中国保险行业协会车险信息集中平台ISMS信息安全方针（6页）.pdf

1  总则
第 1 条  范围针对中国保险行业协会车险信息集中平台（以下简称“集中平台”）项目部的各职能工作小组、外包人员、机房物理环境、集中平台的数据、应用、系统、网络等方面，纳入信息安全管理体系范围并进行信息安全管理的建设和实施。
第 2 条  目的是为了给集中平台和项目部各职能小组的信息安全工作提供清晰的方向，建立集中平台的信息安全基础技术保障措施，建立信息安全操作流程，建立信息安全管理规范，从而保护行业信息和客户信息的安全。最终目标确保集中平台业务的安全、持续和稳定运营，保护客户信息和业务信息的机密性，提高集中平台的资源使用效率和服务安全，特制定本方针。
第 3 条  安全责任需集中平台的各职能小组所有人员的共同分担，因信息安全与每一个员工的日常工作息息相关，所有员工必须高度重视提高安全意识，从自己开始持续做好信息安全推进和提升工作。
2  目标
第 5 条  主要目标是通过建立 ISMS 来增强集中平台和全员的信息安全意识，贯彻落实信息安全方针及各项控制措施，保护客户信息及集中平台自有的信息资产，有效预防响应安全事件，最小化安全事件的影响，确保集中平台的业务服务的持续性，赢得客户和合作方的信任，提高集中平台安全服务能力。
3  原则
第 6 条  中保协集中平台信息安全体系建设工作应遵循以下基本原则：
（1） “分级保护”原则：应根据平台各业务系统的重要程度以及面临风险大小等因素决定各类信息的安全保护级别，进行分级保护、合理投资。
（2）   “内外并重”原则：安全工作需要做到内外并重，在监控防范外部威胁的同时，加强规范内部人员行为和审计机制。
（3） “整体规划，分步实施”原则：需要对信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。 
（4） “风险管理”原则：进行安全风险管理，确认可能影响信息系统的安全风险，并以较低的成本将其降低到可接受的水平。
（5） “适度安全”原则：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。
（6） “三分技术、七分管理” 原则：网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。
4  适用范围
第 7 条  适用范围是所有集中平台的所有人员、开发运维和所有业务服务活动，具体范围如下：
（1） 开发运维范围： 包括集中平台的所有应用系统、管理平台、监控平台，以及数据中心通信设施、供电设施、各种主机、网络和存储设备的安全管理。