太保：信息安全是管理更是服务

在信息爆炸时代信息安全问题日益凸显，作为企业的信息安全部门如何找准自身定位，平衡信息安全与业务发展的关系，并通过专业服务体现其自身价值，成为人们关注的新一轮热点话题。

企业信息安全管理“内”忧“外”患，面临挑战

        （一）移动、互联、分享已成为时代趋势
        众所周知，我们已处于互联的时代、移动的时代和分享的时代，人际间的沟通、信息的传播都与互联网、移动应用紧密相关。著名互联网分析师玛丽·米克尔在2013年5月29日AllThingsDD11大会最新发布的《互联网趋势报告》中指出，全球网民已达到24亿，互联网用户已超15亿，增幅约为30％；过去5年内，全球数字信息（文档、图片、微博消息）创作、分享增长9倍；中国网民2012年总量5 64亿，阿里巴巴2012年交易额超过1万亿，腾讯微信用户已达4亿，新浪微博用户已有5.3亿等。

        （二）信息安全事件频发，防范困难
        在享受着互联网、移动应用所带来的快捷、便利的同时，是否也意识到我们身处一个信息极不安全的时代。谁能料想2013年5月小学生丁锦吴在埃及神庙“到此一游”的签名会使他所读小学的网站被黑掉。一个简单的社会事件就足以引起信息安全事件，与此同时，全球还在爆发多起严重信息安全事件。例如，2012年5月“火焰”病毒在中东大范围传播，同年8月澳大利亚安全情报网站崩溃长达半小时；2013年1月墨西哥国防部网站遭黑客攻击，2月以色列门户网站Walla被黑、58万电邮等用户信息外泄，同月微软Azure云计算服务瘫痪，3月发生韩国遭受大面积网络攻击多家银行系统瘫痪、挪威最大电信运营商被商业间谍攻击、捷克遭受史上范围最广的网络攻击等多起事件，5月发现“短信诈骗幽灵”病毒、估计感染1000万Andriod用户等。
        
        （三）信息安全形势严峻，后果严重
        不但信息安全形势严峻，所造成的后果也非常严重。中国互联网信息中心发布的数据表明，超过9成网民遇到网络钓鱼，4500万网民受到经济损失；《2012年中国互联网安全报告》披露84．8％的网民遇到过网络信息安全事件，其中77.7％遭受损失；网安部门统计发现2012年全国。79％的网站存在高危漏洞、网络诈骗金额超过2800亿元，受骗人数达2.57亿。同时，金融业也不能幸免。2012年10月徐州警方破获特大网银盗窃案，两个月盗窃上千万；2012年4月福建程序员入侵证券公司后台；40万条股民信息在网上贩卖；今年2月和3月也分别有某保险公司近80万条保单可在网上随意查询，北京某保险公司业务员违法出售20多万条客户信息等。

        （四）各方关注，面临挑战
         在这样的背景下，社会和国家监管部门都非常关注信息安全问题。央视连续两年关注信息安全事件，新华时评指出，个人信息安全已成社会“揪心之问”；两会代表提出“不要让我们的隐私裸奔”，呼吁国家加强信息安全方面的立法工作。国家监管部门也相续出台多个监管要求，2007年出台信息安全等级管理办法、2008年出台保险行业的灾难恢复指引、2009年出台保险公司信息化指引、2010年五部委出台内控指引、2011年出台保险公司信息系统安全管理指引、2012年出台保险业IT服务管理基本规范、2013年出台全国人大常委会关于加强网络信息保护的决定等。

        （五）公司战略实施对信息安全提也新的挑战
        除了信息安全在全球形势的日益严峻、社会和国家的日益关注，信息安全在企业快速发展和变化的过程中，也不断面临新的挑战。太保正在实施以客户需求为导向的战略转型，从过去关注产品、销售、规模，转向关注客户、为客户创造价值、打造智慧保险。在此期间，公司大量采用新的技术手段来支持转型推动，比如采用PAD进行移动展业和服务、利用3G技术进行移动理赔等，这些新技术的应用都需要信息安全来支撑。

企业信息安全管理被委以重任，但也左右为难

        太保对信息安全非常重视，目前公司有三道防线，包括审计部门审计中心、风险法律合规和按照风险法律合规的要求和审计的要求，定期或者不定期开展自查和自纠的业务部门。IT也从分散走向了专业，一方面是为了更好地支持战略转型，另一方面也是为了加强信息安全风险防范。公司按照信息技术的规律成立了多个IT部门，包括成立专门的信息安全部门。对新成立的安全部门，各方面都寄予厚望，明确职责。比如，信息安全与内控管理部负责全司的信息安全战略、全司的信息安全要求、制订和改进信息安全标准、对全司信息安全状况进行监控、评估和管理信息安全的风险，以及提供信息安全顾问的要求等。

        在公司日常运作中，信息安全管理贯穿于业务发展始终，但信息安全管理往往与业务发展存在矛盾。比如信息安全部门希望引入业界最佳实践来规范工作，业务部门会产生与公司实际不符合、不可操作的抱怨；信息安全部门发布安全隐患，业务部门则会认为夸大了风险程度；信息安全部门提出项目开发安全要求，业务部门会认为这些要求影响了项目的进度、影响了项目上线；信息安全部门一旦加强安全管控，业务部门马上投诉影响了工作效率。这对信息安全部门而言，就是一个问题，如果简单迁就业务部门，信息安全就失职了，部门不能履行工作职责、实现公司对信息安全部门的期望。但是，如果信息安全简单管理的话，就会被扣上诸如“不支持业务发展，阻碍公司创新”的帽子。如何使得信息安全与业务发展相平衡，这是信息安全部门必须面对和解决的问题。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文