保险企业IT风险管控的三个关键.docxVIP

PAGE 1 PAGE 1 保险企业IT风险管控的三个关键  近年来，我国保险业信息化建设取得的成就有目共睹，IT已经成为推动保险业加速发展的重要动力，保险业对IT的依靠程度也越来越高。在IT集中管理的大趋势下，如何有效识别和掌握各类IT风险成为保险企业面临的重要问题。保险企业只有不断强化IT风险管控，加大信息安全投入力度，建立完善的风险管理体系，才能防范和化解IT风险，为保险业的持续健康发展夯实基础。  　　近年来，我国保险业信息化建设取得的成就有目共睹，IT已经成为推动保险业加速发展的重要动力，保险业对IT的依靠程度也越来越高。在IT集中管理的大趋势下，如何有效识别和掌握各类IT风险成为保险企业面临的重要问题。保险企业只有不断强化IT风险管控，加大  　　信息安全投入力度，建立完善的风险管理体系，才能防范和化解IT风险，为保险业的持续健康发展夯实基础。  　　一、风险识别，IT风险管控的前提  　　保险企业掌握IT风险的第一步是识别风险，这是风险管控的重要前提。值得强调的是，风险识别无法一次完成，它是一个需要不断重复的过程，贯穿于保险企业信息化建设的始终。鉴于我国保险业信息化发展水平和IT发呈现状，当前的主要IT风险有以下几个方面。  　　(1)物理风险  　　物理风险由机房环境风险、设施和设备风险组成。目前，保险企业基本上都实现了IT集中运营，机房规模浩大、状况复杂，其环境风险主要来自明火、灰尘、电力中断、过高的温度和湿度等潜在威逼。机房的空气掌握装置、消防系统、湿度掌握装置和不间断电源等设备的配备是否得当，影响到风险产生的可能性大小。设施和设备风险是指在设备的购置、使用、维护和存储管理过程中存在的风险，详细包括被盗、损毁、线路截获、电磁干扰等。  　　(2)系统风险  　　系统风险包括系统平台风险和应用系统风险。系统平台是保险企业全部应用系统的运行基石，操作系统和数据库的版本掌握不严、网络安全配置不规范、身份认证不严密、系统Et志功能未充分使用、防病毒能力不足等风险，都成为系统平台的安全隐患。应用系统风险主要有开发需求管理不善、权限管理随便、越权操作、数据加密措施不足、重要文件或数据丢失、外部系统掌握不当导致的非授权访问等。  　　(3)管理风险  　　管理风险主要是指运行风险和人员风险。信息系统正常运行管理中存在的风险，一般是由于安全措施不到位、缺乏综合性的解决方案导致的，如未对机房的出入做严格掌握、系统监控和维护能力不足、无应急预案应对突发事件、数据管理不善等；人员风险是指工作团队不稳定，出现人员流失，安全管理人才匮乏，以及团队成员沟通能力欠缺等状况。  　　二、风险分析，|IT风险管控的关键  　　经过风险识别可以发觉，我国保险企业IT应用正面临着较大的风险压力，要有效地实现风险管控，细致的风险分析是关键。进行风险分析，可以根据以下3个步骤来实施。  　　首先，全面分析各项风险的主要影响因素。评估这些因素对风险发生和发展的影响方式、方向、力度等一系列问题。了解这些影响因素，才能把握风险发展变化的规律，并对其制定应对措施，进行掌握。目前，对于保险企业来说，IT领域的软硬件配备不当、工作制度的设计缺陷、工作人员风险意识不足、执行不到位等是值得重视的主要影响因素。  　　其次，深入分析风险可能造成的后果及其严重程度。对估计后果形成清醒的熟悉，目的是要削减和消退风险可能给企业带来的不利局面。对于保险企业的IT部门，假如上述已识别的风险不能得到有效掌握，将可能出现主机宕机、网络瘫痪、服务中断、信息错误、数据被非法篡改等严重后果，直接影响到保险企业业务的正常开展。  　　最终，保险企业风险管控机构应通过风险评估，对已识别的风险进行重要性排序。最好能够聘请公司内外部专家参与风险评估，确定最为紧急的风险项目，以便采取进一步措施，制定合理的风险应对方案。保险企业要实现有效的风险管控，必需重点关注机房环境风险、系统平台风险、信息系统风险和运行安全风险。  　　三、风险应对，实施IT风险管控的根本  　　面对几乎无处不在的IT风险威逼，保险企业必需用理性、现实的态度来面对，制定合理的风险应对措施是防范和化解IT风险的根本。保险企业应着力落实以下5项应对措施，切实提高IT风险管控能力。  　　(1)组建健全的风险管控机构  　　IT风险管控不应是IT部门一个部门的工作，而应当上升为全员参与。保险企业应当成立由公司领导和各部门负责人组成的风险管控机构，该机构要制定出符合本公司需要的风险管控策略。保险企业定期组织跨部门安全工作会议，加强部门间信息安全工作的协同协作，保障