临沂市实施工程建设强制性标准监督管理暂行规定
山东省临沂市人民政府
临沂市实施工程建设强制性标准监督管理暂行规定
临政发〔2002〕34号
第一章 总 则
第一条 为加强工程建设强制性标准实施的监督管理,保证建设工程质量,保障人民的生命、财产安全,维护社会公共利益,根据《中华人民共和国标准化法》、《中华人民共和国标准化实施条例》、国务院《建设工程质量管理条例》,结合本市实际,制定本规定。
第二条 本规定所称工程建设强制性标准,是指直接涉及工程质量、安全、卫生及环境保护等方面的工程建设标准强制性条文,以及国家建设行政主管部门确定的强制执行的工程建设标准。
第三条 凡在本市行政区域内从事新建、扩建、改建等各类建设工程活动,必须执行工程建设强制性标准。
第四条 不符合工程建设强制性标准的建设项目规划设计、工程勘察成果报告、施工图设计文件,不得批准。违反强制性标准施工的工程,不得验收。达不到合格标准的建设工业产品,严禁使用。
第二章 工程建设标准管理范围与职责
第五条 市建设行政主管部门负责全市实施工程建设强制性标准的监督管理工作。市有关行政主管部门负责本部门、本行业的实施工程建设强制性标准监督管理工作。
工程建设强制性标准的日常管理和监督检查工作,由建设行政主管部门委托相应的工程建设标准管理机构具体实施。
县级以上建设行政主管部门负责本行政区域内实施工程建设强制性标准的监督管理工作。
第六条 工程建设中拟采用的新技术、新材料、新设备、新工艺,不符合现行强制性标准规定的,由拟采用单位提请建设单位组织专题技术论证,报批准工程建设标准的建设行政主管部门或国务院有关行政部门审定。
工程建设中采用国际标准或者国外先进标准,现行强制性标准未作规定的,建设单位应当向市、省和国务院建设行政主管部门或有关行政主管部门逐级审报备案。
第七条 从事建设工程勘察、设计、施工、监理等工程标准实施单位应建立健全工程建设标准实施责任制度和从业人员实行持证上岗制度。按照建设行政主管部门的规划,对从业人员进行工程建设强制性标准培训。
第八条 工程建设方或业主,从事工程质量管理的机构、工程监理机构、勘察设计单位、建筑安装装修施工单位,凡是参与工程建设的必须具备相应的工程建设标准持证人员。具体规定由市建设行政主管部门另行制定。
第三章 工程建设标准监督检查
第九条 建设项目规划审查机关,应当对工程建设规划阶段执行强制性标准的情况实施监督。
工程勘察、施工图设计文件质量监督审查单位应当对工程建设勘察、设计阶段执行强制性标准的情况实施监督。
建筑安全监督管理机构应当对工程建设施工阶段执行施工安全强制性标准的情况实施监督。
工程质量监督机构应当对工程建设施工、监理、验收等阶段执行强制性标准的情况实施监督。
第十条 建设行政主管部门定期对建设项目规划审查机关及工程勘察、施工图纸设计文件质量监督审查单位、建筑安全监督管理机构、工程质量监督机构实施强制性标准监督的情况进行检查,对监督不力的单位和个人,给予通报批评,建议有关部门处理。
第十一条 各级建设行政主管部门对工程项目执行强制性标准情况进行监督检查。监督检查可以采取重点检查和专项检查等方式。
第十二条 工程强制性标准监督检查的内容包括:
(一)对执行强制性标准是否有严格的管理制度;
(二)有关工程技术人员是否熟悉、掌握强制性标准的内容;
(三)工程项目的规划、勘察、设计、施工、验收等是否符合强制性标准的规定;
(四)工程项目采用的材料、设备是否符合强制性标准的规定;
(五)工程项目的安全、质量是否符合强制性标准的规定;
(六)工程中采用的导则、指南、手册、计算机软件以及有关的指导性资料是否符合强制性标准的规定;
(七)强制性标准执行情况记录是否完整等;
(八)工程建设标准持证人员情况。
第十三条 建设行政主管部门应当将强制性标准监督检查结果在一定范围内公告。
第十四条 建设行政主管部门或有关行政主管部门在处理重大建设工程事故时,应当有工程建设标准方面的专家参加;工程事故报告应当包括是否符合工程建设强制性标准的鉴定意见。
第十五条 工程项目实施过程中,建设、勘察、设计、施工、监理单位须分别对工程项目执行工程建设强制性标准情况进行检查,写出贯标检查报告,并在工程竣工验收之前完成。工程贯标检查报告必须经该项目建设、勘察、设计、施工、监理负责人和单位负责人审核签字。贯标检查报告是工程竣工验收的必备文件,并与竣工验收资料一起永久保存以备检查。
工程建设标准贯标检查报告的内容作如下规定:
(一)工程基本情况:工程名称、地址、建筑面积、结构类型、基础类型、开、竣工时间、各责任主体单位全称、法人代表及责任人姓名;
(二)检查内容依据建设行政主管部门颁布的检查要点逐项检查。强制性标准执行情况记录要求真实有效;
(三)存在的问题及处理措施意见。
第十六条 工程规划、工程勘察、设计、施工、监理、验收及建设工业产品生产单位,每年对本单位执行强制性标准情况进行检查,写出检查报告,并报市工程建设标准管理机构进行审核并备案。
第十七条 任何单位和个人对违反工程建设强制性标准的行为,有权向建设行政主管部门或工程建设标准管理机构检举、控告、投诉。
第十八条 任何单位和个人不得更改工程建设强制性标准。
有关行政主管部门制定的有关规定,涉及到对强制性标准的技术要求进行更改时,应征得建设行政主管部门标准管理机构的审核。
第十九条 有关单位和个人对县级以上人民政府建设行政主管部门和其他有关部门进行的监督检查应当支持与配合,不得拒绝或者阻碍监督检查人员依法履行职责。
第四章 罚 则
第二十条 建设单位有下列行为之一的,依据建设部《实施工程建设强制性标准监督规定》,责令改正,并处以20万元以上50万元以下的罚款:
(一)明示或者暗示施工单位使用不合格的建筑材料、建筑构配件和设备的;
(二)明示或者暗示设计单位或者施工单位违反工程建设强制性标准,降低工程质量的。
第二十一条 勘察、设计单位违反工程建设强制性标准进行勘察、设计的,依据建设部《实施工程建设强制性标准监督规定》,责令改正,并处以10万元以上30万元以下的罚款。
有前款行为,造成工程质量事故的,责令停业整顿,降低资质等级;情节严重的,吊销资质证书;造成损失的,依法承担赔偿责任。
第二十二条 施工单位违反工程建设强制性标准的,依据建设部《实施工程建设强制性标准监督规定》,责令改正,处以工程合同价款2%以上4%以下的罚款;造成建设工程质量不符合规定的质量标准的,负责返工、修理,并赔偿因此造成的损失;情节严重的,责令停业整顿,降低资质等级或者吊销资质证书。
第二十三条 工程监理单位违反强制性标准规定,将不合格的建设工程以及建筑材料、建筑构配件和设备按照合格签字的,依据建设部《实施工程建设强制性标准监督规定》,责令改正,处以50万元以上100万元以下的罚款,降低资质等级或者吊销资质证书;有违法所得的,予以没收;造成损失的,承担连带赔偿责任。
第二十四条 违反工程建设强制性标准造成工程质量、安全隐患或者工程事故的,依据《建设工程质量管理条例》有关规定,对事故责任单位和责任人进行处罚。
第二十五条 有关责令停业整顿、降低资质等级和吊销资质证书的行政处罚,由工程建设标准管理机构向颁发资质证书的机关提出建议书,由颁发资质证书的机关决定;其他行政处罚,由建设行政主管部门或者有关部门依照法定职权决定。
第二十六条 当事人对行政处罚决定不服的,可以依法申请复议,也可以直接向人民法院起诉。期满不申请复议,也不向人民法院起诉又不履行处罚决定的,由作出处罚决定的机关申请人民法院强制执行。
第二十七条 建设行政主管部门、有关行政主管部门和监督部门的工作人员玩忽职守、滥用职权、徇私舞弊的,给予行政处分;构成犯罪的,依法追究刑事责任。
第五章 附 则
第二十八条 本规定自发布之日起30日后施行。
2002年5月10日
关于印发《湖州市审批办证服务中心各类事项审批暂行办法》的通知
浙江省湖州市人民政府
关于印发《湖州市审批办证服务中心各类事项审批暂行办法》的通知
湖政发[2001]31号
现将《湖州市审批办证服务中心各类事项审批暂行办法》印发给你们,请认真贯彻执行。
湖州市人民政府
二○○一年三月一日
湖州市审批办证服务中心各类事项审批暂行办法
为简化审批程序,提高办事效率,特制定湖州市审批办证服务中心(以下简称“中心”)各类事项审批(包括核准、审核、登记)暂行办法。
一、一般事项的直接办理制
1、一般事项的范围
一般事项指程序简便,可当场或当天办结的事项,主要包括下列申请事项:
(1)市公安局受理的户口申报、迁出、立户、移居、注销,分配调动户口迁入,边境通行证等;
(2)市计委受理的机电产品进口登记等;
(3)市经委受理的市级审批权限内外商投资企业技术改造(技术改进)非限制类简单项目可行性研究报告等;
(4)市外经贸委受理的外商投资企业进口物资等;
(5)市城建委受理的建筑工程施工许可证登记核发等;
(6)市财政局受理的会计证核发和税务登记等;
(7)市国税局受理的税务登记;
(8)市劳动局受理的起重机械进场施工及准用证等;
(9)市粮食局受理的粮食关系正常迁移等;
(10)市林业局受理的木材运输证核发等。
2、一般事项的办理
一般事项采取直接办理制,其基本程序为:
(1)服务对象申报材料齐全的一般事项,窗口工作人员必须即收即办,当场办结;
(2)服务对象申报材料不全而影响审批的一般事项,窗口工作人员必须一次性明确告知补办材料,在服务对象补齐材料后当场办结。
二、特殊事项的承诺办理制
1、特殊事项的范围
特殊事项指涉及1—2个主管部门,需经审核或现场踏勘的申请事项,主要包括下列申请事项:
(1)市公安局受理的户口迁入的投靠类、户口变更更正、申领正式身份证、农转非及各种出国出境证和消防管理证照等;
(2)市计委受理的房地产开发建设项目审批等;
(3)市土管局受理的土地登记发证等;
(4)市城建委受理的建设项目供水、房屋产权登记发证,建设项目证书核发、建设项目综合验收等;
(5)市工商局受理的企业、个体工商户的开业、变更、注销注册登记等;
(6)市环保局受理的建设项目环保审批等;
(7)市卫生局受理的卫生许可证等;
(8)市劳动局受理的特种设备使用证等;
(9)市交通局受理的道路运输业经营许可、航运营运证、许可证、所有权证书等;
(10)市林业局受理的林木采伐许可证等。
2、特殊事项的办理
特殊事项采取承诺办理制,其基本程序为:
(1)服务对象向“中心”有关窗口提出申请;
(2)“中心”有关窗口受理申请,并当场初审申报材料。服务对象申报材料齐全,应出具《市审批办证服务中心××窗口承诺件通知书》,按不同申请事项明确承诺相应的工作时限;服务对象申报材料不全但不影响审批的,应出具《市审批办证服务中心××窗口补办件通知书》,一次性明确告知服务对象需补办的事项,工作时限从服务对象补齐材料之日起计算;
(3)窗口工作人员应将承诺事项按“承诺件的管理”办法向“中心”和主管部门报告;
(4)主管部门领导应尽快组织人员审核或现场踏勘,在承诺时限内作出处理决定,并将处理决定和相关材料转交服务窗口;
(5)服务对象在时限到时,凭通知书到原受理窗口查询办理结果,如对办理持有异议,可向“中心”督查处投诉。
三、重大事项的联合办理制
1、重大事项的范围
重大事项指所有基建项目、技改投入500万元以上项目和其他需由2个以上主管部门审批的申请事项。
2、重大事项的办理
重大事项采取联合办理制,其基本程序为:
(1)服务对象应按不同的申请内容向窗口责任部门提出申请;
①基建项目、房地产项目等重大事项的受理窗口责任部门为市计委;
②技术改造等重大事项的受理窗口责任部门为市经委;
③城市公用事业的受理窗口责任部门为市城建委;
④个体商贸业的受理窗口责任部门为市工商局;
⑤其他重大事项视具体情况,以审批程序的最后审批把关部门为责任单位;
(2)责任窗口受理重大事项后,必须按“联办件的管理”办法予以办理;
(3)“中心”主持召开联审会议,协调各有关部门联合办理重大事项。
四、上报事项的负责办理制
1、上报事项的范围
上报事项指需报上级审批的申请事项。
2、上报事项的办理
上报事项采取负责办理制,其基本程序为:
(1)服务对象向窗口部门提出申请; (2)窗口工作人员受理申请,确认为上报事项后,应出具《市审批办证服务中心××窗口承诺件通知书》,明确承诺该事项在本市的办理时限;
(3)受理部门为办理责任部门,要采取一包到底的办法,在一定时限内积极与上级部门联系,帮助办理,办理结果及时报“中心”业务处。
五、控制事项的明确答复制
1、控制事项的范围
控制事项指国家明令禁止,不符合国家、省、市有关政策,不符合湖州市的总体发展规划的申请事项。
2、控制事项的办理
控制事项采取明确答复制,其基本程序为:
(1)服务对象向有关窗口部门提出申请;
(2)窗口工作人员审查申报材料,如能够当场或当天认定为控制事项的,应当场或当天认定,并将申请事项按“退回件的管理”办法予以处理;如项目内容较为复杂,无法当场或当天决定的,可按“承诺件的管理”办法予以处理,在承诺时间内会同有关人员共同审议,作出明确答复;
(3)服务对象如对申请事项的答复持有异议,可向“中心”业务处投诉。
窗口工作人员要增强工作责任心,及时办理各类申请事项。窗口各成员单位要落实专门人员办理“中心”转交的各类申请事项,在承诺时间内办结,如遇双休日或法定节假日,可按规定顺延办结时间。
本暂行办法由湖州市审批办证服务中心负责解释。
本暂行办法自发布之日起执行。
关于印发《保险公司信息系统安全管理指引(试行)》的通知
中国保险监督管理委员会
关于印发《保险公司信息系统安全管理指引(试行)》的通知
保监发〔2011〕68号
各保险公司、保险资产管理公司:
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二〇一一年十一月十六日
保险公司信息系统安全管理指引(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
第六十一条本指引自发布之日起实施。