保监会：确保保险业信息安全不能纸上谈兵

　　5月13日，中国保监会召开“全国保险业信息安全保障工作”专题视频会议。保监会副主席李克穆指出，保险业是经营风险的行业，必须要有风险意识和责任感，特别是各公司的领导层，对信息安全要高度重视。

　　李克穆强调，加强信息安全保障工作，必须把握好3个原则：一是坚持一手抓信息化建设，一手抓信息安全。二是坚持管理与技术并重。三是坚持统筹兼顾，突出重点，适度安全。

　　李克穆指出，信息安全保障工作需要一定的财力、物力，需要配备素质高、业务能力强的专门人才。要加大资金、人员、技术、管理等资源投入，加大对信息安全基础设施建设和基础性工作的支持力度，完善资源共享机制，优化资源组合。各公司要对照《中国保险业发展“十一五”规划信息化重点专项规划》，拿出贯彻落实的工作计划和具体措施，全面加快保险信息安全保障体系的建设。

　　据介绍，中国保监会已经将信息科技风险纳入行业风险进行统一管理，也建立了一些安全管理制度。下一步要围绕保险信息科技风险监管，加快监管工作的制度化进程。一是要继续做好保险信息科技风险监管框架的研究；二是要尽快建立一套保险信息系统风险评估指标体系，并开发一套保险公司信息安全现场检查软件，对公司的信息安全工作进行评估，将科技风险监管日常化、规范化；三是完善保险业信息化工作重大事项报告制度，加强信息技术风险的监控与管理。此外，要认真研究保险信息安全面临的新形势、新问题，对现有的制度不断充实完善，不断提高信息科技风险监管的有效性。

　　李克穆说，要进一步完善保险业信息系统与网络重大事件应急预案和应急协调预案，针对奥运专门制订特殊时期的应急内容，加强应对突发事件的能力。认真做好保险信息安全通报工作，完善并创新信息安全通报工作体系，加强保险信息安全的预警，提高信息安全事件的研判和处置能力，确保奥运期间的保险信息安全保障工作有序开展。

　　李克穆指出，确保奥运信息安全是当前保险信息安全保障工作的首要任务。当前，各公司要对网上保险、公司网站和主要业务系统抓紧风险排查和整改工作，要抓紧修订完善应急预案，落实应急设备、物资和人员等资源，做好应急演练，不能总是“纸上谈兵”。我们的信息安全决不能出现任何纰漏，保险业决不允许出现任何影响国家经济社会稳定的问题。

　　保监会统计信息部副主任于玫布置了有关信息安全大检查的工作。

　　今年的信息安全检查工作以各公司自查为主，主要围绕“内控与组织管理”和“信息技术管理”两个重点开展。保监会统计信息部负责全行业信息系统安全检查工作的组织领导，并组织检查组对部分公司进行现场检查；各公司负责各自信息系统的安全检查工作的组织实施。各公司应在6月20日之前将自查情况、整改措施及其实施情况书面报送保监会统计信息部。

　　6月上旬，保监会将组织网络与信息安全检查组，对部分保险公司和部分地区的分公司进行现场检查，在检查中将采用抽查方式对核心业务系统进行安全评测，根据检查情况和评测结果对被检查单位提出整改意见。

　　奥运会期间，保监会将加强与国家有关部门的协作与沟通，及时了解金融行业信息安全工作状况以及最新病毒情况，通过“保险业信息安全通报”向全行业发布，并密切关注保险行业内的网络与信息安全状况。

　　为进一步提高奥运期间的信息安全保障能力，保监会要求各公司应做好以下6个方面的工作：

　　一是加强奥运期间的值班工作。保监会在奥运期间将抽查公司的值班情况；二是加强网站监测工作。尤其是开通了网上保险业务的，要在落实各项安全制度的基础上建立监测和管理责任制，有专人不间断地负责监测公司网站；三是重点做好机房等基础设施和重要设备的安全保障工作。防火防水，保证备用供电系统的可用性；四是做好奥运期间的技术支持和保障工作。保证生产系统的正常运转，出现故障能够及时解决、迅速恢复，防止出现重大信息安全事故；五是进一步完善应急响应体系建设。根据奥运期间可能发生的情况增加相关内容，并在奥运之前进行一次演练，以确保应急保障机制能够正常发挥作用；六是加强与保监会、当地保监局的沟通工作。遇到重大问题要及时报告，如果出现对信息安全事件瞒报、迟报、漏报的，要追究相关人员的责任。