保险信息安全管理理论与实践

国际标准化组织（ISO）对信息安全的定义为：为数据处理系统建立和采取的技术和管理安全保护，保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、篡改和泄漏。

        信息安全的基本属性是指信息、信息系统及其支撑环境的基本安全特性，基本属性归纳和定义如下：

        完整性（confidentiality）：信息在存储或传输过程中保持不被篡改、破坏和丢失的特性。

        保密性（integrity）：计算机系统不被非授权使用，信息不泄漏给非授权的个人、实体或过程利用或悉知。

        可用性（availability）：计算机系统和信息可被授权的合法实体访问并按要求使用，即当需要时能存取所需的信息。

        可核查性：（accountability）也称不可抵赖性，确保参与者的真实性,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。

        真实性（authenticity）:确保主体或资源的标识是其所声明的特性。

        可控性（controllability）: 对信息的传播及内容具有控制能力，能够抑制与期望行为和结果相背离的不良行为。

        一般来说，信息安全主要包括实体安全、运行安全和信息安全三方面。

        实体安全：指保护计算机设备、基础设施以及介质媒体免遭环境事故破坏的措施和过程。

        运行安全：指为保障信息系统功能的安全实现和服务的持续提供，而采取风险分析、监控与防护、审计与跟踪、备份与恢复、应急相应等安全措施来保护信息处理过程的安全。

        信息安全：指防止信息资产被故意或偶然的非授权泄漏、篡改、破坏，或使信息不被非法系统辨识和控制所采取的措施和过程，包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别等。

        信息安全最终标是让员工、客户、合作伙伴在安全可控的条件下实现对信息的快速、安全访问，提高企业的核心竞争力。站在信息安全本身的角度，信息安全的目标对非授权实体而言可通俗地概括为：进不来、拿不走、改不了、看不懂、跑不了。

保险信息安全面临的严峻形势
        信息技术是把“双刃剑”。保险业是信息密集型产业，信息化对保险业发展起着重要的支撑作用，信息技术逐步成为我国保险企业核心竞争力的重要组成部分，是促进保险业全面协调、可持续发展的动力源泉。随着保险信息化的逐步深入，各保险公司的业务运营和管理对信息系统的依赖程度越来越高，基于信息系统的各类保险业务处理、客户服务和管理决策系统在给保险机构带来高效运营的同时，也给企业带来各种与信息技术相关的科技风险。这些风险包括IT治理风险、合规风险、绩效风险和信息安全风险等几大类，其中信息安全风险是保监会的重要监管内容之一，也是各保险公司面临的长期课题和严峻挑战。

        从保险信息化本身来看，随着IT治理理念的不断深入，信息技术与业务深度融合的要求愈加迫切，新技术的应用改变了保险业传统的经营管理模式，同时信息安全的风险又和企业风险紧密相关，因此信息技术的深度应用给信息安全建设不断带来新的要求。一是保险业IT治理风险从信息技术应用风险控制到借助IT手段进行全面企业风险管控，随着保险业务范围的拓展和新产品不断推出，IT管理重点逐步覆盖多业务之间的风险平衡和业务的深度风险控制。二是为实现降低运营成本，提高运营效率，保险业大型综合运营中心建设步入高峰期，业务数据、应用系统和运营平台不断大范围、深层次升级扩容、无缝整合，业务系统、数据中心、呼叫中心不断集中和整合，大型综合运营中心建设仍将是未来一段时间保险信息化投资的热点。三是电子商务应用深化，信息系统建设新技术不断引进，虚拟化、云计算、绿色IT等新技术在保险信息系统得到越来越多尝试，如何及时管控因新技术的应用而衍生的信息安全风险，也是非常值得跟进和研究的课题。

 1 2 3 4 5 6 下一页 尾页

扫码即可手机
阅读转发此文