各保险公司省级分公司:
为防范化解辖区保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,我局制定了《福建保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
福建监管局
2013年3月12日
福建保险公司信息系统安全管理指引
(试行)
第一章 总则
第一条 为完善信息系统安全保障体系,防范化解辖区保险公司信息系统安全风险,确保信息系统安全、稳定运行,根据《保险公司信息化工作管理指引》、《保险公司信息系统安全管理指引》等相关法律法规,制定本指引。
第二条 本指引主要适用于在福建保监局辖区内依法设立的保险公司省级分公司。中心支公司及以下层级机构可参照执行。
第三条 本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第二章 总体要求
第四条 信息系统安全工作应牢固树立“积极防御、综合防范”的理念。
第五条 省级分公司是各自总公司在我局辖区所有分支机构信息系统安全的责任单位,省级分公司主要负责人为信息系统安全的第一责任人。
第六条 省级分公司应设立信息系统安全领导小组,分公司主要负责人任组长,信息化工作所属部门的负责人为联系人。联系人若发生变更,应在变更后3个工作日内向福建保监局报备。
第七条 省级分公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)结合总公司信息系统安全管理相关办法,制订适合于自身的管理规定,并抓好落实。
(三)对信息系统安全事件进行管理、处置和上报。
(四)组织公司员工信息系统安全教育与培训。
(五)开展与信息系统安全相关的其他工作。
第三章 规章制度与人员管理
第八条 省级分公司应建立覆盖物理环境、网络环境、桌面系统、应急措施等各层面的安全管理规章制度,并定期或根据需要,及时对安全管理规章制度进行评审、修订。
第九条 省级分公司应配备足够的具有专业知识和技能的信息系统安全工作人员,并设定候补人员及工作接替计划。原则上成立满5年或下辖中心支公司达到3家的省级分公司应至少配备2名信息技术人员。信息技术人员超过2人(含2人)的省级分公司,应建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险。
第十条 省级分公司应定期或根据工作需要,及时在所辖机构开展面向全体员工的信息系统安全教育。
第十一条 省级分公司应加强岗位管理,明确岗位职责和上岗、离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十二条 省级分公司应按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,根据总公司相关部署,明确分公司所有在用信息系统安全保护等级,落实总公司信息系统安全等级保护相关措施。
第十三条 省级分公司应结合自身实际,推进信息系统突发事件处置工作,并定期进行应急演练,确保业务连续性。
第十四条 遇有重大信息系统事故或突发事件,省级分公司应按应急预案快速响应处理,并及时向福建保监局报告,报告至少应包含突发事件描述、影响范围、处理措施、处理结果等内容。本款所述重大信息系统事故或突发事件包括但不限于以下几个方面。
(一) 省级分公司与总公司主干网络单次事故中断超4小时。
(二) 省级分公司与下辖机构网络单次事故中断超8小时。
(三) 核心系统单次事故中断服务超4小时。
(四) 省级分公司及下辖机构计算机病毒大规模爆发,导致中心公司或以上层级机构业务中断超4小时。
(五) 省级分公司及下辖机构网络被黑客侵入,导致商业秘密丢失。
(六) 其他监管部门要求报告的情形。
第十五条 省级分公司应加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第四章 基础设施与网络环境
第十六条 省级分公司应根据业务发展需要,建设配套机房。多家公司共用机房的,应签订明晰的安全责任书。原则上,共用机房的各家公司应具有独立的操作空间和配套的安全措施。
第十七条 省级分公司应建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行登记,并对机房实施7×24小时实时监控。
第十八条 省级分公司应建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第十九条 省级分公司应建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
总公司和省级分公司、中心支公司之间的网络拓扑为树形结构的,其省级分公司与总公司、省级分公司和下辖中心支公司之间的通信线路必须具有冗余备份,主、备线路应尽量选择不同运营商。
总公司和省级分公司、中心支公司之间的网络拓扑为星形结构的,其省级分公司、中心支公司与总公司之间的通信线路应严格遵循总公司的统一规范和保监会相关要求。
第二十条 省级分公司应建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第二十一条 省级分公司具有互联网出口,且内部网络与互联网连接时,应采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第二十二条 省级分公司内部网络与其他外联单位网络连接时,必须严格按照相关内控流程审批,审批记录应留存备查。
第二十三条 省级分公司应严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第二十四条 省级分公司应分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第二十五条 省级分公司应规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第五章 应用安全与外包服务
第二十六条 省级分公司应加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第二十七条 省级分公司应加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
第二十八条 省级分公司应结合总公司相关要求,建立恶意代码防范管理制度,确保具备主动发现和有效阻止恶意代码传播的能力。
第二十九条 实施信息化工作外包的省级分公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。不得将信息系统安全管理责任外包。
第三十条 省级分公司应根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第三十一条 省级分公司应建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第三十二条 省级分公司应与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第三十三条 省级分公司应与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第六章 附则
第三十四条 本指引由福建保监局负责解释、修订。
第三十五条 本指引自发布之日起实施。