• 快捷搜索
  • 全站搜索

完善安全体系迎接《网络安全法》

2017-06-30 16:28:53作者:中国保险信息技术管理有限责任公司技术部 李长征 编辑:金融咨询网
为全面把握信息安全风险,加强整体安全防护,中保信组织对国内外信息安全实践案例进行深入的调研,结合中国保信自身特点,制订了信息安全整体规划,不断加强信息安全体系建设。

中国保信始终将信息安全作为发展的生命线和基石,不断加快信息安全体系建设,通过了等保三级测评和国际ISO27001认证。随着《网络安全法》的正式实施,必将推动公司信息安全工作进入新阶段。

图片1.jpg
中国保险信息技术管理有限责任公司技术部 李长征 

信息安全体系建设取得显著成效

        当前,中国保信车险、农险、保单登记等多个平台发挥着重要作用,信息安全的重要性日益凸显。为全面把握信息安全风险,加强整体安全防护,公司组织对国内外信息安全实践案例进行深入的调研,结合中国保信自身特点,制订了信息安全整体规划,不断加强信息安全体系建设。

        1.明确信息安全工作目标

        中国保信信息安全工作全面贯彻国家有关信息安全法律法规和标准规范,落实监管机构的相关政策要求和工作指引,以业务数据和系统运行为核心保障信息安全,加强信息系统的内部管控,建立信息安全管理框架和安全基线,形成总体信息安全风险管理机制。

        2.制订信息安全整体规划

        为全面保障行业信息平台安全,我们于2015年启动了信息安全整体规划的编制工作,全面分析了公司的信息安全需求及风险,建立了公司整体信息安全规划体系,明确了未来3~5年的信息安全工作目标,制定了实施路线及总体计划。规划结合中国保信的使命和战略目标,从安全管理、安全组织、安全技术、安全运行等四个方面开展整体建设规划,对互联网、云计算、大数据等新技术的安全风险及应对策略进行分析,建立了一套完善的公司级信息安全保障体系。

        3.构建公司级信息安全管理体系

        中国保信建立了由公司总裁直接领导的信息安全管理委员会,实施强有力的跨部门信息安全协同机制,将信息安全管理决策上升到公司层面。紧紧抓住技术执行和合规内审两大中心,明确安全责任主体,筑牢管理、执行、审计的三道防线。

        在安全管理上形成了涵盖基础设施、应用安全、数据安全、开发安全、运维安全、风险处置和应急管理的全方位信息安全管理制度体系,紧紧抓住事前评估、事中监控、事后响应与恢复等核心管理环节,形成快速反应的应急响应和处置机制。

        4.推进多维度信息安全技术体系建设

        坚持“数据安全为核心,业务安全为关键,基础设施保障为基本”的思路,建立多维信息安全模型,强化边界安全、传输安全、应用安全、系统安全和数据安全建设,逐步丰富流量分析、堡垒机、数据库审计等多种类型的工具手段建设。自主建设了PKI/CA认证体系,实施生产与测试、办公等环境的物理隔离,快速建立了“两地四中心”的应用级灾备体系。

        在安全运行上,基于PDCA模型建立风险驱动的信息安全运行模式,从计划、执行、检查、改进各阶段保障信息安全运行架构持续优化。增强问题、事件、配置、变更等各环节的控制,完善运维监督、审计,提高运维人员安全意识,有效防范操作风险。强化与国家信息安全有关单位和专业安全服务机构的外部合作,建立强有力的外部支持体系。

全面落实《网络安全法》构建信息安全新体系

        《中华人民共和国网络安全法》的出台是我国网络安全工作中具有深远意义的重要里程碑。作为第一部专门规范网络安全工作的“基本大法”,该法即将于2017年6月1日起正式施行,我国信息网络安全工作将正式进入“有法可依、有法必依、执法必严”的新阶段。中国保信信息安全工作必将随着《网络安全法》的实施进入新的发展阶段。

        1.落实《网络安全法》,完善中国保信信息安全体系

        中国保信将进一步梳理并重构信息安全组织、制度、技术和运行体系,全面完善整个信息安全框架。一是全面落实重要信息系统和关键基础设施网络安全等级保护制度要求,梳理制度流程,以更高标准定期开展安全检测评估,保障行业关键基础设施安全稳定运行。二是加强网络安全监测预警及应急处置,采取有效措施,确保个人信息及行业大数据安全,实现全天候全方位威胁感知和有效防护。三是加强网络安全专业队伍培养建设,建立一支能力卓越、反应迅速、安全可靠的网络安全支撑队伍。

图片2.jpg
图 中国保信信息技术安全保障体系

        2.贯彻《网络安全法》,加强法规培训和宣导工作

        《网络安全法》对所有网络参与者、建设者、使用者的行为,明确了权利、义务和责任要求,关系到中国保信每一名员工。知法懂法是保证法律贯彻落实的基础,必须要做好《网络安全法》的宣传普及。中国保信将积极推进我司及保险行业《网络安全法》培训和宣传,使每个人都学法、知法、懂法、守法,让网络安全概念深入人心,提高信息安全意识,规范网络信息传播秩序,做好网络安全基础保障工作,形成全公司及相关合作伙伴共同参与并促进网络安全的良好环境。

        3.围绕《网络安全法》,推进保险行业协同安全建设

        中国保信运营的各类行业平台是我国保险乃至金融领域的关键信息基础设施,连接着全行业每一家保险公司以及保险生态相关的单位。中国保信的信息安全不仅要应对自身面临的信息安全威胁,还必须正视全行业面临安全威胁的延伸,挑战和任务十分艰巨。我们必须充分认识到信息安全已经不是一家机构的孤立行为,必须推动行业级信息安全体系构建,有效实施行业级安全态势感知,加强行业协同安全建设,才能整体提升信息安全保障能力和水平。中国保信将秉承服务行业的使命,围绕《网络安全法》要求,全力配合国家信息安全主管部门和行业监管单位,积极了解行业网络安全诉求,完善网络与信息安全标准体系,深入新技术网络安全问题研究,协同推进保险行业网络安全建设。

(文章来源:金融电子化杂志) 

扫码即可手机
阅读转发此文

本文评论

相关文章