it运营风险评估资料.pdfVIP

terence@ 内部控制与全面风险管理俱乐部 风险评估在 IT 运营管理中的应用 摘要 本文概括性阐述了风险评估工作在保险类行业中的运营管理模式，简要说明了风险评估 工作中所包含的几个基本工作阶段和各阶段所需要注意的项目要点，在如何把风险评估工作 的各项流程融合到企业 IT 治理的大环境、大框架中，如何使用风险控制的管理思路，改善 企业 IT 基础架构的运营方面，做出了一定的探索和思考。 1、项目背景 太平人寿保险有限公司是经国务院同意，中国保险监督管理委员会批准的第六家全国性 寿险公司，自从 2002 年全面恢复国内经营人身保险业务以来，被誉为中国保险界的一颗新 星。 随着国家近年来对保险市场的大力推动和发展，保险行业开始进入迅猛发展的阶段。作 为企业正常业务支撑基础设施的 IT 基础架构，也面临着新的挑战。一方面 IT 基础设施在企 业业务开展的过程中作用越来越重大，大量的核心和支持业务系统都运行在 IT 设施上；另 一方面，IT 设施的建设也必须能够迅速平稳的发展，才能够稳健的支持企业传统业务的升 级和新业务的拓展。在这样的前提下，IT 设施的运营保障开始成为企业巩固和发展的核心 议题之一，诸如 IT 安全保障和业务持续性计划之类的问题成为 IT 系统运营管理方面的主要 任务。 为了对太平人寿的信息安全建设进行整体的规划，太平人寿经过长时间的调研、考察和 交流，最终选择了天融信网络安全技术有限公司作为未来在信息安全方面的合作伙伴，并且 和太平人寿共同做好风险评估、风险控制和安全战略规划等方面的工作。在本次项目中，天 融信公司作为太平人寿的安全顾问对现有的信息系统进行了一次全面的安全风险评估，通过 这次安全评估，充分分析了太平人寿目前安全现状和现有信息系统中存在的各种安全风险， 并以此为依据和太平人寿共同制定了未来几年信息安全规划。 2、组织现状 太平人寿保险有限公司是一家全国性的寿险经营企业，在国内复业几年以来，迅速根据 国内的市场情况推出了多种保险受理业务，遍布全国的分支机构也发展到数十个。在公司业 务发展和开拓的过程中，IT 基础设施良好的支撑公诉主要业务的运作，同时随着业务发展， IT 基础设施的建设也在迅速扩展，并且越来越深的结合到企业的核心业务运营过程中。到 今天，太平人寿已经建立了横跨全国十几个城市的广域网络，实现了各地营业部的业务数据 集中化管理，建立了一个数据中心，包含数十个业务系统和上百台台服务器，并且目前正在 开放•分享•共赢 第 1 页，共 12页 呆瓜梁山伯工作室 terence@ 内部控制与全面风险管理俱乐部 紧锣密鼓的进行业务持续性计划的建设中。 作为一家寿险公司，太平人寿的主要业务是为客户提供人寿保险服务，为保障业务的快 速发展，适应市场的激烈竞争，必须大力推进信息化建设。通过普遍采用 IT 技术让自动化 运营流程替代手工流程，逐步实现运营大集中和业务管理及决策信息化。总而言之，太平人 寿对信息技术的依赖性将越来越高。 在企业发展的过程中，太平人寿管理层早已已充分认识到信息安全的重要性，并意识到 信息安全不仅仅是负责 IT 工作的部门的责任，也是公司所有部门、员工的责任，因此之前 太平人寿在 IT 管理和信息安全方面也做了很多工作。 在管理制度方面，太平人寿制定了《太平人寿信息系统安全管理办法》、《太平人寿计算 机网络管理暂行规定》、《太平人寿机房管理暂行规定》、《太平人寿计算机病毒防范管理办法》 和《太平人寿邮件系统管理办法》等信息安全管理制度。 在信息系统架构上，太平人寿的业务信息系统采用了数据大集中的模式，这种模式的好 处在于，业务数据集中，通过有效的安全措施可以确保的数据的一致性和完整性，对公司业 务的快速拓展提供了有力的支持。 在业务系统生命周期管理上，子业务系统在平台的选取上多数采用 UNIX / Linux + Oracle 的架构，此架构保证了