10月9日，保監(jiān)會(huì)起草發(fā)布《保險(xiǎn)機(jī)構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》?！兑?guī)定》以加強(qiáng)對(duì)保險(xiǎn)機(jī)構(gòu)信息化工作的監(jiān)督管理，促進(jìn)信息化工作規(guī)范化與標(biāo)準(zhǔn)化建設(shè)為目標(biāo)，現(xiàn)正式向公眾征求意見，相信不久便會(huì)正式發(fā)布。如果該《規(guī)定》正式發(fā)布，保監(jiān)會(huì)133號(hào)文件-《保險(xiǎn)公司信息化工作管理指引》將正式廢除。對(duì)比兩個(gè)文件，我們發(fā)現(xiàn)《規(guī)定》的內(nèi)容比《指引》更加豐富，劃分也更加明確，而且值得一提的是，該文件對(duì)信息安全管理做了大篇幅的介紹，從基本要求到體系建設(shè)、安全機(jī)制、等級(jí)保護(hù)、安全認(rèn)證、終端管理、資產(chǎn)管理等等都做了分點(diǎn)說明。

以下是《保險(xiǎn)機(jī)構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》信息安全管理篇具體內(nèi)容。文后附《保險(xiǎn)機(jī)構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》和《保險(xiǎn)公司信息化工作管理指引》下載文檔。

第六章 信息安全管理

第四十八條[信息安全]本規(guī)定所稱信息安全是指利用信息技術(shù)及管理手段，保護(hù)信息在采集、傳輸、交換、處理和存儲(chǔ)等過程中的可用性、保密性、完整性和不可抵賴性。

信息安全包括網(wǎng)絡(luò)安全、系統(tǒng)安全和內(nèi)容安全，涵蓋物理環(huán)境、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、應(yīng)用、存儲(chǔ)、災(zāi)備、安全事件管理、人員等各層面安全。

第四十九條[基本要求]保險(xiǎn)機(jī)構(gòu)要將信息安全置于信息化工作的首位，按照“積極防御、綜合防范”的原則，加強(qiáng)信息安全與信息系統(tǒng)的同步規(guī)劃、同步建設(shè)和同步使用，加強(qiáng)風(fēng)險(xiǎn)管理與控制，充分利用管理機(jī)制和技術(shù)手段，增強(qiáng)安全防護(hù)能力，構(gòu)建完善的信息安全保障體系，確保重要信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行，保障業(yè)務(wù)活動(dòng)的連續(xù)性。

第五十條[機(jī)構(gòu)職責(zé)] 保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營(yíng)、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)”的原則，明確信息安全責(zé)任，強(qiáng)化安全意識(shí)，加強(qiáng)安全管理，全面落實(shí)信息安全管理責(zé)任制。

保險(xiǎn)機(jī)構(gòu)法定代表人對(duì)本機(jī)構(gòu)信息安全承擔(dān)首要責(zé)任，首席信息官、信息化工作委員會(huì)主任對(duì)本機(jī)構(gòu)信息安全承擔(dān)主要責(zé)任。

保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)在信息技術(shù)部門設(shè)置專門機(jī)構(gòu)，并配備專職人員，履行以下安全職責(zé)：

（一）貫徹落實(shí)國家和中國保監(jiān)會(huì)有關(guān)信息系統(tǒng)安全管理的法律、行政法規(guī)、技術(shù)標(biāo)準(zhǔn)和相關(guān)要求；

（二）組織公司信息系統(tǒng)安全規(guī)劃與建設(shè)工作，制定相關(guān)管理規(guī)定；

（三）組織制定信息化風(fēng)險(xiǎn)管理制度，建立風(fēng)險(xiǎn)識(shí)別、計(jì)量、監(jiān)測(cè)和控制體系；

（四）建立有效的信息系統(tǒng)安全保障體系并定期或者根據(jù)工作需要及時(shí)進(jìn)行檢查、評(píng)估、審計(jì)、改進(jìn)、監(jiān)控等工作；

（五）對(duì)信息系統(tǒng)安全事件進(jìn)行管理、處置和上報(bào)；

（六）組織配備足夠具有專業(yè)知識(shí)和技能的信息安全工作人員；

（七）組織公司員工信息系統(tǒng)安全教育與培訓(xùn)；

（八）開展與信息系統(tǒng)安全相關(guān)的其他工作。

第五十一條[制度體系] 保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息安全分類和保護(hù)制度體系，明確系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等崗位職責(zé)、管理權(quán)限和技能要求，細(xì)化工作流程，建立有效的執(zhí)行機(jī)制、評(píng)估機(jī)制和監(jiān)督機(jī)制。制度體系包括以下內(nèi)容：

（一）信息安全組織管理制度；

（二）信息化風(fēng)險(xiǎn)管理與控制制度；

（三）人員安全管理制度；

（四）數(shù)據(jù)安全管理制度；

（五）資產(chǎn)安全管理制度；

（六）物理與環(huán)境安全管理制度；

（七）訪問控制管理制度；

（八）網(wǎng)絡(luò)運(yùn)行維護(hù)管理制度；

（九）系統(tǒng)開發(fā)與維護(hù)管理制度；

（十）業(yè)務(wù)連續(xù)性管理制度；

（十一）合規(guī)性管理制度；

（十二）信息安全事故管理制度；

（十三）信息化外包服務(wù)管理制度。

第五十二條[安全機(jī)制]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)構(gòu)建完善的信息安全風(fēng)險(xiǎn)控制策略。針對(duì)信息安全的各層面、各環(huán)節(jié)，建立職責(zé)明確的授權(quán)機(jī)制、審批流程，以及完備有效、相互制衡的內(nèi)部控制體系，定期根據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)進(jìn)行評(píng)審和完善。

第五十三條[安全可控]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)優(yōu)先采購安全可控的硬件設(shè)備和軟件產(chǎn)品，穩(wěn)步推進(jìn)安全可控產(chǎn)品應(yīng)用；積極創(chuàng)造條件，提高關(guān)鍵業(yè)務(wù)系統(tǒng)的自主研發(fā)水平，不斷增強(qiáng)保險(xiǎn)機(jī)構(gòu)信息化工作的安全可控能力。

第五十四條[國產(chǎn)密碼]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格按照國家金融領(lǐng)域密碼應(yīng)用工作規(guī)劃和實(shí)施要求，逐步實(shí)現(xiàn)國產(chǎn)密碼在電子保單及保險(xiǎn)領(lǐng)域的全面應(yīng)用。

第五十五條[正版化]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)切實(shí)提高軟件正版化意識(shí)和自主產(chǎn)權(quán)保護(hù)意識(shí)。禁止復(fù)制、傳播或者使用非授權(quán)軟件。對(duì)本機(jī)構(gòu)具有自主知識(shí)產(chǎn)權(quán)的信息產(chǎn)品，應(yīng)當(dāng)采取有效措施加以保護(hù)。

第五十六條[等級(jí)保護(hù)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)按照國家和中國保監(jiān)會(huì)信息系統(tǒng)安全規(guī)范、技術(shù)標(biāo)準(zhǔn)及等級(jí)保護(hù)管理要求，進(jìn)行定級(jí)、保護(hù)、備案、測(cè)評(píng)和整改，確保不同等級(jí)的信息系統(tǒng)具備相應(yīng)的安全防護(hù)能力。

第五十七條[安全認(rèn)證]保險(xiǎn)機(jī)構(gòu)需要申請(qǐng)信息安全管理體系認(rèn)證的，應(yīng)當(dāng)按照國家有關(guān)規(guī)定及中國保監(jiān)會(huì)要求，選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)的機(jī)構(gòu)進(jìn)行認(rèn)證，并與認(rèn)證機(jī)構(gòu)簽訂安全和保密協(xié)議。

第五十八條[數(shù)據(jù)安全]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定數(shù)據(jù)管理相關(guān)制度和流程，規(guī)范數(shù)據(jù)采集、傳輸、存儲(chǔ)、交換、備份、恢復(fù)和銷毀等環(huán)節(jié)，采取加密等手段防范數(shù)據(jù)泄露，保障信息數(shù)據(jù)的合法、合規(guī)使用，做好數(shù)據(jù)恢復(fù)有效性測(cè)試，防范災(zāi)難發(fā)生時(shí)數(shù)據(jù)丟失風(fēng)險(xiǎn)。

外資保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)所載數(shù)據(jù)移至中華人民共和國境外的，應(yīng)當(dāng)符合我國有關(guān)法律法規(guī)。

第五十九條［終端管理］保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)安全管理有關(guān)規(guī)定對(duì)計(jì)算機(jī)、移動(dòng)設(shè)備等各類終端分別制定安全管理制度，嚴(yán)格規(guī)范終端網(wǎng)絡(luò)準(zhǔn)入、安全策略、軟件安裝與卸載等管理。

第六十條[資產(chǎn)管理]保險(xiǎn)機(jī)構(gòu)要建立軟硬件和數(shù)據(jù)資源等信息化資產(chǎn)管理制度，編制資產(chǎn)清單，明確資產(chǎn)管理責(zé)任部門與人員，規(guī)范資產(chǎn)分配、使用、存儲(chǔ)、維護(hù)和銷毀等行為，定期對(duì)資產(chǎn)清單進(jìn)行一致性檢查并保留檢查記錄。

第六十一條[介質(zhì)管理]保險(xiǎn)機(jī)構(gòu)要制定介質(zhì)分類管理制度，根據(jù)介質(zhì)存儲(chǔ)內(nèi)容與重要性明確存儲(chǔ)介質(zhì)類型、存放技術(shù)指標(biāo)、保存期限等，并定期檢查介質(zhì)中存儲(chǔ)的信息是否完整可用。

重要備份介質(zhì)應(yīng)當(dāng)異地存放。介質(zhì)送出維修或者銷毀時(shí)，應(yīng)當(dāng)保證介質(zhì)信息預(yù)先得到審查并妥善處理。

對(duì)于存儲(chǔ)客戶隱私等涉密信息的存儲(chǔ)介質(zhì)，應(yīng)當(dāng)嚴(yán)格依據(jù)國家有關(guān)法律法規(guī)及中國保監(jiān)會(huì)要求保存與銷毀。

第六十二條[災(zāi)備恢復(fù)]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)災(zāi)難恢復(fù)管理，制定業(yè)務(wù)連續(xù)性規(guī)劃，并定期進(jìn)行演練，以確保出現(xiàn)無法預(yù)見的中斷時(shí)信息系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)。

第六十三條[應(yīng)急管理]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)針對(duì)可能發(fā)生的信息安全重大突發(fā)事件，建立和完善分類應(yīng)急管理體系，與通信、電力、消防等基礎(chǔ)保障部門建立溝通機(jī)制，與業(yè)務(wù)系統(tǒng)、基礎(chǔ)設(shè)備等服務(wù)廠商建立協(xié)同機(jī)制，對(duì)重大自然災(zāi)害、惡意破壞等合理劃分應(yīng)急響應(yīng)等級(jí)，明確應(yīng)急響應(yīng)啟動(dòng)程序、處理流程、上報(bào)要求、預(yù)警機(jī)制等。

保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)每年至少進(jìn)行一次應(yīng)急演練，針對(duì)演練中暴露出的風(fēng)險(xiǎn)隱患進(jìn)行整改。

第六十四條[新技術(shù)安全]保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)主動(dòng)跟蹤研究應(yīng)用新興信息技術(shù)，在推進(jìn)業(yè)務(wù)創(chuàng)新的同時(shí)，提高信息安全防護(hù)能力，防范和控制新技術(shù)應(yīng)用帶來的新風(fēng)險(xiǎn)。

保險(xiǎn)機(jī)構(gòu)需要使用云計(jì)算服務(wù)的,要充分評(píng)估使用云計(jì)算服務(wù)的價(jià)值和風(fēng)險(xiǎn)。重點(diǎn)關(guān)注云計(jì)算提供商滿足服務(wù)等級(jí)協(xié)定以及提供連續(xù)穩(wěn)定云服務(wù)的能力，并充分考慮敏感數(shù)據(jù)在云計(jì)算平臺(tái)上運(yùn)行的安全性、所采取的安全控制措施的可靠性以及系統(tǒng)和數(shù)據(jù)遷移方案完善性等風(fēng)險(xiǎn)因素。

附件：保監(jiān)會(huì)133號(hào)文件-保險(xiǎn)公司信息化工作管理指引

《保險(xiǎn)機(jī)構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》