保险信息安全管理理论与实践

        3、保险集团化管理，数据和业务系统逐步集中
        集团化、大型化、综合化是当今世界金融业的发展趋势。众多保险公司也顺应国际金融发展趋势，通过组建保险集团公司，实现规模扩张和资源整合，降低经营风险。集团化需借助信息技术手段， 实现管理信息化、数据集中化和服务一体化。目前，绝大多数保险公司已经完成数据的全国大集，部分保险公司已实现核保、核赔、财务、及客户服务等后援服务系统的大集中。数据和业务系统的大集模式也使得信息安全风险大大集中，高度集中的IT运营中心一旦出现安全事故，公司业务将大面积陷入瘫痪，影响和损失都将非常严重。

        4、信息安全投入不足，信息安全建设相对滞后
        保监会副主席李克穆指出，保险信息安全离保险业又好又快发展的要求仍有较大差距，并列举所了四个方面：一是全行业特别是各公司的高层人员对新时期保险信息安全的认识不充分，重视程度不高，缺乏信息安全规划，安全保障工作的整体性较差。二是信息安全的投入严重不足，安全防护措施滞后于信息系统的开发建设。三是信息安全管理制度仍然不健全，管理相对粗放。四是应急设施不完备，灾难备份与恢复工作较为滞后，应急管理机制不完善，演练不充分，应急处置能力有待加强。

        （二）遵循信息安全五项原则
        保险公司在信息安全管理中，应坚持对保险安全工作具有重要指导意义的五个原则：

        安全保障应用原则：信息安全保障保险应用，依附于保险应用；保险应用需要信息安全，依靠于信息安全。

        适度安全原则：安全是相对的，绝对安全是不存在的；安全是需要付出代价的，而代价的可承受不是无限度的。在整个保险行业信息安全投入非常低的情况下，把握适度安全的原则更具有现实意义。

        三分技术、七分管理原则：实现信息安全要依靠技术措施，更要依赖管理措施。据统计，在保险信息安全事件中，属于管理方面原因的比重高达70%以上，综合运用技术和管理手段，信息安全工作才能更全面有效。

        木桶原则：“木桶的最大容积取决于最短的一块木板”，攻击者必然在系统中最薄弱的地方进行攻击。因此，全面地对保险信息系统的安全漏洞和安全威胁进行分析、评估检测和适度防护，是保险信息安全整体性和全面性的必然要求。

        动态原则：所谓的“安全”，也只是相对的和暂时的；不存在一劳永逸的信息。保险信息化进程加快，应用系统升级换代和整合创新非常频繁，我们更应遵从PDCA模型，不断根据新的信息安全形势及时对信息安全管理体系进行优化调整。

        （三）建立信息安全管理模型

        （四）建立完善的信息安全保障体系
        要做好信息安全工作，最重要的是应首先建立完善的信息安全保障体系。信息安全保障体系是信息安全管理的基石，可以指导组织有效开展信息安全管理实践，保障信息安全保证工作的完备性和整体性，避免造成资源浪费和安全短板，推动信息安全管理水平的不断提升。

        经典的信息安全保障体系包括以下五个领域：信息安全目标、信息安全策略、信息安全管理、信息安全技术和信息安全运作。针对保险系统的特点，结合笔者长期信息安全工作实践，建议采取如图所示的信息安全保障总体框架。

                               

首页 上一页 1 2 3 4 5 6 下一页 尾页

扫码即可手机
阅读转发此文