金融保险网络安全合规技术白皮书（2022).pdfVIP

金融保险网络安全合规技术白皮书 （2022年） 清华大学金融科技研究院 金融安全研究中心 北京华清信安科技有限公司 2022年10月 目录 1. 保险行业网络安全概述1 1.1. 网络安全形势分析2 1.2. 安全合规形势分析3 2. 网络安全等级保护概述5 2.1. 基本概念5 2.1.1. 等级保护基本概念5 2.1.2. 等级保护体系框架5 2.1.3. 等级保护工作内涵6 2.1.4. 等级保护工作流程6 2.1.5. 等级保护工作必要性8 2.2. 政策和标准体系9 2.2.1. 国家政策和标准9 2.2.1.1. 网络安全等级保护政策体系10 2.2.1.2. 网络安全等级保护标准体系11 2.2.2. 保险行业政策和标准13 3. 等级保护实施方案15 3.1. 方案概述15 3.1.1. 实施框架15 3.1.2. 实施原则15 3.2. 等级保护定级17 3.2.1. 定级方法论18 3.2.2. 定级流程21 3.2.3. 定级环节工作内容21 3.2.4. 定级环节主要工作成果22 3.3. 等级保护备案22 3.3.1. 备案流程23 3.3.2. 备案工作内容23 3.3.3. 备案工作成果24 3.4. 建设整改24 3.4.1. 建设整改流程26 3.4.2. 建设整改工作内容27 3.4.3. 建设整改环节交付成果32 3.5. 等级保护测评33 3.5.1. 测评方案34 3.5.2. 测评辅助45 3.5.3. 辅助测评工作内容46 3.5.4. 辅助测评主要工作成果47 3.6. 运行与检查47 3.6.1. 自查与监管检查48 3.6.2. 运行检查工作成果48 3.7. 其它安全运维工作48 3.7.1. 定期漏洞扫描49 3.7.2. 定期渗透测试50 3.7.3. 应急响应51 3.7.4. 安全加固52 3.7.5. 安全培训53 《金融保险网络安全合规技术白皮书 （2022）》 编写人员名单 总编辑 周道许 主编 田新远 执行主编 徐制宇 编辑 刘志勇 李 玲 傅裕兴 第 1 页 1. 金融保险网络安全合规 1.1. 网络安全形势分析 随着网络攻击方式的不断演进，网络安全形势不容乐观。具体表现为：一方 面，网络攻击事件频发，对社会稳定、生产运行、人民生活造成深远影响；另一 方面，新技术、新场景的网络威胁日益增多，利用安全漏洞实施链式攻击更加频 繁。 即便是安全防御提升，加大了网络攻击难度，但网络攻击者通过多种手段设 法 “规避”、 “绕过”网络安全防线，达到网络攻击入侵目的。尤其是在利益驱 动下，网络攻击目标更加精准，攻击者趋于瞄准 “高价值”目标。 近年来，政企数字化转型，推动了数字安全概念升级、落地。数字时代的安 全，不仅要防范网络中断