中国保险监督管理委员会|保监统信〔2012〕365号|2012-03-30发布|2012-03-30实施|现行有效
保监统信〔2012〕365号

一、检查范围
各保险公司、保险资产管理公司。
二、检查内容
各保险公司和保险资产管理公司根据自身情况，自行设计检查内容，重点围绕（但不限于）以下几个方面：
（一）信息安全组织建设和人员管理
信息化及信息安全工作的管理组织机构、主管领导、管理人员、安全岗位的设置情况；信息安全工作责任制的落实情况；涉及信息安全的人员管理情况；信息安全培训情况；外包服务和人员的安全管理情况。
（二）信息安全制度
公司现行信息安全工作制度体系建设情况；对公司现行信息安全工作制度和保监会信息安全工作要求的执行落实情况；公司信息系统等级保护定级、测评、整改等工作开展情况；软件正版化、软件资产管理等情况。
（三）信息系统安全管控
机房基础设施环境和重要核心设备的安全状况和管理情况；核心业务系统设计、开发、部署、运维等管理和使用过程中的安全管控措施。
（四）数据管理和灾备建设
数据安全备份措施，备份介质的管理情况，数据备份的有效性验证情况，以及灾备中心的设计规划和实际建设情况。
（五）应急响应体系建设情况
信息安全应急响应的工作组织建设情况；工作责任落实情况；应急预案的制定、演练情况；应急保障、技术支持和应急管理措施情况；重大信息安全事件的处置情况。
三、检查安排
本次信息安全检查分为三个阶段：
第一阶段：各保险公司和保险资产管理公司开展自查和整改（2012年4月
6月）
各保险公司和保险资产管理公司按照要求，认真开展信息系统安全自查和整改，6月30日前将自查工作总结及填写后的《2012年信息系统安全检查情况表》书面材料和电子版报送保监会统信部。
第二阶段：保监会和保监局组织现场检查（2012年7月
8月）
保监会抽调部分保监局同志，组织成立信息安全检查小组，选定部分保险机构进行现场检查。
各保监局可根据监管辖区内具体情况，自行安排对保险分支机构的信息安全检查。请于8月31日前，将现场检查情况报告报送保监会统计信息部。
第三阶段：总结通报（2012年9月
10月）
保监会将对行业信息安全自查情况和现场检查情况进行总结，并向全行业通报。
四、有关要求
（一）各公司要高度重视此次信息安全检查工作，建立工作领导机构，认真开展安全自查，针对自查发现的风险隐患采取必要的安全防范措施。
（二）各公司要做好自查总结工作，认真填写《2012年信息系统安全检查情况表》，自查工作总结要全面反映公司的信息安全基本状况、明确查找出的风险问题、采取的有关安全整改措施。
（三）各公司自查工作总结及《2012年信息系统安全检查情况表》应由保险法人机构以公司文件形式向保监会报送。自查工作属于集团公司统一部署管理的，可由集团公司统一报送，各子公司不再单独报送。
各保监局如有问题请与保监会统计信息部联系。
联系人：王晓鹏
石一飞
邮
箱：tx_ghc@circ.gov.cn
中国保险监督管理委员会
二○一二年三月三十日