保险公司信息安全管理六项原则

        其次，坚持适度安全原则，是贯彻落实国家信息安全等级保护制度和保监会信息安全监管要求的体现。等级保护制度和保监会的信息安全评价指标体系，都要求根据信息系统资产价值和对社会的影响程度，确定信息系统相应的安全等级，其目的是在信息安全投入与系统所能承受最小风险之间找一个科学的平衡点，进行适当保护。

        （三）三分技术、七分管理原则
        信息安全技术发展到今天，为我们提供了大量刚性的技术管控手段，但技术不是万能的，程式化的技术终究难以对抗智慧的头脑，比如，在信息安全管理中最难防范的是：内部拥有合法授权的人用合法的手段干违法的事。所以，技术之外，我们只能寄望管理手段。另一方面，也是信息安全管控从管系统、管应用过渡到管人管、管身份时经常遇到的问题，即不少员工由于对于信息安全重要性的认识不到位，对信息安全管控措施产生抵触情绪，导致信息先进的安全技术管控手段成了一无是处的摆设。

        员工信息安全意识的薄弱，“以自我为中心”、“以方便为准则”、“以快捷为目标”的漠视信息安全的心理是十分危险的，恶意、故意或无知用户严重威胁信息安全。据统计，在保险信息安全事件中，属于管理方面原因的比重高达70%以上！故只有综合运用技术和管理手段，更加依赖管理手段，加强员工信息安全教育，培养信息安全文化，我们的信息安全工作才能更有绩效。

        （四）木桶原则
        指木桶的最大容积取决于最短的一块木板”，攻击者必然在系统中最薄弱的地方进行攻击。“木桶原则”也叫“全面原则”，有以两次层含义：

        首先，要全面地对保险信息系统的安全漏洞和安全威胁进行分析、评估检测和适度防护，这也是保险信息安全系统性的必然要求。信息安全管理措施包括管理措施和技术措施，要管理和技术兼顾，这一点与“三分技术、七分管理原则”原则具有相同含有。更有甚者将管理是贴切地比喻成木桶的底，底哪怕有一个小洞，水都会荡然无存！

        其次，强调信息安全不仅仅是信息技术部门的事情，而是IT部门和业务部门共同的使命与责任，所以我们要提倡“信息安全人人有责、信息安全人人参与”的口号，大家共同努力，营造一个安全高效的信息系统环境，进一步提升公司的竞争力。

        （五）系统原则
        指信息安全管理最重要的是建立完善的信息安全保障体系。信息安全保障体系是信息安全管理的基石，可以指导组织有效开展信息安全管理实践，推动信息安全管理水平的不断提升。
笔者认为，系统化的安全保障体系至少应包含安全目标、安全策略、安全管理和安全技术。在安全目标域应确定组织需要保护什么样的信息资产、面临什么样的威胁、需要实施什么样的保护等级，是建立信息安全管理体系的基础。在安全策略域应根据信息安全标准和业内最佳实践，并结合自身信息系统应用现状，制定信息安全策略，为信息安全管理指导方向。在安全管理域应建立符合国际标准的信息安全管理体系（ISO27001），向客户及利益相关方展示公司对信息安全的承诺，向政府及行业主管部门证明公司信息安全对相关法律法规的符合。在安全技术域应完善网络信任体系、安全防护体系、安全监控体系、应急恢复体系和安全审计体系五大体系，五个体系相辅相成，共同构筑一道完整的“技术防火墙”。

        （六）动态原则
        指所谓的“安全”，也只是相对的和暂时的；不存在一劳永逸的信息。保险信息化进程加快，应用系统升级换代和整合创新非常频繁，我们更应遵从PDCA模型，不断根据新的信息安全形势及时对信息安全管理体系进行优化调整。计划（plan）阶段，在全面的风险评估和调研的基础上建立与完善信息安全管理体系；实施（do）阶段，遵循标准制定落实安全管控措施；检查（check）阶段，监控和评估安全措施执行情况和效果，并持续跟踪信息系统环境变化；在优化改进（act）阶段，实施安全制度体系和技术体系的持续改进。
 

首页 上一页 1 2 3

扫码即可手机
阅读转发此文