- 快捷搜索
- 全站搜索
随着信息化建设的深入,企业对信息系统的依赖不断增强,信息系统的脆弱性不断暴露,如何规范越来越复杂的信息系统的安全保障体系,以及如何进行复杂信息系统的安全评估,成为企业信息化建设中的巨大挑战。省级保险公司在信息安全问题上会碰到一些与总部、数据中心、研发中心不同的个性问题,本文通过对人寿股份新疆分公司信息安全工作现状的介绍,就信息安全问题在基层保险公司实践方面做一些有益的探索,找出信息安全领域存在的问题并提出有针对性的解决方案。
一、信息安全建设过程回顾与现状分析
1.信息安全建设过程回顾
比起银行业金融机构的信息系统建设,保险公司起步较晚,底子较薄。以前的信息化建设目标更关注如何满足业务发展的要求,整个IT被动满足业务的发展需求。
2003年,人寿股份开始着手进行IT战略规划,对提高人寿股份整体IT规划水平起到了积极的作用;同年12月,人寿股份在美国上市;2005年,为满足美国上市公司监管和信息披露的要求,按照《萨班斯法案》404条款的规定,人寿股份开始了404项目,将IT审计的概念引入省级公司IT部门,省级公司IT人员首次接触IT审计,信息安全的概念开始融入IT部门的日常工作中;2007年,《中国人寿保险股份信息技术制度V1.1》颁布,完备的、可操作性较强的信息技术管理制度的出台,对完善信息安全管理体系起到了至关重要的作用;2009年,人寿股份PKI(Public Key Infrastructure)系统开始建设,且在人寿股份内部被命名为4A(Account账号管理,Authorization授权,Authentication认证,Audit审计)系统;2010年,4A系统在人寿股份总部、几个过渡数据中心、研发中心的推广全面完成。
2.信息安全体系建设现状介绍
信息安全的总体目标是确保信息的机密性、完整性、可用性、可审计性和抗抵赖性。信息系统安全包括以下四方面的安全:物理安全,指通过物理隔离实现信息安全;系统平台安全,指保护主机上的操作系统和数据库安全;网络安全,指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断;应用安全,指通过安全工具或策略来消除应用程序或工具在使用过程中可能出现的隐患。
图1展示了人寿股份信息安全体系的结构。从图中可以看出,信息安全的建设要从信息安全管理和技术两方面进行,两者相辅相成,缺一不可。其中,信息安全管理体系包含组织机构、岗位、人员、法律、人事、培训、安全管理、安全机制、安全策略、安全服务,技术体系包括防病毒、密码密钥、访问控制、防火墙、漏洞扫描、入侵检测、安全审计、系统监控。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信