购物 手机

关于开展保险业信息系统安全检查工作的通知

2018-06-17 10:35:08
1466人阅读
导语:

摘要通过信息安全检查工作,分析网络与信息系统面临的风险,评估网络与信息系统的安全状况,查找薄弱环节和安全隐患,进一步强化信息安全意识,规范信息安全管理,提高保险信息系统的安全保障能力。

关于开展保险业信息系统安全检查工作的通知

各保险公司、保险资产管理公司:

为进一步强化信息安全意识,提高保险业信息安全保障水平,现将开展2007年保险业信息系统安全检查工作有关事项通知如下:

一、信息安全检查的目的、原则和范围

(一)信息安全检查的目的

通过信息安全检查工作,分析网络与信息系统面临的风险,评估网络与信息系统的安全状况,查找薄弱环节和安全隐患,进一步强化信息安全意识,规范信息安全管理,提高保险信息系统的安全保障能力。

(二)信息安全检查的原则

按照“谁主管谁负责,谁运营谁负责”的原则,遵循“统一领导、分级负责,周密部署、务求实效”的方针,突出重点,充分吸纳去年信息安全检查的成功经验,切实做好保险信息系统安全检查工作。

(三)信息安全检查的范围

各保险公司、保险资产管理公司。

二、信息安全检查的方式和具体内容

(一)信息安全检查的方式

以各公司自查为主,中国保监会将组织检查组进行抽查。中国保监会统计信息部负责全行业信息安全检查工作的组织领导,各公司负责各自的信息系统安全自查工作的组织实施。

(二)信息安全检查的具体内容

1、资产调查。对网络与信息系统的资产进行统计调查,并分析其重要程度。资产主要包括网络与信息系统相关的硬件、软件、服务、信息、人员等。

(1)确定自查范围。

(2)对相关资产进行分类。

(3)对资产重要性进行分析。

(4)统计网络设备、安全设备、大型服务器、存储设备、操作系统、数据库等关键资产及信息技术服务和信息安全服务的国产化率。

(5)外国供应商提供产品和服务情况。

资产调查和赋值方法参见附表1和附表2,外国供应商提供产品和服务情况参见附表3。

2、威胁分析。对网络与信息系统所面临的威胁进行分析。

(1)分析威胁来源,包括环境因素和人为因素等。

(2)对威胁进行分类。

(3)研究威胁发生的可能性。

(4)分析威胁的严重程度。

威胁分析和赋值方法参见附表4和附表5。

3、脆弱性分析。对自查对象存在的管理和技术薄弱环节进行查找、分析和归纳,对已有安全管理体系、安全措施进行核实和评价。

(1)规章制度:安全策略及管理规章制度是否健全,有关规章制度的制定、发布、修订及执行情况,对有关政策、法规以及行业监管责任的落实情况。

(2)安全组织与职责:安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理。

(3)人员管理:人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无特殊管理措施。

(4)体系结构:网络与信息系统的体系结构、各类安全保障措施的组合是否合理。

(5)网络安全:安全域划分、边界保护、内网防护、外部设备接入控制、内外网物理隔离等情况。

(6)设备和操作系统安全:网络交换设备、安全设备。主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。

(7)应用系统安全:数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况;关键应用系统开发过程中的质量控制和安全性测试情况。

(8)运维管理:设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况。

(9)数据安全:数据访问控制情况,服务器、用户终端、数据库等数据加密保护能力,磁盘、光盘、U盘和移动硬盘等存储介质管理情况,数据备份与恢复手段等。

(10)物理环境安全:机房安全管控措施、防灾措施、供电和通信系统的保障措施等。

(11)关键资产和服务管控:关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施。

(12)应急响应与灾难恢复:应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况,系统灾难备份措施情况。

脆弱性分析和赋值方法见附表6和附表7。

4、综合评估。根据上述检查结果,综合分析网络与信息系统的整体安全现状。

(1)对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性。

(2)分析安全事件发生后可能造成的后果及影响。

(3)分析网络与信息系统的整体风险状况,提出风险列表。

如果想了解相关法规解析和案例可关注佰佰安全网的安全说法频道。让你的生活更安心。

责任编辑:赵骏