保险公司2023年度信息科技风险防控方案 .pdfVIP

XX分公司2023年度信息科技风险

防控方案

为贯彻落实《XX银保监局办公室关于印发2023年监管

统计和信息科技风险防控工作要点的通知》（XX银保监办发

〔2023〕139号）工作要求，XX分公司组织信息科技部门对

分公司信息科技风险进行评估，并结合分公司实际，特制定

本方案，内容如下：

一、工作思路

强化科技创新引领作用，全面推进数字化转型和高质量

发展；维护公司信息系统和办公环境的安全、稳定，进一步

规范和完善信息安全、数据安全管理工作，保障公司业务不

中断，系统不瘫痪，不出重大信息安全事故。

二、工作要求

（一）高度重视，细致安排

高度重视网络安全保障及信息科技风险防控工作，妥善

安排人力，明确分公司网络与信息安全责任人。

（二）严防死守，确保平稳

加强信息科技风险监测预警，夯实业务连续性和运维安

全管理，妥善化解信息风险，强化突发事件应急处置能力，

确保分公司网络、办公系统平稳顺畅运行。

（三）严格执行，及时反馈

须严格按照方案计划，按时完成各项关键任务，及时反

馈各项工作成果。

三、2023年度信息科技工作主要任务

1.完善数据管理组织架构

为贯彻落实《数据安全法》、《个人信息保护法》、《XX

人寿保险股份有限公司数据安全管理办法》等有关法律法

规，进一步完善分公司数据安全保护和监督管理，建立健全

数据安全保障体系，提高数据安全管理水平，保障公司数据

安全，防止数据安全事故发生，分公司成立数据安全工作小

组，明确各岗位工作职责，保持内部沟通顺畅，确保公司数

据管理工作的实施。

2.网络安全管理

针对关键服务器设备、网络设备、安全设备，每日进行

两次硬件巡检和维保状态检查，确保各类在用设备运行状态

的稳定。关闭不必要的系统设备、网络设备、外网连接、VPN

远程权限，避免发生安全事件。

3.系统维护管理

对信息系统的使用空间、系统日志、设备日志进行检查，

全面排查错误信息，保证系统的稳定运行。监控关键服务器

设备的操作系统和数据库运行状态，发现问题提前解决。

4.机房安全管理

每日对机房硬件环境、温度感应、湿度感应、空调、消

防设备、UPS等基础设施进行全面检查，保证各功能指标的

正常可靠。对备品备件进行清点，做好防火、防盗工作，消

除环境安全隐患。

5.数据防泄漏检查

为加强终端数据安全管理，强化员工安全意识，规范涉

密数据的传递行为，分公司对USB移动存储设备实行注册管

理，未经注册的USB移动存储设备无法在分公司内网环境下

使用。分公司信息室每周四对分公司近七日内数据使用情

况，进行一次数据防泄漏检查工作，以集中策略为基础，采

用深层内容分析，对静态数据、打印数据、传输中的数据及

使用过的数据进行识别、监控，规范与保护公司正常办公渠

道的数据安全。

6.开展2023年度分公司数据安全评估工作

为进一步落实公司数据安全管理制度，强化数据安全管

理水平，规范数据处理活动，保障公司数据安全，特开展2023

年度分公司数据安全评估工作。对照近年来国家及监管层面

数据安全工作要求，聚焦公司数据安全现状，加强数据安全

基础工作，规范操作流程，加大制度执行力度，形成上有制

度体系、中有监督执行、下有评估反馈的良性循环，提升穿

透管理水平。

7.开展风险排查工作

每季度开展一次新老核心业务系统用户权限排查工作，

根据排查结果对用户权限进行清理，确保新老核心业务系统

用户权限安全；不定期对分公司信息系统安全管控情况、网

络与数据安全管理、应急响应体系建设情况等方面进行信息

风险自查工作。

8.开展增强网络安全意识教育

贯彻网络安全、人人有责的方针，利用XXE学培训平

台、办公邮箱、内部通讯软件等宣传工具，采用现场与线上

多种教育形式，组织公司员工进行增强网络安全意识教育、

病毒防治、防钓鱼邮件等信息安全培训，并以考试、竞赛等

多种方式落实教育培训成果，使职工树立安全第一的思想，

不断强化网络安全意识，使网络安全管理制度化，教育经常

化。

9.开展信息风险应急演练、攻防演练

分公司信息室每年开展1-2