中国保险监督管理委员会关于开展保险业信息系统安全检查工作的通.pdfVIP

中国保险监督管理委员会关于开展保险业信息系统安全检查工作的通知 发文单位：中国保险监督管理委员会 文 号：保监厅发〔2007 〕28 号 发布尔日期：2007-6-6 执行日期：2007-6-6 各保险公司、保险资产管理公司： 为进一步强化信息安全意识，提高保险业信息安全保障水平，现将开展 2007 年保险业信息系统安全检查工作有关事项通知如下： 一、信息安全检查的目的、原则和范围 （一）信息安全检查的目的 通过信息安全检查工作，分析网络与信息系统面临的风险，评估网络与信息 系统的安全状况，查找薄弱环节和安全隐患，进一步强化信息安全意识，规范信 息安全管理，提高保险信息系统的安全保障能力。 （二）信息安全检查的原则 按照 “谁主管谁负责，谁运营谁负责＂的原则，遵循 “统一领导、分级负责， 周密部署、务求实效＂的方针，突出重点，充分吸纳去年信息安全检查的成功经 验，切实做好保险信息系统安全检查工作。 （三）信息安全检查的范围 各保险公司、保险资产管理公司。 二、信息安全检查的方式和具体内容 （一）信息安全检查的方式 以各公司自查为主，中国保监会将组织检查组进行抽查。中国保监会统计信 息部负责全行业信息安全检查工作的组织领导，各公司负责各自的信息系统安全 自查工作的组织实施。 （二）信息安全检查的具体内容 1、资产调查。对网络与信息系统的资产进行统计调查，并分析其重要程度。 资产主要包括网络与信息系统相关的硬件、软件、服务、信息、人员等。 （1）确定自查范围。 （2 ）对相关资产进行分类。 （3 ）对资产重要性进行分析。 （4 ）统计网络设备、安全设备、大型服务器、存储设备、操作系统、数据 库等关键资产及信息技术服务和信息安全服务的国产化率。 （5 ）外国供应商提供产品和服务情况。 资产调查和赋值方法参见附表 1 和附表 2 ，外国供应商提供产品和服务情况 参见附表 3. 2 、威胁分析。对网络与信息系统所面临的威胁进行分析。 （1）分析威胁来源，包括环境因素和人为因素等。 （2 ）对威胁进行分类。 （3 ）研究威胁发生的可能性。 （4 ）分析威胁的严重程度。 威胁分析和赋值方法参见附表 4 和附表 5. 3、脆弱性分析。对自查对象存在的管理和技术薄弱环节进行查找、分析和 归纳，对已有安全管理体系、安全措施进行核实和评价。 （1）规章制度：安全策略及管理规章制度是否健全，有关规章制度的制定、 发布、修订及执行情况，对有关政策、法规以及行业监管责任的落实情况。 （2 ）安全组织与职责：安全组织体系是否健全，管理职责是否明确，安全 管理机构岗位设置、人员配备是否合理。 （3 ）人员管理：人员的安全和保密意识教育、安全技能培训情况，重点、 敏感岗位人员有无特殊管理措施。 （4 ）体系结构：网络与信息系统的体系结构、各类安全保障措施的组合是 否合理。 （5 ）网络安全：安全域划分、边界保护、内网防护、外部设备接入控制、 内外网物理隔离等情况。 （6 ）设备和操作系统安全：网络交换设备、安全设备。主机和终端设备的 安全性，操作系统的安全配置、病毒防护、恶意代码防范等。 （7 ）应用系统安全：数据库、WEB 网站、日常办公和业务系统等应用的安 全设计、配置和管理情况；关键应用系统开发过程中的质量控制和安全性测试情 况。 （8 ）运维管理：设备、系统的操作和维护记录，变更管理，安全事件分析 和报告；运行环境与开发环境的分离情况；安全审计、补丁升级管理、安全漏洞 检测、网管、权限管理及密码管理等情况。 （9 ）数据安全：数据访问控制情况，服务器、用户终端、数据库等数据加 密保护能力，磁盘、光盘、U 盘和移动硬盘等存储介质管理情况，数据备份与恢 复手段等。 （10）物理环境安全：机房安全管控措施、防灾措施、供电和通信系统的保 障措施等。 （11）关键资产和服务管控：关键资产采购时是否进行了安全性测评，对服 务机构和人员的保密约束情况，在服务提供过程中是否采取了管控措施。 （12）应急响应与灾难恢复：应急响应体系（应急组织、应急预案、应急物 资）建设情况，应急演练情况，系统灾难备份措施情况。 脆弱性分析和赋值方法见