- 快捷搜索
- 全站搜索
二、信息安全工作存在的问题
经过多年的信息化建设,人寿股份信息安全建设取得了一定成绩,但也存在一些问题。
1.认识上存在误区
基层公司大多数人员在信息安全认识上存在误区。一是认为信息安全是信息人员的事,和其他人员没有关系。信息系统的特点决定了其脆弱性不可避免,信息安全的风险也必定存在,信息系统的使用是全员范围的,所以,保障信息安全也是全员的工作。
二是认为信息安全事件是指信息失密、信息篡改这类事件。其实,信息安全事件是指信息系统遭受攻击使得业务连续性不能得到保障的事件,而不管造成结果的原因为何,也就是说,信息系统因为各种原因不能提供服务的事件都是信息系统安全事件。
2.个别管理制度缺乏可操作性
人寿股份的信息制度经过几年的反复实践和不断修订,总体上来说具有较强的可操作性,但是个别管理制度仍有不足,如内部防火墙、内部安全域的访问控制策略(AcL)设置、IDS(入侵检测系统)报警策略,在制度层面上并没有严格的设置策略,都依靠管理员的理解和经验来设置。因为省公司层面很难做到非常了解应用开发的细节,又怕因为策略设置不当影响生产,为保障上线时间、简化测试工作量管理员往往采取比较宽松的策略,日积月累,必然会埋下信息安全的隐患。
3.分公司在制度的贯彻执行方面还存在不足
优秀的制度、实施细则需要人来贯彻执行,在执行的任何一个环节出现问题,制度都会变成一纸空文。分公司在制度执行上并非尽善尽美,尚有待改进之处。
4.节约成本,缩减人力投入和实际需要存在矛盾
保险企业和银行相比,信息系统复杂度未必逊色,但在IT人员的配备上有时竟有数倍之差。保险企业IT人力投入偏少,也是开展信息安全工作的一个症结。以IT审计为例,为保障审计的独立性,IT审计本不该由IT部门人员承担,但是,在保险企业审计部门设置单独的IT审计人员因各方面因素制约而无法达成。
5.弱化信息安全风险评估的作用
近年来,保险企业内部IT审计和漏洞扫描越来越趋向成熟和完善,但同时,信息安全风险评估在整个信息安全工作中的作用却逐渐被弱化。
6.信息系统技术和设计上的不完善
自计算机诞生和互联网问世以来,技术上的漏洞和设计缺陷就如影随行,这些缺陷存在于信息系统的各个层次,有可能被恶意用户利用,威胁信息系统安全。
7.网络互联方面的风险
虽然人寿股份新疆分公司采用内、外网物理隔离的方式以杜绝来自互联网的安全风险,但是随着企业业务的发展,企业网同互联网的连接越来越复杂,如果防范措施不够有效,恶意用户就容易利用漏洞侵入组织内部,从而引发信息安全事件。
三、信息安全防范对策
1.安全管理方面的对策
(1)推行信息安全标准化工作。标准往往是总结各种生产实践过程,提炼出的最佳实践方案。各个行业都有自己需要贯彻执行的标准,信息安全领域的国际标准和国家标准比较多,笔者以为有两个标准亟需推行。一是信息安全能力成熟度模型(Information Securitv Systems Engineering Capability Maturity Model,ISSE CMM),它是一种衡量信息安全系统工程能力的方法,主要用于指导信息安全工程的完善和改进。ISSE CMM把信息安全能力划分为5个等级,分别为非正规实施级、规划与跟踪级、充分定义级、量化控制级和持续改进级。等级越高,信息安全保障的能力就越高。
二是《计算机信息安全等级保护管理办法》,该办法是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统的条例和制度,它也把信息系统划分为5个安全保护等级,建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步信息安全设施,保障信息安全与信息化建设协调发展。如果人寿股份能获得以上两个安全标准三级以上的认证,安全保障能力必定能上一个新的台阶。从实现手段上来说,可以聘请专业的咨询公司帮助贯标和认证,如果所有应用系统同步获得认证有难度,也可以从几个核心系统开始循序进行。
(2)信息安全制度的制定、贯彻、执行要有激励措施。人寿股份的考核中有一项发现程序漏洞实行奖励的措施,发现工作流程和制度的漏洞从某个方面来说也许比发现程序漏洞更重要,所以也应该纳入考核奖励的范围。以期通过激励手段,最大限度地调动和发挥群众的主观能动性。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信