保险公司信息安全管理六项原则

        保险信息网络庞大业务系统复杂，信息安全保障任务繁重。随着我国保险业的快速发展和保险信息化的不断推进，各保险公司的信息网络也越来越庞大，不断向中小城市和乡镇甚至农村延伸。各保险公司与合作伙伴（如银行）、代理机构之间的网络连接越来越多。庞大的保险个人代理难于施以信息安全管控。保险信息系统不断升级换代和整合，新技术的应用以及利用新技术的产品创新和服务创新不断深化，产品和服务的多样化、定制化导致业务系统复杂多变。这些都给本来就滞后的信息安全管理不断带来挑战。

        数据和业务系统逐步集中，导致安全风险也不断集中。集团化、大型化、综合化是当今世界金融业的发展趋势。众多保险公司也顺应国际金融发展趋势，通过组建保险集团公司，实现规模扩张和资源整合，降低经营风险。集团化需借助信息技术手段，实现管理信息化、数据集中化和服务一体化。目前，绝大多数保险公司已经完成数据的全国大集，部分保险公司已实现核保、核赔、财务、及客户服务等后援服务系统的大集中。数据和业务系统的大集模式也使得信息安全风险大大集中，高度集中的IT运营中心一旦出现安全事故，公司业务将大面积陷入瘫痪，影响和损失都将非常严重。

保险公司信息安全管理六项原则
        加大保险信息安全管理力度，加快保险信息安全建设刻不容缓。但由于信息安全本身具有的潜在性、模糊性和动态性，以及保险信息安全目前所处的特定阶段，决定了保险信息安全建设是一个系统性、长期性的工作，而不是简单仓促的信息安全技术和管理制度的堆砌和拼凑。笔者认为，要坚持保险信息安全管理的正确方向，卓有成效推进保险信息安全建设，必须要把握好以下五项重要原则：

        （一）安全保障应用原则
        指信息安全保障保险应用，依附于保险应用；保险应用需要信息安全，依靠于信息安全。在保险信息安全建设中，该原则具有以下两方面的内涵：

        首先，在信息化宏观层面来看，要坚持一手抓信息化建设，一手抓信息安全。仅从近几年严重的不足的信息安全投入就不难看出，现阶段保险业信息化“重应用、轻安全”的问题依然存在，安全防护措施明显滞后于信息系统的开发建设，导致应用系统存安全隐患突出，保障难度加大。遵循安全保障应用的原则，就是要我们将信息安全作为信息化战略的重要组成部分，从思想认识上和资源投入上都要实现信息化建设和信息安全两手齐抓，赋予信息安全工作的应有高度和关注。

        其次，从信息化项目管理层面来看，要坚持实施项目生命周期安全管理。IT系统的建设一般都是以项目形式运作的，其生命周期可划分为规划、设计、实施、运维和废弃五个阶段。很多时候我们在推进IT项目时，全力聚焦于系统的功能和性能，忽视或漠视其安全性，往往导致亡羊补牢，为时已晚。坚持实施项目生命周期安全管理，一是可以减低安全管理成本。在整个系统生命周期各阶段都进行有计划的安全管理是最好的方式，及时发现系统规划建设方面潜在的风险，及时利用现有信息安全资源进行规避和处理，相比系统建成后才亡羊补牢，可大大节省信息安全成本。二是可更有效降低信息安全风险。在IT系统全生命周期实施信息安全风险管理，可在安全方面高瞻远瞩，整体规划，使IT系统和信息安全管理无缝集成，有效降低信息安全风险，摆脱信息安全管理的被动地位。三是可以提升IT系统项目人员的安全意识。通过在IT系统整个生命周期引入信息安全管理，可以使IT系统各个生命周期阶段的参与人员关注系统安全，培养信息安全风险意识，承担其在系统信息安全方面的应有责任。

        （二）适度安全原则
        指安全是相对的，绝对安全是不存在的；安全是需要付出代价的，而代价的可承受不是无限度的。在整个保险行业信息安全投入非常低的情况下，把握适度安全的原则、合理分配资源，更具有现实意义。

        首先，信息安全工作的本质是有效管理风险，把风险降低到我们可以承受的限度，而不一定是彻底消灭风险。在信息安全领域，存在三要（A.S.T）素简化风险模型：即信息资产（A）、安全威胁（T）和保障措施（S），该模型说明为保障信息安全所采取措施的力度是由信息资产的价值和信息资产所面临的威胁共同决定的。保障措施代价大于被保护资产的价值，则保障过度，造成资源浪费；反正则保障不足。故在进行准确风险评估的基础上采取适度防护，才能充分发挥有效信息安全资源的作用。

首页 上一页 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文