• 【發(fā)布單位】中國保險(xiǎn)監(jiān)督管理委員會(huì)
• 【發(fā)布文號】保監(jiān)廳函〔2005〕24號
• 【發(fā)布日期】2005-02-28
• 【生效日期】2005-02-28
• 【失效日期】--
• 【文件來源】中國保險(xiǎn)監(jiān)督管理委員會(huì)
• 【所屬類別】政策參考

中國保險(xiǎn)監(jiān)督管理委員會(huì)關(guān)于報(bào)送保險(xiǎn)信息系統(tǒng)基本情況及安全狀況等有關(guān)情況的函

中國保險(xiǎn)監(jiān)督管理委員會(huì)關(guān)于報(bào)送保險(xiǎn)信息系統(tǒng)基本情況及安全狀況等有關(guān)情況的函

(保監(jiān)廳函〔2005〕24號)





國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心：



 根據(jù)《關(guān)于對2004年國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)基本情況和安全狀況調(diào)查的通知》（信安通〔2005〕2號）,，我會(huì)對保險(xiǎn)信息系統(tǒng)的基本情況及安全狀況進(jìn)行了調(diào)查，現(xiàn)將有關(guān)情況報(bào)送你中心,。



二○○五年二月二十八日





 二ОО四年保險(xiǎn)信息系統(tǒng)基本情況及安全狀況



 伴隨著保險(xiǎn)業(yè)的快速發(fā)展,，近年來保險(xiǎn)信息化工作取得了顯著成績。2004年,，保險(xiǎn)業(yè)各單位高度重視信息化工作,，加強(qiáng)了組織領(lǐng)導(dǎo)和戰(zhàn)略規(guī)劃，加大了信息化建設(shè)的投入,，加快了保險(xiǎn)信息化的前進(jìn)步伐,，提高了保險(xiǎn)信息系統(tǒng)的安全保障水平。信息化應(yīng)用水平的進(jìn)步有力地促進(jìn)了保險(xiǎn)業(yè)務(wù)自動(dòng)化的處理水平和管理能力的提高,，增強(qiáng)了創(chuàng)新能力,，改進(jìn)了服務(wù)質(zhì)量，大大提高了保險(xiǎn)業(yè)的整體競爭能力和現(xiàn)代化水平,。



 一,、保險(xiǎn)信息系統(tǒng)基本情況



 保險(xiǎn)信息系統(tǒng)包括保險(xiǎn)監(jiān)管信息系統(tǒng)及信息網(wǎng)絡(luò)，保險(xiǎn)機(jī)構(gòu)業(yè)務(wù),、財(cái)務(wù)信息系統(tǒng)及信息網(wǎng)絡(luò),。



 保險(xiǎn)監(jiān)管信息系統(tǒng)及網(wǎng)絡(luò)：主要用于中國保監(jiān)會(huì)系統(tǒng)（包括保監(jiān)會(huì)機(jī)關(guān)和35家地方派出機(jī)構(gòu)）的各項(xiàng)監(jiān)管工作。目前,，保監(jiān)會(huì)系統(tǒng)內(nèi)部網(wǎng)絡(luò)以機(jī)關(guān)為中心,，遍及35家地方派出機(jī)構(gòu)，保險(xiǎn)監(jiān)管業(yè)務(wù)網(wǎng)絡(luò)以保監(jiān)會(huì)機(jī)關(guān)為中心,，專線連接各家保險(xiǎn)公司總公司,，都是典型的星型網(wǎng)絡(luò),，主要采用了VLAN技術(shù)、防火墻,、防病毒等安全技術(shù),。系統(tǒng)涉及保監(jiān)會(huì)有關(guān)辦公公文數(shù)據(jù)，以及各保險(xiǎn)公司提供的用于監(jiān)管的業(yè)務(wù),、財(cái)務(wù)數(shù)據(jù),。



 保險(xiǎn)機(jī)構(gòu)業(yè)務(wù)、財(cái)務(wù)信息系統(tǒng)及網(wǎng)絡(luò)：主要用于保險(xiǎn)機(jī)構(gòu)經(jīng)營各項(xiàng)保險(xiǎn)業(yè)務(wù)以及財(cái)務(wù)工作,，信息網(wǎng)絡(luò)遍及各保險(xiǎn)機(jī)構(gòu)經(jīng)營區(qū)域,，總體來說，基本覆蓋了全國各地市縣,。目前主要采用了VLAN技術(shù),、防火墻、入侵檢測,、防病毒,、雙機(jī)熱備、數(shù)據(jù)異地備份等安全與備份措施,，部分公司還建立了災(zāi)備中心,；建立了機(jī)房管理制度、信息系統(tǒng)運(yùn)行管理制度,、網(wǎng)絡(luò)安全管理制度等制度,；系統(tǒng)涉及各保險(xiǎn)機(jī)構(gòu)和廣大被保險(xiǎn)人的利益，關(guān)系到經(jīng)濟(jì)的發(fā)展和社會(huì)的穩(wěn)定,。



 保險(xiǎn)信息系統(tǒng)面臨的主要威脅就是病毒,、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪,、系統(tǒng)設(shè)備的損壞和各種自然災(zāi)害等,。根據(jù)“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則,，中國保監(jiān)會(huì)是保險(xiǎn)信息系統(tǒng)的主管部門,，是保險(xiǎn)監(jiān)管信息系統(tǒng)及信息網(wǎng)絡(luò)的運(yùn)行責(zé)任部門；各保險(xiǎn)機(jī)構(gòu)是各自業(yè)務(wù),、財(cái)務(wù)信息系統(tǒng)的運(yùn)行責(zé)任部門,。



 二、信息安全工作情況



 2004年,，在中國保監(jiān)會(huì)的領(lǐng)導(dǎo)下,，保險(xiǎn)系統(tǒng)在加強(qiáng)保險(xiǎn)信息安全保障工作上做了大量的工作，取得了一定的成績,。



 （一）中國保監(jiān)會(huì)制定了保監(jiān)會(huì)系統(tǒng)信息安全的總體規(guī)劃,，增加了一些安全設(shè)備的配備,，并根據(jù)規(guī)劃進(jìn)行了新的部署；在保監(jiān)會(huì)系統(tǒng)內(nèi)下發(fā)了《關(guān)于加強(qiáng)計(jì)算機(jī)系統(tǒng)安全管理的通知》等一系列文件,。



 （二）為有效預(yù)防保險(xiǎn)行業(yè)的重大突發(fā)事件，中國保監(jiān)會(huì)制訂了《保險(xiǎn)機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)重大系統(tǒng)性故障突發(fā)事件應(yīng)急預(yù)案》,、《保險(xiǎn)信息系統(tǒng)應(yīng)急協(xié)調(diào)預(yù)案》,，與國信辦、國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心建立了聯(lián)系,、溝通,、通報(bào)機(jī)制。



 （三）中國保監(jiān)會(huì)在保險(xiǎn)行業(yè)內(nèi)下發(fā)了《關(guān)于進(jìn)一步加強(qiáng)保險(xiǎn)系統(tǒng)信息安全保障工作的通知》以及《關(guān)于做好保險(xiǎn)信息系統(tǒng)災(zāi)難備份工作的通知》,，進(jìn)一步明確了保險(xiǎn)信息系統(tǒng)在信息安全保障工作,、信息系統(tǒng)災(zāi)難備份建設(shè)等方面的有關(guān)要求，推進(jìn)和提升了保險(xiǎn)業(yè)信息安全保障體系建設(shè)的進(jìn)程和水平,。



 （四）各保險(xiǎn)機(jī)構(gòu)高度重視信息安全保障工作,，強(qiáng)化了安全工作的組織領(lǐng)導(dǎo)，加強(qiáng)了信息安全相關(guān)的制度建設(shè),。一是明確了信息安全保障工作的主管領(lǐng)導(dǎo),，落實(shí)了責(zé)任部門，設(shè)立信息安全管理的專門崗位,，有效的加強(qiáng)了信息安全保障工作的組織領(lǐng)導(dǎo),；二是加強(qiáng)了信息安全相關(guān)的制度建設(shè)，目前各保險(xiǎn)機(jī)構(gòu)參考國內(nèi)外相關(guān)技術(shù)標(biāo)準(zhǔn),，基本建立了信息系統(tǒng)安全,、網(wǎng)絡(luò)安全、機(jī)房安全等制度,，但某些安全措施還不完善,，安全技術(shù)崗位的人員還需要加大培訓(xùn)力度，安全管理工作有待進(jìn)一步加強(qiáng),。



 （五）2004年保險(xiǎn)業(yè)加大了信息安全的投入,，積極采取各項(xiàng)措施，不斷提升保險(xiǎn)信息系統(tǒng)的信息安全防護(hù)水平,。



 在網(wǎng)絡(luò)建設(shè)方面,，中國保監(jiān)會(huì)的監(jiān)管網(wǎng)絡(luò)、辦公自動(dòng)化網(wǎng)絡(luò),、互聯(lián)網(wǎng)網(wǎng)絡(luò)采用了物理隔離方案,，保證了信息與網(wǎng)絡(luò)的安全。大多數(shù)保險(xiǎn)公司采用業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)網(wǎng)絡(luò)邏輯隔離的方案,，部份公司還使用了專門的審計(jì)和監(jiān)控設(shè)備,，能夠監(jiān)控網(wǎng)絡(luò)運(yùn)行和用戶的使用情況,。



 在災(zāi)難備份和恢復(fù)設(shè)施的建設(shè)方面，各保險(xiǎn)機(jī)構(gòu)都非常重視,，不同程度地建立了應(yīng)急機(jī)制與設(shè)施,，制定了應(yīng)急預(yù)案，超過50%的公司開展了災(zāi)難演習(xí)或制訂了災(zāi)難演習(xí)工作計(jì)劃,，部分公司正在建設(shè)異地災(zāi)備中心,。另外，考慮到災(zāi)難備份中心的建設(shè)需要較大的投入,，并且利用率很低,，許多公司都在探索新的災(zāi)備中心建設(shè)模式。



 在安全產(chǎn)品和技術(shù)的使用方面,，防火墻產(chǎn)品和防病毒產(chǎn)品在保險(xiǎn)信息系統(tǒng)中得到廣泛的使用,，各單位相關(guān)人員都能熟練的進(jìn)行配置等操作，絕大部分公司還與專業(yè)的信息安全服務(wù)公司簽訂了服務(wù)協(xié)議,；部分公司配備了入侵檢測系統(tǒng),，并安排專人負(fù)責(zé)，根據(jù)系統(tǒng)產(chǎn)生的報(bào)警信息制訂了相關(guān)的處理步驟和措施,；部分公司采用數(shù)字證書的身份認(rèn)證技術(shù),，主要應(yīng)用在電子商務(wù)方面。



 在信息安全管理方面,，各保險(xiǎn)機(jī)構(gòu)普遍加強(qiáng)了密碼管理,、授權(quán)管理、補(bǔ)丁管理等工作,，部分公司采用集中管理模式,，并制定了密碼、帳戶,、授權(quán)和補(bǔ)丁管理的相關(guān)制度和操作流程,；保險(xiǎn)信息系統(tǒng)各相關(guān)單位根據(jù)實(shí)際需要，關(guān)閉了不必要的服務(wù)和端口,；另外,，各保險(xiǎn)機(jī)構(gòu)開展了定期對管理和技術(shù)方面的安全措施進(jìn)行檢查的工作，部分公司還聘請專業(yè)公司不定期的進(jìn)行安全評估,。



 （六）2004年,，保險(xiǎn)信息系統(tǒng)總體運(yùn)行狀況良好，沒有發(fā)生重大信息安全事件,，沒有造成較大經(jīng)濟(jì)損失和社會(huì)影響,。



 三、相關(guān)建議



 一、保險(xiǎn)信息系統(tǒng)包含保監(jiān)會(huì)信息系統(tǒng)和保險(xiǎn)機(jī)構(gòu)信息系統(tǒng)兩大部分,。隨著保險(xiǎn)業(yè)的全面對外開放,，外資公司、中外合資公司數(shù)量不斷增加,，已經(jīng)超過保險(xiǎn)公司數(shù)量的一半,。通報(bào)中心的發(fā)文經(jīng)常以密級下發(fā)，不便于我們轉(zhuǎn)發(fā)執(zhí)行,。希望你中心能考慮我會(huì)的實(shí)際情況,，在下發(fā)文件時(shí)制定恰當(dāng)?shù)奈募芗墸蛟谖募姓f明使用范圍,。



 二、目前金融業(yè)能獲取的國際上適用的信息技術(shù)標(biāo)準(zhǔn)基本上都屬于銀行業(yè)和證券業(yè),，而保險(xiǎn)業(yè)信息技術(shù)國際標(biāo)準(zhǔn)十分缺乏,，希望能夠提供有關(guān)保險(xiǎn)業(yè)信息技術(shù)國際適用標(biāo)準(zhǔn)和規(guī)范。



 三,、各單位從事信息安全工作的人員較少,，為了加強(qiáng)信息安全保障工作，建議國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組與有關(guān)部門協(xié)調(diào),，要求各單位按一定比例或數(shù)量配備信息安全技術(shù)和管理人員,。