為落實(shí)《保險(xiǎn)公司信息化工作管理指引》、《保險(xiǎn)公司信息系統(tǒng)安全管理指引》等信息化工作要求,進(jìn)一步做好2012年保險(xiǎn)業(yè)信息安全保障工作,確保保險(xiǎn)業(yè)信息系統(tǒng)安全平穩(wěn)運(yùn)行���,中國(guó)保監(jiān)通知要求各保險(xiǎn)公司����、保險(xiǎn)資產(chǎn)管理公司���,重點(diǎn)圍繞信息安全制度�����、信息系統(tǒng)安全管控等五個(gè)方面展2012年保險(xiǎn)業(yè)信息系統(tǒng)安全檢查工作��。
通知指出��, 各保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司根據(jù)自身情況���,自行設(shè)計(jì)檢查內(nèi)容,重點(diǎn)圍繞(但不限于)以下幾個(gè)方面:
(一)信息安全組織建設(shè)和人員管理
信息化及信息安全工作的管理組織機(jī)構(gòu)���、主管領(lǐng)導(dǎo)、管理人員�、安全崗位的設(shè)置情況;信息安全工作責(zé)任制的落實(shí)情況�;涉及信息安全的人員管理情況;信息安全培訓(xùn)情況��;外包服務(wù)和人員的安全管理情況�����。
(二)信息安全制度
公司現(xiàn)行信息安全工作制度體系建設(shè)情況�;對(duì)公司現(xiàn)行信息安全工作制度和保監(jiān)會(huì)信息安全工作要求的執(zhí)行落實(shí)情況���;公司信息系統(tǒng)等級(jí)保護(hù)定級(jí)、測(cè)評(píng)����、整改等工作開展情況;軟件正版化����、軟件資產(chǎn)管理等情況。
(三)信息系統(tǒng)安全管控
機(jī)房基礎(chǔ)設(shè)施環(huán)境和重要核心設(shè)備的安全狀況和管理情況�;核心業(yè)務(wù)系統(tǒng)設(shè)計(jì)、開發(fā)�、部署、運(yùn)維等管理和使用過程中的安全管控措施���。
(四)數(shù)據(jù)管理和災(zāi)備建設(shè)
數(shù)據(jù)安全備份措施��,備份介質(zhì)的管理情況���,數(shù)據(jù)備份的有效性驗(yàn)證情況,以及災(zāi)備中心的設(shè)計(jì)規(guī)劃和實(shí)際建設(shè)情況���。
(五)應(yīng)急響應(yīng)體系建設(shè)情況
信息安全應(yīng)急響應(yīng)的工作組織建設(shè)情況�����;工作責(zé)任落實(shí)情況�;應(yīng)急預(yù)案的制定、演練情況�;應(yīng)急保障、技術(shù)支持和應(yīng)急管理措施情況���;重大信息安全事件的處置情況�。
通知稱�,此次檢查安排分為三個(gè)階段。第一階段主要是各保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司開展自查和整改(2012年4月-6月) �,通知要求各保險(xiǎn)公司和保險(xiǎn)資產(chǎn)管理公司認(rèn)真開展信息系統(tǒng)安全自查和整改,6月30日前將自查工作總結(jié)及填寫后的《2012年信息系統(tǒng)安全檢查情況表》書面材料和電子版報(bào)送保監(jiān)會(huì)統(tǒng)信部��;第二階段是保監(jiān)會(huì)和保監(jiān)局組織現(xiàn)場(chǎng)檢查(2012年7月-8月)��,保監(jiān)會(huì)抽調(diào)部分保監(jiān)局同志�����,組織成立信息安全檢查小組���,選定部分保險(xiǎn)機(jī)構(gòu)進(jìn)行現(xiàn)場(chǎng)檢查�����,各保監(jiān)局可根據(jù)監(jiān)管轄區(qū)內(nèi)具體情況�,自行安排對(duì)保險(xiǎn)分支機(jī)構(gòu)的信息安全檢查���,并于8月31日前�,將現(xiàn)場(chǎng)檢查情況報(bào)告報(bào)送保監(jiān)會(huì)統(tǒng)計(jì)信息部���; 第三階段是總結(jié)通報(bào)(2012年9月-10月)����,保監(jiān)會(huì)將對(duì)行業(yè)信息安全自查情況和現(xiàn)場(chǎng)檢查情況進(jìn)行總結(jié)���,并向全行業(yè)通報(bào)����。
通知還要求�,各公司要高度重視此次信息安全檢查工作,建立工作領(lǐng)導(dǎo)機(jī)構(gòu)���,認(rèn)真開展安全自查��,針對(duì)自查發(fā)現(xiàn)的風(fēng)險(xiǎn)隱患采取必要的安全防范措施�;要做好自查總結(jié)工作,認(rèn)真填寫《2012年信息系統(tǒng)安全檢查情況表》�,自查工作總結(jié)要全面反映公司的信息安全基本狀況、明確查找出的風(fēng)險(xiǎn)問題����、采取的有關(guān)安全整改措施;自查工作總結(jié)及《2012年信息系統(tǒng)安全檢查情況表》應(yīng)由保險(xiǎn)法人機(jī)構(gòu)以公司文件形式向保監(jiān)會(huì)報(bào)送��。自查工作屬于集團(tuán)公司統(tǒng)一部署管理的��,可由集團(tuán)公司統(tǒng)一報(bào)送����,各子公司不再單獨(dú)報(bào)送。
