江苏省公路管理办法
江苏省革委会
江苏省公路管理办法
江苏省革委会
第一条 为了对公路加强维护,保持经常完好,确保安全畅通,以适应新时期总任务和战备的需要,根据国务院以及交通部关于加强公路管理和养护工作的有关规定,特制订本办法。
第二条 公路和公路的留地、桥梁、涵洞、树木以及生产设备、生活用房等一切设施,都是国家公路财产,人人有保护的责任。对侵占、破坏公路财产的行为,人人有监督、制止、检举、告发的权利和义务。
第三条 公路沿线的县城集镇、农村社队、学校、厂矿都应积极配合公路管理部门进行爱路、护路和遵守交通规则的宣传教育,积极支持、协同公路管理等部门调查处理损坏公路财产的案件。
第四条 为维护公路经常完好,确保安全:
(一)严禁占用公路及划定的公路用地。在公路及公路用地上,不准摆摊设店、堆积物料、打场晒粮、放牧牲畜、种植作物,不准任意设置路拦,阻碍行车。有关单位在公路附近伐木、采石和从事其他危险作业时,应采取安全措施,不得损坏公路和堵塞交通。
(二)严禁履带机动车辆和铁轮车辆在铺有黑色和水泥路面的公路上行驶。如因特殊情况必须通过的,须经公路管理部门批准。使用单位,要对路面采取保护措施,如有损坏应负责修复。
(三)严禁超重车辆过桥。如因特殊情况,须经公路管理部门批准并采取安全措施后,方准通行。
(四)严禁在大中型桥梁和渡口上下游各二百米以内挖砂、开石、取土、修筑堤坝、搞建筑物。
(五)严禁动用、迁移、损坏公路上的各种标志号志。公路标志,由公路管理部门统一办理,不准任何部门和个人任意设立。
(六)严禁任意修剪、损坏、砍伐公路上的树木。间伐、更新路树时,必须按规定履行批准手续。
第五条 进行抗洪排涝,兴修农田灌溉水利设施时,不准损坏公路桥涵,不准影响交通,不准破坏渡口设备。确需挖掘,占用公路的,须经公路管理部门批准,并按下列规定办理:
(一)凡在公路两侧修建房屋建筑物,一级公路应距离公路边沟十五米以远;其他等级公路应距离公路边沟十米以远。
(二)凡在公路两侧架设广播、通讯线,须距离路树树枝梢二米以远,电力线须三米以远;跨越公路的广播、通讯线,最低线条应高于公路路面五点五米,电力线应高于路面六米;地下电缆和管道,应距公路边沟三米以远,埋设深度,应在地面二米以下。
(三)占用或挖掘公路,使用单位要先建好便道、便桥,或按标准改建好公路及桥涵,在确保公路完整畅通后才能动工。施工期间,必须设置明显的安全标志,夜间设置红灯,完工后及时清场。
第六条 对积极宣传、参加保护公路财产,在与损害、破坏公路行为的斗争中有显著成绩的个人或集体,可予表彰和物质奖励;对损坏盗伐路树、破坏公路的行为积极检举、告发的,可从所检举、告发的有关事件的损失赔偿费中提取百分之五至十给予奖励;对保护公路财产有突出功绩
的,除给以物质奖励外,由省、地、市、县授予护路模范、积极分子等光荣称号。
第七条 凡违犯本办法第四、第五条者,应本着初犯从宽,重犯从严的原则,采取批评教育与惩处相结合的办法,根据情节轻重,由公路管理部门按下列规定办理:
(一)凡任意侵占、擅自利用公路及其附属设备,尚未造成损失的,应在公路管理部门提出后的三天内移出或停止利用,并负责恢复公路及其设备的原有状况。
(二)凡任意侵占、擅自利用公路及其设备,已造成损坏的,或因车辆肇事而损坏公路及其设备的,应按照公路管理部门提出的要求,限期修复或计价赔偿。
(三)凡擅自占用或调用公路管理部门房产的,应限期归还,或计价赔偿。凡公路上的违章建筑,应按照公路管理部门的规定限期拆除,并负责恢复公路的原有状况,逾期不拆者,公路管理部门有权拆除、处置。
(四)凡违犯第四、第五条有关款项,造成公路及设备损坏,又没有负责修复的,应赔偿修复费用,情节严重者加倍赔偿。对私自剪枝、损坏树木,尚未造成树木死亡的,经批评教育,保证不再重犯的,可免予赔偿。造成树木死亡的,除退回被砍伐或已损坏的树木外,应按“损一栽三
”的原则补栽;不补栽者应负责赔偿损失。赔偿标准,一至三年生树木每棵十元;三年以上的,根据树龄大小,材质好坏,以及当事人的悔改表现,以十元为基数,树龄每多一年的每棵增赔五至十元。路旁灌木,无论树龄大小,每棵赔款一元。凡情节严重、或抗拒按本办法处理者,公路管
理部门有权提请公安、司法机关依法惩处。
第八条 本办法适用于省内公社以上单位管理的公路和专用公路,自颁发之日起实行。
江苏省航道管理办法
为了加强航道管理,改善航道条件,提高航道通过能力,保证航道安全畅通,充分发挥水运在国民经济中的作用,以适应新时期总任务的需要,根据国务院《关于加强航道管理和养护工作的指示》以及我省颁发的《江苏省内河航道维护暂行办法》等规定精神,特制订本办法。
一、航道是水运的基础。多年来,由于林彪、“四人帮”的干扰破坏,规章制度废驰,管理混乱,航道碍航建筑多,淤塞严重,使水运的发展受到很大影响。把航道建设好、管理好、维护好,是实现四个现代化的一个必要条件。
二、凡本省境内已经通航的内河航道(包括岸线边坡以及征用时留地),都属本省内河航道管理范围,由航道管理部门统一领导,分级管理。
三、航道及航道护坡外留地、纤道、导航助航设施,航道船闸及船闸用地(包括过去办过征用手续的土地),航道修建的房屋及其它所有固定资产,都是国家航道财产,人人都有保护的责任。
航道沿线的县城集镇、农村社队、厂矿、学校、运输、渔业等单位,都应积极配合航道管理部门进行爱护航道、船闸的宣传教育,参加保护航道、船闸的各项活动,支持、协同航道船闸管理等部门调查处理破坏航道船闸的案件。
四、为确保航道完好畅通:
(1)严禁在市河和干线航道上设簖设网和种植水生作物。
(2)严禁向河道内倾倒垃圾、沙石、泥土,或其它危害航道完好和污染水流的工业废渣废料。
(3)严禁河道两岸的房屋、码头、抽水井及其他临河建筑工程向航道内延伸,损害航道水域。
(4)严禁在船闸上下游引航道内(京杭大运河船闸上下游各八百米内,其它船闸上下游各五百米内)建造装卸作业码头、设置堆场、设网设簖。
(5)严禁在航道上空、水面或水下任意架设跨河电线、电缆水管。
(6)严禁损坏、盗窃航道护坡驳岸块石、树木、航标或其它设施。
(7)严禁在沿河两岸边坡、青坎及河堤十米(市区三至五米)范围内堆放石料、垃圾、煤渣等物资、废料。
(8)严禁在航道上任意打坝、造桥或其它跨越航道的碍航建筑。
(9)严禁在航道两岸坡上种植农作物或挖土、填土,以防止水土流失,淤浅航道。
五、任何单位在通航的河流上修建拦河闸坝、桥梁、渡漕,架设过河电线、电缆、水管、栈桥,停放竹木排伐,在航道上修建码头、驳岸、船厂、滑道、贮木场、抽水站(井),不得破坏原有通航条件,并应将设计图纸或平面布置方案报告航道管理部门,审查批准后,才能开工。
六、在通航河流上修建永久性的拦河闸坝,建设部门应根据水运发展的需要和经济合理的原则,同时修建船闸。其建设费用由闸坝建设部门统一列支。在施工期间的通航措施,建设部门应制订工程设计、施工方案,并征得航道管理部门的同意。因抗旱需要在通航河流上临时筑坝,主管
单位应事先与航道管理部门联系。事后应负责按时拆除。
七、在通航河流上的桥梁,年久失修,妨碍通航,或危及航行安全,需要修复或改建的,如属公路、铁路、城市、厂矿企业专用的,由所属单位负责;如属农用桥或人行桥,由所在县(市)负责。资金来源,应根据民办公助的原则筹集,公用部分在农业税附加中解决。如因航运发展需
要而改建的,由交通部门负责。
八、在航道两岸建造码头、驳岸等临时建筑物,其位置应按航道规划等级结合以下规定办理:
(一)驳岸、渡口、抽水站(井)、水位观察井,应设置在最高通航水位横断面之外,并应满足安全通航要求。
(二)码头、栈桥等临河建筑物,一般应选在直线段上,不得占用主航道,应在最高通航水位横断面之外再加上标准船舶三至四倍的宽度向岸侧伸进。
(三)房屋、厂房等临河建筑物,应在河道坡肩外向岸内伸进十米,或从现有驳岸边线起向岸内伸进五米。
九、在支线航道上架设渔簖时,应留出通航孔,通航孔宽度不得小于十米,其横帘的水下横竹,应在最低通航水位以下二米。在支线小河航道上种植水生作物时,应留出通航水面,宽度不得小于三十米。设簖或种植水生作物,事先都应征得当地航道管理部门的同意。
十、对于未经航道管理部门批准而修建成的桥梁、码头、栈桥、厂房、跨河电缆、管道、石驳、房屋及其它建筑,如因妨碍通道,必须由原建设单位负责拆除。对于已经废弃的碍航闸坝、桥梁等临河建筑,原建设单位应负责拆除。
十一、一切船舶过闸时,必须遵守交通规则,服从指挥调度。先出后进,顺序慢行,不得抢挡超越。装载危险品的船舶应主动与船闸值班人员联系,按指定地点停靠,听候安排过闸。
十二、过闸船舶的船员必须认真驾驶操作,注意安全,要爱护国家财产,不准损坏建筑物及其附属设备,不准用篙钩勾捣闸门,不准在闸室上下旅客、装卸货物、倾倒垃圾,不准在闸墙上任意涂写。
十三、对积极组织、宣传保护航道财产,制止破坏行为有显著成绩的个人或集体,可给予表彰及物质奖励;对检举、告发损坏盗窃航道财产行为的有功者,可从所检举、告发事件的财产损失赔偿费中提取百分之五至十作为奖励;对保护航道财产有突出成绩者,除给予物质奖励外,可由
地、市、县或省授予护道模范、积极分子等光荣称号。
十四、凡违犯本办法各条者,应本着初犯从宽,重犯从严的原则,采取批评教育与惩处相结合的办法,根据情节轻重,由航道管理部门按下列规定办理:
(一)凡任意侵占、擅自利用航道、船闸及其附属设备,还未造成损失的,应在航道管理部门提出后的三天内移出或停止使用,并负责恢复航道、船闸及其设备的原有状况。
(二)凡擅自在航道、船闸上建造码头、桥梁、闸坝和架设电线、放置渔簖、堆放石料等违犯本办法第四条的,由航道管理部门通知建设单位限期拆除。如在限期内不拆除的,每逾期一天,罚人民币十元。逾期一月,航道管理部门有权没收其设备与物资,清除已建设施。清除费用由建
设单位承担。
(三)凡损坏、盗窃航道财产,应照价赔偿,还应罚其付出该财产价值百分之五的款项。
(四)凡违犯本办法各条,情节严重或抗拒处理者,应提请公安、司法机关依法惩处。因故意拖延不执行规定而引起的一切损失,应负责赔偿。对于阶级敌人的破坏活动,要坚决打击,严惩不贷。
十五、本办法适用于省内各地、市、县航道船闸的管理。本办法自颁发之日起实行。
江苏省运输市场管理试行办法
为了整顿运输市场,建立正常的运输秩序,逐步改革我省交通运输事业的管理方式和服务方式,促进运输计划化、专业化,提高运输效率,适应社会主义现代化建设的需要,特制订本办法。
一、运输管理
第一条 按照国务院国发〔1979〕179号文件重申的《关于厂矿企业办运输的几项规定》中有关运输分工的精神,社会流通过程的物资运输,应由交通部门负责。据此,凡在我省从事物资流通过程运输(包括搬运装卸,下同)或虽从事生产过程运输,但进行运费结算的一切车、
船、劳力,除铁路、长航、海运执行国务院有关部门的规定外,均在本省运输市场管理范围,必须实行“三统”管理,即统一受理货源,统一安排运力,统一计费标准。
第二条 根据计划经济和专业化管理的原则,凡在运输市场管理范围内的物资运输,除批量较小(同一起迄点,一次托运量航运不满三十吨、人畜力车运输不满一吨、汽车运输不满五吨)可直接向运输企业办理托运手续外,均需由物资单位分级归口,于每月二十日以前将所运物资分别
水运、陆运编造运输计划,提送给同级交通管理部门(交通局或由交通局指定的专业运输企业,下同)。逾期提报者按追补计划处理,不提计划者不予安排运输。事先确实无法预计的紧急运输,如防洪、抢险、救灾、国防战备运输等,不受此限。
省级水、陆运输计划,分别由省航运公司和省汽车运输公司受理。地、市、县级水陆运输计划,由地、市、县交通局统一受理;今后随着运输企业经营体制的调整,在一个地、市、县内,水运、陆运能分别实行统一经营管理时,交由水、陆运输企业分别受理层报。
第三条 物资运输计划,实行省、地(市)二级审定平衡,省、地(市)、县(或企业)三级安排的制度,按月以例会的形式进行。平衡安排时,贯彻先重点后一般、先区外后区内、先计划内后计划外的序列,执行专、副统筹兼顾,减少空驶,合理运输的原则。
所谓副业运力或非专业运力,系指在经营上不属于交通部门专业建制的社会车船和装卸搬运劳动力。
第四条 经平衡安排的物资运输计划,由负责安排的一级交通管理部门编上计划字号,批复给承、托运单位。承、托运单位于计划下达后应相互加强直接联系,并以“运输合同”等方式明确经济责任。
在计划运输的指导下,专业运输企业在调度车船、受理托运、结算运费等运输经营方面,应有更多的自主权,各级交通管理部门要给予尊重和支持,并督促运输企业改进服务方法,保证计划兑现。
第五条 凡在本省从事运输,收取运费的车、船、劳动力,一律执行我省制订的统一运价。任何单位或个人都不得任意或变相提价或减价,更不准自订运价。
在本省从事运输的车、船、劳动力,一律按照我省规定的征收范围和标准,按章缴纳省财政、交通部门规定的有关费用。除此以外,任何单位不准自立名目收费。
第六条 运输企业和非专业运力进行运费结算,一律使用交通、财政部门共同核定的统一运费收据。专业运输企业自行开票结算运费,接受物价委员会、交通局审价。非专业运力,原则上由发运地交通管理部门开票结算运费,实行单位间划拨,不得直接付给个人,对于不使用统一运费
收据的运费(包括变相运费),各单位的财务部门不得列支,银行应拒绝划拨;明知故犯者,应给予有关人员以经济制裁。各级财政、工商行政管理和交通部门,要加强监督检查。
二、运力的分工和安排
第七条 物资流通过程运输的一切运输力,都必须在交通管理部门的统筹安排下实行合理分工,并以此作为平衡安排运输任务的基本依据。各有关运输企业和非专业运输单位,应按照基本分工从事运输活动,不得借故推诿责任,不得任意超越分工范围去争揽货源。
(一)交通部门所属专业运输企业,是承担社会运输任务的骨干力量,在使用安排时应优先发挥其作用。非专业运力,以担负工农业生产过程的运输任务为主,在需要参加流通过程运输时,必须接受交通管理部门的统筹安排。
(二)省、地区所属水、陆专业运输企业,以承担全省、全区的运输任务和跨省、跨区的干线运输任务为主。市、县属水、陆专业运输企业,以承担市、县境内(包括疏通港站)的短途运输任务为主;但遇有运力余缺的情况,则由上级交通管理部门进行平衡调剂。
根据汽车运输的特点和运输分工的原则,从有利于提高服务质量出发,汽车运输企业应在计划指导下与托运单位建立比较固定的承、托运关系,开展“面对面”服务。过去已经建立了这种关系、运输服务又较好的,各级交通管理部门在平衡安排时应予保持;没有建立的,应支持承、托
运双方发展这种关系,并简化托运业务手续。
(三)县与省属市同在一个地方的,物资运输由地、市(以发运地为主)联合办理运输计划的平衡安排。有些从市里起运的物资,历来就由县自派车船取运,对于这样的历史分工习惯,一般仍予维持,在进行平衡安排时,可以不作为跨区、跨市运输处理。但对于这样的分工关系,应在
省统一安排下签订分工协议加以明确。
三、非专业运力的组织管理
第八条 机关、企事业单位的自备车船参加流通过程运输,应于每月二十日之前向所在地的交通管理部门提报《非专业运力参加运输计划》,经核准后,发给准运证(格式由省交通局另发),在指定的范围和时间内从事运输活动。安排时,应本着“减少空驶,合理运输”的原则,优先
安排自备车船承担本单位的运输任务,如有车(船)单位运力不足,交通部门应予安排运力;运力有余时,由交通部门统筹计划使用。
各地、市、县应在交通部门指导下,积极创造条件,分期分批把机关企事业自备车船按行业或按区域组成运输公司或运输队,纳入计划运输轨道,并改善经营管理,不断提高运输效率。交通管理部门对于经营管理和执行“三统”较好的运输公司,亦可由他们自行开票结算运费,以统一
路签(航签)代替发准运证等方式,简化管理手续。
对组织起来的自备汽车,要逐步实行定点修理,定厂供应配件,所需维修材料、配件以及营运中需要的燃物料,应由各地交通部门会同有关单位提出申请,列入计划,安排供应。
第九条 驻军和外省车船(包括外省农副业运输车船、劳力)参加我省社会运输,应持有驻军或该省(市、自治区)交通局准许出境的证件,由我省交通局核准,并指定适当的运输企业代理。
第十条 农村人民公社的车船和劳动力,凡具备单独经营条件的,应由市、县交通局批准并向工商行政管理局进行企业登记,组织成为社办运输队、搬运队,作为社办企业的组成部分。在公社交管所(站)具体管理下,坚持小型工具为主、短途运输为主、为本公社物资运输服务为主的
原则,经营运输业务;出县运输,要由县交通局统筹安排。
安排副业车船和劳力从事搬运装卸,应以本市、本县境内为主。需驻扎于外市、外县运输装卸者,应由市、县交通局向有关市、县交通局联系安排,由有关市、县交通局发给准运证,在有效期内有计划、有组织地从事运输活动,不准私自盲目流窜,冲击运输市场。
第十一条 各部门、各单位需雇用非专业运输车船或农村劳动力来从事搬运装卸时,应事先报当地交通局审批,不得私招乱雇。
第十二条 所有非专业运输车船的技术设备性能、机驾人员的配额和素质,都必须与专业运输车船一样符合安全要求,方准参加运输。
四、监督检查
第十三条 省、地、市、县交通局为管理运输市场的主管机关,应设立相应的职能部门,具体掌握运输市场的管理工作。
第十四条 各级交通管理部门,要加强物资起运点上的检查。各地(市)县航政、航道管理处(站),各公路管理处(站),应把运输市场管理的监督工作列为自己的职责,行使监督检查职权。必要时,可在重要船闸、交通要道上设立临时的或经常的检查站,组织检查。运输市场的检
查人员,应坚持原则,大公无私,在值勤时要佩带臂章(由省交通局统一制发)。除上述指定单位的以外,其他单位或个人,都不准借口检查“三统”随意拦扣车船。
五、违章处理及其他
第十五条 各种运输工具,在运行中应持有准运证或船舶航次任务书(航签)或汽车路签或其他足以证明是符合运输管理规定的证件(均须注明所运物资的计划字号或签注“自运自货”字样),在接受检查时出示。凡没有证件,不按规定标准收费,不使用统一的运费收据,私自揽运货
物或私自从事搬运装卸者,均属违章行为,应根据情节轻重,分别给予处理。对多收、浮收的运费应予退赔。搞违章运输所得非法收入应予没收,上缴财政。对于利用运输工具搞投机倒把等资本主义活动的,由工商行政管理部门严肃处理。对于阶级敌人肆意破坏运输市场,要依法送交公安
、司法机关惩办。
第十六条 本办法自一九七九年十一月一日起试行。各地、市、县应做好组织宣传工作,并可根据本办法规定,结合本地区具体情况,制订实施细则加以贯彻。在试行中发现的问题和意见,请及时报省交通局,以便补充修改。
第十七条 过去有关运输市场管理规定以及各地单行的办法,若与本办法有抵触者,按本办法规定执行。
1979年10月4日
关于印发《保险公司信息系统安全管理指引(试行)》的通知
中国保险监督管理委员会
关于印发《保险公司信息系统安全管理指引(试行)》的通知
保监发〔2011〕68号
各保险公司、保险资产管理公司:
为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。现印发给你们,请遵照执行。
中国保险监督管理委员会
二〇一一年十一月十六日
保险公司信息系统安全管理指引(试行)
一、总 则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求
第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:
(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
(二)组织公司信息系统安全规划与建设工作,制订相关管理规定。
(三)建立有效的信息系统安全保障体系并定期或根据工作需要及时进行检查、评估、审计、改进、监控等工作。
(四)对信息系统安全事件进行管理、处置和上报。
(五)组织公司员工信息系统安全教育与培训。
(六)开展与信息系统安全相关的其他工作。
第十条 建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等各层面的安全管理规章制度,并定期或根据需要及时对安全管理规章制度进行评审、修订。
第十一条针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
第十二条 配备足够的具有专业知识和技能的信息系统安全工作人员。明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。
第十三条 定期或根据工作需要及时对高级管理人员开展信息安全管理与治理相关培训,对参与信息系统建设、运行维护和操作使用的人员进行安全教育、技能培训和考核。加强岗位管理,明确上岗与离岗要求,重要岗位须签署相关岗位协议。对涉密岗位工作人员应特别进行保密教育培训,并签订保密承诺书。
第十四条 按照国家和监管部门信息系统安全规范、技术标准及等级保护管理要求,明确信息系统安全保护等级,实施信息系统安全等级保护,按等级安全要求进行备案并定期测评和整改。
第十五条 制定信息管理相关制度和流程,规范管理信息采集、传输、交换、存储、备份、恢复和销毁等环节,加强重要数据信息控制和保护,保障信息的合法、合规使用。
第十六条 按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
第十七条 对信息系统安全事件进行等级划分和事件分类,制定安全事件报告、响应处理程序等应急预案,并定期进行演练,评审和修订。遇有重大信息系统事故或突发事件,应按应急预案快速响应处理,并按规定及时向中国保监会报告。
第十八条 建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,及时提交公司信息安全专业工作机构,并按相关流程发布实施。
第十九条 设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。
鼓励公司在符合国家有关法律、法规和监管要求的情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
第二十条加强信息系统知识产权保护和推进正版化工作,禁止复制、传播或使用非授权软件。
第二十一条申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
第二十二条 在信息系统可能对客户服务造成较大影响时,根据有关法律法规及时和规范地披露信息系统风险状况,并以适当的方式告知客户。
三、基础设施与网络设备环境
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十四条 建立健全机房运行维护安全管理制度,指定专门部门及专人负责机房安全管理,采取合理的物理访问控制,对出入机房人员进行审查、登记,确保对机房实施7×24小时实时监控。
第二十五条 建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
第二十六条 根据设备功能及软件应用等性质设立物理安全保护区域,采取必要的预防、检测和恢复控制措施。重要保护区域前应设置交付或过渡区域,重要设备或主要部件应进行固定并设置明显的标记。
第二十七条 根据业务、应用系统的功能及信息安全级别,将网络与信息系统划分成不同的逻辑安全区域,在网络各区域之间以及网络边界建立访问控制措施,部署监控手段,控制数据流向安全。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确保业务系统安全稳定运行。
第二十九条 建立网络安全管理制度,规范管理网络结构、安全配置、日志保存、安全控制软件升级与打补丁、口令更新、文件备份和外部连接等方面的授权批准与变更审核,保障安全策略的有效执行。
第三十条 内部网络与互联网、外联单位网络等连接时,应明确网络外联种类方式,采用可靠连接策略及技术手段,实现彼此有效隔离,并对跨网络流量、网络用户行为等进行记录和定期审计,同时确保审计记录不被删除、修改或覆盖。
第三十一条 严格控制移动式设备接入、无线接入和远程接入等网络接入行为,明确接入方式、访问控制等措施要求,形成网络接入日志并定期审计,确保未经审查通过的设备无法接入。
第三十二条 加强信息系统平台软件安全管理,确保配置标准落实。对入侵行为、恶意代码、病毒等风险即进行防范部署,严格控制信息系统身份访问、资源访问,监控主机系统的资源使用情况,并在服务水平降低到设定阈值时发出报警。
第三十三条 分类对计算机终端的安全提出要求,制订终端网络准入、安全策略、软件安装等管理规范。
第三十四条 规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。
第三十五条 制定介质分类管理制度。根据介质存储内容与重要性明确存储介质类型、存放技术指标、保存期限等,并定期检查介质中存储的信息是否完整可用。重要备份介质应进行异地存放。介质送出维修或销毁时,应保证介质信息预先得到审查并妥善处理。对于存储客户隐私等涉密信息的存储介质,应严格依据国家及监管部门要求进行保存与销毁等管理。
四、应用系统与数据安全
第三十六条 建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统开发与运行维护过程独立、人员分离。
第三十七条 生产系统应与开发、测试系统有效隔离,确保生产系统安全、稳定运行。
第三十八条 信息系统开发、实施过程应明确控制方法和人员行为准则,保存相关文档和记录。制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
第三十九条 信息系统正式上线运行前,应对系统进行功能、性能与安全性测试与验收,经相关流程审批后方可投入使用。
第四十条 制定有效的信息系统变更管理流程,控制系统变更过程,分析变更影响,确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,并做好系统变更前准备。
第四十一条 对信息系统的运行维护负责,保持运行维护控制力。加强安全入侵检测监控,进行风险评估与安全扫描,及时发现并处置安全事件。
第四十二条建立覆盖信息系统全生命周期的信息安全问题管理流程。建立系统身份鉴别机制,严格帐号权限控制管理,规范权限分配和回收流程,保存审计记录,及时进行分析处理。确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
在遇有系统及数据升级、存档、存储、迁移、消除等需要系统终止运行情况,应妥善处理,保证系统及数据安全。
第四十三条 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。
第四十四条 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。
第四十五条 建立信息系统灾难恢复管理机制。根据数据及系统的重要性,明确数据及系统的备份与灾难恢复策略。
第四十六条采用必要的技术手段和管理措施,保证数据通信的保密性和完整性。涉密信息应进行加密处理,确保涉密信息在传输、处理、存储过程中不被泄露或篡改。
与外部相关单位信息交换时要保证信息交换协议、策略、密钥等开发运维安全管理,采用国家和行业相关数据交换标准,保障数据交换过程安全可控。
第四十七条 按照国家密码管理相关规定和要求,建立健全密码设备管理制度,加强密码设备使用人员管理,使用符合国家要求和信息加密强度要求的加密技术和产品,加强相关信息系统安全保密设计和建设。
第四十八条 加强互联网门户网站系统安全管理工作,建立严格信息发布审批制度,严格控制网站内容发布权限,对网站系统进行安全评估,确保网站系统安全稳定运行。
第四十九条 电子商务、交易系统等应用系统建设应具备相应管理规范,明确各交易环节或过程安全要求,采取必要安全技术和管理措施,保护个人信息和客户敏感商业信息,保留交易相关日志,确保交易行为安全可靠。
第五十条 加强信息系统病毒防护工作,集中进行防病毒产品的选型测试和部署实施,及时更新防病毒软件和病毒代码,发现病毒或异常情况及时处理。
建立恶意代码防范管理制度,并部署防恶意代码软件,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。
五、信息化工作外包与采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系,合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内部评估审核流程与监督管理机制。
第五十三条 实施数据中心、信息科技基础设施等重要外包应格外谨慎,在准备实施重要外包时应以书面材料正式报告中国保监会。
第五十四条 建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。
第五十五条 与外包承包方签订书面外包服务合同,合同包括但不限于外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。
第五十六条 严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
第五十七条 与外包承包方建立有效信息交流与沟通机制,确保外包服务人员的相对稳定性。对于人员的必要流动,应要求外包承包方承诺确保外包服务的连续性与安全性。
第五十八条中国保监会根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,对于违反相关法律、法规或存在重大风险隐患的外包情形,可以要求公司进行整改,并视情况予以问责。
六、附则
第五十九条本指引由中国保监会负责解释、修订。
第六十条信息化工作重大事项范围请参考《关于加强保险业信息化工作重大事项管理的通知》(保监厅发〔2007〕8号)
第六十一条本指引自发布之日起实施。