15汇邦人寿保险股份有限公司-信息技术部-互联网业务安全管理办法

第一篇：15汇邦人寿保险股份有限公司-信息技术部-互联网业务安全管理办法

汇邦人寿保险股份有限公司-信息技术部

汇邦人寿保险股份有限公司 互联网业务安全管理办法

汇邦人寿保险股份有限公司-信息技术部

目录

第一章总则........................................................3 第二章基础架构安全规范............................................3 第三章应用系统安全规范............................................4 第四章附则........................................................5

汇邦人寿保险股份有限公司-信息技术部

第一章总则

第一条 为规范公司互联网电子商务平台的经营活动，保护企业和消费者合法权益，依据保监会《保险公司信息系统安全管理指引（试行）》等相关规定，特制定本管理办法。

第二条 本管理办法适用范围为涉及电子商务系统管理、开发、维护和使用的所有部门。

第二章基础架构安全规范

第三条 公司应为互联网交易划定独立网络区域，与其他网络区域建立明确的安全边界。信息技术部门人员需从网络各级建立完善的访问控制措施,安装防火墙（含应用防火墙）、入侵检测,加强授权管理和认证。

第四条 电子商务交易系统应建立与内部财务系统、其他核心业务系统，以及合作单位网络、信息系统的有效隔离机制，并严格控制数据流向，做好相应管理。

第五条 信息技术部应加强系统主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件，启用防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对主机系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补。

第六条信息技术部利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟

汇邦人寿保险股份有限公司-信息技术部

踪入侵攻击。

第七条 信息技术部应建立健全日志留痕功能，保留销售、服务等交易日志、以及投保人操作轨迹等投保相关信息，确保交易行为可稽核，满足风险控制和业务审计要求。

第八条 原则上，公司电子商务系统应建立在公司自有及自主可控的硬件平台之上，如有特殊情况需依托于外部云计算资源的，应明确与虚拟化资源相对应的具体物理机器设备。公司应与云计算服务提供商签订书面协议，确保数据安全和业务连续性。

第三章 应用系统安全规范

第九条 任何系统在部署到互联交易区内之前，应先通过信息技术部组织的功能及性能测试。

第十条 互联网交易区内的系统部署、变更、撤销均需经信息技术部及分管领导审批同意。

第十一条 信息技术部应充分利用各种技术手段，加强客户信息的使用管理和密码管理。

第十二条 信息技术部应该加强相关人员的管理和行业操守培训，严禁相关人员未经授权向第三方提供客户信息。

第十三条 信息技术部应加强电子单证管理，电子保单须采用由国家工业和信息化部颁发电子认证服务许可证的电子认证服务商颁发的数字证书，符合《电子签名法》有关要求。

第十四条 通过合作机构网站经营互联网保险业务，应

汇邦人寿保险股份有限公司-信息技术部

于合同成立24小时内将保单完整信息导入人身保险公司核心业务系统，保监会另有规定的应遵循相关规定。

第四章附则

第十五条 本管理办法由信息技术部负责修订和解释。第十六条 本管理办法自发布之日起实施。

第二篇：互联网金融有限公司信息安全审计管理办法

西安北创互联网金融信息服务有限公司

信息安全审计管理办法

第一章 总则

第一条 为督促落实各项网络与信息安全管理办法、技术规范，规范各项网络与信息安全检查工作（以下简称“信息安全审计”，根据总部信息安全相关文件规定，特制订本办法。

第二条 安全审计内容分为管理和技术两个方面，管理审计检查安全管理制度的执行情况；技术审计检查企业网、局域网、互联网出口和各信息系统符合设备安全技术要求、安全配置要求以及其他技术规范的情况。第三条 安全审计通过设立独立的审计岗位或交叉审计等方式开展。

第二章 适用范围

第四条 本办法适用于西安北创互联网金融信息服务有限公司和各分公司。

第五条 可依据本办法开展企业网、局域网、互联网出口和各信息系统的安全审计，开展信息安全等其他安全管理方面的审计。

第六条 用于指导开展定期和不定期，全面和针对特定目的的安全审计。

第三章 组织与职责

第七条 发起网络与信息安全审计工作的部门是：总公司信息管理处、各分公司信息管理部门。

第八条 信息管理处在西安北创互联网金融信息服务有限公司信息安全领导小组的领导下，组织开展所辖子公司信息安全审计工作：

（一）落实总部信息安全工作总体安排；

（二）组织制定信息安全审计细则；

（三）组织制定并实施公司级的信息安全审计计划；

（四）对各分公司进行指导、审批、检查和备案；

（五）汇总、审阅信息安全审计报告，制定整改方案，解决发现的突出问题，重大问题或者需要对技术、管理流程做出重大调整时，应向西安北创互联网金融信息服务有限公司信息化领导小组汇报。第九条 各分公司信息部门职责：

（一）配合完成信息安全领导小组、信息管理处安排的信息安全审计任务；

（二）制定本单位内部信息安全审计实施细则；

（三）制定本单位信息安全审计计划和实施方案，并上报信息管理处备案审核；

（四）按照信息安全审计计划实施工作；

（五）提交信息安全审计报告，针对审计发现的问题，形成改进方案。

第四章 信息安全审计重点内容

第十条 信息安全审计原则：对重要系统、核心设备、规章制度和技术要求，进行重点检查。第十一条 信息安全审计频次：

（一）针对公司范围进行的全面审计，每年一次，不定期开展；

（二）对局部范围进行的安全策略技术审计，根据总部信息安全等级保护文件规定，三级系统每半年审计一次，三级以下系统每年审计一次，并形成分系统的审计报告。

第十二条 信息安全审计重点应包括重点要求、重点规范、重要系统中的重要设备，以及用户的操作行为等。

第五章 审计内容和审计方法

第十三条 安全审计主要依据各项安全管理规定和技术检查，检查具体要求的落实情况。

第十四条 审计方法包括：对安全运行维护等记录的抽样检查、系统检查、现场访问等。

第十五条 可以采用人工和技术手段进行。

第六章 工作步骤

第十六条 制定计划，确定审计范围、审计重点、时间安排、审计人员和配合人员安排，采用的技术手段、主要风险及规避方案等。

第十七条 细化审计内容。审计的系统范围，检查的重点项，各个系统中增删改等重点操作的指令、关键词等。第十八条 编写《信息安全审计检查表》等工作底稿。检查表应包括信息安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等。第十九条 按照《信息安全审计检查表》，采用人工和技术手段相结合的方式，进行抽样检查、系统检查、现场访问等，并逐一记录结果。

第二十条 提交《信息安全审计报告》，总结审计情况，分析主要问题，提出改进意见及下次审计重点等建议。第二十一条 被审计系统责任部门按照审计报告，形成《信息安全审计问题整改计划及实施方案》，并提交《信息安全审计改进情况报告》。

第二十二条 各方签字的《信息安全审计报告》、《信息安全审计问题整改计划及实施方案》和《信息安全审计改进情况报告》等相关文档，经过审批后提交信息安全领导小组、信息管理处存档。

第七章 监督执行

第二十三条 各信息部门应督促各级领导对办法执行情况进行有效监督和管理。第二十四条 本办法自下发之日起执行。