首页> 关于我们> 可持续发展> 可持续发展政策与实践

人保财险数据安全管理政策要点

[2025.10.20]

数据安全管理架构

人保财险建立了由公司党委及董事会负责、网络和数据安全领导小组统筹、牵头管理部门组织、总公司各职能部门及各级分支机构各负其责的数据安全管理架构体系。其中，党委、董事会对公司数据安全工作负主体责任。公司主要负责人为公司数据安全第一责任人，分管科技运营工作的公司领导为公司数据安全的直接责任人，并担任个人信息保护负责人，各部门主要负责人为本部门数据安全第一责任人，各分公司主要负责人对本机构数据安全承担主要责任。

数据安全保护政策

人保财险按照“谁管业务、谁管业务数据、谁管数据安全”的原则，制定了覆盖各业务线、适应各机构层级的数据安全保护政策，包括《中国人民财产保险股份有限公司数据安全管理办法》《中国人民财产保险股份有限公司数据分类分级规范》《中国人民财产保险股份有限公司数据生命周期安全规范》《中国人民财产保险股份有限公司数据安全事件应急预案》等。公司各部门作为所辖业务环节、条线的数据安全归口管理部门，负责落实数据安全保护措施，开展数据处理活动安全风险评估和监测。各分公司负责本地记录存储的数据、分公司发起与其他机构合作项目中对接提供的数据、统颁系统分公司用户查询下载使用等数据的数据安全。公司统筹规定了与第三方数据合作、数据出境等场景数据安全保护要求，规范了数据收集、传输、存储、访问、导出、展示、开发测试、汇聚融合、委托处理、共享、共同处理、删除和销毁全生命周期分类分级保护策略。

数据泄露应对措施

人保财险采取主被动相结合的数据安全防护措施。

主动措施：构建网络和数据安全保护技术体系，提升数据安全保护能力。周期性开展漏洞扫描、渗透测试，及时发现并修复网络和信息系统漏洞。部署数据库脱敏平台，落实测试环境数据脱敏和数据库访问动态脱敏策略。通过桌面管理、上网行为管理等安全工具，加强对终端数据外发通道的安全管控。推进实施办公网和互联网隔离，部分关键岗位终端进一步实施办公网和数据中心网络隔离，防范潜在的数据泄露风险。常态化开展钓鱼邮件演练，提升全员安全防范意识。

被动措施：建立健全网络和数据安全风险监测、事件处置等运营机制，持续提升风险预警和安全事件处置能力。采用防火墙、入侵检测系统、恶意代码防护系统等措施加强网络攻击防护，构建覆盖互联网边界、数据中心内部边界、关键路径节点和主机计算环境的网络安全监控体系，实现7×24小时常态化网络安全监控运营。利用邮件数据泄露防护平台、应用数据审计平台、数据库审计平台等多种技术工具，针对敏感邮件外发、应用接口数据交互、数据库访问行为等开展风险监测。制定数据安全事件应急预案，明确事件处置机制和流程，组织开展应急演练，确保事件发生后快速、有序处置。

数据访问控制和保护

人保财险实施严格的数据访问控制，落地有效的保护方案，重点针对客户数据与敏感数据强化管理。将数据安全要求纳入软件开发安全管理规范，在应用系统中嵌入数据安全防护能力，包括：数据访问权限管控、敏感信息屏蔽显示、客户信息展示页面显示登录人员信息水印、客户信息打印添加操作人员信息水印、禁止批量下载客户信息、禁止客户信息模糊查询等。公司制定发布账号管理制度，明确账号权限管理要求、使用要求、技术要求，覆盖内部人员、个人代理、合作机构等各类型用户。建立集中的账号权限管理平台，规范账号权限申请、审批、配置流程，严格按照“实名制”“人号岗权对应”“权限最小”“默认拒绝”原则开展账号权限管理。定期组织开展账号权限排查清理，对岗位变动、离职、长期不活跃系统用户进行集中清理。加强信息系统刚性管控，对重要系统实现双因素登录认证，限定同一账号同一时间不得在多个终端登录使用。对关键重要系统实现客户个人信息加密存储。

信息安全风险评估和审计

根据《保险公司信息化工作管理指引（试行）》（保监发〔2009〕133号）有关要求，公司应建立信息化工作的风险评估机制和信息系统审计制度，由独立于信息技术部门的有关部门负责审计工作，至少每两年进行一次审计。2023年，人保集团审计中心对人保财险开展2023年信息系统审计，2025年人保集团审计部正在开展人保财险信息系统审计工作。

对于第三方审计，2024年至今，人保集团、人保财险聘请安永审计公司开展财务及内控审计，其中包含信息技术一般控制、信息安全、应用控制等审查内容。

人保财险建立健全信息科技风险管理“三道防线”机制，每年组织总分公司开展全面的信息科技风险评估，并向公司董事会报告信息科技风险管理情况，所识别问题纳入统一问题整改台账，定期推动风险问题整改。

信息安全管理体系认证

人保财险积极推进ISO/IEC 27001、个人金融信息保护能力认证、金融业数据安全认证等第三方认证审核，不断加强信息安全管理标准化程度。