信息安全管理体系在保险公司实践.pdfVIP

信息安全管理体系在保险行业的实践 信息安全管理体系在保险行业的实践 本文编者：北京谷安天下科技有限公司 网 址： 地 址：北京市海淀区中关村南大街2 号数码大厦A 座806 电 话：010（北京） 021（上海） 0755（深圳） 0991-6999166 （新疆） 手 机 1 信息安全管理体系在保险行业的实践 信息安全管理体系在保险行业的实践 作者：牛志军 谷安天下咨询顾问 保险行业IT 简述 本部分仅就 IT 运营模式、业务系统、网络架构三个方面对保险行内的 IT 情况做了简 述，以便读者对保险公司的IT 管理情况有个初步了解。 保险公司的 IT 运营模式分为两种情况，一种是 IT 共享公司模式，整个公司或整个集 团建立和使用统一一个IT 团队，以平安为代表，一种是分散模式，即集团内各公司甚至各 公司下属的各级公司均建立自己的IT 团队。 保险公司的业务系统以车险系统、水险系统、非水险系统、再保系统、CALLCENTRE 系 统等为主要的业务系统，有些保险的业务系统是整合在一个系统中，这样可以充分的发掘和 利用业务数据。 在整个金融行业中，保险公司的网络架构更近似于一般意义的企业，不像证券、基金、 银行会有两张或多张网，保险公司大多为一张覆盖多级公司的城域网。造成这种情况的原因 与保险行业对IT 的投入有关。 保险行业是较早导入信息安全管理体系的行业，保险行业的代表公司平安是国内最早 通过信息安全管理体系认证的企业之一。通过信息管理体系的导入的实施，保险行业已解决 并正在解决一切困扰行业多年的信息安全问题。 一、ISMS 已解决的保险业信息安全问题 保险行业通过信息安全技术的实施，信息安全管理制度的实施，解决了大量具有普遍 性的信息安全问题，并形成了行业在信息安全管理方面的特色和管理优势。概要如下： 建立了比较详尽的在安全策略，并且总公司的各项IT制度会直接下放到各级分支机构。 在安全组织方面，结合保监会建立“网络安全工作小组”的要求，成立的信息安全组 织，由公司的主要领导担任组长及副组长，组员由主要业务部门、人力资源部门、稽核部门 及信息技术部门等部门组成。 在物理环境方面，机房建设按国家 A 类机房标准建设，符合国家的有关标准；机房实 现授权出入管理，出入计算机机房有严格的审批程序和出入记录，物理环境的防火、防水、 2 信息安全管理体系在保险行业的实践 空调、电力等基本达到安全要求。 建立了较合理的总公司与分支机构的网络基础架构，网络核心交换机与路由器双机容 错；公司重要的广域网接入专用线路都有冗余。 对网站采用了网页防篡改技术并定期进行检查，员工访问互联网进行了分级限制，外 来人员访问互联网有专用网段。 对员工PC 集中防病毒管理、集中补丁管理，定期对重要主机与网络设备进行安全检查。 在计算机信息系统开发、管理与应用上有相对比较清晰和明确的职责分工的要求，在 核心业务系统的设计、开发、测试环境基本能做到主机环境的分离，软件源代码通过版本控 制器集中进行管理。 重要业务系统和数据均有良好的备份措施，特别是进行了数据异地存放等工作。 IT 人员责任心强，工作勤勉，在超负荷的工作状态下能基本维持系统正常运行。 二、 ISMS 正在解决的保险业信息安全的问题 当前保险行业信息安全现状还有许多待改进与提高的地方，与国际标准和最佳信息安全 实践相比，还存在着一定的差距，特别是分支机构在资产管理、物理与环境安全、人力资源 管理、通信与操作管理、访问控制、软件开发等方面还需付出较大的努力。 以下对信息安全管理体系正在解决的保险行业信息安全