保监发（2011）68号 各保险公司、保险资产管理公司： 为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安 全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。 现印发给你们，请遵照执行。 中国保险监督管理委员会 二〇一一年十一月十六日 保险公司信息系统安全管理指引（试行） 一、总则 第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息 系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关 要求，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。 第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、 传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统 的安全、稳定运行。 第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手 段，加强信息安全保障工作，保障业务活动的连续性。 实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信 息系统安全工作统筹规划执行。 第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。 二、安全管理总体要求 第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系 统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。 第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安 全的第一责任人。 第八条信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系 统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作 为信息系统安全的直接责任人。 第九条各公司应履行以下信息系统安全管理职责： （一）贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要 求。 （二）组织公司信息系统安全规划与建设工作，制订相关管理规定。 （三）建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、 审计、改进、监控等工作。 （四）对信息系统安全事件进行管理、处置和上报。 （五）组织公司员工信息系统安全教育与培训。 （六）开展与信息系统安全相关的其他工作。 第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件 管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行 评审、修订。 第十一条针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确 的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制 过程进行及时记录。 第十二条配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全 相关人员角色和职责，建立必要的岗位分离和职责权限制约机制，实行最小授权，避免单一 人员权限过于集中引发风险，重要岗位应设定候补员工及工作接替计划。 第十三条定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训， 对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗 位管理，明确上岗与离岗要求，重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别 进行保密教育培训，并签订保密承诺书。 第十四条按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求，明确 信息系统安全保护等级，实施信息系统安全等级保护，按等级安全要求进行备案并定期测评 和整改。 第十五条制定信息管理相关制度和流程，规范管理信息采集、传输、交换、存储、备份、 恢复和销毁等环节，加强重要数据信息控制和保护，保障信息的合法、合规使用。 第十六条按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准，推进信息 系统灾难恢复建设工作并定期进行演练，确保业务连续性。