关于印发《认证认可科技与标准化工作管理规定(试行)》和《认证认可科技项目管理办法(试行)》的通知
国家认证认可监督管理委员会
关于印发《认证认可科技与标准化工作管理规定(试行)》和《认证认可科技项目管理办法(试行)》的通知
各省、自治区、直辖市质量技术监督局,各直属出入境检验检疫局,各认证机构及相关单位:
现将《认证认可科技与标准化工作管理规定(试行)》和《认证认可科技项目管理办法(试行)》印发你们,请遵照执行。
附件:1.认证认可科技与标准化工作管理规定(试行)
2.认证认可科技项目管理办法(试行)
二○○五年五月十九日
附件1:
认证认可科技与标准化工作管理规定(试行)
第一章 总 则
第一条 为规范和加强认证认可及其相关领域的科技与标准化管理工作,充分发挥认证认可科技与标准化工作的技术支撑作用,促进认证认可更好地为经济和社会发展服务,根据《中华人民共和国科学技术进步法》、《中华人民共和国标准化法》、《中华人民共和国认证认可条例》和国家其它有关法律法规,制定本规定。
第二条 本规定所称科技工作,是指与认证认可工作相关的科学研究、技术创新、科技信息、高新技术的开发与应用、科技成果的推广与转化、科技环境建设以及科技合作与交流等工作。
本规定所称标准化工作,是指规范和指导认证认可活动所需标准类文件的制修订、宣贯、实施和监督等工作。
本规定所称标准类文件是指标准(狭义)、准则、指南、技术规范以及其它标准性技术文件等。
第三条 本规定适用于与认证认可工作相关的科技与标准化工作的规划、实施、监督和管理。
第四条 国家认证认可监督管理委员会(以下简称国家认监委)归口管理、监督和综合协调认证认可领域的科技工作与标准化工作。
认证认可科学技术委员会(以下简称认证认可科技委)在国家质量监督检验检疫总局(以下简称国家质检总局)科学技术委员会的指导下开展认证认可领域的科技工作;全国认证认可标准化技术委员会(以下简称认证认可标委会)在国家标准化管理委员会(以下简称国家标准委)的领导下,归口管理认证认可领域的标准化工作。
认证机构、认可机构和地方质检部门是认证认可科技与标准化工作的实施主体。
鼓励认证认可相关各方,包括行业主管部门、行业协会、检测机构、科研机构、企业、消费者等,积极参与认证认可科技与标准化工作。
第五条 认证认可科技与标准化工作的主要内容是:
(一)加强认证认可发展基础性、前瞻性、应用性理论和技术研究,积极对我国认证认可制度、模式进行探索与创新;
(二)积极组织和参与国际、国内标准化活动,建立和完善既与国际接轨又符合中国实际的认证认可标准体系;
(三)促进认证认可科技成果及时、有效转化为国家标准,并实现我国在优势领域主导制定国际标准;
(四)建立激励机制,加强对科技与标准化人才的选拔、培养和使用;
(五)加强对认证认可科技与标准化工作的宣传和信息化建设,实现科学、高效管理与信息共享。
第二章 机构与职责
第六条 国家认监委履行以下职责:
(一)贯彻国家有关科技进步和标准化方面的方针、政策和法律、法规,组织制定认证认可领域科技与标准化工作的政策和规范性文件;
(二)制定认证认可科技与标准化工作发展规划和工作计划并组织实施;
(三)负责认证认可科技项目、标准制修订项目的归口管理工作;
(四)负责认证认可科技与标准化工作经费的预算和管理;
(五)负责认证认可科技与标准化成果的奖励和推广应用;
(六)组织认证认可科技与标准化方面的国内外学术交流和技术培训;
(七)负责认证认可科技与标准化保密管理工作;
(八)负责认证认可科技委和认证认可标委会的组建和日常管理工作。
第七条 参与认证认可科技与标准化工作的相关单位应当:
(一)加强对科技与标准化工作的组织和管理,为科技与标准化工作的开展提供必要的人、才、物等资源保障;
(二)组织实施国家认监委下达的各项科技与标准制修订项目计划并按时完成;
(三)负责所承担项目经费使用情况的管理。
第三章 资源保障
第八条 国家认监委应当加强对认证认可科技委和认证认可标委会的管理与使用,充分发挥两个委员会的技术支持作用,广泛吸纳各行业专家。
第九条 国家认监委应当加强对科技与标准化专业人才和管理人才的培养和使用,激发他们的积极性和创造性,不断提高认证认可科技与标准化工作水平。
第十条 认证认可相关机构的技术人员应当勇于创新,注重诚信,积极参与科技与标准化工作。
第十一条 国家认监委应当对科技和标准制修订项目计划给予适当的经费补助。
第十二条 科技与标准化项目承担机构应当保证所承担项目配套资金的落实,并根据业务发展,不断增加科技与标准化资金投入。
第十三条 国家认监委和参与认证认可科技与标准化工作的相关单位应当积极采取措施,多渠道、多层次地筹集科技与标准化工作资金。
第十四条 科技与标准化工作经费必须专款专用、合理使用并严格管理,提高经费的使用效能。
第四章 奖励与处罚
第十五条 国家认监委负责建立认证认可科技与标准化工作奖励机制,并对优秀的科技与标准化成果以及在科技与标准化工作中成绩突出的单位和个人给予奖励和表彰。
第十六条 对在认证认可科技与标准化工作中发生的违规违纪行为,国家认监委将按照有关规定做出处罚,并对相关责任方(人)建立信用不良记录。
第五章 附 则
第十七条 本规定由国家认监委负责解释。
第十八条 本规定自发布之日起实行。
附件2:
认证认可科技项目管理办法(试行)
第一章 总 则
第一条 为规范认证认可及其相关领域科技项目的管理,促进认证认可科技进步,根据《关于国家科研计划实施课题制管理的规定》、《国家质量监督检验检疫总局科技项目管理办法》、《认证认可科技与标准化工作管理规定(试行)》以及其它有关规定,制定本办法。
第二条 本办法规定的科技项目(以下简称项目)是指由国家认证认可监督管理委员会(以下简称国家认监委)批准,科技主管部门下达,由相关机构承担并在一定时间周期内进行的认证认可科学技术研究活动。申报国家科技部、国家质量监督检验检疫总局(以下简称国家质检总局)或其它部门的项目按照国家或相关部门科技项目管理的有关规定执行。
第三条 本办法适用于认证认可及其相关领域科技项目的立项、实施
管理、成果鉴定或项目验收以及项目经费管理等工作。
第二章 机构职责
第四条 国家认监委科技主管部门负责认证认可及其相关领域科技项目的管理工作,履行以下职责:
(一)贯彻执行国家科技部、国家质检总局和国家认监委的各项科技管理规定,组织建立认证认可及相关领域科技项目管理的规范性文件,负责项目立项工作的政策性指导;
(二)负责组织申报国家科技部、国家质检总局等的科技项目,并对下达计划项目的实施过程进行监督管理;
(三)负责国家认监委科技项目的组织申报和审议工作,编制、下达国家认监委批准的年度项目计划,负责项目经费预算的审核并提出项目经费预算计划,监督检查项目执行情况、经费使用情况并组织成果鉴定或项目验收;
(四)参与拟定国际科技合作项目协议,对项目的实施进行督促、指导;
(五)对项目承担机构的科技项目管理工作提供帮助与指导;
(六) 负责与国家科技部、国家质检总局或其它行业科技主管部门的对口业务联络工作;
(七) 负责协调科技项目承担机构之间的项目活动。
第五条 各直属出入境检验检疫局和各省、直辖市、自治区质量技术监督局,负责本单位及下属机构认证认可科技项目的管理工作,履行以下职责:
(一)贯彻执行国家质检总局和国家认监委有关科技管理规定;
(二)负责组织本单位及下属机构的科技项目申报工作,并按照要求汇总上报项目计划书及相关材料;
(三)负责本单位所承担科技项目的组织实施及下属机构科技项目计划执行情况的管理和监督;
(四)负责对本单位及下属机构科技项目经费使用情况的管理。
第六条 申请承担国家认监委科技项目的机构(以下简称“项目承担机构”),包括国家认监委委内部门、认证机构、认可机构、地方质检部门以及其它相关单位,负责组织实施所承担项目的研究,履行以下职责:
(一)贯彻执行国家认监委有关科技管理规定;
(二)负责本机构科技项目的申报工作,并按照要求上报项目计划书及相关材料;
(三)负责组织实施所承担的科技项目,保质保量、按时完成计划;
(四)对计划项目的实施提供配套资金,并负责全部项目经费的管理和合理使用;
(五)接受国家认监委科技主管部门对项目执行情况、经费使用情况的监督检查,并按照要求上报相关材料。
第三章 项目立项
第七条 项目立项一般采用计划申报方式,急需决策和实施的特殊项目可以履行快速立项审批程序。
第八条 项目立项一般应当包括申报、审查和批准下达三个基本过程。
第九条 国家认监委负责建立专家审查和政府决策相结合的立项审批机制,确保立项的科学性。
第十条 项目立项原则
(一)坚持科技为认证认可工作服务,注重基础性、前瞻性和应用性研究;
(二)坚持科技高起点,鼓励采用国际先进的认证认可理论与技术,填补我国认证认可理论和技术领域空白;
(三)坚持理论研究与技术创新并举,以解决认证认可工作中急需解决的关键性理论和技术问题为重点。
第十一条 项目申报
任何单位或个人均可根据项目申请条件和立项原则提出项目申请,经其所在机构批准后,向国家认监委科技主管部门申报。
申报材料应当包括:
(一)非软科学的项目填报《国家认证认可监督管理委员会科技项目计划任务书》(格式见附件一);软科学的项目填报《国家认证认可监督管理委员会软科学研究项目计划任务书》(格式见附件二);
(二)附科技成果查新报告或其它相关说明材料;
(三)填报《****年度国家认证认可监督管理委员会科技项目计划汇总表》(格式见附件三)。
第十二条 项目审查
国家认监委科技主管部门负责组织有关专家根据立项原则对申报项目进行技术审查。技术审查的主要内容包括:
(一)立项的必要性和紧迫性;
(二)项目实施技术路线的科学性、合理性、先进性;
(三)项目负责人及参加人员的科研能力、管理能力和专业技术水平是否与拟申报立项项目相适应;
(四)一个项目只能且必须确立一个依托单位,依托单位必须具备必要的项目实施条件,有健全的科研管理制度、财务管理制度、资产管理制度和会计核算制度。
第十三条 项目批准及下达
国家认监委科技主管部门根据技术审查的结果提出年度项目计划及年度项目经费预算计划,经报国家认监委批准后下达。
国家认监委科技主管部门根据认证认可事业发展需求,酌情选择具有国际国内先进性、超前性的项目,确定为国家认监委重点攻关项目。
国家认监委科技主管部门对上报的项目计划任务书进行批复,批复结论分为“批准立项”、“不批准立项”或“需作复议”。对“需作复议”的项目,项目申请机构应对有关内容进行必要的修改,并在规定时间内将修改完善后的项目计划任务书重新上报国家认监委科技主管部门。
国家认监委科技主管部门负责编制和下达《国家认证认可监督管理委员会****年度科技项目计划》。
第四章 项目实施管理
第十四条 国家认监委科技项目计划一般按照项目开展管理。项目采取确定目标、滚动立项、分年度实施的管理方式,实施周期一般不超过三年。
第十五条 各项目承担机构负责组织实施本机构承担的项目;几个机构共同参加的,由项目负责机构组织实施;重点攻关项目,由国家认监委科技主管部门负责协调,会同项目承担机构共同组织实施。
第十六条 各项目承担机构应当加强科技项目计划实施的管理工作,切实维护国家认监委科技项目计划的严肃性。
承担国家认监委重点攻关项目及国家科技项目、国家质检总局科技项目的机构,每季度应当向国家认监委上报项目进展情况;承担其它项目的机构,每半年应当向国家认监委上报项目进展情况,上报时间为七月底前及十二月底前。
国家认监委科技主管部门应当定期或不定期检查项目计划的实施情况,并通报科技项目计划的总体执行情况。
第十七条 项目的变更
科研计划项目在实施过程中,项目的计划目标、技术路线、主要研究内容、研究进度、经费预算、承担机构或主要承担人以及其它可能影响课题顺利完成的重大事项发生变动,项目承担机构应提出书面申请报告(格式见附件四),并经所在机构审核、批准后,报国家认监委科技主管部门审批。
国家认监委科研计划项目在实施过程中如确因不可抗拒的原因无法完成,须申请撤销(结题)。项目承担机构应当提出“科研项目结题申请报告”,并提交以下材料:
(一)项目实施情况,已完成的科研工作;
(二)已撰写和发表的论文或技术报告;
(三)项目经费使用情况(项目承担机构财务部门审核);
(四)结题报告;
(五)产生的经济效益,收益、分配情况等与项目有关的其它材料。
申请、审批程序与科研项目立项相同。
第十八条 列入国家认监委科技项目年度计划的项目,按经费来源分为三类:第一类是由认监委提供全部经费的项目;第二类是由认监委提供部分经费的项目;第三类是认监委不提供经费的项目。第二类项目的承担机构负责落实配套经费,第三类项目的承担单位负责筹集项目实施所需要的所有经费。
第十九条 项目承担机构对科技项目经费必须实行专项管理、保证专款专用。要确保经费合理使用,提高经费的使用效能。
第二十条 对申请撤销由认监委提供经费的项目,项目承担机构应当经财务审核后返还剩余的经费。
第五章 鉴定、验收及成果管理
第二十一条 国家认监委批准下达的项目由国家认监委科技主管部门按照有关规定组织鉴定或验收,批准成果登记。
第二十二条 对符合国家科技部《科技成果登记办法》规定登记条件的科研成果,按照国家质检总局科技成果登记有关规定进行登记,以便科技成果及时登录到国家科技成果数据库。
第二十三条 国家认监委批准下达的科技项目,无故逾期未完成的,国家认监委将撤销该计划项目。对国家认监委提供经费的项目按全额收回经费。
第二十四条 国家认监委和各项目承担机构应当按照国家有关科技政策,采取有计划推广和通过技术市场转让等方式,积极进行科技成果的转化与推广应用。
对国民经济和认证认可工作影响较大,经济、社会效益明显并具备一定推广基础及条件的科研成果,择优纳入国家认监委“科技成果应用推广计划”。
第六章 附 则
第二十五条 有关机构可根据本办法,结合本机构具体情况制定相应管理规定。
第二十六条 本办法由国家认监委负责解释。
第二十七条 本办法自发布之日起实行。
关于印发《保险公司信息系统安全管理指引(试行)》的通知
中国保险监督管理委员会
关于印发《保险公司信息系统安全管理指引(试行)》的通知
保监发〔2011〕68号
各保险公司、保险资产管理公司:
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二〇一一年十一月十六日
保险公司信息系统安全管理指引(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
第六十一条本指引自发布之日起实施。