达州市人民政府关于印发《达州市人民政府工作规则》的通知
四川省达州市人民政府
达州市人民政府关于印发《达州市人民政府工作规则》的通知
达市府发〔2008〕24号
各县、市、区人民政府,市级各部门:
《达州市人民政府工作规则》已经2008年9月5日达州市人民政府第88次常务会议修订通过。现予印发,请遵照执行。2005年5月9日印发的《达州市人民政府工作规则》同时废止。
二○○八年九月九日
达州市人民政府工作规则
(2008年9月5日市政府第88次常务会议修订通过)
第一章 总 则
一、根据《中华人民共和国宪法》、《中华人民共和国地方各级人民代表大会和地方各级人民政府组织法》和《国务院工作规则》、《四川省人民政府工作规则》,结合达州市人民政府工作实际,制定本规则。
二、市政府工作以邓小平理论和“三个代表”重要思想为指导,认真执行党的路线、方针和政策,坚持以人为本,全面贯彻落实科学发展观,按照科学行政、民主行政、依法行政要求,努力提高政府行政能力和管理水平,全面履行政府职能,建设服务政府、阳光政府、责任政府、法治政府和廉洁政府。
三、市政府工作准则是:实行科学民主决策,坚持依法行政,推进政务公开,健全行政监督,加强廉政建设,形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制。
四、市政府各部门要依照法律、法规和规章行使职权,进一步转变政府职能、管理方式和工作作风,推进电子政务,增强行政能力,提高行政效能,切实贯彻市政府各项工作部署。
五、市政府组成人员要履行宪法、法律、法规赋予的职责,坚持解放思想,实事求是,与时俱进,开拓创新;忠于职守,服从命令,顾全大局,执政为民,全心全意为人民服务。
第二章 组成人员职责
六、市政府由下列人员组成:市长、副市长、秘书长、各局局长、各委(办)主任。
七、市政府实行市长负责制。市长领导市政府的工作,副市长协助市长工作。
八、市长召集和主持市政府全体会议。市长或市长委托负责常务工作的副市长召集和主持市政府常务会议。市政府工作中的重大事项和依法应该由市政府全体会议或市政府常务会议讨论决定的事项,必须经市政府全体会议或市政府常务会议讨论决定。对紧急和突发性重大事件,来不及召开会议而又必须及时处理的,分管副市长协调处理后,向市长报告。
九、市长或市长委托副市长代表市政府向市人民代表大会及其常务委员会报告工作。市政府的工作部门受市政府的委托向市人民代表大会及其常务委员会报告某一方面的工作。
十、副市长按分工负责处理分管工作,受市长委托,负责其他方面的工作或专项任务,并可代表市政府进行外事活动。
十一、秘书长在市长领导下,协助负责处理市政府的日常工作,领导市政府办公室的工作。
十二、市长出国访问期间,由负责常务工作的副市长代行市长职责。
十三、市政府各局局长、各委(办)主任负责本部门的工作。
审计局在市长和省审计厅的双重领导下,依照法律规定独立行使审计监督权,不受其他行政机关、社会团体和个人的干涉。
第三章 全面履行政府职能
十四、市政府及各部门要加快政府职能转变,全面履行经济调节、市场监管、社会管理和公共服务职能,努力构建和谐达州。
十五、充分发挥经济调节职能,主要运用经济、法律手段和必要的行政手段,引导和调控经济运行,转变经济发展方式,调整和优化经济结构,改善投资环境,发挥比较优势,加快天然气开发,加强对外经济贸易和区域经济合作,实现经济增长、就业增加和物价稳定,推进全市经济又好又快发展。
十六、加强市场监管,完善行政执法、行业自律、舆论监督、群众参与相结合的市场监管体系,建立健全社会信用体系,实行信用监督和失信惩戒制度,整顿和规范市场经济秩序,完善质量、价格监督机制,控制物价过快增长,建设统一、开放、竞争、有序的现代市场体系。
十七、认真履行社会管理职能,强化政府促进就业和调节收入分配职能,完善社会保障体系,更加注重解决民生问题。依法管理和规范社会组织、社会事务,妥善处理社会矛盾,维护社会秩序和社会稳定,促进社会公平正义。加强城乡基层群众性自治组织和社区建设,培育并引导各类民间组织的健康发展,充分发挥其作用。健全突发事件应急管理机制,完善各类应急预案,提高政府预防和应对突发事件的能力。
十八、强化公共服务职能,完善公共政策,健全公共服务体系,整合优化公共资源,增强基本公共服务能力,促进基本公共服务均等化。推进部分公共产品和服务的市场化进程,建立健全公共产品和服务的监管和绩效评估制度,提高教育服务水平,增强科技服务能力,健全公共卫生体系,丰富群众文化生活,建设服务型政府。
十九、抓住“5.12”汶川特大地震灾后重建的政策扶持契机,在抓好支援灾区重建的同时,尽可能利用优惠政策,推进我市经济社会发展。
第四章 实行科学民主决策
二十、市政府及各部门要完善群众参与、专家咨询和政府决策相结合的决策机制,健全重大决策的规则和程序,实行依法决策、科学决策和民主决策。
二十一、全市国民经济和社会发展规划和计划、财政预决算草案、经济调控和改革开放的政策措施、社会管理事务、大型项目和关系社会稳定及其他急要事项等重大决策,由市政府全体会议或市政府常务会议讨论决定。
二十二、各部门提请市政府讨论决定的重大决策建议,必须以基础性、战略性研究或发展规划为依据,经过专家或研究、咨询、中介机构的论证评估,法制机构作合法性审查。涉及相关部门的,应充分协商;涉及地方的,应事先征求意见;涉及重大公共利益和人民群众切身利益的,应向社会公开征求意见,必要时应当举行听证会听取意见和建议。
二十三、市政府在做出重大决策前,根据需要通过召开座谈会等形式,直接听取民主党派、群众团体、专家学者等方面的意见和建议。
二十四、各部门、各县(市、区)政府必须坚决贯彻落实市政府的重大决策,及时跟踪和反馈执行情况。市政府办公室要加强督促检查,确保政令畅通。
第五章 坚持依法行政
二十五、依法行政的核心是规范行政行为。市政府及各部门要按照合法行政、合理行政、程序正当、高效便民、诚实守信、权责统一的要求行使行政权力,强化责任意识,不断提高依法行政的能力和水平。
二十六、市政府根据经济社会发展、社会全面进步和扩大对外开放的需要,适时制定政府规范性文件,清理、修改或废止不相适应的规范性文件,确保规范性文件的质量。
规范性文件实施后要依照有关规定进行后评估,发现问题,及时完善。
二十七、各部门、各县(市、区)政府制定的规范性文件,必须符合宪法、法律、法规、规章和国务院、省政府、市政府的决定、命令。与公民、法人或其他组织权力、义务有关的规范性文件,应当及时公布。涉及两个以上部门职权范围的事项,应由市政府制定规范性文件,或由有关部门联合制定规范性文件。其中,涉及群众切身利益、社会关注度高的事项及重要涉外、涉港澳台事项,应当事先请示市政府;部门联合制定的重要规范性文件发布前,须经市政府批准。部门和县(市、区)政府规范性文件要依法及时报市政府备案,由市政府法制机构进行备案审查。制定机关要定期对规范性文件进行清理、修改、废止,继续执行的,应当将目录公告。
二十八、市政府的规范性文件由市政府法制机构审查或组织起草,经市政府全体会议或常务会议讨论、审定。市政府规范性文件的解释工作由市政府法制机构承办。
二十九、全面落实行政执法责任制、评议考核制和执法过错或错案责任追究制,有法必依、违法必究,公正执法、文明执法。严格实行行政复议工作责任制、评议考核制和复议过错责任制,切实做到以人为本,有错必纠。
第六章 推进政务公开
三十、市政府及各部门要大力推进政务公开,健全政府信息发布制度,完善各类公开办事制度,推行行政权力阳光运行,提高政府工作透明度。
三十一、市政府全体会议和常务会议讨论决定的事项、市政府及各部门制定的政策,除需要保密的外,应及时公布。
三十二、凡涉及群众切身利益、需要群众广泛知晓的行政事项以及法律和国务院、省政府、市政府规定需要公开的其他事项,均应通过政府网站、政府信息公开平台、政府公报、新闻发布会、办事指南以及报刊、广播、电视等方式,依法、及时、准确地向社会公开。
第七章 加强行政监督
三十三、市政府要自觉接受市人民代表大会及其常务委员会的法律监督和工作监督,认真负责地向其报告工作,接受询问和质询,依法备案政府规范性文件;自觉接受市政协的民主监督,虚心听取意见和建议。
三十四、市政府各部门要按照行政诉讼法及有关法律规定,接受司法机关的司法监督,同时要自觉接受监察、审计等部门的监督,对监督中发现的问题,要认真查处和整改,并向市政府书面报告。
三十五、加强全市行政系统内部监督,健全政府层级监督制度。市政府各部门要严格执行行政复议法、四川省行政执法监督条例和规范性文件备案制度,及时撤销或修改违反法律、法规、规章以及与经济社会发展不相适应的规范性文件,纠正违法或不当行政行为,并主动征询和认真听取县(市、区)政府及其部门的意见和建议。
三十六、市政府及各部门要接受新闻舆论和群众监督。对新闻媒体和各方面反映的重大问题,市政府有关部门要积极主动地查处和整改,并报告市政府。
三十七、市政府及各部门要高度重视人民群众来信来访工作,进一步完善信访制度,完善市长热线、市长信箱、信息手机平台等,拓展信息渠道,确保信访渠道的畅通;市政府领导同志及各部门负责人要亲自阅批重要的群众来信。
三十八、市政府及各部门要建立健全首问责任制、限时办结制和责任追究制度,加强行政效能监察,创新绩效评估机制,提高行政机关办事效率。要明确问责范围,规范问责程序,严格责任追究,提高政府执行力和公信力。
第八章 工作安排部署
三十九、市政府及各部门要加强工作的计划性、系统性和预见性,搞好年度工作安排部署,并根据形势和任务的变化及时作出调整。
四十、市政府按照市委部署提出年度工作目标、工作重点、工作措施和年度规范性文件制定计划,并形成市政府年度工作部署下发执行。
四十一、各部门、各县(市、区)政府要认真落实市政府年度工作部署,并在年中和年末向市政府报告执行情况。市政府办公室负责催办、督查并适时作出通报。
四十二、市政府应当客观、科学总结上一年度工作,并形成书面报告,分别向省政府、市委和市人大常委会报告。
第九章 会议制度
四十三、市政府实行市政府全体会议和市政府常务会议制度。
四十四、市政府全体会议由市长、副市长、秘书长和市政府组成部门的各局局长、各委(办)主任组成。
根据需要可安排市政府副秘书长,市政府各直属机构、综合办事机构和市级有关单位(含中央与地方双重领导单位)主要负责同志列席市政府全体会议。特邀市人大常委会、市政协、达州军分区、市中级人民法院、市人民检察院、武警市支队负责人及各民主党派、工商联、各人民团体负责人和无党派人士代表列席市政府全体会议。
市政府全体会议一般每半年召开一次,由市长召集和主持。市政府全体会议的主要任务是:
(一)传达贯彻党中央、国务院和省委、省政府及市委的重要指示、决定和重要会议精神;
(二)讨论和决定市政府工作中的重大事项;
(三)部署市政府重大改革措施或其他重要工作;
(四)通报国内外重大事件和全市政治经济社会形势;
(五)讨论提交市人民代表大会审议的《政府工作报告》;
(六)讨论通过按照法律规定需由市政府全体会议决定的其他重要事项。
四十五、市政府常务会议由市长、副市长、秘书长组成,达州军分区主要负责人参加,会议出席人员必须在常务会议组成人员的半数以上。
根据需要可安排市政府副秘书长、市政府办公室副主任,市监察局、市政府研究室、市政府督察室、市政府法制局和与议题有关的市级部门主要负责人列席市政府常务会议。市政府办公室相关科(室)主要负责人旁听涉及议题。
市政府常务会议一般每两周召开一次,一般在间周的星期五召开,如有需要也可临时召开。由市长或市长委托负责常务工作的副市长召集和主持。市政府常务会议的主要任务是:
(一)研究制订完成党中央、国务院和省委、省政府及市委下达的重要任务的措施,讨论决定上报省政府和市委的重要请示、报告;
(二)研究分析全市经济社会形势;
(三)讨论决定市政府工作安排、规范性文件制定计划和其他重要事项;
(四)讨论和审议提交市人民代表大会及其常务委员会审议的议案以及须经市人民代表大会及其常务委员会通过的人事任免事项;
(五)讨论决定由市政府发布的规范性文件;
(六)听取有关部门、县(市、区)政府的专题汇报,研究有关政策措施,讨论决定有关重要事项;
(七)依照法律、法规和有关规定,讨论决定市政府各部门负责干部的职务任免;各部门、各县(市、区)负责干部的奖惩;以市政府名义召开的需要县(市、区)政府负责同志参加的会议;以市政府名义对个人、集体的表彰、奖励及授予荣誉称号等;
(八)通报和讨论市政府其他事项及市长认为须经常务会议讨论决定的事项。
四十六、提请市政府全体会议和市政府常务会议讨论的议题,由市长、副市长、秘书长协调或审核后提出,经秘书长平衡后报市长确定。市政府全体会议和市政府常务会议的组织工作由市政府办公室负责,上会议题材料于会前送达出席人员。
四十七、市政府领导同志因特殊原因不能出席市政府全体会议和市政府常务会议,须向会议主持人请假,经批准同意后告知市政府办公室;如对议题有意见或建议,可在会前提出。市政府全体会议其他组成人员或市政府常务会议列席人员不能参会的,应提前填写请假报告单送市政府办公室,由市政府办公室汇总,报秘书长审核后报会议主持人审批。
未经批准同意不得缺席或由他人代替出席。
四十八、市政府全体会议纪要由市长签发,市政府常务会议纪要由市长或市长委托负责常务工作的副市长签发;会议讨论决定的事项宜于公开的,应及时报道。新闻稿由市政府办公室负责审定,如有需要,报会议主持人或秘书长审定。
四十九、副市长、秘书长受市长委托或按照分工召开专题会议,研究、协调和处理有关市政府工作的问题,其会议纪要由会议主持人签发。受副市长、秘书长委托,有关副秘书长可召开专题会议,研究、协调和处理有关市政府工作的问题,其会议纪要经秘书长和有关副秘书长审核后由委托人签发。
五十、市政府召开会议,各部门负责人应按通知要求出席,因故不能出席的,应提前请假,未经同意不得缺席或由他人代替出席。市政府及各部门召开的工作会议要减少数量,控制规模,严格审批。应由各部门召开的全市性会议,不得以市政府或市政府办公室的名义召开,一般不邀请县(市、区)政府负责人出席,确需邀请的须报市政府批准。全市性会议应尽可能采用电视电话会议等快捷、节俭的形式召开。
第十章 公文审批
五十一、各部门、各县(市、区)政府报送市政府的公文,应当符合《国家行政机关公文处理办法》、《国家行政机关公文格式》、《四川省国家行政机关公文处理实施细则》以及《达州市人民政府办公室公文运转办法》等的规定。除市政府领导同志交办事项、紧急重大事项、突发事件和必须直接报送的绝密事项外,一律由主要负责人签发,送市政府办公室统一按规定程序办理,一般不得直接向市政府领导同志个人报送公文。领导同志个人非特殊情况一般不直收直批公文。
各部门、各县(市、区)政府报送市政府的请示、报告或报请市政府批准下发的公文,凡涉及其他部门、县(市、区)工作的,主办部门、县(市、区)的主要负责人要主动协商,其他部门、县(市、区)要积极配合,一律不得把未经认真研究、协商的问题上报市政府;经协商,仍不能取得一致意见的,主办部门、县(市、区)应列出各方理据,提出建议意见报市政府。
五十二、各部门、各县(市、区)政府报送市政府审批的公文,由市政府办公室按照领导分工提出拟办意见送联系副秘书长、办公室副主任初审后送秘书长、有关副市长审批,重大事项报市长审批。如属有关部门职责范围内的问题,由市政府办公室直接转交有关部门办理,承办部门应及时向市政府办公室反馈办理结果。
五十三、市政府的规范性文件,发布的决定、命令,向市人民代表大会或市人民代表大会常务委员会提出的草案、议案,人员任免,由秘书长审核后报市长签署。
五十四、市政府报送省政府、省政府办公厅审批的文件,由秘书长审核后报市长或市长委托负责常务工作的副市长签发。报省级有关部门的文件由联系副秘书长、办公室副主任审核后报秘书长、分管副市长签发。
市政府报送市委的文件以市政府党组的名义报出,由党组书记签发。
以市政府名义下发行文,不涉及全局性和敏感性的,由联系副秘书长、办公室副主任审核后送秘书长、分管副市长签发;涉及两个以上副市长分管工作的文件,要相互协商通气,经联系副秘书长、办公室副主任初审后送秘书长、有关副市长复审,呈报市长签发;常规事项的发文,由秘书长签发。
以市政府办公室名义下发的政务类公文,由联系副秘书长、办公室副主任审核后送秘书长、分管副市长签发,重大事项报市长签发。以市政府办公室名义下发的事务类函件由秘书长或秘书长委托有关副秘书长签发,一般事务类函件可由市政府办公室分管领导签发。
各部门报请以市政府或市政府办公室名义发文,可根据情况授权有关部门冠“经市政府领导同意”,并由分管副市长或秘书长审签后向各部门、各县(市、区)政府行文。
市政府及市政府办公室的公文以及市政府各部门发布的规范性文件,除需要保密的外,应及时公布。
五十五、市政府及各部门要进一步精简公文,部门职权范围内的事务,由部门自行发文或联合发文,不得要求市政府批转或市政府办公室转发。要充分应用公文无纸化传输系统,减少纸质公文数量,提高公文办理的效率。
第十一章 加强廉政建设
五十六、市政府及各部门要从严治政,廉洁从政,勤勉行政。对属于本职工作范畴内的事项要按程序和时限要求认真办理,对非职能范围内的事项要负责介绍办理程序,对不符合规定的事项要坚持原则,不得违规办理;对推诿、拖延等官僚作风,吃、拿、卡、要等不正之风,失职、渎职等不作为行为和越权办事、以权谋私等违规、违纪、违法行为,要坚决查处,严肃追究责任。
五十七、市政府及各部门要严格执行财经纪律。要规范公务接待,坚持按规定、按标准接待,严禁超规格、超标准接待,不得用公款相互送礼和宴请,不得接受下级政府和部门的送礼和宴请,不得接受有碍公务活动的宴请。要艰苦奋斗、勤俭节约,以奢侈浪费为耻,规范和减少会议、接待、差旅和公车使用支出,切实降低行政成本,建设节约型机关。
五十八、市政府组成人员要严格执行中央、省委和市委有关廉政建设的各项规定,严格遵守廉政承诺,不得利用职权和职务等公权为本人或特定关系人谋取不正当利益;要加强对亲属和身边工作人员的教育管理,从严要求,严禁其利用特殊身份打牌子、拉关系、谋私利。
第十二章 作风纪律
五十九、市政府组成人员要坚决贯彻执行党和国家的路线方针政策以及工作部署,严格遵守纪律,令行禁止,确保政令畅通。
六十、市政府组成人员必须坚决执行市政府的决定,如有不同意见可在市政府内部提出,在没有重新作出决定前,不得有任何与市政府决定相违背的言论和行为;代表市政府发表讲话或文章,个人发表涉及未经市政府决定的重大问题及事项的讲话或文章,须事先经市政府同意。
六十一、市政府各部门发布涉及政府重要工作部署、经济社会发展重要问题、与群众利益密切相关事项的信息,要经过严格审查,重大情况要及时向市政府报告。
六十二、市政府组成人员要严格遵守保密纪律和外事纪律,严禁泄漏国家秘密、工作秘密和因履行职责掌握的商业秘密等,坚决维护国家的安全、荣誉和利益。
六十三、市政府组成人员要做学习的表率,密切关注国际国内经济、社会、科技等方面发展变化的新趋势,不断充实新知识,丰富新经验。市政府要坚持常务会议法律学习制度。市政府及各部门都要建设学习型机关。
六十四、市政府领导同志和各部门负责同志要坚持求真务实,深入基层,考察调研,了解情况,指导工作,解决实际问题。下基层要减少陪同和随行人员,简化接待,轻车简从;不要当地负责人到辖区分界处迎送。
六十五、市政府领导同志不为部门和县(市、区)的会议活动等发贺信、贺电,不题词。因特殊情况需要发贺信、贺电和题词,一般不公开发表。
六十六、市政府领导同志出席会议活动、下基层考察调研的新闻报道和外事活动安排,按中央和省、市有关规定办理。
六十七、市政府组成人员必须严格执行报告和请假制度。市长、负责常务工作的副市长一般不同时外出。副市长与联系副秘书长一般不同时外出。副市长、秘书长出访、出差和休假应事先报告市长或负责常务工作的副市长。市长、副市长、秘书长外出活动的安排和在外地的活动情况应及时告知市政府办公室,由市政府办公室通报其他领导同志。
六十八、市政府各部门主要负责人离开达州,应事先书面向市政府办公室报告,由市政府办公室向市政府领导同志报告同意后才能出行。
市政府直属特设机构、直属机构、办事机构、直属事业单位适用本规则。
关于印发《保险公司信息系统安全管理指引(试行)》的通知
中国保险监督管理委员会
关于印发《保险公司信息系统安全管理指引(试行)》的通知
保监发〔2011〕68号
各保险公司、保险资产管理公司:
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二〇一一年十一月十六日
保险公司信息系统安全管理指引(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
第六十一条本指引自发布之日起实施。