中国保险监督管理委员会


关于报送保险信息系统基本情况及安全状况等有关情况的函
保监厅函〔2005〕24号

　　

国家网络与信息安全信息通报中心：

　　根据《关于对2004年国家基础信息网络和重要信息系统基本情况和安全状况调查的通知》（信安通〔2005〕2号），我会对保险信息系统的基本情况及安全状况进行了调查，现将有关情况报送你中心。

二○○五年二月二十八日



　　二ОО四年保险信息系统基本情况及安全状况

　　

　　伴随着保险业的快速发展，近年来保险信息化工作取得了显著成绩。2004年，保险业各单位高度重视信息化工作，加强了组织领导和战略规划，加大了信息化建设的投入，加快了保险信息化的前进步伐，提高了保险信息系统的安全保障水平。信息化应用水平的进步有力地促进了保险业务自动化的处理水平和管理能力的提高，增强了创新能力，改进了服务质量，大大提高了保险业的整体竞争能力和现代化水平。

　　一、保险信息系统基本情况

　　保险信息系统包括保险监管信息系统及信息网络，保险机构业务、财务信息系统及信息网络。

　　保险监管信息系统及网络：主要用于中国保监会系统（包括保监会机关和35家地方派出机构）的各项监管工作。目前，保监会系统内部网络以机关为中心，遍及35家地方派出机构，保险监管业务网络以保监会机关为中心，专线连接各家保险公司总公司，都是典型的星型网络，主要采用了VLAN技术、防火墙、防病毒等安全技术。系统涉及保监会有关办公公文数据，以及各保险公司提供的用于监管的业务、财务数据。

　　保险机构业务、财务信息系统及网络：主要用于保险机构经营各项保险业务以及财务工作，信息网络遍及各保险机构经营区域，总体来说，基本覆盖了全国各地市县。目前主要采用了VLAN技术、防火墙、入侵检测、防病毒、双机热备、数据异地备份等安全与备份措施，部分公司还建立了灾备中心；建立了机房管理制度、信息系统运行管理制度、网络安全管理制度等制度；系统涉及各保险机构和广大被保险人的利益，关系到经济的发展和社会的稳定。

　　保险信息系统面临的主要威胁就是病毒、网络攻击、网络犯罪、系统设备的损坏和各种自然灾害等。根据“谁主管谁负责，谁运营谁负责”的原则，中国保监会是保险信息系统的主管部门，是保险监管信息系统及信息网络的运行责任部门；各保险机构是各自业务、财务信息系统的运行责任部门。

　　二、信息安全工作情况

　　2004年，在中国保监会的领导下，保险系统在加强保险信息安全保障工作上做了大量的工作，取得了一定的成绩。

　　（一）中国保监会制定了保监会系统信息安全的总体规划，增加了一些安全设备的配备，并根据规划进行了新的部署；在保监会系统内下发了《关于加强计算机系统安全管理的通知》等一系列文件。

　　（二）为有效预防保险行业的重大突发事件，中国保监会制订了《保险机构计算机系统重大系统性故障突发事件应急预案》、《保险信息系统应急协调预案》，与国信办、国家网络与信息安全信息通报中心建立了联系、沟通、通报机制。

　　（三）中国保监会在保险行业内下发了《关于进一步加强保险系统信息安全保障工作的通知》以及《关于做好保险信息系统灾难备份工作的通知》，进一步明确了保险信息系统在信息安全保障工作、信息系统灾难备份建设等方面的有关要求，推进和提升了保险业信息安全保障体系建设的进程和水平。

　　（四）各保险机构高度重视信息安全保障工作，强化了安全工作的组织领导，加强了信息安全相关的制度建设。一是明确了信息安全保障工作的主管领导，落实了责任部门，设立信息安全管理的专门岗位，有效的加强了信息安全保障工作的组织领导；二是加强了信息安全相关的制度建设，目前各保险机构参考国内外相关技术标准，基本建立了信息系统安全、网络安全、机房安全等制度，但某些安全措施还不完善，安全技术岗位的人员还需要加大培训力度，安全管理工作有待进一步加强。

　　（五）2004年保险业加大了信息安全的投入，积极采取各项措施，不断提升保险信息系统的信息安全防护水平。

　　在网络建设方面，中国保监会的监管网络、办公自动化网络、互联网网络采用了物理隔离方案，保证了信息与网络的安全。大多数保险公司采用业务网络与互联网网络逻辑隔离的方案，部份公司还使用了专门的审计和监控设备，能够监控网络运行和用户的使用情况。

　　在灾难备份和恢复设施的建设方面，各保险机构都非常重视，不同程度地建立了应急机制与设施，制定了应急预案，超过50%的公司开展了灾难演习或制订了灾难演习工作计划，部分公司正在建设异地灾备中心。另外，考虑到灾难备份中心的建设需要较大的投入，并且利用率很低，许多公司都在探索新的灾备中心建设模式。

　　在安全产品和技术的使用方面，防火墙产品和防病毒产品在保险信息系统中得到广泛的使用，各单位相关人员都能熟练的进行配置等操作，绝大部分公司还与专业的信息安全服务公司签订了服务协议；部分公司配备了入侵检测系统，并安排专人负责，根据系统产生的报警信息制订了相关的处理步骤和措施；部分公司采用数字证书的身份认证技术，主要应用在电子商务方面。

　　在信息安全管理方面，各保险机构普遍加强了密码管理、授权管理、补丁管理等工作，部分公司采用集中管理模式，并制定了密码、帐户、授权和补丁管理的相关制度和操作流程；保险信息系统各相关单位根据实际需要，关闭了不必要的服务和端口；另外，各保险机构开展了定期对管理和技术方面的安全措施进行检查的工作，部分公司还聘请专业公司不定期的进行安全评估。

　　（六）2004年，保险信息系统总体运行状况良好，没有发生重大信息安全事件，没有造成较大经济损失和社会影响。

　　三、相关建议

　　一、保险信息系统包含保监会信息系统和保险机构信息系统两大部分。随着保险业的全面对外开放，外资公司、中外合资公司数量不断增加，已经超过保险公司数量的一半。通报中心的发文经常以密级下发，不便于我们转发执行。希望你中心能考虑我会的实际情况，在下发文件时制定恰当的文件密级，或在文件中说明使用范围。

　　二、目前金融业能获取的国际上适用的信息技术标准基本上都属于银行业和证券业，而保险业信息技术国际标准十分缺乏，希望能够提供有关保险业信息技术国际适用标准和规范。

　　三、各单位从事信息安全工作的人员较少，为了加强信息安全保障工作，建议国家网络与信息安全协调小组与有关部门协调，要求各单位按一定比例或数量配备信息安全技术和管理人员。


文化部


文化科技项目管理办法

1995年10月13日，文化部

第一章 总 则
第一条 为提高文化科学技术项目的管理水平，使科学技术更好地为文化事业服务，根据国家对科技项目管理的有关规定，制定本办法。
第二条 本办法适用于被列入国家和文化部计划的科技项目。
第三条 所立科技项目的资助经费原则上实行有偿使用。

第二章 项目申请
第四条 申请国家和文化部立项的科技项目，应根据文化部中长期科技发展规划所确定的奋斗目标和任务进行选择。
第五条 申请国家和文化部计划的科技项目应具备下列条件：
（一）具有重要科学价值，属于文化系统急需解决的关键技术问题，能广泛推广应用并可产生一定的社会效益和经济效益。
（二）申请单位应有科研管理能力和一定的科研条件，以保障科技项目正常进行。
（三）科技项目负责人及主要研究人员应有一定的实践经验和研究能力，并具有中级以上技术职称或大专以上学历；或自学成材，确有专长。
（四）科技项目的研究时间，一般不超过三年。
第六条 凡申请国家和文化部立项的科技项目，必须认真填写国家规定的有关申请书和开题报告，并按隶属关系上报审核。
第七条 申请国家和文化部立项的科技项目的受理时间为每年的十月一日至十一月三十日。
第八条 对未按计划完成科技项目和不按时提交工作总结、经费使用情况的单位，无特殊原因，将不再受理申报新的科技项目。

第三章 项目管理
第九条 对文化科技项目进行分类管理：
（一）国家重点项目，由文化部科技主管部门进行重点管理，并依科研合同进行监督检查，促使项目按期完成。
（二）文化部项目分为重点项目和一般项目，重点项目由文化部投入一定经费，并以文化部科技主管部门为主会同项目承担单位的上级主管部门进行管理；一般项目文化部不再投入经费，由项目承担单位自筹，并按合同进行管理。
第十条 对申报的科技项目，文化部科技主管部门先期进行形式审查，组织有关专家依据有关评估办法进行论证，作出综合评价后，确定推荐上报国家重点项目和文化部项目。
第十一条 凡经批准，被列入国家和文化部计划的科技项目，均实行科技合同制，项目承担单位自接通知之日起，必须在一个月内，认真填报国家和文化部制定的有关科技合同书。
第十二条 科技合同一经签订，即具有法律效力。如需更改、中止合同，项目承担单位均应提出书面申请报告，阐明其原因及调整方案，经上级主管部门审查同意后，报文化部科技主管部门批准。对中止合同的项目，视情况，追回部分或全部投资及购置的仪器设备。
第十三条 凡列入国家和文化部计划的科技项目，在完成后，承担项目单位应及时提交研究工作总结，整理好有关科技文件及经费决算报告，并按隶属关系上报文化部科技主管部门，待通过鉴定后，方可结题。
第十四条 对列入国家和文化部计划的科技项目经费，一次或分期拨付给项目承担单位的财务部门进行管理，单独立帐，专款专用。在财务制度规定的范围内，经主管领导批准，项目负责人有权按科研计划进度支配经费。经费的使用，须接受文化部和有关部门的监督检查。

第四章 附 则
第十五条 本办法由文化部负责解释。
第十六条 本办法自发布之日起施行。1992年3月27日文化部发布的《文化部科技项目管理办法》同时废止。