保监会要求: 险企应构建完备的信息系统安保体系
时间:2011/12/9
来源:中国保险报
作者:杨林
- 新疆保险行业协会
- 新疆保险学会
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保监会近日印发《保险公司信息系统安全管理指引(试行)》(以下简称《指引》)。《指引》于发布之日起实施。
信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
《指引》对保险公司信息系统安全管理提出了总体要求:信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
《指引》明确,各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
《指引》对各公司应履行的信息系统安全管理职责作出了详细规定:贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求;组织公司信息系统安全规划与建设工作,制定相关管理规定;建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作;对信息系统安全事件进行管理、处置和上报;组织公司员工信息系统安全教育与培训;开展与信息系统安全相关的其他工作。
同时,《指引》还对有关环节的操作进行了规范,涉及内容包括:建立安全管理规章制度、内部控制体系,信息系统安全工作人员配置,对相关人员进行安全教育、培训、考核,实施信息系统安全等级保护,制定信息管理相关制度和流程,推进信息系统灾难恢复建设,制定安全事件报告、响应处理程序等应急预案,建立安全信息获取渠道,信息科技审计制度制定和信息系统风险评估与审计,加强信息系统知识产权保护和推进正版化工作,申请信息安全管理体系认证,披露信息系统风险状况等。
在基础设施与网络设备环境方面,《指引》也提出了13项具体要求,如建设中心机房和灾备机房,机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
对应用系统与数据安全,《指引》以完善组织体系、完备管理制度、确保生产系统安全稳定运行为出发点,对有关环节提出了建议和要求,同时,也对安全事件的应对与处置进行了说明。其中,尤其对与审计有关的工作提出了明确的要求,如根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖;对主机系统进行审计,妥善管理并及时分析处理审计记录。
此外,《指引》还对信息化工作外包与采购服务提出了有关要求。《指引》指出,实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。《指引》强调,中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
新疆保险