四、应用系统与数据安全
　　第三十六条建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离。
　　第三十七条生产系统应与开发、测试系统有效隔离，确保生产系统安全、稳定运行。
　　第三十八条信息系统开发、实施过程应明确控制方法和人员行为准则，保存相关文档和记录。制定信息系统代码编写安全规范，规范开发人员对源代码访问权限的管理，有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统，应采取必要的保密措施确保其开发实施安全，不得使用敏感生产数据用于开发、测试环境。
　　第三十九条信息系统正式上线运行前，应对系统进行功能、性能与安全性测试与验收，经相关流程审批后方可投入使用。
　　第四十条制定有效的信息系统变更管理流程，控制系统变更过程，分析变更影响，确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志，并做好系统变更前准备。
　　第四十一条对信息系统的运行维护负责，保持运行维护控制力。加强安全入侵检测监控，进行风险评估与安全扫描，及时发现并处置安全事件。
　　第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制，严格帐号权限控制管理，规范权限分配和回收流程，保存审计记录，及时进行分析处理。确保全面的追踪、分析和解决信息系统问题，并对问题记录、分类和索引。
　　在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况，应妥善处理，保证系统及数据安全。
　　第四十三条根据内部控制与审计的要求，保存信息系统相关日志，并采取适当措施确保日志内容不被删除、修改或覆盖。
　　第四十四条对主机系统进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
　　第四十五条建立信息系统灾难恢复管理机制。根据数据及系统的重要性，明确数据及系统的备份与灾难恢复策略。
　　第四十六条采用必要的技术手段和管理措施，保证数据通信的保密性和完整性。涉密信息应进行加密处理，确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
　　与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理，采用国家和行业相关数据交换标准，保障数据交换过程安全可控。
　　第四十七条按照国家密码管理相关规定和要求，建立健全密码设备管理制度，加强密码设备使用人员管理，使用符合国家要求和信息加密强度要求的加密技术和产品，加强相关信息系统安全保密设计和建设。
　　第四十八条加强互联网门户网站系统安全管理工作，建立严格信息发布审批制度，严格控制网站内容发布权限，对网站系统进行安全评估，确保网站系统安全稳定运行。
　　第四十九条电子商务、交易系统等应用系统建设应具备相应管理规范，明确各交易环节或过程安全要求，采取必要安全技术和管理措施，保护个人信息和客户敏感商业信息，保留交易相关日志，确保交易行为安全可靠。
　　第五十条加强信息系统病毒防护工作，集中进行防病毒产品的选型测试和部署实施，及时更新防病毒软件和病毒代码，发现病毒或异常情况及时处理。
　　建立恶意代码防范管理制度，并部署防恶意代码软件，对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定，采取管理与技术措施，确保具备主动发现和有效阻止恶意代码传播的能力。
　　五、信息化工作外包与采购服务
　　第五十一条实施信息化工作外包的公司，应制定完备的外包服务管理制度，将外包纳入全面风险管理体系，合理审慎实施外包。
　　不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时，应遵守国家和监管部门有关法律法规与要求，并经过公司决策机构批准。
　　第五十二条根据国家与监管部门有关外包与采购规定，结合风险控制和实际需要，建立有效的外包和采购内部评估审核流程与监督管理机制。
　　第五十三条实施数据中心、信息科技基础设施等重要外包应格外谨慎，在准备实施重要外包时应以书面材料正式报告中国保监会。
　　第五十四条建立健全外包承包方考核、评估机制，定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核，确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
　　第五十五条与外包承包方签订书面外包服务合同，合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款，且承包方须承诺配合保险公司接受保险监督管理机构的检查。
　　第五十六条严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目，应采取有力措施，确保外包服务质量和安全不受影响和不衰减。
　　第五十七条与外包承包方建立有效信息交流与沟通机制，确保外包服务人员的相对稳定性。对于人员的必要流动，应要求外包承包方承诺确保外包服务的连续性与安全性。
　　第五十八条中国保监会根据需要对外包活动进行现场检查，采集外包活动过程中数据信息和相关资料，对于违反相关法律、法规或存在重大风险隐患的外包情形，可以要求公司进行整改，并视情况予以问责。
　　六、附则
　　第五十九条本指引由中国保监会负责解释、修订。
　　第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》（保监厅发〔2007〕8号）
　　第六十一条本指引自发布之日起实施。
 

(责任编辑：)