为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保监会日前发布《保险公司信息系统安全管理指引（试行）》的通知，通知要求，建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离。
　　全文如下：
　　各保险公司、保险资产管理公司：
　　为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们，请遵照执行。
　　中国保险监督管理委员会
　　二〇一一年十一月十六日
　　保险公司信息系统安全管理指引(试行)
　　一、总则
　　第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。
　　第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
　　第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。
　　第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。
　　实现信息化工作集中管理的保险集团(控股)公司，可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
　　第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
　　二、安全管理总体要求
　　第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。
　　第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
　　第八条信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。
　　第九条各公司应履行以下信息系统安全管理职责：
　　(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术、标准和相关要求。
　　(二)组织公司信息系统安全规划与建设工作，制订相关管理规定。
　　(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
　　(四)对信息系统安全事件进行管理、处置和上报。
　　(五)组织公司员工信息系统安全教育与培训。
　　(六)开展与信息系统安全相关的其他工作。
　　第十条建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度，并定期或根据需要及时对安全管理规章制度进行评审、修订。
　　第十一条针对信息系统安全的各层面、各环节，结合各部门和岗位职责，建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系，并对审批文档和内部控制过程进行及时记录。
　　第十二条配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责，建立必要的岗位分离和职责权限制约机制，实行最小授权，避免单一人员权限过于集中引发风险，重要岗位应设定候补员工及工作接替计划。
　　第十三条定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训，对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理，明确上岗与离岗要求，重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训，并签订保密承诺书。

(责任编辑：)