10月9日，保監(jiān)會起草發(fā)布《保險機構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》。《規(guī)定》以加強對保險機構(gòu)信息化工作的監(jiān)督管理，促進信息化工作規(guī)范化與標準化建設(shè)為目標，現(xiàn)正式向公眾征求意見，相信不久便會正式發(fā)布。如果該《規(guī)定》正式發(fā)布，保監(jiān)會133號文件-《保險公司信息化工作管理指引》將正式廢除。對比兩個文件，我們發(fā)現(xiàn)《規(guī)定》的內(nèi)容比《指引》更加豐富，劃分也更加明確，而且值得一提的是，該文件對信息安全管理做了大篇幅的介紹，從基本要求到體系建設(shè)、安全機制、等級保護、安全認證、終端管理、資產(chǎn)管理等等都做了分點說明。

以下是《保險機構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》信息安全管理篇具體內(nèi)容。文后附《保險機構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》和《保險公司信息化工作管理指引》下載文檔。

第六章 信息安全管理

第四十八條[信息安全]本規(guī)定所稱信息安全是指利用信息技術(shù)及管理手段，保護信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性。

信息安全包括網(wǎng)絡(luò)安全、系統(tǒng)安全和內(nèi)容安全，涵蓋物理環(huán)境、網(wǎng)絡(luò)、主機系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、應(yīng)用、存儲、災(zāi)備、安全事件管理、人員等各層面安全。

第四十九條[基本要求]保險機構(gòu)要將信息安全置于信息化工作的首位，按照“積極防御、綜合防范”的原則，加強信息安全與信息系統(tǒng)的同步規(guī)劃、同步建設(shè)和同步使用，加強風險管理與控制，充分利用管理機制和技術(shù)手段，增強安全防護能力，構(gòu)建完善的信息安全保障體系，確保重要信息系統(tǒng)持續(xù)穩(wěn)定運行，保障業(yè)務(wù)活動的連續(xù)性。

第五十條[機構(gòu)職責] 保險機構(gòu)應(yīng)當按照“誰主管、誰負責，誰運營、誰負責，誰使用、誰負責”的原則，明確信息安全責任，強化安全意識，加強安全管理，全面落實信息安全管理責任制。

保險機構(gòu)法定代表人對本機構(gòu)信息安全承擔首要責任，首席信息官、信息化工作委員會主任對本機構(gòu)信息安全承擔主要責任。

保險機構(gòu)應(yīng)當在信息技術(shù)部門設(shè)置專門機構(gòu)，并配備專職人員，履行以下安全職責：

（一）貫徹落實國家和中國保監(jiān)會有關(guān)信息系統(tǒng)安全管理的法律、行政法規(guī)、技術(shù)標準和相關(guān)要求；

（二）組織公司信息系統(tǒng)安全規(guī)劃與建設(shè)工作，制定相關(guān)管理規(guī)定；

（三）組織制定信息化風險管理制度，建立風險識別、計量、監(jiān)測和控制體系；

（四）建立有效的信息系統(tǒng)安全保障體系并定期或者根據(jù)工作需要及時進行檢查、評估、審計、改進、監(jiān)控等工作；

（五）對信息系統(tǒng)安全事件進行管理、處置和上報；

（六）組織配備足夠具有專業(yè)知識和技能的信息安全工作人員；

（七）組織公司員工信息系統(tǒng)安全教育與培訓；

（八）開展與信息系統(tǒng)安全相關(guān)的其他工作。

第五十一條[制度體系] 保險機構(gòu)應(yīng)當建立完善的信息安全分類和保護制度體系，明確系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等崗位職責、管理權(quán)限和技能要求，細化工作流程，建立有效的執(zhí)行機制、評估機制和監(jiān)督機制。制度體系包括以下內(nèi)容：

（一）信息安全組織管理制度；

（二）信息化風險管理與控制制度；

（三）人員安全管理制度；

（四）數(shù)據(jù)安全管理制度；

（五）資產(chǎn)安全管理制度；

（六）物理與環(huán)境安全管理制度；

（七）訪問控制管理制度；

（八）網(wǎng)絡(luò)運行維護管理制度；

（九）系統(tǒng)開發(fā)與維護管理制度；

（十）業(yè)務(wù)連續(xù)性管理制度；

（十一）合規(guī)性管理制度；

（十二）信息安全事故管理制度；

（十三）信息化外包服務(wù)管理制度。

第五十二條[安全機制]保險機構(gòu)應(yīng)當構(gòu)建完善的信息安全風險控制策略。針對信息安全的各層面、各環(huán)節(jié)，建立職責明確的授權(quán)機制、審批流程，以及完備有效、相互制衡的內(nèi)部控制體系，定期根據(jù)安全風險態(tài)勢進行評審和完善。

第五十三條[安全可控]保險機構(gòu)應(yīng)當優(yōu)先采購安全可控的硬件設(shè)備和軟件產(chǎn)品，穩(wěn)步推進安全可控產(chǎn)品應(yīng)用；積極創(chuàng)造條件，提高關(guān)鍵業(yè)務(wù)系統(tǒng)的自主研發(fā)水平，不斷增強保險機構(gòu)信息化工作的安全可控能力。

第五十四條[國產(chǎn)密碼]保險機構(gòu)應(yīng)當嚴格按照國家金融領(lǐng)域密碼應(yīng)用工作規(guī)劃和實施要求，逐步實現(xiàn)國產(chǎn)密碼在電子保單及保險領(lǐng)域的全面應(yīng)用。

第五十五條[正版化]保險機構(gòu)應(yīng)當切實提高軟件正版化意識和自主產(chǎn)權(quán)保護意識。禁止復(fù)制、傳播或者使用非授權(quán)軟件。對本機構(gòu)具有自主知識產(chǎn)權(quán)的信息產(chǎn)品，應(yīng)當采取有效措施加以保護。

第五十六條[等級保護]保險機構(gòu)應(yīng)當按照國家和中國保監(jiān)會信息系統(tǒng)安全規(guī)范、技術(shù)標準及等級保護管理要求，進行定級、保護、備案、測評和整改，確保不同等級的信息系統(tǒng)具備相應(yīng)的安全防護能力。

第五十七條[安全認證]保險機構(gòu)需要申請信息安全管理體系認證的，應(yīng)當按照國家有關(guān)規(guī)定及中國保監(jiān)會要求，選擇國家認證認可監(jiān)督管理部門批準的機構(gòu)進行認證，并與認證機構(gòu)簽訂安全和保密協(xié)議。

第五十八條[數(shù)據(jù)安全]保險機構(gòu)應(yīng)當制定數(shù)據(jù)管理相關(guān)制度和流程，規(guī)范數(shù)據(jù)采集、傳輸、存儲、交換、備份、恢復(fù)和銷毀等環(huán)節(jié)，采取加密等手段防范數(shù)據(jù)泄露，保障信息數(shù)據(jù)的合法、合規(guī)使用，做好數(shù)據(jù)恢復(fù)有效性測試，防范災(zāi)難發(fā)生時數(shù)據(jù)丟失風險。

外資保險機構(gòu)信息系統(tǒng)所載數(shù)據(jù)移至中華人民共和國境外的，應(yīng)當符合我國有關(guān)法律法規(guī)。

第五十九條［終端管理］保險機構(gòu)應(yīng)當根據(jù)安全管理有關(guān)規(guī)定對計算機、移動設(shè)備等各類終端分別制定安全管理制度，嚴格規(guī)范終端網(wǎng)絡(luò)準入、安全策略、軟件安裝與卸載等管理。

第六十條[資產(chǎn)管理]保險機構(gòu)要建立軟硬件和數(shù)據(jù)資源等信息化資產(chǎn)管理制度，編制資產(chǎn)清單，明確資產(chǎn)管理責任部門與人員，規(guī)范資產(chǎn)分配、使用、存儲、維護和銷毀等行為，定期對資產(chǎn)清單進行一致性檢查并保留檢查記錄。

第六十一條[介質(zhì)管理]保險機構(gòu)要制定介質(zhì)分類管理制度，根據(jù)介質(zhì)存儲內(nèi)容與重要性明確存儲介質(zhì)類型、存放技術(shù)指標、保存期限等，并定期檢查介質(zhì)中存儲的信息是否完整可用。

重要備份介質(zhì)應(yīng)當異地存放。介質(zhì)送出維修或者銷毀時，應(yīng)當保證介質(zhì)信息預(yù)先得到審查并妥善處理。

對于存儲客戶隱私等涉密信息的存儲介質(zhì)，應(yīng)當嚴格依據(jù)國家有關(guān)法律法規(guī)及中國保監(jiān)會要求保存與銷毀。

第六十二條[災(zāi)備恢復(fù)]保險機構(gòu)應(yīng)當加強信息系統(tǒng)災(zāi)難恢復(fù)管理，制定業(yè)務(wù)連續(xù)性規(guī)劃，并定期進行演練，以確保出現(xiàn)無法預(yù)見的中斷時信息系統(tǒng)仍能持續(xù)運行并提供服務(wù)。

第六十三條[應(yīng)急管理]保險機構(gòu)應(yīng)當針對可能發(fā)生的信息安全重大突發(fā)事件，建立和完善分類應(yīng)急管理體系，與通信、電力、消防等基礎(chǔ)保障部門建立溝通機制，與業(yè)務(wù)系統(tǒng)、基礎(chǔ)設(shè)備等服務(wù)廠商建立協(xié)同機制，對重大自然災(zāi)害、惡意破壞等合理劃分應(yīng)急響應(yīng)等級，明確應(yīng)急響應(yīng)啟動程序、處理流程、上報要求、預(yù)警機制等。

保險機構(gòu)應(yīng)當每年至少進行一次應(yīng)急演練，針對演練中暴露出的風險隱患進行整改。

第六十四條[新技術(shù)安全]保險機構(gòu)應(yīng)當主動跟蹤研究應(yīng)用新興信息技術(shù)，在推進業(yè)務(wù)創(chuàng)新的同時，提高信息安全防護能力，防范和控制新技術(shù)應(yīng)用帶來的新風險。

保險機構(gòu)需要使用云計算服務(wù)的,要充分評估使用云計算服務(wù)的價值和風險。重點關(guān)注云計算提供商滿足服務(wù)等級協(xié)定以及提供連續(xù)穩(wěn)定云服務(wù)的能力，并充分考慮敏感數(shù)據(jù)在云計算平臺上運行的安全性、所采取的安全控制措施的可靠性以及系統(tǒng)和數(shù)據(jù)遷移方案完善性等風險因素。

附件：保監(jiān)會133號文件-保險公司信息化工作管理指引

《保險機構(gòu)信息化監(jiān)管規(guī)定（征求意見稿）》