關於開展2012年保險業信息系統安全檢查工作的通知
保監統信〔2012〕365號

各保監局，各保險公司、保險資産管理公司：

    為落實《保險公司信息化工作管理指引》、《保險公司信息系統安全管理指引》等信息化工作要求，進一步做好2012年保險業信息安全保障工作，確保保險業信息系統安全平穩運行，中國保監會將組織開展2012年保險業信息系統安全檢查工作。現將有關事項通知如下：

    一、檢查範圍

    各保險公司、保險資産管理公司。

    二、檢查內容

    各保險公司和保險資産管理公司根據自身情況，自行設計檢查內容，重點圍繞（但不限于）以下幾個方面：

    （一）信息安全組織建設和人員管理

    信息化及信息安全工作的管理組織機構、主管領導、管理人員、安全崗位的設置情況；信息安全工作責任制的落實情況；涉及信息安全的人員管理情況；信息安全培訓情況；外包服務和人員的安全管理情況。

    （二）信息安全制度

    公司現行信息安全工作制度體系建設情況；對公司現行信息安全工作制度和保監會信息安全工作要求的執行落實情況；公司信息系統等級保護定級、測評、整改等工作開展情況；軟體正版化、軟體資産管理等情況。

    （三）信息系統安全管控

    機房基礎設施環境和重要核心設備的安全狀況和管理情況；核心業務系統設計、開發、部署、運維等管理和使用過程中的安全管控措施。

    （四）數據管理和災備建設

    數據安全備份措施，備份介質的管理情況，數據備份的有效性驗證情況，以及災備中心的設計規劃和實際建設情況。

    （五）應急響應體系建設情況

    信息安全應急響應的工作組織建設情況；工作責任落實情況；應急預案的制定、演練情況；應急保障、技術支持和應急管理措施情況；重大信息安全事件的處置情況。

    三、檢查安排

    本次信息安全檢查分為三個階段：

    第一階段：各保險公司和保險資産管理公司開展自查和整改（2012年4月－6月）

    各保險公司和保險資産管理公司按照要求，認真開展信息系統安全自查和整改，6月30日前將自查工作總結及填寫後的《2012年信息系統安全檢查情況表》書面材料和電子版報送保監會統信部。

    第二階段：保監會和保監局組織現場檢查（2012年7月－8月）

    保監會抽調部分保監局同志，組織成立信息安全檢查小組，選定部分保險機構進行現場檢查。

    各保監局可根據監管轄區內具體情況，自行安排對保險分支機構的信息安全檢查。請於8月31日前，將現場檢查情況報告報送保監會統計信息部。

    第三階段：總結通報（2012年9月－10月）

    保監會將對行業信息安全自查情況和現場檢查情況進行總結，並向全行業通報。

    四、有關要求

    （一）各公司要高度重視此次信息安全檢查工作，建立工作領導機構，認真開展安全自查，針對自查發現的風險隱患採取必要的安全防範措施。

    （二）各公司要做好自查總結工作，認真填寫《2012年信息系統安全檢查情況表》，自查工作總結要全面反映公司的信息安全基本狀況、明確查找出的風險問題、採取的有關安全整改措施。

    （三）各公司自查工作總結及《2012年信息系統安全檢查情況表》應由保險法人機構以公司文件形式向保監會報送。自查工作屬於集團公司統一部署管理的，可由集團公司統一報送，各子公司不再單獨報送。

    各保監局如有問題請與保監會統計信息部聯絡。

    聯絡人：王曉鵬 010－66286602

    石一飛 010－66286108

    郵 箱：tx_ghc@circ.gov.cn

                                                   中國保險監督管理委員會　
                                                    二○一二年三月三十日