《保險機構信息化監管規定(征求意見稿)》信息安全管理篇
10月9日,保監會起草發布《保險機構信息化監管規定(征求意見稿)》。《規定》以加強對保險機構信息化工作的監督管理,促進信息化工作規范化與標準化建設為目標,現正式向公眾征求意見,相信不久便會正式發布。如果該《規定》正式發布,保監會133號文件-《保險公司信息化工作管理指引》將正式廢除。對比兩個文件,我們發現《規定》的內容比《指引》更加豐富,劃分也更加明確,而且值得一提的是,該文件對信息安全管理做了大篇幅的介紹,從基本要求到體系建設、安全機制、等級保護、安全認證、終端管理、資產管理等等都做了分點說明。
以下是《保險機構信息化監管規定(征求意見稿)》信息安全管理篇具體內容。文后附《保險機構信息化監管規定(征求意見稿)》和《保險公司信息化工作管理指引》下載文檔。
第六章 信息安全管理
第四十八條[信息安全]本規定所稱信息安全是指利用信息技術及管理手段,保護信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性。
信息安全包括網絡安全、系統安全和內容安全,涵蓋物理環境、網絡、主機系統、桌面系統、數據、應用、存儲、災備、安全事件管理、人員等各層面安全。
第四十九條[基本要求]保險機構要將信息安全置于信息化工作的首位,按照“積極防御、綜合防范”的原則,加強信息安全與信息系統的同步規劃、同步建設和同步使用,加強風險管理與控制,充分利用管理機制和技術手段,增強安全防護能力,構建完善的信息安全保障體系,確保重要信息系統持續穩定運行,保障業務活動的連續性。
第五十條[機構職責] 保險機構應當按照“誰主管、誰負責,誰運營、誰負責,誰使用、誰負責”的原則,明確信息安全責任,強化安全意識,加強安全管理,全面落實信息安全管理責任制。
保險機構法定代表人對本機構信息安全承擔首要責任,首席信息官、信息化工作委員會主任對本機構信息安全承擔主要責任。
保險機構應當在信息技術部門設置專門機構,并配備專職人員,履行以下安全職責:
(一)貫徹落實國家和中國保監會有關信息系統安全管理的法律、行政法規、技術標準和相關要求;
(二)組織公司信息系統安全規劃與建設工作,制定相關管理規定;
(三)組織制定信息化風險管理制度,建立風險識別、計量、監測和控制體系;
(四)建立有效的信息系統安全保障體系并定期或者根據工作需要及時進行檢查、評估、審計、改進、監控等工作;
(五)對信息系統安全事件進行管理、處置和上報;
(六)組織配備足夠具有專業知識和技能的信息安全工作人員;
(七)組織公司員工信息系統安全教育與培訓;
(八)開展與信息系統安全相關的其他工作。
第五十一條[制度體系] 保險機構應當建立完善的信息安全分類和保護制度體系,明確系統管理、網絡管理、安全管理等崗位職責、管理權限和技能要求,細化工作流程,建立有效的執行機制、評估機制和監督機制。制度體系包括以下內容:
(一)信息安全組織管理制度;
(二)信息化風險管理與控制制度;
(三)人員安全管理制度;
(四)數據安全管理制度;
(五)資產安全管理制度;
(六)物理與環境安全管理制度;
(七)訪問控制管理制度;
(八)網絡運行維護管理制度;
(九)系統開發與維護管理制度;
(十)業務連續性管理制度;
(十一)合規性管理制度;
(十二)信息安全事故管理制度;
(十三)信息化外包服務管理制度。
第五十二條[安全機制]保險機構應當構建完善的信息安全風險控制策略。針對信息安全的各層面、各環節,建立職責明確的授權機制、審批流程,以及完備有效、相互制衡的內部控制體系,定期根據安全風險態勢進行評審和完善。
第五十三條[安全可控]保險機構應當優先采購安全可控的硬件設備和軟件產品,穩步推進安全可控產品應用;積極創造條件,提高關鍵業務系統的自主研發水平,不斷增強保險機構信息化工作的安全可控能力。
第五十四條[國產密碼]保險機構應當嚴格按照國家金融領域密碼應用工作規劃和實施要求,逐步實現國產密碼在電子保單及保險領域的全面應用。
第五十五條[正版化]保險機構應當切實提高軟件正版化意識和自主產權保護意識。禁止復制、傳播或者使用非授權軟件。對本機構具有自主知識產權的信息產品,應當采取有效措施加以保護。
第五十六條[等級保護]保險機構應當按照國家和中國保監會信息系統安全規范、技術標準及等級保護管理要求,進行定級、保護、備案、測評和整改,確保不同等級的信息系統具備相應的安全防護能力。
第五十七條[安全認證]保險機構需要申請信息安全管理體系認證的,應當按照國家有關規定及中國保監會要求,選擇國家認證認可監督管理部門批準的機構進行認證,并與認證機構簽訂安全和保密協議。
第五十八條[數據安全]保險機構應當制定數據管理相關制度和流程,規范數據采集、傳輸、存儲、交換、備份、恢復和銷毀等環節,采取加密等手段防范數據泄露,保障信息數據的合法、合規使用,做好數據恢復有效性測試,防范災難發生時數據丟失風險。
外資保險機構信息系統所載數據移至中華人民共和國境外的,應當符合我國有關法律法規。
第五十九條[終端管理]保險機構應當根據安全管理有關規定對計算機、移動設備等各類終端分別制定安全管理制度,嚴格規范終端網絡準入、安全策略、軟件安裝與卸載等管理。
第六十條[資產管理]保險機構要建立軟硬件和數據資源等信息化資產管理制度,編制資產清單,明確資產管理責任部門與人員,規范資產分配、使用、存儲、維護和銷毀等行為,定期對資產清單進行一致性檢查并保留檢查記錄。
第六十一條[介質管理]保險機構要制定介質分類管理制度,根據介質存儲內容與重要性明確存儲介質類型、存放技術指標、保存期限等,并定期檢查介質中存儲的信息是否完整可用。
重要備份介質應當異地存放。介質送出維修或者銷毀時,應當保證介質信息預先得到審查并妥善處理。
對于存儲客戶隱私等涉密信息的存儲介質,應當嚴格依據國家有關法律法規及中國保監會要求保存與銷毀。
第六十二條[災備恢復]保險機構應當加強信息系統災難恢復管理,制定業務連續性規劃,并定期進行演練,以確保出現無法預見的中斷時信息系統仍能持續運行并提供服務。
第六十三條[應急管理]保險機構應當針對可能發生的信息安全重大突發事件,建立和完善分類應急管理體系,與通信、電力、消防等基礎保障部門建立溝通機制,與業務系統、基礎設備等服務廠商建立協同機制,對重大自然災害、惡意破壞等合理劃分應急響應等級,明確應急響應啟動程序、處理流程、上報要求、預警機制等。
保險機構應當每年至少進行一次應急演練,針對演練中暴露出的風險隱患進行整改。
第六十四條[新技術安全]保險機構應當主動跟蹤研究應用新興信息技術,在推進業務創新的同時,提高信息安全防護能力,防范和控制新技術應用帶來的新風險。
保險機構需要使用云計算服務的,要充分評估使用云計算服務的價值和風險。重點關注云計算提供商滿足服務等級協定以及提供連續穩定云服務的能力,并充分考慮敏感數據在云計算平臺上運行的安全性、所采取的安全控制措施的可靠性以及系統和數據遷移方案完善性等風險因素。