第一篇:15匯邦人壽保險股份有限公司-信息技術(shù)部-互聯(lián)網(wǎng)業(yè)務(wù)安全管理辦法
匯邦人壽保險股份有限公司-信息技術(shù)部
匯邦人壽保險股份有限公司 互聯(lián)網(wǎng)業(yè)務(wù)安全管理辦法
匯邦人壽保險股份有限公司-信息技術(shù)部
目錄
第一章總則........................................................3 第二章基礎(chǔ)架構(gòu)安全規(guī)范............................................3 第三章應(yīng)用系統(tǒng)安全規(guī)范............................................4 第四章附則........................................................5
匯邦人壽保險股份有限公司-信息技術(shù)部
第一章總則
第一條 為規(guī)范公司互聯(lián)網(wǎng)電子商務(wù)平臺的經(jīng)營活動,保護(hù)企業(yè)和消費(fèi)者合法權(quán)益,依據(jù)保監(jiān)會《保險公司信息系統(tǒng)安全管理指引(試行)》等相關(guān)規(guī)定,特制定本管理辦法。
第二條 本管理辦法適用范圍為涉及電子商務(wù)系統(tǒng)管理、開發(fā)、維護(hù)和使用的所有部門。
第二章基礎(chǔ)架構(gòu)安全規(guī)范
第三條 公司應(yīng)為互聯(lián)網(wǎng)交易劃定獨(dú)立網(wǎng)絡(luò)區(qū)域,與其他網(wǎng)絡(luò)區(qū)域建立明確的安全邊界。信息技術(shù)部門人員需從網(wǎng)絡(luò)各級建立完善的訪問控制措施,安裝防火墻(含應(yīng)用防火墻)、入侵檢測,加強(qiáng)授權(quán)管理和認(rèn)證。
第四條 電子商務(wù)交易系統(tǒng)應(yīng)建立與內(nèi)部財(cái)務(wù)系統(tǒng)、其他核心業(yè)務(wù)系統(tǒng),以及合作單位網(wǎng)絡(luò)、信息系統(tǒng)的有效隔離機(jī)制,并嚴(yán)格控制數(shù)據(jù)流向,做好相應(yīng)管理。
第五條 信息技術(shù)部應(yīng)加強(qiáng)系統(tǒng)主機(jī)本身的安全,做好安全配置;及時安裝安全補(bǔ)丁程序,減少漏洞;安裝防病毒軟件,啟用防火墻,加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施;使用各種系統(tǒng)漏洞檢測軟件定期對主機(jī)系統(tǒng)進(jìn)行掃描分析,找出可能存在的安全隱患,并及時加以修補(bǔ)。
第六條信息技術(shù)部利用相應(yīng)的數(shù)據(jù)存儲技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施;對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施;對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行一定強(qiáng)度的數(shù)據(jù)加密;建立詳細(xì)的安全審計(jì)日志,以便檢測并跟
匯邦人壽保險股份有限公司-信息技術(shù)部
蹤入侵攻擊。
第七條 信息技術(shù)部應(yīng)建立健全日志留痕功能,保留銷售、服務(wù)等交易日志、以及投保人操作軌跡等投保相關(guān)信息,確保交易行為可稽核,滿足風(fēng)險控制和業(yè)務(wù)審計(jì)要求。
第八條 原則上,公司電子商務(wù)系統(tǒng)應(yīng)建立在公司自有及自主可控的硬件平臺之上,如有特殊情況需依托于外部云計(jì)算資源的,應(yīng)明確與虛擬化資源相對應(yīng)的具體物理機(jī)器設(shè)備。公司應(yīng)與云計(jì)算服務(wù)提供商簽訂書面協(xié)議,確保數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性。
第三章 應(yīng)用系統(tǒng)安全規(guī)范
第九條 任何系統(tǒng)在部署到互聯(lián)交易區(qū)內(nèi)之前,應(yīng)先通過信息技術(shù)部組織的功能及性能測試。
第十條 互聯(lián)網(wǎng)交易區(qū)內(nèi)的系統(tǒng)部署、變更、撤銷均需經(jīng)信息技術(shù)部及分管領(lǐng)導(dǎo)審批同意。
第十一條 信息技術(shù)部應(yīng)充分利用各種技術(shù)手段,加強(qiáng)客戶信息的使用管理和密碼管理。
第十二條 信息技術(shù)部應(yīng)該加強(qiáng)相關(guān)人員的管理和行業(yè)操守培訓(xùn),嚴(yán)禁相關(guān)人員未經(jīng)授權(quán)向第三方提供客戶信息。
第十三條 信息技術(shù)部應(yīng)加強(qiáng)電子單證管理,電子保單須采用由國家工業(yè)和信息化部頒發(fā)電子認(rèn)證服務(wù)許可證的電子認(rèn)證服務(wù)商頒發(fā)的數(shù)字證書,符合《電子簽名法》有關(guān)要求。
第十四條 通過合作機(jī)構(gòu)網(wǎng)站經(jīng)營互聯(lián)網(wǎng)保險業(yè)務(wù),應(yīng)
匯邦人壽保險股份有限公司-信息技術(shù)部
于合同成立24小時內(nèi)將保單完整信息導(dǎo)入人身保險公司核心業(yè)務(wù)系統(tǒng),保監(jiān)會另有規(guī)定的應(yīng)遵循相關(guān)規(guī)定。
第四章附則
第十五條 本管理辦法由信息技術(shù)部負(fù)責(zé)修訂和解釋。第十六條 本管理辦法自發(fā)布之日起實(shí)施。
第二篇:互聯(lián)網(wǎng)金融有限公司信息安全審計(jì)管理辦法
西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司
信息安全審計(jì)管理辦法
第一章 總則
第一條 為督促落實(shí)各項(xiàng)網(wǎng)絡(luò)與信息安全管理辦法、技術(shù)規(guī)范,規(guī)范各項(xiàng)網(wǎng)絡(luò)與信息安全檢查工作(以下簡稱“信息安全審計(jì)”,根據(jù)總部信息安全相關(guān)文件規(guī)定,特制訂本辦法。
第二條 安全審計(jì)內(nèi)容分為管理和技術(shù)兩個方面,管理審計(jì)檢查安全管理制度的執(zhí)行情況;技術(shù)審計(jì)檢查企業(yè)網(wǎng)、局域網(wǎng)、互聯(lián)網(wǎng)出口和各信息系統(tǒng)符合設(shè)備安全技術(shù)要求、安全配置要求以及其他技術(shù)規(guī)范的情況。第三條 安全審計(jì)通過設(shè)立獨(dú)立的審計(jì)崗位或交叉審計(jì)等方式開展。
第二章 適用范圍
第四條 本辦法適用于西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司和各分公司。
第五條 可依據(jù)本辦法開展企業(yè)網(wǎng)、局域網(wǎng)、互聯(lián)網(wǎng)出口和各信息系統(tǒng)的安全審計(jì),開展信息安全等其他安全管理方面的審計(jì)。
第六條 用于指導(dǎo)開展定期和不定期,全面和針對特定目的的安全審計(jì)。
第三章 組織與職責(zé)
第七條 發(fā)起網(wǎng)絡(luò)與信息安全審計(jì)工作的部門是:總公司信息管理處、各分公司信息管理部門。
第八條 信息管理處在西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司信息安全領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下,組織開展所轄子公司信息安全審計(jì)工作:
(一)落實(shí)總部信息安全工作總體安排;
(二)組織制定信息安全審計(jì)細(xì)則;
(三)組織制定并實(shí)施公司級的信息安全審計(jì)計(jì)劃;
(四)對各分公司進(jìn)行指導(dǎo)、審批、檢查和備案;
(五)匯總、審閱信息安全審計(jì)報(bào)告,制定整改方案,解決發(fā)現(xiàn)的突出問題,重大問題或者需要對技術(shù)、管理流程做出重大調(diào)整時,應(yīng)向西安北創(chuàng)互聯(lián)網(wǎng)金融信息服務(wù)有限公司信息化領(lǐng)導(dǎo)小組匯報(bào)。第九條 各分公司信息部門職責(zé):
(一)配合完成信息安全領(lǐng)導(dǎo)小組、信息管理處安排的信息安全審計(jì)任務(wù);
(二)制定本單位內(nèi)部信息安全審計(jì)實(shí)施細(xì)則;
(三)制定本單位信息安全審計(jì)計(jì)劃和實(shí)施方案,并上報(bào)信息管理處備案審核;
(四)按照信息安全審計(jì)計(jì)劃實(shí)施工作;
(五)提交信息安全審計(jì)報(bào)告,針對審計(jì)發(fā)現(xiàn)的問題,形成改進(jìn)方案。
第四章 信息安全審計(jì)重點(diǎn)內(nèi)容
第十條 信息安全審計(jì)原則:對重要系統(tǒng)、核心設(shè)備、規(guī)章制度和技術(shù)要求,進(jìn)行重點(diǎn)檢查。第十一條 信息安全審計(jì)頻次:
(一)針對公司范圍進(jìn)行的全面審計(jì),每年一次,不定期開展;
(二)對局部范圍進(jìn)行的安全策略技術(shù)審計(jì),根據(jù)總部信息安全等級保護(hù)文件規(guī)定,三級系統(tǒng)每半年審計(jì)一次,三級以下系統(tǒng)每年審計(jì)一次,并形成分系統(tǒng)的審計(jì)報(bào)告。
第十二條 信息安全審計(jì)重點(diǎn)應(yīng)包括重點(diǎn)要求、重點(diǎn)規(guī)范、重要系統(tǒng)中的重要設(shè)備,以及用戶的操作行為等。
第五章 審計(jì)內(nèi)容和審計(jì)方法
第十三條 安全審計(jì)主要依據(jù)各項(xiàng)安全管理規(guī)定和技術(shù)檢查,檢查具體要求的落實(shí)情況。
第十四條 審計(jì)方法包括:對安全運(yùn)行維護(hù)等記錄的抽樣檢查、系統(tǒng)檢查、現(xiàn)場訪問等。
第十五條 可以采用人工和技術(shù)手段進(jìn)行。
第六章 工作步驟
第十六條 制定計(jì)劃,確定審計(jì)范圍、審計(jì)重點(diǎn)、時間安排、審計(jì)人員和配合人員安排,采用的技術(shù)手段、主要風(fēng)險及規(guī)避方案等。
第十七條 細(xì)化審計(jì)內(nèi)容。審計(jì)的系統(tǒng)范圍,檢查的重點(diǎn)項(xiàng),各個系統(tǒng)中增刪改等重點(diǎn)操作的指令、關(guān)鍵詞等。第十八條 編寫《信息安全審計(jì)檢查表》等工作底稿。檢查表應(yīng)包括信息安全審計(jì)內(nèi)容、審計(jì)方式、依據(jù)標(biāo)準(zhǔn)、審計(jì)方法、審計(jì)結(jié)果、問題描述、審計(jì)人員和被審計(jì)人員簽字欄等。第十九條 按照《信息安全審計(jì)檢查表》,采用人工和技術(shù)手段相結(jié)合的方式,進(jìn)行抽樣檢查、系統(tǒng)檢查、現(xiàn)場訪問等,并逐一記錄結(jié)果。
第二十條 提交《信息安全審計(jì)報(bào)告》,總結(jié)審計(jì)情況,分析主要問題,提出改進(jìn)意見及下次審計(jì)重點(diǎn)等建議。第二十一條 被審計(jì)系統(tǒng)責(zé)任部門按照審計(jì)報(bào)告,形成《信息安全審計(jì)問題整改計(jì)劃及實(shí)施方案》,并提交《信息安全審計(jì)改進(jìn)情況報(bào)告》。
第二十二條 各方簽字的《信息安全審計(jì)報(bào)告》、《信息安全審計(jì)問題整改計(jì)劃及實(shí)施方案》和《信息安全審計(jì)改進(jìn)情況報(bào)告》等相關(guān)文檔,經(jīng)過審批后提交信息安全領(lǐng)導(dǎo)小組、信息管理處存檔。
第七章 監(jiān)督執(zhí)行
第二十三條 各信息部門應(yīng)督促各級領(lǐng)導(dǎo)對辦法執(zhí)行情況進(jìn)行有效監(jiān)督和管理。第二十四條 本辦法自下發(fā)之日起執(zhí)行。
點(diǎn)擊咨詢 