保险公司信息系统安全管理指引

1、关于印发?保险公司信息系统平安治理指引试行?的通知保监发202168号各保险公司、保险资产治理公司：为防范化解保险公司信息系统平安风险,完善信息系统平安保证体系,保证信息系统安全、稳定运行,中国保险监督治理委员会制定了?保险公司信息系统平安治理指引试行?.现印发给你们,请遵照执行.中国保险监督治理委员会二.一一年十一月十六日保险公司信息系统平安治理指引试行一、总那么第一条为防范化解保险公司信息系统平安风险,完善信息系统平安保证体系,保证信息系统平安、稳定运行,根据?中华人民共和国保险法?、国家信息平安相关法律法规和有关要求,制定本指引.第二条本指引适用于在中华人民共和国境内依法设立的保险公司和

2、保险资产治理公司.第三条本指引所称信息系统平安,是指利用信息平安技术及治理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保证信息系统的平安、稳定运行.第四条信息系统平安是公司持续稳定开展的重要根底.各公司应通过治理机制和技术手段,增强信息平安保证工作,保证业务活动的连续性.实现信息化工作集中治理的保险集团控股公司,可以集团控股公司为单位对信息系统平安工作统筹规划执行.第五条中国保监会依法对保险公司信息系统平安工作实施监督治理.二、平安治理总体要求第六条信息系统平安工作应根据积极防御、综合防范的原那么,与自身业务及信息系统同步规划、同步建设、同步运行,

3、构建完备的信息系统平安保证体系.第七条各公司是信息系统平安的责任主体.公司法定代表人或主要负责人为信息系统安全的第一责任人.第八条信息化工作委员会之下应设立信息平安专业工作机构,全面统筹协调公司信息系统平安相关事项的研判决策,并应指定公司级高级治理人员负责信息平安专业工作机构,作为信息系统平安的直接责任人.第九条各公司应履行以下信息系统平安治理责任：一贯彻落实国家和监管部门有关信息系统平安治理的法律法规、技术标准和相关要求.二组织公司信息系统平安规划与建设工作,制订相关治理规定.三建立有效的信息系统平安保证体系并定期或根据工作需要及时进行检查、评估、审计、改良、监控等工作.四对信息系统平安事件

4、进行治理、处置和上报.五组织公司员工信息系统平安教育与培训.六开展与信息系统平安相关的其他工作.第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、平安事件治理及应用等各层面的平安治理规章制度,并定期或根据需要及时对平安治理规章制度进行评审、修订.第十一条针对信息系统平安的各层面、各环节,结合各部门和岗位责任,建立责任明确的授权机制、审批流程以及完备有效、相互制衡的内部限制体系,并对审批文档和内部限制过程进行及时记录.第十二条配备足够的具有专业知识和技能的信息系统平安工作人员.明确信息系统安全相关人员角色和责任,建立必要的岗位别离和责任权限制约机制,实行最小授权,防止单一人员权

5、限过于集中引发风险,重要岗位应设定候补员工及工作接替方案.第十三条定期或根据工作需要及时对高级治理人员开展信息平安治理与治理相关培训I,对参与信息系统建设、运行维护和操作使用的人员进行平安教育、技能培训和考核.加强岗位治理,明确上岗与离岗要求,重要岗位须签署相关岗位协议.对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书.第十四条根据国家和监管部门信息系统平安标准、技术标准及等级保护治理要求,明确信息系统平安保护等级,实施信息系统平安等级保护,按等级平安要求进行备案并定期测评和整改.第十五条制定信息治理相关制度和流程,标准治理信息采集、传输、交换、存储、备份、恢复和销毁等环节,增强重要

6、数据信息限制和保护,保证信息的合法、合规使用.第十六条根据国家和监管部门信息系统灾难恢复治理要求、标准和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,保证业务连续性.第十七条对信息系统平安事件进行等级划分和事件分类,制定平安事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订.遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告.第十八条建立有效可靠的平安信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部平安信息,及时提交公司信息平安专业工作机构,并按相关流程发布实施.第十九条设立独立于信息技术部门的信息科技风险审计

7、岗位,负责信息科技审计制度制订和信息系统风险评估与审计.至少每年对信息平安限制策略和举措及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会.鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估.第二十条增强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件.第二十一条申请信息平安治理体系认证的公司应按国家及监管部门要求,增强信息平安治理体系认证平安治理,选择国家认证认可监督治理部门批准的机构进行认证,并与认证机构签订平安和保密协议.第二十二条在信息系统可能对客户效劳造成较大影

8、响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户.、根底设施与网络设备环境第二十三条根据信息化开展需要,建设相应的中央机房和灾备机房以下统称机房.机房应设置在中华人民共和国境内不包括港、澳、台地区,机房建设须符合国家有关标准标准和监管部门要求.将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的平安举措.第二十四条建立健全机房运行维护平安治理制度,指定专门部门及专人负责机房平安治理,采取合理的物理访问限制,对出入机房人员进行审查、登记,保证对机房实施7X24小时实时监控.第二十五条建立信息系统资产平安治理制度,编制资产清单,明确

9、资产治理责任部门与人员,标准资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保存检查记录.第二十六条根据设备功能及软件应用等性质设立物理平安保护区域,采取必要的预防、检测和恢复限制举措.重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记.第二十七条根据业务、应用系统的功能及信息平安级别,将网络与信息系统划分成不同的逻辑平安区域,在网络各区域之间以及网络边界建立访问限制举措,部署监控手段,控制数据流向平安.第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,保证业务系统平安稳定运行.第二十九条建立网络

10、平安治理制度,标准治理网络结构、平安配置、日志保存、平安限制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障平安策略的有效执行.第三十条内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时保证审计记录不被删除、修改或覆盖.第三十一条严格限制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问限制等举措要求,形成网络接入日志并定期审计,保证未经审查通过的设备无法接入.第三十二条增强信息系统平台软件平安治理,保证配置标准落实.对入侵行为、恶意

11、代码、病毒等风险即进行防范部署,严格限制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在效劳水平降低到设定阈值时发出报警.第三十三条分类对计算机终端的平安提出要求,制订终端网络准入、平安策略、软件安装等治理标准.第三十四条标准化治理信息系统相关硬件设备,标准设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保存相关记录.第三十五条制定介质分类治理制度.根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用.重要备份介质应进行异地存放.介质送出维修或销毁时,应保证介质信息预先得到审

12、查并妥善处理.对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理.四、应用系统与数据平安第三十六条建立完善的信息系统开发运行维护治理组织体系,制订完备治理制度与操作标准,保证信息系统开发与运行维护过程独立、人员别离.第三十七条生产系统应与开发、测试系统有效隔离,保证生产系统平安、稳定运行.第三十八条信息系统开发、实施过程应明确限制方法和人员行为准那么,保存相关文档和记录.制定信息系统代码编写平安标准,标准开发人员对源代码访问权限的治理,有效保护公司信息资产平安.涉及公司核心或机密数据的信息系统,应采取必要的保密举措保证其开发实施平安,不得使用敏感生产数据用于

13、开发、测试环境.第三十九条信息系统正式上线运行前,应对系统进行功能、性能与平安性测试与验收,经相关流程审批前方可投入使用.第四十条制定有效的信息系统变更治理流程,限制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性.包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备.第四十一条对信息系统的运行维护负责,保持运行维护限制力.增强平安入侵检测监控,进行风险评估与平安扫描,及时发现并处置平安事件.第四十二条建立覆盖信息系统全生命周期的信息平安问题治理流程.建立系统身份鉴别机制,严格帐号权限限制治理,标准权限分配和回收流程,保存审计记录,及时进行分析处理.保证全面的追踪、分析和解决信

14、息系统问题,并对问题记录、分类和索引.在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据平安.第四十三条根据内部限制与审计的要求,保存信息系统相关日志,并采取适当举措确保日志内容不被删除、修改或覆盖.第四十四条对主机系统进行审计,妥善治理并及时分析处理审计记录.对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计.第四十五条建立信息系统灾难恢复治理机制.根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略.第四十六条采用必要的技术手段和治理举措,保证数据通信的保密性和完整性.涉密信息应进行加密处理,保证涉密信息在传输、处理、存储过程中不

15、被泄露或篡改.与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维平安治理,采用国家和行业相关数据交换标准,保证数据交换过程平安可控.第四十七条根据国家密码治理相关规定和要求,建立健全密码设备治理制度,增强密码设备使用人员治理,使用符合国家要求和信息加密强度要求的加密技术和产品,增强相关信息系统平安保密设计和建设.第四十八条增强互联网门户网站系统平安治理工作,建立严格信息发布审批制度,严格限制网站内容发布权限,对网站系统进行平安评估,保证网站系统平安稳定运行.第四十九条电子商务、交易系统等应用系统建设应具备相应治理标准,明确各交易环节或过程平安要求,采取必要平安技术和治理举措,保护

16、个人信息和客户敏感商业信息,保留交易相关日志,保证交易行为平安可靠.第五十条增强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理.建立恶意代码防范治理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取治理与技术举措,保证具备主动发现和有效阻止恶意代码传播的水平.五、信息化工作外包与采购效劳第五十一条实施信息化工作外包的公司,应制定完备的外包效劳治理制度,将外包纳入全面风险治理体系,合理审慎实施外包.不得将信息系统平安治理责任外包.对涉及国家及本公司商业秘密和客户隐私等敏感信息

17、系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准.第五十二条根据国家与监管部门有关外包与采购规定,结合风险限制和实际需要,建立有效的外包和采购内部评估审核流程与监督治理机制.第五十三条实施数据中央、信息科技根底设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会.第五十四条建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、平安资质、风险限制水平和诚信记录等进行审查、评估与考核,保证其设施和水平满足外包要求.公司应优先选用通过信息平安治理体系认证的信息技术效劳机构提供外包效劳.第五十五条与外包承包方签订书面外包效劳合同,合同包括但不限于外包效劳范围、平安保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督治理机构的检查.第五十六条严格限制外包承包方的再转包行为.对于确有第三方外包供给商参与实施的工程,应采取有力举措,保证外包效劳