中国保险监督管理委员会关于开展2012年保险业信息系统安全检查工作的通知
(保监统信〔2012〕365号)
各保监局,各保险公司、保险资产管理公司:
为落实《保险公司信息化工作管理指引》、《保险公司信息系统安全管理指引》等信息化工作要求,进一步做好2012年保险业信息安全保障工作,确保保险业信息系统安全平稳运行,中国保监会将组织开展2012年保险业信息系统安全检查工作。现将有关事项通知如下:
一、检查范围
各保险公司、保险资产管理公司。
二、检查内容
各保险公司和保险资产管理公司根据自身情况,自行设计检查内容,重点围绕(但不限于)以下几个方面:
(一)信息安全组织建设和人员管理
信息化及信息安全工作的管理组织机构、主管领导、管理人员、安全岗位的设置情况;信息安全工作责任制的落实情况;涉及信息安全的人员管理情况;信息安全培训情况;外包服务和人员的安全管理情况。
(二)信息安全制度
公司现行信息安全工作制度体系建设情况;对公司现行信息安全工作制度和保监会信息安全工作要求的执行落实情况;公司信息系统等级保护定级、测评、整改等工作开展情况;软件正版化、软件资产管理等情况。
(三)信息系统安全管控
机房基础设施环境和重要核心设备的安全状况和管理情况;核心业务系统设计、开发、部署、运维等管理和使用过程中的安全管控措施。
(四)数据管理和灾备建设
数据安全备份措施,备份介质的管理情况,数据备份的有效性验证情况,以及灾备中心的设计规划和实际建设情况。
(五)应急响应体系建设情况
信息安全应急响应的工作组织建设情况;工作责任落实情况;应急预案的制定、演练情况;应急保障、技术支持和应急管理措施情况;重大信息安全事件的处置情况。
三、检查安排
本次信息安全检查分为三个阶段:
第一阶段:各保险公司和保险资产管理公司开展自查和整改(2012年4月-6月)
各保险公司和保险资产管理公司按照要求,认真开展信息系统安全自查和整改,6月30日前将自查工作总结及填写后的《2012年信息系统安全检查情况表》书面材料和电子版报送保监会统信部。
