中国保险监督管理委员会　　保监发[2011]68号　　2011年11月16日

各保险公司、保险资产管理公司：

为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。现印发给你们，请遵照执行。

保险公司信息系统安全管理指引（试行）

一、总 则

第一条 为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。

第二条 本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

第三条 本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。

第四条 信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。

实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规划执行。

第五条 中国保监会依法对保险公司信息系统安全工作实施监督管理。

二、安全管理总体要求

第六条 信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。

第七条 各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。

第八条 信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。