- 首頁
- 保險(xiǎn)法律
- 正文
關(guān)于印發(fā)《保險(xiǎn)公司信息系統(tǒng)安全管理指引(試行)》的通知
- 2018年05月30日
- 15:00
- 來源:
- 作者:
中國保險(xiǎn)監(jiān)督管理委員會|保監(jiān)發(fā)〔2011〕68號|2011-11-16發(fā)布|2011-11-16實(shí)施|現(xiàn)行有效
保監(jiān)發(fā)〔2011〕68號
各保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司:
為防范化解保險(xiǎn)公司信息系統(tǒng)安全風(fēng)險(xiǎn),完善信息系統(tǒng)安全保障體系,確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行,中國保險(xiǎn)監(jiān)督管理委員會制定了《保險(xiǎn)公司信息系統(tǒng)安全管理指引(試行)》。現(xiàn)印發(fā)給你們,請遵照執(zhí)行。
中國保險(xiǎn)監(jiān)督管理委員會
二〇一一年十一月十六日
保險(xiǎn)公司信息系統(tǒng)安全管理指引(試行)
一、總
則
第一條
為防范化解保險(xiǎn)公司信息系統(tǒng)安全風(fēng)險(xiǎn),完善信息系統(tǒng)安全保障體系,確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行,根據(jù)《中華人民共和國保險(xiǎn)法》、國家信息安全相關(guān)法律法規(guī)和有關(guān)要求,制定本指引。
第二條
本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司。
第三條
本指引所稱信息系統(tǒng)安全,是指利用信息安全技術(shù)及管理手段,保護(hù)信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性,保障信息系統(tǒng)的安全、穩(wěn)定運(yùn)行。
第四條
信息系統(tǒng)安全是公司持續(xù)穩(wěn)定發(fā)展的重要基礎(chǔ)。各公司應(yīng)通過管理機(jī)制和技術(shù)手段,加強(qiáng)信息安全保障工作,保障業(yè)務(wù)活動的連續(xù)性。
實(shí)現(xiàn)信息化工作集中管理的保險(xiǎn)集團(tuán)(控股)公司,可以集團(tuán)(控股)公司為單位對信息系統(tǒng)安全工作統(tǒng)籌規(guī)劃執(zhí)行。
第五條
中國保監(jiān)會依法對保險(xiǎn)公司信息系統(tǒng)安全工作實(shí)施監(jiān)督管理。
二、安全管理總體要求
第六條
信息系統(tǒng)安全工作應(yīng)按照“積極防御、綜合防范”的原則,與自身業(yè)務(wù)及信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行,構(gòu)建完備的信息系統(tǒng)安全保障體系。
第七條
各公司是信息系統(tǒng)安全的責(zé)任主體。公司法定代表人或主要負(fù)責(zé)人為信息系統(tǒng)安全的第一責(zé)任人。
第八條
信息化工作委員會之下應(yīng)設(shè)立信息安全專業(yè)工作機(jī)構(gòu),全面統(tǒng)籌協(xié)調(diào)公司信息系統(tǒng)安全相關(guān)事項(xiàng)的研判決策,并應(yīng)指定公司級高級管理人員負(fù)責(zé)信息安全專業(yè)工作機(jī)構(gòu),作為信息系統(tǒng)安全的直接責(zé)任人。
第九條
各公司應(yīng)履行以下信息系統(tǒng)安全管理職責(zé):
(一)貫徹落實(shí)國家和監(jiān)管部門有關(guān)信息系統(tǒng)安全管理的法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和相關(guān)要求。
(二)組織公司信息系統(tǒng)安全規(guī)劃與建設(shè)工作,制訂相關(guān)管理規(guī)定。
(三)建立有效的信息系統(tǒng)安全保障體系并定期或根據(jù)工作需要及時(shí)進(jìn)行檢查、評估、審計(jì)、改進(jìn)、監(jiān)控等工作。
(四)對信息系統(tǒng)安全事件進(jìn)行管理、處置和上報(bào)。
(五)組織公司員工信息系統(tǒng)安全教育與培訓(xùn)。
(六)開展與信息系統(tǒng)安全相關(guān)的其他工作。
第十條
建立覆蓋物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、存儲、災(zāi)備、安全事件管理及應(yīng)用等各層面的安全管理規(guī)章制度,并定期或根據(jù)需要及時(shí)對安全管理規(guī)章制度進(jìn)行評審、修訂。
第十一條
針對信息系統(tǒng)安全的各層面、各環(huán)節(jié),結(jié)合各部門和崗位職責(zé),建立職責(zé)明確的授權(quán)機(jī)制、審批流程以及完備有效、相互制衡的內(nèi)部控制體系,并對審批文檔和內(nèi)部控制過程進(jìn)行及時(shí)記錄。
第十二條
配備足夠的具有專業(yè)知識和技能的信息系統(tǒng)安全工作人員。明確信息系統(tǒng)安全相關(guān)人員角色和職責(zé),建立必要的崗位分離和職責(zé)權(quán)限制約機(jī)制,實(shí)行最小授權(quán),避免單一人員權(quán)限過于集中引發(fā)風(fēng)險(xiǎn),重要崗位應(yīng)設(shè)定候補(bǔ)員工及工作接替計(jì)劃。
第十三條
定期或根據(jù)工作需要及時(shí)對高級管理人員開展信息安全管理與治理相關(guān)培訓(xùn),對參與信息系統(tǒng)建設(shè)、運(yùn)行維護(hù)和操作使用的人員進(jìn)行安全教育、技能培訓(xùn)和考核。加強(qiáng)崗位管理,明確上崗與離崗要求,重要崗位須簽署相關(guān)崗位協(xié)議。對涉密崗位工作人員應(yīng)特別進(jìn)行保密教育培訓(xùn),并簽訂保密承諾書。
第十四條
按照國家和監(jiān)管部門信息系統(tǒng)安全規(guī)范、技術(shù)標(biāo)準(zhǔn)及等級保護(hù)管理要求,明確信息系統(tǒng)安全保護(hù)等級,實(shí)施信息系統(tǒng)安全等級保護(hù),按等級安全要求進(jìn)行備案并定期測評和整改。
第十五條
制定信息管理相關(guān)制度和流程,規(guī)范管理信息采集、傳輸、交換、存儲、備份、恢復(fù)和銷毀等環(huán)節(jié),加強(qiáng)重要數(shù)據(jù)信息控制和保護(hù),保障信息的合法、合規(guī)使用。
第十六條
按照國家和監(jiān)管部門信息系統(tǒng)災(zāi)難恢復(fù)管理要求、規(guī)范和技術(shù)標(biāo)準(zhǔn),推進(jìn)信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)工作并定期進(jìn)行演練,確保業(yè)務(wù)連續(xù)性。
第十七條
對信息系統(tǒng)安全事件進(jìn)行等級劃分和事件分類,制定安全事件報(bào)告、響應(yīng)處理程序等應(yīng)急預(yù)案,并定期進(jìn)行演練,評審和修訂。遇有重大信息系統(tǒng)事故或突發(fā)事件,應(yīng)按應(yīng)急預(yù)案快速響應(yīng)處理,并按規(guī)定及時(shí)向中國保監(jiān)會報(bào)告。
第十八條
建立有效可靠的安全信息獲取渠道,獲取與公司信息系統(tǒng)運(yùn)營相關(guān)的外部安全預(yù)警信息,匯總、整理公司內(nèi)部安全信息,及時(shí)提交公司信息安全專業(yè)工作機(jī)構(gòu),并按相關(guān)流程發(fā)布實(shí)施。
第十九條
設(shè)立獨(dú)立于信息技術(shù)部門的信息科技風(fēng)險(xiǎn)審計(jì)崗位,負(fù)責(zé)信息科技審計(jì)制度制訂和信息系統(tǒng)風(fēng)險(xiǎn)評估與審計(jì)。至少每年對信息安全控制策略和措施及落實(shí)情況進(jìn)行檢查,至少每兩年開展一次信息科技風(fēng)險(xiǎn)評估與審計(jì),并將信息科技風(fēng)險(xiǎn)評估審計(jì)報(bào)告報(bào)送中國保監(jiān)會。
鼓勵公司在符合國家有關(guān)法律、法規(guī)和監(jiān)管要求的情況下,聘請具備相應(yīng)資質(zhì)的外部機(jī)構(gòu)進(jìn)行外部審計(jì)和風(fēng)險(xiǎn)評估。
第二十條
加強(qiáng)信息系統(tǒng)知識產(chǎn)權(quán)保護(hù)和推進(jìn)正版化工作,禁止復(fù)制、傳播或使用非授權(quán)軟件。
第二十一條
申請信息安全管理體系認(rèn)證的公司應(yīng)按國家及監(jiān)管部門要求,加強(qiáng)信息安全管理體系認(rèn)證安全管理,選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)的機(jī)構(gòu)進(jìn)行認(rèn)證,并與認(rèn)證機(jī)構(gòu)簽訂安全和保密協(xié)議。
第二十二條
在信息系統(tǒng)可能對客戶服務(wù)造成較大影響時(shí),根據(jù)有關(guān)法律法規(guī)及時(shí)和規(guī)范地披露信息系統(tǒng)風(fēng)險(xiǎn)狀況,并以適當(dāng)?shù)姆绞礁嬷蛻簟?br>三、基礎(chǔ)設(shè)施與網(wǎng)絡(luò)設(shè)備環(huán)境
第二十三條
根據(jù)信息化發(fā)展需要,建設(shè)相應(yīng)的中心機(jī)房和災(zāi)備機(jī)房(以下統(tǒng)稱“機(jī)房”)。機(jī)房應(yīng)設(shè)置在中華人民共和國境內(nèi)(不包括港、澳、臺地區(qū)),機(jī)房建設(shè)須符合國家有關(guān)標(biāo)準(zhǔn)規(guī)范和監(jiān)管部門要求。將機(jī)房外包托管的公司,應(yīng)保證受托方機(jī)房符合上述標(biāo)準(zhǔn),主機(jī)托管應(yīng)具有獨(dú)立的操作空間和嚴(yán)格的安全措施。
第二十四條
建立健全機(jī)房運(yùn)行維護(hù)安全管理制度,指定專門部門及專人負(fù)責(zé)機(jī)房安全管理,采取合理的物理訪問控制,對出入機(jī)房人員進(jìn)行審查、登記,確保對機(jī)房實(shí)施7×24小時(shí)實(shí)時(shí)監(jiān)控。
第二十五條
建立信息系統(tǒng)資產(chǎn)安全管理制度,編制資產(chǎn)清單,明確資產(chǎn)管理責(zé)任部門與人員,規(guī)范資產(chǎn)分配、使用、存儲、維護(hù)和銷毀等各種行為,定期對資產(chǎn)清單進(jìn)行一致性檢查并保留檢查記錄。
第二十六條
根據(jù)設(shè)備功能及軟件應(yīng)用等性質(zhì)設(shè)立物理安全保護(hù)區(qū)域,采取必要的預(yù)防、檢測和恢復(fù)控制措施。重要保護(hù)區(qū)域前應(yīng)設(shè)置交付或過渡區(qū)域,重要設(shè)備或主要部件應(yīng)進(jìn)行固定并設(shè)置明顯的標(biāo)記。
第二十七條
根據(jù)業(yè)務(wù)、應(yīng)用系統(tǒng)的功能及信息安全級別,將網(wǎng)絡(luò)與信息系統(tǒng)劃分成不同的邏輯安全區(qū)域,在網(wǎng)絡(luò)各區(qū)域之間以及網(wǎng)絡(luò)邊界建立訪問控制措施,部署監(jiān)控手段,控制數(shù)據(jù)流向安全。
第二十八條
建立較為完備的網(wǎng)絡(luò)體系,具有合理的網(wǎng)絡(luò)結(jié)構(gòu),重要網(wǎng)絡(luò)設(shè)備和通信線路應(yīng)具有冗余備份,確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。
第二十九條
建立網(wǎng)絡(luò)安全管理制度,規(guī)范管理網(wǎng)絡(luò)結(jié)構(gòu)、安全配置、日志保存、安全控制軟件升級與打補(bǔ)丁、口令更新、文件備份和外部連接等方面的授權(quán)批準(zhǔn)與變更審核,保障安全策略的有效執(zhí)行。
第三十條
內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)、外聯(lián)單位網(wǎng)絡(luò)等連接時(shí),應(yīng)明確網(wǎng)絡(luò)外聯(lián)種類方式,采用可靠連接策略及技術(shù)手段,實(shí)現(xiàn)彼此有效隔離,并對跨網(wǎng)絡(luò)流量、網(wǎng)絡(luò)用戶行為等進(jìn)行記錄和定期審計(jì),同時(shí)確保審計(jì)記錄不被刪除、修改或覆蓋。
第三十一條
嚴(yán)格控制移動式設(shè)備接入、無線接入和遠(yuǎn)程接入等網(wǎng)絡(luò)接入行為,明確接入方式、訪問控制等措施要求,形成網(wǎng)絡(luò)接入日志并定期審計(jì),確保未經(jīng)審查通過的設(shè)備無法接入。
第三十二條
加強(qiáng)信息系統(tǒng)平臺軟件安全管理,確保配置標(biāo)準(zhǔn)落實(shí)。對入侵行為、惡意代碼、病毒等風(fēng)險(xiǎn)即進(jìn)行防范部署,嚴(yán)格控制信息系統(tǒng)身份訪問、資源訪問,監(jiān)控主機(jī)系統(tǒng)的資源使用情況,并在服務(wù)水平降低到設(shè)定閾值時(shí)發(fā)出報(bào)警。
第三十三條
分類對計(jì)算機(jī)終端的安全提出要求,制訂終端網(wǎng)絡(luò)準(zhǔn)入、安全策略、軟件安裝等管理規(guī)范。
第三十四條
規(guī)范化管理信息系統(tǒng)相關(guān)硬件設(shè)備,規(guī)范設(shè)備選型、購置、登記、保養(yǎng)、維修、報(bào)廢等相關(guān)流程,實(shí)時(shí)動態(tài)監(jiān)控設(shè)備運(yùn)行狀態(tài),定期進(jìn)行巡檢、維護(hù)和保養(yǎng)并保留相關(guān)記錄。
第三十五條
制定介質(zhì)分類管理制度。根據(jù)介質(zhì)存儲內(nèi)容與重要性明確存儲介質(zhì)類型、存放技術(shù)指標(biāo)、保存期限等,并定期檢查介質(zhì)中存儲的信息是否完整可用。重要備份介質(zhì)應(yīng)進(jìn)行異地存放。介質(zhì)送出維修或銷毀時(shí),應(yīng)保證介質(zhì)信息預(yù)先得到審查并妥善處理。對于存儲客戶隱私等涉密信息的存儲介質(zhì),應(yīng)嚴(yán)格依據(jù)國家及監(jiān)管部門要求進(jìn)行保存與銷毀等管理。
四、應(yīng)用系統(tǒng)與數(shù)據(jù)安全
第三十六條
建立完善的信息系統(tǒng)開發(fā)運(yùn)行維護(hù)管理組織體系,制訂完備管理制度與操作規(guī)范,確保信息系統(tǒng)開發(fā)與運(yùn)行維護(hù)過程獨(dú)立、人員分離。
第三十七條
生產(chǎn)系統(tǒng)應(yīng)與開發(fā)、測試系統(tǒng)有效隔離,確保生產(chǎn)系統(tǒng)安全、穩(wěn)定運(yùn)行。
第三十八條
信息系統(tǒng)開發(fā)、實(shí)施過程應(yīng)明確控制方法和人員行為準(zhǔn)則,保存相關(guān)文檔和記錄。制定信息系統(tǒng)代碼編寫安全規(guī)范,規(guī)范開發(fā)人員對源代碼訪問權(quán)限的管理,有效保護(hù)公司信息資產(chǎn)安全。涉及公司核心或機(jī)密數(shù)據(jù)的信息系統(tǒng),應(yīng)采取必要的保密措施確保其開發(fā)實(shí)施安全,不得使用敏感生產(chǎn)數(shù)據(jù)用于開發(fā)、測試環(huán)境。
第三十九條
信息系統(tǒng)正式上線運(yùn)行前,應(yīng)對系統(tǒng)進(jìn)行功能、性能與安全性測試與驗(yàn)收,經(jīng)相關(guān)流程審批后方可投入使用。
第四十條
制定有效的信息系統(tǒng)變更管理流程,控制系統(tǒng)變更過程,分析變更影響,確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志,并做好系統(tǒng)變更前準(zhǔn)備。
第四十一條
對信息系統(tǒng)的運(yùn)行維護(hù)負(fù)責(zé),保持運(yùn)行維護(hù)控制力。加強(qiáng)安全入侵檢測監(jiān)控,進(jìn)行風(fēng)險(xiǎn)評估與安全掃描,及時(shí)發(fā)現(xiàn)并處置安全事件。
第四十二條
建立覆蓋信息系統(tǒng)全生命周期的信息安全問題管理流程。建立系統(tǒng)身份鑒別機(jī)制,嚴(yán)格帳號權(quán)限控制管理,規(guī)范權(quán)限分配和回收流程,保存審計(jì)記錄,及時(shí)進(jìn)行分析處理。確保全面的追蹤、分析和解決信息系統(tǒng)問題,并對問題記錄、分類和索引。
在遇有系統(tǒng)及數(shù)據(jù)升級、存檔、存儲、遷移、消除等需要系統(tǒng)終止運(yùn)行情況,應(yīng)妥善處理,保證系統(tǒng)及數(shù)據(jù)安全。
第四十三條
根據(jù)內(nèi)部控制與審計(jì)的要求,保存信息系統(tǒng)相關(guān)日志,并采取適當(dāng)措施確保日志內(nèi)容不被刪除、修改或覆蓋。
第四十四條
對主機(jī)系統(tǒng)進(jìn)行審計(jì),妥善管理并及時(shí)分析處理審計(jì)記錄。對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進(jìn)行重點(diǎn)審計(jì)。
第四十五條
建立信息系統(tǒng)災(zāi)難恢復(fù)管理機(jī)制。根據(jù)數(shù)據(jù)及系統(tǒng)的重要性,明確數(shù)據(jù)及系統(tǒng)的備份與災(zāi)難恢復(fù)策略。
第四十六條
采用必要的技術(shù)手段和管理措施,保證數(shù)據(jù)通信的保密性和完整性。涉密信息應(yīng)進(jìn)行加密處理,確保涉密信息在傳輸、處理、存儲過程中不被泄露或篡改。
與外部相關(guān)單位信息交換時(shí)要保證信息交換協(xié)議、策略、密鑰等開發(fā)運(yùn)維安全管理,采用國家和行業(yè)相關(guān)數(shù)據(jù)交換標(biāo)準(zhǔn),保障數(shù)據(jù)交換過程安全可控。
第四十七條
按照國家密碼管理相關(guān)規(guī)定和要求,建立健全密碼設(shè)備管理制度,加強(qiáng)密碼設(shè)備使用人員管理,使用符合國家要求和信息加密強(qiáng)度要求的加密技術(shù)和產(chǎn)品,加強(qiáng)相關(guān)信息系統(tǒng)安全保密設(shè)計(jì)和建設(shè)。
第四十八條
加強(qiáng)互聯(lián)網(wǎng)門戶網(wǎng)站系統(tǒng)安全管理工作,建立嚴(yán)格信息發(fā)布審批制度,嚴(yán)格控制網(wǎng)站內(nèi)容發(fā)布權(quán)限,對網(wǎng)站系統(tǒng)進(jìn)行安全評估,確保網(wǎng)站系統(tǒng)安全穩(wěn)定運(yùn)行。
第四十九條
電子商務(wù)、交易系統(tǒng)等應(yīng)用系統(tǒng)建設(shè)應(yīng)具備相應(yīng)管理規(guī)范,明確各交易環(huán)節(jié)或過程安全要求,采取必要安全技術(shù)和管理措施,保護(hù)個人信息和客戶敏感商業(yè)信息,保留交易相關(guān)日志,確保交易行為安全可靠。
第五十條
加強(qiáng)信息系統(tǒng)病毒防護(hù)工作,集中進(jìn)行防病毒產(chǎn)品的選型測試和部署實(shí)施,及時(shí)更新防病毒軟件和病毒代碼,發(fā)現(xiàn)病毒或異常情況及時(shí)處理。
建立惡意代碼防范管理制度,并部署防惡意代碼軟件,對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等做出明確規(guī)定,采取管理與技術(shù)措施,確保具備主動發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力。
五、信息化工作外包與采購服務(wù)
第五十一條
實(shí)施信息化工作外包的公司,應(yīng)制定完備的外包服務(wù)管理制度,將外包納入全面風(fēng)險(xiǎn)管理體系,合理審慎實(shí)施外包。
不得將信息系統(tǒng)安全管理責(zé)任外包。對涉及國家及本公司商業(yè)秘密和客戶隱私等敏感信息系統(tǒng)內(nèi)容進(jìn)行外包時(shí),應(yīng)遵守國家和監(jiān)管部門有關(guān)法律法規(guī)與要求,并經(jīng)過公司決策機(jī)構(gòu)批準(zhǔn)。
第五十二條
根據(jù)國家與監(jiān)管部門有關(guān)外包與采購規(guī)定,結(jié)合風(fēng)險(xiǎn)控制和實(shí)際需要,建立有效的外包和采購內(nèi)部評估審核流程與監(jiān)督管理機(jī)制。
第五十三條
實(shí)施數(shù)據(jù)中心、信息科技基礎(chǔ)設(shè)施等重要外包應(yīng)格外謹(jǐn)慎,在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告中國保監(jiān)會。
第五十四條
建立健全外包承包方考核、評估機(jī)制,定期對承包方財(cái)務(wù)狀況、技術(shù)實(shí)力、安全資質(zhì)、風(fēng)險(xiǎn)控制水平和誠信記錄等進(jìn)行審查、評估與考核,確保其設(shè)施和能力滿足外包要求。公司應(yīng)優(yōu)先選用通過信息安全管理體系認(rèn)證的信息技術(shù)服務(wù)機(jī)構(gòu)提供外包服務(wù)。
第五十五條
與外包承包方簽訂書面外包服務(wù)合同,合同包括但不限于外包服務(wù)范圍、安全保密、知識產(chǎn)權(quán)、業(yè)務(wù)連續(xù)性要求、爭端解決機(jī)制、合同變更或終止的過渡安排、違約責(zé)任等條款,且承包方須承諾配合保險(xiǎn)公司接受保險(xiǎn)監(jiān)督管理機(jī)構(gòu)的檢查。
第五十六條
嚴(yán)格控制外包承包方的再轉(zhuǎn)包行為。對于確有第三方外包供應(yīng)商參與實(shí)施的項(xiàng)目,應(yīng)采取有力措施,確保外包服務(wù)質(zhì)量和安全不受影響和不衰減。
第五十七條
與外包承包方建立有效信息交流與溝通機(jī)制,確保外包服務(wù)人員的相對穩(wěn)定性。對于人員的必要流動,應(yīng)要求外包承包方承諾確保外包服務(wù)的連續(xù)性與安全性。
第五十八條
中國保監(jiān)會根據(jù)需要對外包活動進(jìn)行現(xiàn)場檢查,采集外包活動過程中數(shù)據(jù)信息和相關(guān)資料,對于違反相關(guān)法律、法規(guī)或存在重大風(fēng)險(xiǎn)隱患的外包情形,可以要求公司進(jìn)行整改,并視情況予以問責(zé)。
六、附則
第五十九條
本指引由中國保監(jiān)會負(fù)責(zé)解釋、修訂。
第六十條
信息化工作重大事項(xiàng)范圍請參考《關(guān)于加強(qiáng)保險(xiǎn)業(yè)信息化工作重大事項(xiàng)管理的通知》(保監(jiān)廳發(fā)〔2007〕8號)
第六十一條
本指引自發(fā)布之日起實(shí)施。
保監(jiān)發(fā)〔2011〕68號
各保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司:
為防范化解保險(xiǎn)公司信息系統(tǒng)安全風(fēng)險(xiǎn),完善信息系統(tǒng)安全保障體系,確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行,中國保險(xiǎn)監(jiān)督管理委員會制定了《保險(xiǎn)公司信息系統(tǒng)安全管理指引(試行)》。現(xiàn)印發(fā)給你們,請遵照執(zhí)行。
中國保險(xiǎn)監(jiān)督管理委員會
二〇一一年十一月十六日
保險(xiǎn)公司信息系統(tǒng)安全管理指引(試行)
一、總
則
第一條
為防范化解保險(xiǎn)公司信息系統(tǒng)安全風(fēng)險(xiǎn),完善信息系統(tǒng)安全保障體系,確保信息系統(tǒng)安全、穩(wěn)定運(yùn)行,根據(jù)《中華人民共和國保險(xiǎn)法》、國家信息安全相關(guān)法律法規(guī)和有關(guān)要求,制定本指引。
第二條
本指引適用于在中華人民共和國境內(nèi)依法設(shè)立的保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司。
第三條
本指引所稱信息系統(tǒng)安全,是指利用信息安全技術(shù)及管理手段,保護(hù)信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性,保障信息系統(tǒng)的安全、穩(wěn)定運(yùn)行。
第四條
信息系統(tǒng)安全是公司持續(xù)穩(wěn)定發(fā)展的重要基礎(chǔ)。各公司應(yīng)通過管理機(jī)制和技術(shù)手段,加強(qiáng)信息安全保障工作,保障業(yè)務(wù)活動的連續(xù)性。
實(shí)現(xiàn)信息化工作集中管理的保險(xiǎn)集團(tuán)(控股)公司,可以集團(tuán)(控股)公司為單位對信息系統(tǒng)安全工作統(tǒng)籌規(guī)劃執(zhí)行。
第五條
中國保監(jiān)會依法對保險(xiǎn)公司信息系統(tǒng)安全工作實(shí)施監(jiān)督管理。
二、安全管理總體要求
第六條
信息系統(tǒng)安全工作應(yīng)按照“積極防御、綜合防范”的原則,與自身業(yè)務(wù)及信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行,構(gòu)建完備的信息系統(tǒng)安全保障體系。
第七條
各公司是信息系統(tǒng)安全的責(zé)任主體。公司法定代表人或主要負(fù)責(zé)人為信息系統(tǒng)安全的第一責(zé)任人。
第八條
信息化工作委員會之下應(yīng)設(shè)立信息安全專業(yè)工作機(jī)構(gòu),全面統(tǒng)籌協(xié)調(diào)公司信息系統(tǒng)安全相關(guān)事項(xiàng)的研判決策,并應(yīng)指定公司級高級管理人員負(fù)責(zé)信息安全專業(yè)工作機(jī)構(gòu),作為信息系統(tǒng)安全的直接責(zé)任人。
第九條
各公司應(yīng)履行以下信息系統(tǒng)安全管理職責(zé):
(一)貫徹落實(shí)國家和監(jiān)管部門有關(guān)信息系統(tǒng)安全管理的法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和相關(guān)要求。
(二)組織公司信息系統(tǒng)安全規(guī)劃與建設(shè)工作,制訂相關(guān)管理規(guī)定。
(三)建立有效的信息系統(tǒng)安全保障體系并定期或根據(jù)工作需要及時(shí)進(jìn)行檢查、評估、審計(jì)、改進(jìn)、監(jiān)控等工作。
(四)對信息系統(tǒng)安全事件進(jìn)行管理、處置和上報(bào)。
(五)組織公司員工信息系統(tǒng)安全教育與培訓(xùn)。
(六)開展與信息系統(tǒng)安全相關(guān)的其他工作。
第十條
建立覆蓋物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、存儲、災(zāi)備、安全事件管理及應(yīng)用等各層面的安全管理規(guī)章制度,并定期或根據(jù)需要及時(shí)對安全管理規(guī)章制度進(jìn)行評審、修訂。
第十一條
針對信息系統(tǒng)安全的各層面、各環(huán)節(jié),結(jié)合各部門和崗位職責(zé),建立職責(zé)明確的授權(quán)機(jī)制、審批流程以及完備有效、相互制衡的內(nèi)部控制體系,并對審批文檔和內(nèi)部控制過程進(jìn)行及時(shí)記錄。
第十二條
配備足夠的具有專業(yè)知識和技能的信息系統(tǒng)安全工作人員。明確信息系統(tǒng)安全相關(guān)人員角色和職責(zé),建立必要的崗位分離和職責(zé)權(quán)限制約機(jī)制,實(shí)行最小授權(quán),避免單一人員權(quán)限過于集中引發(fā)風(fēng)險(xiǎn),重要崗位應(yīng)設(shè)定候補(bǔ)員工及工作接替計(jì)劃。
第十三條
定期或根據(jù)工作需要及時(shí)對高級管理人員開展信息安全管理與治理相關(guān)培訓(xùn),對參與信息系統(tǒng)建設(shè)、運(yùn)行維護(hù)和操作使用的人員進(jìn)行安全教育、技能培訓(xùn)和考核。加強(qiáng)崗位管理,明確上崗與離崗要求,重要崗位須簽署相關(guān)崗位協(xié)議。對涉密崗位工作人員應(yīng)特別進(jìn)行保密教育培訓(xùn),并簽訂保密承諾書。
第十四條
按照國家和監(jiān)管部門信息系統(tǒng)安全規(guī)范、技術(shù)標(biāo)準(zhǔn)及等級保護(hù)管理要求,明確信息系統(tǒng)安全保護(hù)等級,實(shí)施信息系統(tǒng)安全等級保護(hù),按等級安全要求進(jìn)行備案并定期測評和整改。
第十五條
制定信息管理相關(guān)制度和流程,規(guī)范管理信息采集、傳輸、交換、存儲、備份、恢復(fù)和銷毀等環(huán)節(jié),加強(qiáng)重要數(shù)據(jù)信息控制和保護(hù),保障信息的合法、合規(guī)使用。
第十六條
按照國家和監(jiān)管部門信息系統(tǒng)災(zāi)難恢復(fù)管理要求、規(guī)范和技術(shù)標(biāo)準(zhǔn),推進(jìn)信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)工作并定期進(jìn)行演練,確保業(yè)務(wù)連續(xù)性。
第十七條
對信息系統(tǒng)安全事件進(jìn)行等級劃分和事件分類,制定安全事件報(bào)告、響應(yīng)處理程序等應(yīng)急預(yù)案,并定期進(jìn)行演練,評審和修訂。遇有重大信息系統(tǒng)事故或突發(fā)事件,應(yīng)按應(yīng)急預(yù)案快速響應(yīng)處理,并按規(guī)定及時(shí)向中國保監(jiān)會報(bào)告。
第十八條
建立有效可靠的安全信息獲取渠道,獲取與公司信息系統(tǒng)運(yùn)營相關(guān)的外部安全預(yù)警信息,匯總、整理公司內(nèi)部安全信息,及時(shí)提交公司信息安全專業(yè)工作機(jī)構(gòu),并按相關(guān)流程發(fā)布實(shí)施。
第十九條
設(shè)立獨(dú)立于信息技術(shù)部門的信息科技風(fēng)險(xiǎn)審計(jì)崗位,負(fù)責(zé)信息科技審計(jì)制度制訂和信息系統(tǒng)風(fēng)險(xiǎn)評估與審計(jì)。至少每年對信息安全控制策略和措施及落實(shí)情況進(jìn)行檢查,至少每兩年開展一次信息科技風(fēng)險(xiǎn)評估與審計(jì),并將信息科技風(fēng)險(xiǎn)評估審計(jì)報(bào)告報(bào)送中國保監(jiān)會。
鼓勵公司在符合國家有關(guān)法律、法規(guī)和監(jiān)管要求的情況下,聘請具備相應(yīng)資質(zhì)的外部機(jī)構(gòu)進(jìn)行外部審計(jì)和風(fēng)險(xiǎn)評估。
第二十條
加強(qiáng)信息系統(tǒng)知識產(chǎn)權(quán)保護(hù)和推進(jìn)正版化工作,禁止復(fù)制、傳播或使用非授權(quán)軟件。
第二十一條
申請信息安全管理體系認(rèn)證的公司應(yīng)按國家及監(jiān)管部門要求,加強(qiáng)信息安全管理體系認(rèn)證安全管理,選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)的機(jī)構(gòu)進(jìn)行認(rèn)證,并與認(rèn)證機(jī)構(gòu)簽訂安全和保密協(xié)議。
第二十二條
在信息系統(tǒng)可能對客戶服務(wù)造成較大影響時(shí),根據(jù)有關(guān)法律法規(guī)及時(shí)和規(guī)范地披露信息系統(tǒng)風(fēng)險(xiǎn)狀況,并以適當(dāng)?shù)姆绞礁嬷蛻簟?br>三、基礎(chǔ)設(shè)施與網(wǎng)絡(luò)設(shè)備環(huán)境
第二十三條
根據(jù)信息化發(fā)展需要,建設(shè)相應(yīng)的中心機(jī)房和災(zāi)備機(jī)房(以下統(tǒng)稱“機(jī)房”)。機(jī)房應(yīng)設(shè)置在中華人民共和國境內(nèi)(不包括港、澳、臺地區(qū)),機(jī)房建設(shè)須符合國家有關(guān)標(biāo)準(zhǔn)規(guī)范和監(jiān)管部門要求。將機(jī)房外包托管的公司,應(yīng)保證受托方機(jī)房符合上述標(biāo)準(zhǔn),主機(jī)托管應(yīng)具有獨(dú)立的操作空間和嚴(yán)格的安全措施。
第二十四條
建立健全機(jī)房運(yùn)行維護(hù)安全管理制度,指定專門部門及專人負(fù)責(zé)機(jī)房安全管理,采取合理的物理訪問控制,對出入機(jī)房人員進(jìn)行審查、登記,確保對機(jī)房實(shí)施7×24小時(shí)實(shí)時(shí)監(jiān)控。
第二十五條
建立信息系統(tǒng)資產(chǎn)安全管理制度,編制資產(chǎn)清單,明確資產(chǎn)管理責(zé)任部門與人員,規(guī)范資產(chǎn)分配、使用、存儲、維護(hù)和銷毀等各種行為,定期對資產(chǎn)清單進(jìn)行一致性檢查并保留檢查記錄。
第二十六條
根據(jù)設(shè)備功能及軟件應(yīng)用等性質(zhì)設(shè)立物理安全保護(hù)區(qū)域,采取必要的預(yù)防、檢測和恢復(fù)控制措施。重要保護(hù)區(qū)域前應(yīng)設(shè)置交付或過渡區(qū)域,重要設(shè)備或主要部件應(yīng)進(jìn)行固定并設(shè)置明顯的標(biāo)記。
第二十七條
根據(jù)業(yè)務(wù)、應(yīng)用系統(tǒng)的功能及信息安全級別,將網(wǎng)絡(luò)與信息系統(tǒng)劃分成不同的邏輯安全區(qū)域,在網(wǎng)絡(luò)各區(qū)域之間以及網(wǎng)絡(luò)邊界建立訪問控制措施,部署監(jiān)控手段,控制數(shù)據(jù)流向安全。
第二十八條
建立較為完備的網(wǎng)絡(luò)體系,具有合理的網(wǎng)絡(luò)結(jié)構(gòu),重要網(wǎng)絡(luò)設(shè)備和通信線路應(yīng)具有冗余備份,確保業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行。
第二十九條
建立網(wǎng)絡(luò)安全管理制度,規(guī)范管理網(wǎng)絡(luò)結(jié)構(gòu)、安全配置、日志保存、安全控制軟件升級與打補(bǔ)丁、口令更新、文件備份和外部連接等方面的授權(quán)批準(zhǔn)與變更審核,保障安全策略的有效執(zhí)行。
第三十條
內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)、外聯(lián)單位網(wǎng)絡(luò)等連接時(shí),應(yīng)明確網(wǎng)絡(luò)外聯(lián)種類方式,采用可靠連接策略及技術(shù)手段,實(shí)現(xiàn)彼此有效隔離,并對跨網(wǎng)絡(luò)流量、網(wǎng)絡(luò)用戶行為等進(jìn)行記錄和定期審計(jì),同時(shí)確保審計(jì)記錄不被刪除、修改或覆蓋。
第三十一條
嚴(yán)格控制移動式設(shè)備接入、無線接入和遠(yuǎn)程接入等網(wǎng)絡(luò)接入行為,明確接入方式、訪問控制等措施要求,形成網(wǎng)絡(luò)接入日志并定期審計(jì),確保未經(jīng)審查通過的設(shè)備無法接入。
第三十二條
加強(qiáng)信息系統(tǒng)平臺軟件安全管理,確保配置標(biāo)準(zhǔn)落實(shí)。對入侵行為、惡意代碼、病毒等風(fēng)險(xiǎn)即進(jìn)行防范部署,嚴(yán)格控制信息系統(tǒng)身份訪問、資源訪問,監(jiān)控主機(jī)系統(tǒng)的資源使用情況,并在服務(wù)水平降低到設(shè)定閾值時(shí)發(fā)出報(bào)警。
第三十三條
分類對計(jì)算機(jī)終端的安全提出要求,制訂終端網(wǎng)絡(luò)準(zhǔn)入、安全策略、軟件安裝等管理規(guī)范。
第三十四條
規(guī)范化管理信息系統(tǒng)相關(guān)硬件設(shè)備,規(guī)范設(shè)備選型、購置、登記、保養(yǎng)、維修、報(bào)廢等相關(guān)流程,實(shí)時(shí)動態(tài)監(jiān)控設(shè)備運(yùn)行狀態(tài),定期進(jìn)行巡檢、維護(hù)和保養(yǎng)并保留相關(guān)記錄。
第三十五條
制定介質(zhì)分類管理制度。根據(jù)介質(zhì)存儲內(nèi)容與重要性明確存儲介質(zhì)類型、存放技術(shù)指標(biāo)、保存期限等,并定期檢查介質(zhì)中存儲的信息是否完整可用。重要備份介質(zhì)應(yīng)進(jìn)行異地存放。介質(zhì)送出維修或銷毀時(shí),應(yīng)保證介質(zhì)信息預(yù)先得到審查并妥善處理。對于存儲客戶隱私等涉密信息的存儲介質(zhì),應(yīng)嚴(yán)格依據(jù)國家及監(jiān)管部門要求進(jìn)行保存與銷毀等管理。
四、應(yīng)用系統(tǒng)與數(shù)據(jù)安全
第三十六條
建立完善的信息系統(tǒng)開發(fā)運(yùn)行維護(hù)管理組織體系,制訂完備管理制度與操作規(guī)范,確保信息系統(tǒng)開發(fā)與運(yùn)行維護(hù)過程獨(dú)立、人員分離。
第三十七條
生產(chǎn)系統(tǒng)應(yīng)與開發(fā)、測試系統(tǒng)有效隔離,確保生產(chǎn)系統(tǒng)安全、穩(wěn)定運(yùn)行。
第三十八條
信息系統(tǒng)開發(fā)、實(shí)施過程應(yīng)明確控制方法和人員行為準(zhǔn)則,保存相關(guān)文檔和記錄。制定信息系統(tǒng)代碼編寫安全規(guī)范,規(guī)范開發(fā)人員對源代碼訪問權(quán)限的管理,有效保護(hù)公司信息資產(chǎn)安全。涉及公司核心或機(jī)密數(shù)據(jù)的信息系統(tǒng),應(yīng)采取必要的保密措施確保其開發(fā)實(shí)施安全,不得使用敏感生產(chǎn)數(shù)據(jù)用于開發(fā)、測試環(huán)境。
第三十九條
信息系統(tǒng)正式上線運(yùn)行前,應(yīng)對系統(tǒng)進(jìn)行功能、性能與安全性測試與驗(yàn)收,經(jīng)相關(guān)流程審批后方可投入使用。
第四十條
制定有效的信息系統(tǒng)變更管理流程,控制系統(tǒng)變更過程,分析變更影響,確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志,并做好系統(tǒng)變更前準(zhǔn)備。
第四十一條
對信息系統(tǒng)的運(yùn)行維護(hù)負(fù)責(zé),保持運(yùn)行維護(hù)控制力。加強(qiáng)安全入侵檢測監(jiān)控,進(jìn)行風(fēng)險(xiǎn)評估與安全掃描,及時(shí)發(fā)現(xiàn)并處置安全事件。
第四十二條
建立覆蓋信息系統(tǒng)全生命周期的信息安全問題管理流程。建立系統(tǒng)身份鑒別機(jī)制,嚴(yán)格帳號權(quán)限控制管理,規(guī)范權(quán)限分配和回收流程,保存審計(jì)記錄,及時(shí)進(jìn)行分析處理。確保全面的追蹤、分析和解決信息系統(tǒng)問題,并對問題記錄、分類和索引。
在遇有系統(tǒng)及數(shù)據(jù)升級、存檔、存儲、遷移、消除等需要系統(tǒng)終止運(yùn)行情況,應(yīng)妥善處理,保證系統(tǒng)及數(shù)據(jù)安全。
第四十三條
根據(jù)內(nèi)部控制與審計(jì)的要求,保存信息系統(tǒng)相關(guān)日志,并采取適當(dāng)措施確保日志內(nèi)容不被刪除、修改或覆蓋。
第四十四條
對主機(jī)系統(tǒng)進(jìn)行審計(jì),妥善管理并及時(shí)分析處理審計(jì)記錄。對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進(jìn)行重點(diǎn)審計(jì)。
第四十五條
建立信息系統(tǒng)災(zāi)難恢復(fù)管理機(jī)制。根據(jù)數(shù)據(jù)及系統(tǒng)的重要性,明確數(shù)據(jù)及系統(tǒng)的備份與災(zāi)難恢復(fù)策略。
第四十六條
采用必要的技術(shù)手段和管理措施,保證數(shù)據(jù)通信的保密性和完整性。涉密信息應(yīng)進(jìn)行加密處理,確保涉密信息在傳輸、處理、存儲過程中不被泄露或篡改。
與外部相關(guān)單位信息交換時(shí)要保證信息交換協(xié)議、策略、密鑰等開發(fā)運(yùn)維安全管理,采用國家和行業(yè)相關(guān)數(shù)據(jù)交換標(biāo)準(zhǔn),保障數(shù)據(jù)交換過程安全可控。
第四十七條
按照國家密碼管理相關(guān)規(guī)定和要求,建立健全密碼設(shè)備管理制度,加強(qiáng)密碼設(shè)備使用人員管理,使用符合國家要求和信息加密強(qiáng)度要求的加密技術(shù)和產(chǎn)品,加強(qiáng)相關(guān)信息系統(tǒng)安全保密設(shè)計(jì)和建設(shè)。
第四十八條
加強(qiáng)互聯(lián)網(wǎng)門戶網(wǎng)站系統(tǒng)安全管理工作,建立嚴(yán)格信息發(fā)布審批制度,嚴(yán)格控制網(wǎng)站內(nèi)容發(fā)布權(quán)限,對網(wǎng)站系統(tǒng)進(jìn)行安全評估,確保網(wǎng)站系統(tǒng)安全穩(wěn)定運(yùn)行。
第四十九條
電子商務(wù)、交易系統(tǒng)等應(yīng)用系統(tǒng)建設(shè)應(yīng)具備相應(yīng)管理規(guī)范,明確各交易環(huán)節(jié)或過程安全要求,采取必要安全技術(shù)和管理措施,保護(hù)個人信息和客戶敏感商業(yè)信息,保留交易相關(guān)日志,確保交易行為安全可靠。
第五十條
加強(qiáng)信息系統(tǒng)病毒防護(hù)工作,集中進(jìn)行防病毒產(chǎn)品的選型測試和部署實(shí)施,及時(shí)更新防病毒軟件和病毒代碼,發(fā)現(xiàn)病毒或異常情況及時(shí)處理。
建立惡意代碼防范管理制度,并部署防惡意代碼軟件,對防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、定期匯報(bào)等做出明確規(guī)定,采取管理與技術(shù)措施,確保具備主動發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力。
五、信息化工作外包與采購服務(wù)
第五十一條
實(shí)施信息化工作外包的公司,應(yīng)制定完備的外包服務(wù)管理制度,將外包納入全面風(fēng)險(xiǎn)管理體系,合理審慎實(shí)施外包。
不得將信息系統(tǒng)安全管理責(zé)任外包。對涉及國家及本公司商業(yè)秘密和客戶隱私等敏感信息系統(tǒng)內(nèi)容進(jìn)行外包時(shí),應(yīng)遵守國家和監(jiān)管部門有關(guān)法律法規(guī)與要求,并經(jīng)過公司決策機(jī)構(gòu)批準(zhǔn)。
第五十二條
根據(jù)國家與監(jiān)管部門有關(guān)外包與采購規(guī)定,結(jié)合風(fēng)險(xiǎn)控制和實(shí)際需要,建立有效的外包和采購內(nèi)部評估審核流程與監(jiān)督管理機(jī)制。
第五十三條
實(shí)施數(shù)據(jù)中心、信息科技基礎(chǔ)設(shè)施等重要外包應(yīng)格外謹(jǐn)慎,在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書面材料正式報(bào)告中國保監(jiān)會。
第五十四條
建立健全外包承包方考核、評估機(jī)制,定期對承包方財(cái)務(wù)狀況、技術(shù)實(shí)力、安全資質(zhì)、風(fēng)險(xiǎn)控制水平和誠信記錄等進(jìn)行審查、評估與考核,確保其設(shè)施和能力滿足外包要求。公司應(yīng)優(yōu)先選用通過信息安全管理體系認(rèn)證的信息技術(shù)服務(wù)機(jī)構(gòu)提供外包服務(wù)。
第五十五條
與外包承包方簽訂書面外包服務(wù)合同,合同包括但不限于外包服務(wù)范圍、安全保密、知識產(chǎn)權(quán)、業(yè)務(wù)連續(xù)性要求、爭端解決機(jī)制、合同變更或終止的過渡安排、違約責(zé)任等條款,且承包方須承諾配合保險(xiǎn)公司接受保險(xiǎn)監(jiān)督管理機(jī)構(gòu)的檢查。
第五十六條
嚴(yán)格控制外包承包方的再轉(zhuǎn)包行為。對于確有第三方外包供應(yīng)商參與實(shí)施的項(xiàng)目,應(yīng)采取有力措施,確保外包服務(wù)質(zhì)量和安全不受影響和不衰減。
第五十七條
與外包承包方建立有效信息交流與溝通機(jī)制,確保外包服務(wù)人員的相對穩(wěn)定性。對于人員的必要流動,應(yīng)要求外包承包方承諾確保外包服務(wù)的連續(xù)性與安全性。
第五十八條
中國保監(jiān)會根據(jù)需要對外包活動進(jìn)行現(xiàn)場檢查,采集外包活動過程中數(shù)據(jù)信息和相關(guān)資料,對于違反相關(guān)法律、法規(guī)或存在重大風(fēng)險(xiǎn)隱患的外包情形,可以要求公司進(jìn)行整改,并視情況予以問責(zé)。
六、附則
第五十九條
本指引由中國保監(jiān)會負(fù)責(zé)解釋、修訂。
第六十條
信息化工作重大事項(xiàng)范圍請參考《關(guān)于加強(qiáng)保險(xiǎn)業(yè)信息化工作重大事項(xiàng)管理的通知》(保監(jiān)廳發(fā)〔2007〕8號)
第六十一條
本指引自發(fā)布之日起實(shí)施。
閱讀排行榜
-
1
國家金融監(jiān)督管理總局辦公廳關(guān)于大力發(fā)展商業(yè)保險(xiǎn)年金有關(guān)事項(xiàng)的通知
-
2
國家金融監(jiān)督管理總局辦公廳關(guān)于加強(qiáng)銀行業(yè)保險(xiǎn)業(yè)移動互聯(lián)網(wǎng)應(yīng)用程序管理的通知
-
3
國務(wù)院關(guān)于加強(qiáng)監(jiān)管防范風(fēng)險(xiǎn)推動保險(xiǎn)業(yè)高質(zhì)量發(fā)展的若干意見
-
4
保險(xiǎn)公司縣域機(jī)構(gòu)統(tǒng)計(jì)制度
-
5
金融機(jī)構(gòu)涉刑案件管理辦法
-
6
國家金融監(jiān)督管理總局關(guān)于健全人身保險(xiǎn)產(chǎn)品定價(jià)機(jī)制的通知
-
7
金融機(jī)構(gòu)合規(guī)管理辦法(征求意見稿)
-
8
國家金融監(jiān)督管理總局關(guān)于加強(qiáng)和改進(jìn)互聯(lián)網(wǎng)財(cái)產(chǎn)保險(xiǎn)業(yè)務(wù)監(jiān)管有關(guān)事項(xiàng)的通知
-
9
保險(xiǎn)資產(chǎn)風(fēng)險(xiǎn)分類辦法(征求意見稿)
-
10
國家金融監(jiān)督管理總局上海市人民政府關(guān)于加快上海國際再保險(xiǎn)中心建設(shè)的實(shí)施意見
推薦閱讀
-
1
華泰人壽高管變陣!友邦三員大將轉(zhuǎn)會鄭少瑋擬任總經(jīng)理即將赴任業(yè)內(nèi)預(yù)計(jì)華泰個險(xiǎn)開啟“友邦化”
-
2
金融監(jiān)管總局開年八大任務(wù):報(bào)行合一、新能源車險(xiǎn)、利差損一個都不能少
-
3
53歲楊明剛已任中國太平黨委委員,有望出任副總經(jīng)理
-
4
非上市險(xiǎn)企去年業(yè)績盤點(diǎn):保險(xiǎn)業(yè)務(wù)收入現(xiàn)正增長產(chǎn)壽險(xiǎn)業(yè)績分化
-
5
春節(jié)前夕保險(xiǎn)高管頻繁變陣
-
6
金融監(jiān)管總局印發(fā)通知要求全力做好防汛救災(zāi)保險(xiǎn)賠付及預(yù)賠工作
-
7
31人死亡!銀川燒烤店爆炸事故已排查部分承保情況,預(yù)估保險(xiǎn)賠付超1400萬元
-
8
中國銀保監(jiān)會發(fā)布《關(guān)于開展人壽保險(xiǎn)與長期護(hù)理保險(xiǎn)責(zé)任轉(zhuǎn)換業(yè)務(wù)試點(diǎn)的通知》
-
9
董事長變更后,中國人壽新添80后女總助
-
10
國內(nèi)首家批發(fā)保險(xiǎn)經(jīng)紀(jì)公司來了,保險(xiǎn)中介未來將走向何方?
