加快建立信息安全體系
2007-06-19 來源:中國保險報 文字:[
大 中 小 ]
保險業(yè)的信息安全以往是比較容易疏忽的問題,主要是由于回報不容易直觀計算��,投資決策有一定難度��,而且與銀行業(yè)相比����,保險業(yè)面臨的安全風險似乎要小得多。但隨著保險業(yè)信息化的發(fā)展��,信息安全形勢也日趨嚴峻。
目前�����,保險業(yè)的信息安全面臨新的挑戰(zhàn)�����。一方面由于數(shù)據(jù)的集中處理和集中存放��,使得一旦發(fā)生故障產(chǎn)生的損失會比以前數(shù)據(jù)分散的情況下產(chǎn)生的損失大得多�����;另一方面保險業(yè)務(wù)從專用網(wǎng)絡(luò)擴展到互聯(lián)網(wǎng)和無線網(wǎng)�����,使得保險業(yè)的網(wǎng)絡(luò)面對外部黑客的威脅和病毒的侵害��。這些安全威脅一旦給保險業(yè)造成損失�,將不僅影響到保險公司本身,而且可能會涉及到國家金融系統(tǒng)的安全��。
信息安全風險日益嚴重
據(jù)中國國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)的統(tǒng)計報告顯示��,2005年CNCERT/CC共收到國內(nèi)外通過應(yīng)急熱線����、網(wǎng)站、電子郵件等報告的網(wǎng)絡(luò)安全事件12萬多件��,與2003年相比數(shù)量增長了十倍�����。全球范圍內(nèi)的信息安全形勢也同樣不容樂觀�。2003年2月,日本最大的寬帶網(wǎng)接入服務(wù)提供商軟銀公司互聯(lián)網(wǎng)服務(wù)數(shù)據(jù)庫中的452萬名用戶資料被泄漏����,據(jù)估花費了40億日元賠償損失。2005年6月����,萬事達公司宣布4000萬信用卡用戶的信息可能被竊,共涉及1390萬名萬事達卡客戶���、2200萬名維薩卡用戶以及數(shù)量不詳?shù)拿绹\通和Discover卡用戶���。以上種種事例都表明保險業(yè)面臨的信息安全風險日益嚴重�。
對此國家非常重視�,“十五”期間,國家陸續(xù)頒布了《計算機信息系統(tǒng)安全保護條例》���、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》�����、《商用密碼管理條例》和《電子簽名法》等一系列信息安全法律法規(guī)�,全國信息安全標準化技術(shù)委員會也陸續(xù)推出了《GB/T 19716-2005 信息技術(shù) 信息安全管理實用規(guī)則》等一系列信息安全標準����。2005年黨的十六屆五中全會就明確指出要“健全信息安全保障體系,實現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展”�,并在2006年-2020年的國家信息發(fā)展戰(zhàn)略中將信息安全建設(shè)作為重要的組成部分。
隨著國家信息安全法制建設(shè)和標準化建設(shè)等基礎(chǔ)環(huán)境建設(shè)的不斷加強�����,對保險業(yè)信息安全保障的要求也日趨嚴格����。為了進一步加強保險業(yè)信息安全保障工作,保監(jiān)會專門下發(fā)了《關(guān)于進一步加強保險系統(tǒng)信息安全保障工作的通知》,并采取了一系列措施來落實此項工作����。同時���,在保監(jiān)會發(fā)布的《中國保險業(yè)發(fā)展“十一五”規(guī)劃信息化重點專項規(guī)劃》中將信息安全保障工作提到了相當?shù)母叨�,將“信息安全保障工作切實加強����,信息安全保障體系逐步完善”列為發(fā)展目標,把“構(gòu)建信息安全保障體系”作為下一步工作的主要任務(wù)�����。太平洋保險集團作為保險業(yè)的重要一員���,已經(jīng)注意到信息安全的重要性���,并已經(jīng)采取了應(yīng)對措施。
保障信息安全的最佳之策
面對復雜的內(nèi)外部形勢���,太平洋保險集團經(jīng)過多年信息化建設(shè)和安全管理實踐��,認為只有建立健全信息安全體系��,依托機制保障����,融合技術(shù)與管理,形成合力����,才能有效應(yīng)對信息安全風險。
信息安全體系是安全組織����、安全管理和安全技術(shù)的緊密結(jié)合,缺少了其中任何一個要素����,都無法實現(xiàn)公司既定的信息安全管理目標。
安全組織是指企業(yè)內(nèi)部的信息安全管理組織�����,它負責信息安全體系的管理�����、實施和監(jiān)督。安全組織不是一個孤立的組織����,它的工作目標需要通過企業(yè)各部門的密切配合才能實現(xiàn)。舉例來說�,對數(shù)據(jù)的授權(quán)需要由業(yè)務(wù)流程負責人審批后才由信息安全人員具體執(zhí)行,少了業(yè)務(wù)部門的配合��,授權(quán)管理便無法真正實現(xiàn)��。此外���,在我們的實際工作中,由于個別員工安全意識薄弱��,未采取一些基本的安全措施���,導致個人電腦被惡意代碼攻擊的事例也時有發(fā)生����。因此�,除了安全組織外,公司的每個員工都應(yīng)切實履行信息安全職責��。
安全管理是指制定和執(zhí)行公司信息安全策略、標準與指導方針�����、流程和指南�����。安全策略是根據(jù)公司信息安全原則制定出公司信息安全管理的目標和方向���,以滿足公司不斷發(fā)展的業(yè)務(wù)需求���。安全標準與指導方針是在安全策略指引下,針對信息安全具體工作內(nèi)容制定的標準和規(guī)范��。安全流程和指南是根據(jù)實際工作開展的需要��,將安全策略分解到明細的規(guī)定和執(zhí)行流程的步驟�����。在策略�����、標準和流程制定后,安全管理的另一項工作就是負責落實�。
安全技術(shù)是指通過一系列技術(shù)手段來保證安全管理目標的實現(xiàn),是整體信息安全體系中技術(shù)層面的內(nèi)容���。安全技術(shù)非常多且在不斷的發(fā)展中�,目前大家熟知的有:IDS入侵檢測技術(shù)�����、Firewall防火墻技術(shù)�、防病毒技術(shù)�、加密技術(shù)和認證技術(shù)等等。安全技術(shù)運用的關(guān)鍵是根據(jù)公司實際需要選擇合適的技術(shù)在成本合理的前提下達到公司信息安全管理目標�����。
那么�����,信息安全體系如何協(xié)同工作�、發(fā)揮作用呢?我們就拿企業(yè)防病毒管理舉例來說:盡管很多企業(yè)都部署了企業(yè)級防病毒軟件��,但病毒感染事件仍時有發(fā)生,甚至部分企業(yè)遭受重大影響���。為什么呢����?仔細研究后不難發(fā)現(xiàn)�����,這些企業(yè)只是簡單的部署了防病毒產(chǎn)品并沒有建立起完整的防病毒管理體系�。真正的信息安全體系應(yīng)該是這樣協(xié)同運轉(zhuǎn)的:首先,企業(yè)應(yīng)該有專門的安全組織負責病毒預警和病毒感染事件處理���,并且建立起行之有效的病毒事件響應(yīng)機制���。其次,在管理上制定公司防病毒管理規(guī)范和標準��,并通過信息安全教育使員工提高防病毒的意識和能力�。最后,在技術(shù)上統(tǒng)一部署防病毒系統(tǒng)并定期升級病毒特征碼�,在病毒出現(xiàn)時由專人處理,以有效地控制病毒的破壞程度��。只有這種人、管理���、技術(shù)三位一體的信息安全體系才能有效保障公司的信息安全����。
如何與實際需要相結(jié)合
信息安全體系建設(shè)如此重要���,那如何才能構(gòu)建一套符合實際需要的安全體系呢�����?從太保集團的實踐來看�����,在公司2002年信息技術(shù)戰(zhàn)略規(guī)劃中就明確提出要“建立企業(yè)的IT安全體系,為信息化建設(shè)中的IT安全提供原則和指導���,滿足CPIC當前和長期的IT安全性需求����,保護公司的信息資產(chǎn)”�����,目標就是建立全公司的信息安全體系,在內(nèi)容上涵蓋IT安全組織�����、IT安全管理制度以及IT安全技術(shù)三部分內(nèi)容�。
在建設(shè)過程中,太保集團以國標《GB/T 19716-2005 信息技術(shù) 信息安全管理實用規(guī)則》為指導����,根據(jù)信息安全建設(shè)的通用方法,有步驟�、有系統(tǒng)地推進信息安全體系的建設(shè)。從工作步驟上看���,可劃分為:評估�、規(guī)劃����、設(shè)計、實施和運維五個部分內(nèi)容��。
評估工作的目的是明確信息安全現(xiàn)狀和安全需求���,通過對現(xiàn)有信息安全管理制度和基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)的評估�,了解信息資產(chǎn)存在的威脅和漏洞,從而確定預防風險的應(yīng)對措施��。
規(guī)劃工作的目的是完成信息安全體系及其核心組件的高端解決方案設(shè)計�。
設(shè)計工作的目的是完成信息安全體系的詳細設(shè)計,包括:開發(fā)IT安全管理制度���,建立安全組織���,設(shè)計IT基礎(chǔ)設(shè)施安全架構(gòu)、應(yīng)用安全架構(gòu)等��,獲取并定制安全產(chǎn)品���,并制定現(xiàn)存技術(shù)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的改造方案��,以便達到安全控制的要求�����。
實施工作的目的是在全司范圍內(nèi)進行信息安全體系的試點實施和推廣工作,包括:新的策略���、標準����、流程的宣導,改造現(xiàn)有的技術(shù)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)等����。
運維工作的目的是對信息安全體系進行持續(xù)管理、執(zhí)行���、監(jiān)控�、改進�,并且根據(jù)業(yè)務(wù)發(fā)展及定期風險評估的結(jié)果,更新信息安全體系����。
建立信息安全體系的意義
建立健全信息安全體系對太平洋保險集團的發(fā)展意義重大。首先����,此體系的建立將提升信息技術(shù)平臺的可靠性。信息安全體系建設(shè)是公司信息化建設(shè)中的重要環(huán)節(jié)�����,必將大大提高信息基礎(chǔ)平臺的安全性和可靠性,使其更好地服務(wù)于公司的業(yè)務(wù)發(fā)展���。其次���,通過信息安全體系的建設(shè),可有效提高對信息安全風險的管控能力���,增強信息安全事件處理的有效性���, 降低數(shù)據(jù)被非法修改和使用的風險,持續(xù)保護公司信息資產(chǎn)����;同時提高客戶和業(yè)務(wù)合作伙伴對公司的信任度。最后�,信息安全體系的建立將使太平洋保險集團在信息安全保障方面與國際先進水平接軌,從而為太平洋保險集團參與國際競爭�、成長為國際化金融控股集團提供有力的技術(shù)支撐。(張海斌)
文字:[
大 中 小 ] [
打印本頁] [
返回頂部]
