¿Cómo redactar un plan de implementación para inspecciones de seguridad en la industria de seguros?
Noticias del 13 de abril de China Economic Net Beijing
Con el fin de implementar requisitos de información como las "Pautas de gestión de la información de las compañías de seguros" y las "Pautas de gestión de la seguridad del sistema de información de las compañías de seguros", el 2012 Para garantizar el funcionamiento seguro y estable de los sistemas de información de seguros, el Aviso de la Comisión Reguladora de Seguros de China exige que todas las compañías de seguros y empresas de gestión de activos de seguros se centren en cinco aspectos: sistemas de seguridad de la información y control de seguridad de los sistemas de información.
El aviso señala que cada compañía de seguros y empresa de gestión de activos de seguros debe diseñar el contenido de la inspección de acuerdo con sus propias circunstancias, centrándose (pero no limitándose a) los siguientes aspectos:
( 1) Seguridad de la información Construcción organizacional y gestión de personal
Organizaciones, líderes, gerentes y puestos de seguridad de la información y la gestión de la seguridad de la información; ; servicios de outsourcing y gestión de Seguridad del personal.
(2) Sistema de seguridad de la información
La construcción del sistema de trabajo de seguridad de la información existente de la empresa y la implementación del sistema de trabajo de seguridad de la información actual de la empresa y el trabajo de seguridad de la información de la Comisión Reguladora de Seguros de China; requisitos; formulación de planes de clasificación, evaluación y rectificación de información de la empresa para protección a nivel de sistema, gestión de activos de software, etc.
(3) Control de seguridad del sistema de información
El estado de seguridad y la gestión del entorno básico de la sala de ordenadores y los equipos centrales importantes, la gestión y gestión de los sistemas comerciales centrales, como el diseño; , desarrollo, implementación, operación y mantenimiento Controles de seguridad en uso.
(D) Gestión de datos y construcción de preparación para desastres
Medidas de respaldo de seguridad de datos, administración de medios de respaldo, verificación de respaldo de datos, planificación del diseño del centro de recuperación de desastres y construcción real.
(5) Construcción de sistemas de emergencia
Organización y construcción de trabajos de emergencia de seguridad de la información; implementación de responsabilidades laborales y simulacros de planes de emergencia, soporte técnico y medidas de gestión de emergencias; ; manejo de incidentes importantes de seguridad de la información.
Según el aviso, el régimen de inspección se divide en tres etapas. En la primera etapa, las compañías de seguros y las sociedades de gestión de activos de seguros realizan principalmente autoexamen y rectificación (abril-junio de 2012). El aviso exige que las compañías de seguros y las compañías de gestión de activos de seguros lleven a cabo concienzudamente un autoexamen y rectificación de la seguridad del sistema de información y presenten los materiales escritos y la versión electrónica de la "Lista de verificación de seguridad del sistema de información 2012" que resume la autoinspección antes del 30 de junio. La segunda etapa es la inspección in situ organizada por la Comisión Reguladora de Seguros de China y la Oficina Reguladora de Seguros de China (julio-agosto de 2012). La Comisión Reguladora de Seguros de China movilizó a algunos camaradas de la Oficina Reguladora de Seguros de China para organizar y establecer un equipo de inspección de seguridad de la información y seleccionó algunas instituciones de seguros para realizar inspecciones in situ. Cada oficina CIRC puede organizar inspecciones de seguridad de la información de las sucursales de seguros por su cuenta en función de las condiciones específicas dentro de su jurisdicción regulatoria, y presentar informes de inspección in situ al Departamento de Estadísticas e Información de la Comisión Reguladora de Seguros de China antes del 31 de agosto. La tercera etapa es el informe resumido (septiembre de 2012-junio de 2010). La Comisión Reguladora de Seguros de China resumirá el autoexamen de seguridad de la información y las inspecciones in situ en la industria y notificará a toda la industria.
El aviso también exige que cada empresa dé gran importancia a esta inspección de seguridad de la información, establezca una organización de liderazgo laboral, lleve a cabo concienzudamente un autoexamen de seguridad y tome las precauciones de seguridad necesarias para los riesgos y peligros descubiertos en el resumen del autoexamen, complete cuidadosamente la lista de verificación de seguridad del sistema de información 2012. El resumen del autoexamen debe reflejar de manera integral la situación básica de seguridad de la información de la empresa, identificar problemas de riesgo y tomar medidas de rectificación de seguridad relevantes. El resumen del trabajo del autoexamen y la lista de verificación de seguridad del sistema de información de 2012 se presentarán a la Comisión Reguladora de Seguros de China en el formulario; de los documentos de la empresa por parte de la institución persona jurídica aseguradora. El trabajo de autoexamen pertenece al despliegue y gestión unificados de la empresa del grupo y puede ser presentado de manera uniforme por la empresa del grupo, y cada filial ya no lo presentará por separado.