浅议保险业信息安全风险管理.docVIP

浅议保险业信息安全风险管理 　　摘 要：面对当前日益严峻的信息系统的信息安全需求，单靠技术手段是很难解决的，信息系统的信息安全问题更应从风险管理的角度来看待。遵照权威的信息安全相关标准，采用科学有效的方法进行全面的信息安全风险评估，依据风险评估结果对信息系统选择适当的安全措施，以妥善应对可能面对的威胁和可能发生的风险。 关键词：信息安全；风险评估；效用评估 对于保险企业来说，客户信息等同于“货币”。对于投保人而言，买保险本身就是为了规避风险，而如果因为保险公司信息不安全，造成投保人风险的扩大，势必会影响投保人的投保意愿，同时也将影响到保险公司的信誉和可靠度，这必将极大地制约保险公司的发展。因而研究保险行业信息安全风险管理有很强的理论意义和现实意义。 一、现状分析 目前保险行业信息安全风险管理主要存在以下问题： （一）人员设备资金等投入不足 全行业特别是各保险公司的高层人员对新时期的保险信息安全的认识不充分，重视程度不高，很多保险公司缺乏完善的信息安全规划，对信息安全的投入严重不足，导致安全防护措施和应急灾难备份和恢复设施严重滞后于信息系统的开发建设，同时，人员投入不足，技术储备和信息安全事件研判能力十分有限。保险业信息安全的抗攻击、防渗透能力较弱，很难抵御有组织，有预谋的技术攻击。 （二）缺乏完善的系统机制 俗话说“三分技术，七分管理”，但目前很多管理者只重视风险控制的技术问题。通过最近几年安全事件的调查研究，发现很多企业大都采用“灭火式”的处理方式，只是就事论事的解决出现的风险事件，而没有从流程、技术、人员三个层次进行信息安全管理的协调重视，没有制定一套可操作性强的、有效的应急措施。 （三）监管制度不完善 信息安全等级保护是行业监管的基本指引。2007年底，保险行业信息系统定级工作基本完成，等级保护工作在保险行业持续展开。但是等级保护本身仍旧存在很多问题。 （1）等级保护没有关注企业能力差别。大多数保险机构都被定在第一二级，没有很好的区分强弱企业。 （2）等级保护的评估数据存在盲信息。比如，相关人员通过问卷调查来采集评估数据，被访谈人员在填写调查问卷时会出现“报喜不报忧”的情况，这就在评估数据中引入了“盲信息”。另外，由于评估专家自身经验、情绪、心情等因素的影响，等级划分和量化评估得分结果容易失去客观性，造成评估过程出现盲信息。 二、改进措施和意见 针对于保险行业信息安全现状的不足之处，可以从四个方面提出改进措施。①加强管理者信息安全教育，提高管理者风险管理意识，明晰信息安全建设对企业发展的重要意义。②完善专家信息库和知识库，培养有风险管理经验的高素质人才，建立信息安全风险评估系统。③加强保险行业间、保险业与IT行业跨行业合作，共同建立安全保障策略，④加强制度建设，完善信息安全监管，从根源上杜绝信息安全漏洞的产生。本文主要就以下两点做出详细说明。 （一）建立公司的风险管理体系 信息安全风险管理应该是一个具有自我反馈和自我调节的反馈控制系统，主要包括以下四个环节：风险评估、风险控制、运行监控、应急恢复。 1.风险评估 信息安全风险管理的重点和难点是进行合适恰当的风险评估。风险评估主要包括以下步骤： （1）资产评估。明确信息资产评估范围，并对资产进行分类，定量资产价值评估。利用CIA公式进行计算： ，（α+β+γ=1） 其中，S表示资产安全价值，C表示保密性赋值，I表示完整性赋值，A表示可用性赋值。αβγ分别为保密性、完整性、可用性权重。 （2）威胁和脆弱性评估。列出详细的威胁因素和可能被利用的薄弱环节，以及二者可以导致的威胁、威胁会影响的资产或资产群、造成对资产和业务的损害以及对威胁发生的可能性进行的判定。 （3）识别现有措施。检查现有措施是否适用，是否能发挥应有的作用，同时，应该评估现有措施是否能够满足资产、威胁和脆弱性评估出的风险需求，以避免重复实施控制措施。 （4）利用VaR模型估计风险损失值。选择ClaytonCopula函数来描述威胁性与脆弱性变量之间的关系 ，其中 参数 可通过Kendall秩相关系数得到： 假设A表示信息资产价值；x表示信息资产脆弱损失率；y表示信息资产威胁损失率。依据VaR理论和Copula模型，设定信息系统风险评价模型为： 其中， 分别代表脆弱性、威胁性的权重， 是置信水平 下的风险损失值。 2.风险策略和安全措施 根据风险评估阶段中得到的资产风险评价结果，确定风险管理策略是采用自留、规避、转移还是接受风险，并对不可接受的风险采取相应的安全措施。制定合乎公司目前发展状况的风险控制政策，确定详细的风险控制计划，完善风险