网站互联 网保险系统 管理情况 6安全审计 情况 二、信息系统安全管控情况 1.信息系统 基础设施和 重要核心设 备的管理情 况 （说明信息系统基础设施和设备管理制度的具体内容和 落实情况。） 2.信息系统 开发、运行、 终止的安全 管控情况 （说明信息系统研发过程中安全性功能需求和设计情况； 系统设计开发、运行维护、终止废弃等管理和使用过程 中的安全管控措施；新系统上线前安全性测试情况，系 统的开发测试和生产运行环境分离情况，系统正式上线 运行前，对系统功能、性能和安全管理是否经过严格、 充分测试，信息系统发生重大升级改造后是否按照新系 统建设标准进行测试。） 3.风险评估、 安全审计和 入侵检测等 安全管理机 制建设情况， 对信息系统 高危漏洞及 时获知以及 应对情况 （说明风险评估、安全审计和入侵检测等安全管理机制 建设情况；日常信息安全监测预警制度的制定和执行情 况；本单位应对端口扫描、强力攻击、木马后门攻击、 拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕 虫等网络攻击情况；中高危漏洞及时获知以及应对措施 和工作流程，阻塞已知系统漏洞的相关工作记录。） 4核心系统 的安全可控 情况 （说明核心系统技术和产品掌控情况，自主研发运维情 况，外包服务情况；主动发现安全漏洞和有效阻止安全 风险的技术能力。） 5. 对网络安 全前沿科技 发展和各类 预警信息的 关注情况 6.软件正版 化情况 三、数据安全管理和灾备建设 1主机安全 情况 （说明本单位的主机安全情况：包括操作系统和数据库 系统管理用户身份标识、口令有效性和定期更换情况； 采用两种或两种以上组合的鉴别技术对管理用户进行身 份鉴别情况，及防恶意代码软件安装、更新情况。） 2.业务数据 安全防护状 况 （说明防范敏感数据泄露、篡改等违规违法行为的措施 以及内部用户行为留痕审计情况。） 3.消费者信 息数据保护 措施 （说明互联网网站、在线服务、销售系统和移动 APP、 第三方合作等与广大消费者密切相关的信息系统管理能 力及状况。） 4.数据安全 及备份恢复 情况 （说明本单位重要信息系统数据在传输、存储、保密等 方面采取的安全保护措施情况；对重要业务应用和重要 数据的备份情况。） 5.同城异地 数据中心建 设情况 四、应急响应体系建设情况 -5- 1.安全应急 响应工作建 设的总体情 况 2.应急工作 责任落实情 况 （说明安全事件应急处置的具体内容：包括应急处置联 系人、应急预案的制定、演练情况，是否根据演练情况 修订或完善应急处置预案；应急保障、技术支持和应急 管理措施