《保险机构信息化监管规定(征求意见稿)》信息安全管理篇
10月9日,保监会起草发布《保险机构信息化监管规定(征求意见稿)》。《规定》以加强对保险机构信息化工作的监督管理,促进信息化工作规范化与标准化建设为目标,现正式向公众征求意见,相信不久便会正式发布。如果该《规定》正式发布,保监会133号文件-《保险公司信息化工作管理指引》将正式废除。对比两个文件,我们发现《规定》的内容比《指引》更加丰富,划分也更加明确,而且值得一提的是,该文件对信息安全管理做了大篇幅的介绍,从基本要求到体系建设、安全机制、等级保护、安全认证、终端管理、资产管理等等都做了分点说明。
以下是《保险机构信息化监管规定(征求意见稿)》信息安全管理篇具体内容。文后附《保险机构信息化监管规定(征求意见稿)》和《保险公司信息化工作管理指引》下载文档。
第六章 信息安全管理
第四十八条[信息安全]本规定所称信息安全是指利用信息技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性。
信息安全包括网络安全、系统安全和内容安全,涵盖物理环境、网络、主机系统、桌面系统、数据、应用、存储、灾备、安全事件管理、人员等各层面安全。
第四十九条[基本要求]保险机构要将信息安全置于信息化工作的首位,按照“积极防御、综合防范”的原则,加强信息安全与信息系统的同步规划、同步建设和同步使用,加强风险管理与控制,充分利用管理机制和技术手段,增强安全防护能力,构建完善的信息安全保障体系,确保重要信息系统持续稳定运行,保障业务活动的连续性。
第五十条[机构职责] 保险机构应当按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全责任,强化安全意识,加强安全管理,全面落实信息安全管理责任制。
保险机构法定代表人对本机构信息安全承担首要责任,首席信息官、信息化工作委员会主任对本机构信息安全承担主要责任。
保险机构应当在信息技术部门设置专门机构,并配备专职人员,履行以下安全职责:
(一)贯彻落实国家和中国保监会有关信息系统安全管理的法律、行政法规、技术标准和相关要求;
(二)组织公司信息系统安全规划与建设工作,制定相关管理规定;
(三)组织制定信息化风险管理制度,建立风险识别、计量、监测和控制体系;
(四)建立有效的信息系统安全保障体系并定期或者根据工作需要及时进行检查、评估、审计、改进、监控等工作;
(五)对信息系统安全事件进行管理、处置和上报;
(六)组织配备足够具有专业知识和技能的信息安全工作人员;
(七)组织公司员工信息系统安全教育与培训;
(八)开展与信息系统安全相关的其他工作。
第五十一条[制度体系] 保险机构应当建立完善的信息安全分类和保护制度体系,明确系统管理、网络管理、安全管理等岗位职责、管理权限和技能要求,细化工作流程,建立有效的执行机制、评估机制和监督机制。制度体系包括以下内容:
(一)信息安全组织管理制度;
(二)信息化风险管理与控制制度;
(三)人员安全管理制度;
(四)数据安全管理制度;
(五)资产安全管理制度;
(六)物理与环境安全管理制度;
(七)访问控制管理制度;
(八)网络运行维护管理制度;
(九)系统开发与维护管理制度;
(十)业务连续性管理制度;
(十一)合规性管理制度;
(十二)信息安全事故管理制度;
(十三)信息化外包服务管理制度。
第五十二条[安全机制]保险机构应当构建完善的信息安全风险控制策略。针对信息安全的各层面、各环节,建立职责明确的授权机制、审批流程,以及完备有效、相互制衡的内部控制体系,定期根据安全风险态势进行评审和完善。
第五十三条[安全可控]保险机构应当优先采购安全可控的硬件设备和软件产品,稳步推进安全可控产品应用;积极创造条件,提高关键业务系统的自主研发水平,不断增强保险机构信息化工作的安全可控能力。
第五十四条[国产密码]保险机构应当严格按照国家金融领域密码应用工作规划和实施要求,逐步实现国产密码在电子保单及保险领域的全面应用。
第五十五条[正版化]保险机构应当切实提高软件正版化意识和自主产权保护意识。禁止复制、传播或者使用非授权软件。对本机构具有自主知识产权的信息产品,应当采取有效措施加以保护。
第五十六条[等级保护]保险机构应当按照国家和中国保监会信息系统安全规范、技术标准及等级保护管理要求,进行定级、保护、备案、测评和整改,确保不同等级的信息系统具备相应的安全防护能力。
第五十七条[安全认证]保险机构需要申请信息安全管理体系认证的,应当按照国家有关规定及中国保监会要求,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第五十八条[数据安全]保险机构应当制定数据管理相关制度和流程,规范数据采集、传输、存储、交换、备份、恢复和销毁等环节,采取加密等手段防范数据泄露,保障信息数据的合法、合规使用,做好数据恢复有效性测试,防范灾难发生时数据丢失风险。
外资保险机构信息系统所载数据移至中华人民共和国境外的,应当符合我国有关法律法规。
第五十九条[终端管理]保险机构应当根据安全管理有关规定对计算机、移动设备等各类终端分别制定安全管理制度,严格规范终端网络准入、安全策略、软件安装与卸载等管理。
第六十条[资产管理]保险机构要建立软硬件和数据资源等信息化资产管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等行为,定期对资产清单进行一致性检查并保留检查记录。
第六十一条[介质管理]保险机构要制定介质分类管理制度,根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。
重要备份介质应当异地存放。介质送出维修或者销毁时,应当保证介质信息预先得到审查并妥善处理。
对于存储客户隐私等涉密信息的存储介质,应当严格依据国家有关法律法规及中国保监会要求保存与销毁。
第六十二条[灾备恢复]保险机构应当加强信息系统灾难恢复管理,制定业务连续性规划,并定期进行演练,以确保出现无法预见的中断时信息系统仍能持续运行并提供服务。
第六十三条[应急管理]保险机构应当针对可能发生的信息安全重大突发事件,建立和完善分类应急管理体系,与通信、电力、消防等基础保障部门建立沟通机制,与业务系统、基础设备等服务厂商建立协同机制,对重大自然灾害、恶意破坏等合理划分应急响应等级,明确应急响应启动程序、处理流程、上报要求、预警机制等。
保险机构应当每年至少进行一次应急演练,针对演练中暴露出的风险隐患进行整改。
第六十四条[新技术安全]保险机构应当主动跟踪研究应用新兴信息技术,在推进业务创新的同时,提高信息安全防护能力,防范和控制新技术应用带来的新风险。
保险机构需要使用云计算服务的,要充分评估使用云计算服务的价值和风险。重点关注云计算提供商满足服务等级协定以及提供连续稳定云服务的能力,并充分考虑敏感数据在云计算平台上运行的安全性、所采取的安全控制措施的可靠性以及系统和数据迁移方案完善性等风险因素。