发文单位：中国保险监督管理委员会

文　　号：保监厅发〔2007〕28号

发布日期：2007-6-6

执行日期：2007-6-6

生效日期：1900-1-1

各保险公司、保险资产管理公司：

　　为进一步强化信息安全意识，提高保险业信息安全保障水平，现将开展2007年保险业信息系统安全检查工作有关事项通知如下：

　　一、信息安全检查的目的、原则和范围

　　（一）信息安全检查的目的

　　通过信息安全检查工作，分析网络与信息系统面临的风险，评估网络与信息系统的安全状况，查找薄弱环节和安全隐患，进一步强化信息安全意识，规范信息安全管理，提高保险信息系统的安全保障能力。

　　（二）信息安全检查的原则

　　按照“谁主管谁负责，谁运营谁负责”的原则，遵循“统一领导、分级负责，周密部署、务求实效”的方针，突出重点，充分吸纳去年信息安全检查的成功经验，切实做好保险信息系统安全检查工作。

　　（三）信息安全检查的范围

　　各保险公司、保险资产管理公司。

　　二、信息安全检查的方式和具体内容

　　（一）信息安全检查的方式

　　以各公司自查为主，中国保监会将组织检查组进行抽查。中国保监会统计信息部负责全行业信息安全检查工作的组织领导，各公司负责各自的信息系统安全自查工作的组织实施。

　　（二）信息安全检查的具体内容

　　1、资产调查。对网络与信息系统的资产进行统计调查，并分析其重要程度。资产主要包括网络与信息系统相关的硬件、软件、服务、信息、人员等。

　　（1）确定自查范围。

　　（2）对相关资产进行分类。

　　（3）对资产重要性进行分析。

　　（4）统计网络设备、安全设备、大型服务器、存储设备、操作系统、数据库等关键资产及信息技术服务和信息安全服务的国产化率。

　　（5）外国供应商提供产品和服务情况。

　　资产调查和赋值方法参见附表1和附表2，外国供应商提供产品和服务情况参见附表3.

　　2、威胁分析。对网络与信息系统所面临的威胁进行分析。

　　（1）分析威胁来源，包括环境因素和人为因素等。

　　（2）对威胁进行分类。

　　（3）研究威胁发生的可能性。

　　（4）分析威胁的严重程度。

　　威胁分析和赋值方法参见附表4和附表5.

　　3、脆弱性分析。对自查对象存在的管理和技术薄弱环节进行查找、分析和归纳，对已有安全管理体系、安全措施进行核实和评价。

　　（1）规章制度：安全策略及管理规章制度是否健全，有关规章制度的制定、发布、修订及执行情况，对有关政策、 、国家和行业政策要求以及当前的重点任务，统筹考虑，研究提出风险应对措施。

　　三、信息安全检查工作的要求和安排

　　（一）各公司应建立信息安全检查领导机构，由分管信息安全的公司领导亲自抓，切实加强自查工作的组织实施，并将自查方案报中国保监会统计信息部备案。（2007年6月25日前完成）

　　（二）各公司应完成信息系统的自查工作，并将检查结果以及改进措施报中国保监会统计信息部。中国保监会将对部分公司进行抽查。（2007年7月31日前完成）

　　（三）中国保监会对此次检查情况、发现的问题进行分析汇总后，将向全行业通报。

　　中国保监会统计信息部联系人：李春亮、王晓鹏

　　联系电话：010-66286107、010-66286602

　　中国保监会
　　二○○七年六月六日

　　附表：1、资产分类表

　　2、资产赋值方法

　　3、外国供应商提供产品和服务基本情况统计表

　　4、威胁分析表

　　5、威胁赋值方法

　　6、脆弱性分析表

　　7、脆弱性赋值方法

　　8、风险赋值方法