银保监会印发了《保险中介机构信息化工作监管办法》(以下简称《办法》),对保险中介机构信息化工作提出全面要求,银保监会负责人就《办法》发表解读。下一步,银保监会将加强政策宣传培训、开展相关业务检查、制定相关行业标准,持续推动保险中介机构加强信息化建设、提高经营管理水平,逐步构建新型保险中介市场体系,推动保险中介行业高质量发展。
《办法》共6章36条,从基本要求、信息系统、信息安全、监督管理等方面提出了全方位细致要求,其中重点内容如下:
保险中介机构信息系统应能够及时、完整、准确记录财务、业务、人员情况;
保险中介信息系统应与合作保险公司系统互通、业务互联、数据对接,并同时与保险中介监管相关信息系统数据对接;
对信息系统的安全体系、
等级保护、数据安全提出硬性测评要求;
明确保险中介机构可采取自主开发、合作开发、定制开发、外包开发和购买云服务等形式建设信息系统;
《办法》同时对兼业机构提出了与专业机构相同的信息化工作要求;
保险中介没有信息系统,不得经营保险中介业务。
以下是《办法》关于信息安全的详细要求:第二十三条保险中介机构应建立健全信息安全管理制度,部署实施边界防护、病毒防护、入侵检测、数据备份、灾难恢复等信息安全措施,保障业务持续和数据安全。第二十四条保险中介机构应按照国家网络安全
等级保护相关规定,合理确定信息系统的安全等级,并按照国家网络安全
等级保护相关标准进行防护,获得相应的国家网络安全等级保护认证。第二十五条保险中介机构应对重要数据采取保护措施,保障数据在收集、存储、传输、使用、提供、备份、恢复和销毁等过程中的安全,合法使用数据,严防数据泄露、篡改和损毁,保障数据的完整性、保密性和可用性。保险中介机构应采取可靠措施进行数据存储和备份,定期开展备份数据恢复验证。系统数据应至少保存五年,系统日志应至少保存六个月。第二十六条保险中介机构收集、处理和应用数据涉及到个人信息的,应遵循合法、正当、必要的原则,遵守国家相关法律、行政法规,符合与个人信息安全相关的国家标准。未经允许或授权,保险中介机构不得收集与其提供的服务无关的个人信息;不得违反法律、行政法规和合同约定收集、使用、提供和处理个人信息;不得泄露、篡改个人信息。第二十七条保险中介机构应加强对台式计算机、便携式计算机、智能手机、平板电脑、移动存储介质等终端设备的管理,根据法律、行政法规要求和本机构网络安全实际情况对终端设备选择实施登录控制、病毒防护、软件安装与卸载管理、移动存储介质管理、固定资产管理、网络准入、违规监测等安全措施。第二十八条保险中介机构应经常开展信息化培训、信息安全培训和保密教育,与员工签订信息安全和保密协议,督促员工履行与其工作岗位相应的信息安全和保密职责。
网络安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来网络安全工作实践和经验的总结。开展网络安全等级保护工作的主要目的就是要保护国家关键信息基础设施安全、维护国家安全,这是一项事关国家安全、社会稳定、国家利益的重要决策部署。等级保护测评工作内容有哪些?等级保护工作在大部分人看来都是比较繁琐的,流程多,持续时间长,企业工作人员承压不小,但事实情况真的这样的吗?等级保护一般主要分哪几个阶段,主要从哪些方面进行?完成等保测评,企业将取得怎样的收获?
信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,运用科学的手段和方法,对处理特定应用的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。目前信息安全等级保护主要分为五级,五级是最高级别,目前大部分申请单位申请三级比较常见。一般主要包括以下流程:等级保护流程等级保护测评主要测以下十个层面:安全技术测评:等级保护测评层面安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。安全管理测评:等级保护安全管理测评安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
技术层面具体的对象是:1、机房,本测评单位将对信息系统运营使用单位重要信息系统的机房、配电间、消防间等相关物理环境进行测评,分析其中的问题以及不符合要求的地方。2、业务应用软件,本测评单位将对信息系统运营使用单位重要信息系统进行测评,从应用软件的安全机制方向,分析应用系统中存在的安全隐患与问题。3、主机操作系统,本测评单位将对信息系统运营使用单位重要信息系统相关的服务器的操作系统进行测评,从访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等方向分析其中的安全隐患与问题。4、数据库系统,本测评单位将对信息系统运营使用单位重要信息系统所使用的数据库进行测评,从身份鉴别、访问控制、安全审计、资源控制方向分析其中的安全隐患与问题。5、网络设备,本测评单位将对信息系统运营使用单位重要信息系统的网络设备进行测评,从访问控制、安全审计、网络设备防护等方向分析其中的安全隐患与问题。最终经过等级保护测评之后,申请测评单位主要能收获哪些呢?过等级保护的好处有哪些?01.被测系统取得的备案证明资料、等级保护测评报告和安全建设整改方案。02.通过等级保护测评之后我们的系统信息安全防护能力得到了提高,安全风险被有效降低,前提是我们在发现问题后进行一定的安全整改。提示:随着安全检查工作在全国各地展开,主管单位上门检查的一部分内容就会是有没有开展等级保护工作,开展的情况,如果我们能即时出示这些资料,他们就知道我们做了等保,在信息安全上工作上做了不少。
