信息安全管理办法、

信息安全管理办法
　　第一节 总则
　　为给信息安全工作提供清晰的指导方向，加强安全管理工作，保障各类系统的安全运营，提高服务质量，特制定本管理办法。
　　信息安全工作是公司运营与发展的基础，是保障客户利益的基础，也是国家安全的需要，因此必须重视信息安全工作。
　　信息安全是公司各部门所有员工的责任，与每一个员工的日常工作息息相关，所有员工必须提高认识，高度重视，做好信息安全工作。
　　本管理办法适用于公司全体员工。
　　第二节 安全目标
　　中国人寿保险股份有限公司的信息安全目标是：
　　保障各类系统正常和安全运行，保证业务连续性；
　　保护公司的商业机密和技术机密，维护公司利益；
　　保护客户隐私，保护客户资料的机密性，维护客户利益；
　　建立公司的安全品牌，确保客户信心。
　　第三节 安全工作基本原则
　　中国人寿保险股份有限公司安全工作应遵循以下基本原则：
　　“服从于国家利益”:在实施安全建设和管理时应遵循国家的有关法规规定，并接受国家相关部门的指导、监督和检查。
　　“预防为主”: 必须做好信息安全的预防工作，建立信息安全保障体系。
　　“风险管理”：进行安全风险管理，确认可能造成不良影响的安全风险，并以较低的成本将其降低到可接受的水平。
　　“内外并重”：安全工作要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和审计机制。
　　“同步规划、同步建设、同步运行”：信息安全的建设应与公司业务同步规划、同步建设、同步运行，避免任何环节的疏忽给业务带来危害。
　　“整体规划，分步实施”原则：要对公司信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。
　　“独立自主”:凡涉及安全保密的重要环节，无论在设计、实现、运行、维护和系统配置上，所用技术应立足于国内，选择经过国家相关部门权威认证的产品和系统。
　　“选用成熟技术”:计算机信息系统的各主要组成部分应有完备的安全与保密措施，应尽量采用成熟的技术。
　　“适度安全”原则：在保障安全的基础上充分考虑易用性，做到适度安全。
　　第四节 安全组织机构职责
　　中国人寿保险股份有限公司成立信息安全领导小组，公司总部总经理室成员和相关部门负责人组成，全面负责公司信息安全政策的制定。领导小组下设信息安全工作小组，由信息技术部和相关部门共同组成，全面负责公司信息安全措施的落实。各级公司同时设立本级公司的信息安全领导小组和工作小组，负责公司信息安全各项工作。
　　信息安全工作小组的日常管理机构设在公司总部信息技术部网络管理处。各级公司信息安全工作小组的日常管理机构设在本级公司信息技术部，各级信息技术部门应有专人负责信息安全管理工作。
　　信息安全领导小组的职责是：
　　贯彻落实国家和上级单位关于信息安全工作的管理办法、政策；
　　研究审议全公司信息安全工作的重大事项；
　　组织制定全公司信息安全工作的规章、制度；
　　领导全公司信息安全工作、组织全公司信息安全检查。
　　信息安全工作小组的主要职责是：
　　贯彻执行信息安全领导小组的决议，制定并落实信息安全的规章制度，负责本公司信息安全体系建设与安全管理工作；
　　跟踪国际、国内先进的信息安全技术，研究制定信息安全防范策略并组织实施；
　　监督电子化项目建设中信息安全工作的落实情况，组织计算机信息系统的安全评审，监督安全措施的执行，保证项目的安全性；
　　加强与信息安全相关职能管理部门联系，配合有关单位进行计算机审计和金融计算机犯罪案件调查，打击金融计算机犯罪；
　　公司总部负责信息安全专用产品的选型，组织对选用产品的评估、认证工作。省公司在总部选型范围内，根据本公司具体情况选定相关安全产品；
　　负责提出业务应用系统的安全需求及风险控制措施，并对实现情况进行检查验收，制定相配套的安全管理制度；
　　加强系统的运行管理，检查、监督相关安全管理制度的落实，防范事故发生，确保系统安全。
　　信息安全管理人员的主要职责是：
　　落实上级部门各项制度和要求，协助总公司信息安全管理员进行公司各项信息安全工作，负责辖内信息安全管理的日常工作；
　　分析信息安全现状和问题，提出安全分析报告和安全防范建议，上报信息安全事件；
　　开展信息安全知识的培训和宣传工作。
　　安全工作要求
　　建立和完善公司的信息安全保障体系，内容应覆盖人员、技术和运作三个范畴，识别和控制安全风险，保护公司信息资产。
　　各级公司必须建立和完善信息安全管理规章制度和操作程序，规范和加强信息安全管理工作，所有员工都必须遵守与其相关的信息安全规章制度。各级公司信息技术部门应该每年根据公司整体安全需求及时更新信息安全制度。
　　信息安全日常管理机构应该每年对公司的信息资产进行风险评估，总结出中国人寿保险信息系统的整体风险情况，并根据风险评估的结果制定或更新信息安全管理目标及与目标对应的信息安全管理计划。
　　信息安全管理计划在正式实施前，应经过信息安全领导小组和监管部门的批准，根据情况向相关员工公布传达，说明相关人员应承担的义务和责任。
　　信息安全领导小组每年对信息安全管理的执行进行审阅，检查是安全管理工作是否根据计划执行，以确保信息安全管理工作的运行。
　　信息安全日常管理机构每年对风险评估的结果进行再评估并根据评估结果调整信息安全管理目标及与目标对应的信息安全管理计划。
　　加强内部人员安全管理，依据最小特权原则清晰划分岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份。
　　员工应签署保密协议，并接受信息安全教育培训，提高安全意识，接受安全意识测试、及时报告网络与信息安全事件。
　　必须加强第三方服务商访问和外包服务的安全控制，在风险评估的基础上制定安全控制措施，并与第三方服务商公司和外包服务公司签署安全责任协议，明确其安全责任。
　　加强项目建设的安全管理，配套安全系统必须与业务系统“同步规划、同步建设、同步运行”，加强安全规划、安全审批、安全验收管理。
　　全面部署信息安全保障机制、制定业务连续性计划、规范日常运行维护行为，满足物理环境、网络、主机、操作系统、应用、数据等多个层面的安全需求，保障公司各业务系统安全运营。
　　建立安全检查和安全处罚机制，提高安全建设的执行力。
　　附则
　　本管理办法由公司总部信息安全领导小组负责解释、修订。
　　本制度自发布之日起开始执行。