注册微创客 • 个人创业
信息化
- 通讯录管理
- 文件同步
- 办公软件
- 局域网搭建
- 计算机辅助设计CAD
- 邮件服务器
- VPN/PPTP项目
- pos系统(销售点)
- 数据取证软件
- 任务/项目管理
- 电子政务
- OA办公/协作平台
- MySQL衍生版
- 企业ERP
- 版本控制系统
- 文档管理
- SIP项目
- 监控软件
- 数据保护
- 教育教学
- CRM
- 管理软件
- 其他软件
- 教学科研相关
- FTP服务器
- DNS服务器
- 基础软件
- 地理信息系统GIS
- 代理服务器软件
- 系统网络
- 软件开发
- 安全保密
- JMS/消息中间件
- 电子电路设计软件
- 网站建设
- 金融、财务系统
- 行业专用
- 400电话
- BI商业智能
- 数据库驱动程序
- 数据库服务器
- 操作系统工具
- 目录服务LDAP
- HTTP服务器
- 数据库建模
- 网络推广
- DHCP软件
- 虚拟机
- 流媒体服务器
- 企业搜索引擎
- 电话/通讯/IM聊天
- XMPP即时通讯
- 信息化
信息化
上海金监局再发通报!信息化建设如何减负不减安全值
01
监管政策核心要求拆解
1
法定责任不可转移
根据《监管办法》,保险中介机构是信息化工作的第一责任主体,法定代表人或主要负责人对信息化建设承担首要责任,这一要求与《网络安全法》中“网络运营者对其网络安全负责”的核心原则完全衔接,即使系统由第三方供应商提供,中介机构对整体合规性、数据安全、风险处置的最终责任仍不可转移,仅可依据约定划分服务商的具体操作责任。
2
职责边界划分清晰
服务商核心职责:聚焦技术层面的安全保障,包括系统安全架构设计、核心数据存储、访问权限管控、系统漏洞的周期性扫描与修复、安全审计日志的技术留存、应急响应的技术支持等。此外,还需按规范要求生成数据文件并与监管信息系统对接。 中介机构核心职责:聚焦管理层面的责任落实,包括明确内部安全管理责任人、制定符合自身业务的安全管理制度、对员工开展安全意识培训、审核服务商的合规资质、监督服务商责任履行情况等。 协同职责:包括安全事件的联合处置、合规材料的协同整理、系统变更的同步沟通等,需通过书面约定明确衔接流程。
3
地方监管细化要求
以上海金融监管局通报为代表的地方监管要求,更强调“可验证、可追溯”的实操性,核心细化点包括: 升级身份认证机制,对重要互联网系统及敏感数据存储系统,可实施“双因子认证+强密码校验”等必要的访问控制措施,对关键环境、应用启用二次鉴权手段。 规范全流程开发运维体系,将安全要求贯穿“需求-设计-编码-测试-上线”全环节,关键节点需留存安全评审记录。 建立常态化监测体系,及时发现并处置安全态势,定期开展渗透测试,及时处置高危漏洞,建立漏洞整改闭环机制。
02
信息化建设的核心工作要点
01
明确责任分工,强化供应商管理
作为第一责任主体,中介机构需与供应商围绕“业务场景-风险点-责任方-举证要求”明确权责,比如客户敏感数据存储环节,服务商承担加密技术实现责任、中介机构承担采集合法性审核责任,双方自行留存对应佐证材料;供应商管理需构建“准入-考评-退出”全流程机制,准入核查服务资质与数据隔离方案,日常将安全架构完整性、漏洞修复及时性纳入供应商考评,退出时明确数据交接与权限回收要求,确保全链路风险可控。 02 构建合规技术体系 系统安全架构:需满足网络安全等级保护要求,建议至少达到等保二级; 数据安全与隐私保护:需建立数据分类分级制度,对核心业务数据、重要数据等采取加密、脱敏措施; 日志管理与审计溯源:记录数据查询、导出、删除等敏感操作,确保操作可追溯。 03 全流程风控机制 将安全要求嵌入系统开发生命周期,涵盖需求、设计、编码、测试、上线等环节。建立漏洞修复与应急响应机制,定期开展渗透测试与整改验证。
上一篇文章:
已经是第一篇了!
下一篇文章:
政策引领:未来信息化发展的八大趋势
