保险信息安全管理理论与实践

        在后面的章节中，笔者将针对信息安全保障框架，就建立保险信息安全保障体系的几个重点领域提出相关建议。

        1、制定信息安全目标
        信息安全目标确定了组织需要保护什么样的信息资产、面临什么样的威胁、需要实施什么样的保护等级，是建立信息安全管理框架的基础。各保险公司应充分了解组织的信息资产，发现信息资产所处的风险环境，才能在此基础才能制定出合理的安全政策和制度、定义出合理的安全投资规模和计划。

        制定信息安全目标，一是要梳理信息资产。各保险公司信息安全的目标是为保护信息资产，所有信息安全的活动是从信息资产的识别开始并围绕信息资产展开的，信息资产的差异会导致信息安全管理方法和思路有所不同。根据作者的经验，保险信息资产可分为以下四大类：

        信息：信息系统输入、处理和输出的所有形式的数据，包括保单业务数据、客户信息，公司OA、邮件、法律文档、打印材料等办公信息。

        应用系统：处理信息的自动化用户系统及程序，包括保险业务系统类系统、客户管理类系统、数据分析类系统、办公支持类系统等。

        基础设施：保障应用系统处理信息所需的技术和设施，包括各公司的硬件、网络、操作系统、数据库系统等，以及部署、支持上述技术和设施的环境（如机房）等。

        相关人员：规划与组织、获取与设施、交付与支持、监控与评价信息系统和服务所需的IT人员，以及使用信息及信息系统的非IT人员。

        制定信息安全目标，二是要分析信息资产面临的威胁。信息资产的安全保障措施由信息资产的价值即其所面临的威胁共同决定。保险信息资产面临的威胁可归为以下三类：

        应用和系统中断：应用和系统中断，不能正常提供服务。可能的原因有软硬件故障、机房灾难、大面积病毒感染、网络瘫痪、拒绝服务攻击、网站被黑等。

        数据丢失和篡改：可能的原因有软硬件故障 、机房灾难、黑客攻击、木马软件、员工操作错误、越权或滥用等

        商业机密失密：可能的原因有木马软件、恶意盗取、无意丢失、无限制copy、随意打印等。

        2、制定信息安全策略
        信息安全策略是描述一个组织要实现其信息安全目标而制定的一组规则，是信息安全管理的基本方针、基本指导原则和行为规范。

        各公司应依照国家相关政策、国家监管部门各项信息安全文件要求，根据信息安全标准和业内最佳实践，并结合自身信息系统应用现状，制定信息安全策略，为信息安全管理指导方向。

        在制订信息安全策略前，应充分调研信息系统的使命、信息资产的分类及重要性、信息资产面临的威胁和国家监管部门对信息安全的监管要求等情况，并通过对信息的综合分析和评估，最终计算出组织实际的安全风险等级，有针对性制定安全策略。在制定信息安全策略时，要把握以下要点：

        指导性：信息安全策略是信息安全的基本指导原则，是组织保证信息安全途径的指导性文件，应能对信息安全工作起到全局性的指导作用。

        原则性：信息安全策略不涉及具体的信息安全技术细节,而是为实现信息安全目标提供一个全局性的宏观框架结构。

        可行性：信息安全策略必须基于现实技术条件之上，既要符合现实业务状态，又要具有前瞻性，能适应将来一段时间内的业务发展要求。

        3、建立符合国际标准的信息安全管理体系
        复杂多变的信息安全形势、层出不穷的信息安全风险和不断变化的IT应用环境，给信息安全带来了巨大的挑战。要从根本上解决公司面临的信息安全问题，非常有必要按照信息安全“三分技术，七分管理”的指导思想，着眼于信息安全管理的体系化和标准化，按照国际先进的信息安全管理标准IOS27001建立组织完整的信息安全管理体系。

        建立符合ISO27001标准的信息安全管理体系，也是保险信息化工作标准化的需要。保险信IT 服务的变革正以面向客户为中心，朝着规范化、绩效化、标准化的方向发展。随着IT 服务逐渐走向标准化进程，很多保险公司逐步在越来越多的IT服务领域做出战略性的规划与调整，希望借助标准化流程体系来规范公司的业务运作模式，在符合成本效益原则的条件下建立公司符合高质量、低风险、高标准的IT 运营管理体系，而引入ISO27001信息安全管理国际标准体系，是IT服务标准化的重要组成部分。

首页 上一页 2 3 4 5 6 下一页 尾页