保险公司信息系统安全管理指引（试行）

2011年中国保险监督管理委员会发布的文件保险公司信息系统安全管理指引（试行）01总则基础设施采购服务安全管理应用系统附则目录0305020406基本信息中国保险监督管理委员会关于印发《保险公司信息系统安全管理指引（试行）》的通知保监发〔2011〕68号各保险公司、保险资产管理公司：为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。现印发给你们，请遵照执行。中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引（试行）总则总则第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规划执行。第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。安全管理安全管理第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。第八条信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。第九条各公司应履行以下信息系统安全管理职责：（一）贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。（二）组织公司信息系统安全规划与建设工作，制订相关管理规定。（三）建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。（四）对信息系统安全事件进行管理、处置和上报。（五）组织公司员工信息系统安全教育与培训。基础设施基础设施第二十三条根据信息化发展需要，建设相应的中心机房和灾备机房（以下统称“机房”）。机房应设置在中华人民共和国境内（不包括港、澳、台地区），机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司，应保证受托方机房符合上述标准，主机托管应具有独立的操作空间和严格的安全措施。第二十四条建立健全机房运行维护安全管理制度，指定专门部门及专人负责机房安全管理，采取合理的物理访问控制，对出入机房人员进行审查、登记，确保对机房实施7×24小时实时监控。第二十五条建立信息系统资产安全管理制度，编制资产清单，明确资产管理责任部门与人员，规范资产分配、使用、存储、维护和销毁等各种行为，定期对资产清单进行一致性检查并保留检查记录。第二十六条根据设备功能及软件应用等性质设立物理安全保护区域，采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。第二十七条根据业务、应用系统的功能及信息安全级别，将网络与信息系统划分成不同的逻辑安全区域，在网络各区域之间以及网络边界建立访问控制措施，部署监控手段，控制数据流向安全。第二十八条建立较为完备的网络体系，具有合理的网络结构，重要网络设备和通信线路应具有冗余备份，确保业务系统安全稳定运行。应用系统应用系统第三十六条建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离。第三十七条生产系统应与开发、测试系统有效隔离，确保生产系统安全、稳定运行。第三十八条信息系统开发、实施过程应明确控制方法和人员行为准则，保存相关文档和记录。制定信息系统代码编写安全规范，规范开发人员对源代码访问权限的管理，有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统，应采取必要的保密措施确保其开发实施安全，不得使用敏感生产数据用于开发、测试环境。第三十九条信息系统正式上线运行前，应对系统进行功能、性能与安全性测试与验收，经相关流程审批后方可投入使用。第四十条制定有效的信息系统变更管理流程，控制系统变更过程，分析变更影响，确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志，并做好系统变更前准备。第四十一条对信息系统的运行维护负责，保持运行维护控制力。加强安全入侵检测监控，进行风险评估与安全扫描，及时发现并处置安全事件。第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。采购服务采购服务第五十一条实施信息化工作外包的公司，应制定完备的外包服务管理制度，将外包纳入全面风险管理体系，合理审慎实施外包。不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时，应遵守国家和监管部门有关法律法规与要求，并经过公司决策机构批准。第五十二条根据国家与监管部门有关外包与采购规定，结合风险控制和实际需要，建立有效的外包和采购内部评估审核流程与监督管理机制。第五十三条实施数据中心、信息科技基础设施等重要外包应格外谨慎，在准备实施重要外包时应以书面材料正式报告中国保监会。第五十四条建立健全外包承包方考核、评估机制，定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核，确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。第五十五条与外包承包方签订书面外包服务合同，合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款，