- 快捷搜索
- 全站搜索
保险公司应当建立完善的应急恢复体系,制定应急计划,加强应对突发事件的能力,通过预防性和恢复性措施的结合,把灾难或者安全事故所导致的破坏减少到一个可以接受的水平。建立应急恢复体系,应关注以下几方面:
做好应急措施准备。应充分调研各信息系统的现状,做好应急的技术上的准备工作;应定期组织检查信息系统各环节的备份情况,评估信息系统中存在的单点故障风险;保证重要节点必要的设备和软件备份。
制订应急预案。应针对各信息系统可能出现的单点故障和备份失效情况,制定应急预案。应急预案应具备完整、可操作。
定期实施应急演练。应定期实施应急演练,以验证应急预案正确性、应急资源有效性和人员适应性。同时,通过应急演练熟悉应急流程,检查应急条件的准备情况。
5)建立安全审计体系
为了保障网络和数据不被入侵、破坏、窃取和泄漏,各保险公司非常有必要建立完善的信息安全审计体系,综合运用各种技术手段,实时收集和监视系统状态、操作以及安全事件,以便实现集中报警、分析、处理。信息安全审计体系的建立,根据审计对象的不同,应该包含以下三个方面:
日志审计:通过 SNMP 、SYSLOG或者其他的形式从各种设备和系统中收集日志,进行统一管理、分析和报告。
主机审计:在服务器、桌面计算机或其他被审计对象中安装类似审计代理的客户端软件来进行审计,以发现安全漏洞、审计操作行为是否合法、监视上网行为和数据拷贝行为等。
网络审计:通过旁路和串接的方式实现对网络数据包的捕获和分析,尽可能发现各种不安全因素。
另外,安全审计体系应覆盖行为审计和内容审计。行为审计是用户的信息系统操作和使用行为进行审计。内容审计则更进一步,不仅要审计用户的操作行为,而且还要对行为的详细内容进行审计。
5、加强信息安全教育,培养保险信息安全文化
信息安全意识的薄弱,产生的“以自我为中心”、“以方便为准则”、“以快捷为目标”漠视信息安全的心理是十分危险的,恶意、故意或无知用户严重威胁信息安全。统计数据表明, 80%以上的企业信息安全事件都是因员工安全意识淡薄所造成的!信息安全技术不是万能的,提升员工信息安全意识,培养信息安全文化,才是保险信息安全保障最有效的手段。
加强员工信息安全意识教育,培养信息安全文化,就是要树立一种以保护信息为荣,泄露、窃取信息为耻的道德观念。科学技术的发展为信息的传递提供了极为便捷的条件,一个小小的U盘,就能轻易带走公司数量庞大的机密信息和客户资料!因此,公司的信息安全管理除了要具备健全的规章制度和周密的技术防护措施之外,培养员工良好的信息安全意识至关重要,否则再好的规章制度和和技术设施也会形同虚设。
新技术的应用改变了保险业传统的经营管理模式,同时信息安全的风险又和企业风险紧密相关,因此信息技术的深度应用给信息安全建设
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信