各保险省级分公司:
为进一步强化保险业科技风险安全管理,做好保险业信息系统安全保障,发挥信息化在支撑保险业发展中的重要作用,按照中国保监会《关于开展2011年保险业信息系统安全检查工作的通知》(保监统信[2011]471号)要求,我局将在辖内组织开展保险信息系统安全自查工作。现将有关事项通知如下:
一、检查范围
各保险省级分公司及其分支机构。
二、检查内容
(一)信息安全组织建设和人员管理
信息化及信息安全工作的管理组织机构、主管领导、管理人员、安全岗位的设置情况;信息安全工作责任制的落实情况;涉及信息安全的人员管理情况(包括外包服务人员),以及公司的信息安全培训情况。
(二)信息安全制度
公司现行信息安全工作制度体系建设情况;制度体系是否完善;制度具体规定是否科学合理;对保监会关于信息安全工作要求、公司现行信息安全工作制度的执行落实情况。
(三)信息系统安全管控
机房基础设施环境和重要核心设备的安全状况和管理情况;业务、财务、单证管理等重要系统在使用、运营维护过程中的安全管控措施。
(四)数据管理和备份
数据安全备份措施,备份介质的管理情况,数据备份的有效性验证情况。
(五)应急响应体系建设情况
信息安全应急响应的工作组织建设情况;工作责任落实情况;应急预案的制定、演练情况;应急保障、技术支持和应急管理措施情况;重大信息安全事件的处置情况。
三、检查要求
(一)高度重视。信息系统安全是保险业务发展和管理的关键环节和重要步骤,各公司一定要高度重视,切实将信息系统安全检查作为一项重要工作任务,认真部署,狠抓落实。
(二)认真自查。各公司要根据检查内容,紧密结合本单位实际,认真制定具体的评估细则和实施方案,对自查发现的风险隐患采取必要的安全防范措施,发现的系统性问题要及时报告总公司,并认真限期整改。
(三)及时上报情况。各公司自查工作结束后,应及时总结并形成《自查报告》。《自查报告》应至少包括以下五方面内容:一是公司自查工作的部署和开展情况;二是查找出的风险和问题(包括本年度发生的信息安全事件及处置情况);三是采取的有关安全整改措施;四是取得的工作成效、经验和不足;五是对加强保险信息化建设及监管工作的意见和建议。
各公司应于2011年7月30日前将《自查报告》与《2011年信息系统安全检查情况表》(见附件)纸质版及电子版报至我局统计研究处,其中纸质版要求加盖公章。我局将在8月份针对各公司的自查自纠情况适时选择部分公司开展现场检查。
联 系 人:孙 毅
联系电话:88937733
传真电话:88937706
电子邮箱:tjyjc@126.com
附件:《2011年信息系统安全检查情况表》
二〇一一年五月十七日
2011年信息系统安全检查情况表.xls
