關(guān)于開展保險(xiǎn)業(yè)信息系統(tǒng)安全檢查工作的通知
各保險(xiǎn)公司����、保險(xiǎn)資產(chǎn)管理公司:
為進(jìn)一步強(qiáng)化信息安全意識,提高保險(xiǎn)業(yè)信息安全保障水平���,現(xiàn)將開展2007年保險(xiǎn)業(yè)信息系統(tǒng)安全檢查工作有關(guān)事項(xiàng)通知如下:
一�、信息安全檢查的目的�����、原則和范圍
(一)信息安全檢查的目的
通過信息安全檢查工作����,分析網(wǎng)絡(luò)與信息系統(tǒng)面臨的風(fēng)險(xiǎn),評估網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況�����,查找薄弱環(huán)節(jié)和安全隱患��,進(jìn)一步強(qiáng)化信息安全意識�����,規(guī)范信息安全管理�����,提高保險(xiǎn)信息系統(tǒng)的安全保障能力��。
(二)信息安全檢查的原則
按照“誰主管誰負(fù)責(zé)���,誰運(yùn)營誰負(fù)責(zé)”的原則��,遵循“統(tǒng)一領(lǐng)導(dǎo)�����、分級負(fù)責(zé)����,周密部署、務(wù)求實(shí)效”的方針�,突出重點(diǎn),充分吸納去年信息安全檢查的成功經(jīng)驗(yàn)��,切實(shí)做好保險(xiǎn)信息系統(tǒng)安全檢查工作�。
(三)信息安全檢查的范圍
各保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司����。
二、信息安全檢查的方式和具體內(nèi)容
(一)信息安全檢查的方式
以各公司自查為主�,中國保監(jiān)會將組織檢查組進(jìn)行抽查。中國保監(jiān)會統(tǒng)計(jì)信息部負(fù)責(zé)全行業(yè)信息安全檢查工作的組織領(lǐng)導(dǎo)�,各公司負(fù)責(zé)各自的信息系統(tǒng)安全自查工作的組織實(shí)施。
(二)信息安全檢查的具體內(nèi)容
1�、資產(chǎn)調(diào)查。對網(wǎng)絡(luò)與信息系統(tǒng)的資產(chǎn)進(jìn)行統(tǒng)計(jì)調(diào)查�,并分析其重要程度。資產(chǎn)主要包括網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)的硬件���、軟件���、服務(wù)、信息����、人員等�����。
(1)確定自查范圍。
(2)對相關(guān)資產(chǎn)進(jìn)行分類���。
(3)對資產(chǎn)重要性進(jìn)行分析����。
(4)統(tǒng)計(jì)網(wǎng)絡(luò)設(shè)備��、安全設(shè)備���、大型服務(wù)器���、存儲設(shè)備、操作系統(tǒng)����、數(shù)據(jù)庫等關(guān)鍵資產(chǎn)及信息技術(shù)服務(wù)和信息安全服務(wù)的國產(chǎn)化率。
(5)外國供應(yīng)商提供產(chǎn)品和服務(wù)情況�。
資產(chǎn)調(diào)查和賦值方法參見附表1和附表2,外國供應(yīng)商提供產(chǎn)品和服務(wù)情況參見附表3。
2��、威脅分析���。對網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅進(jìn)行分析����。
(1)分析威脅來源�,包括環(huán)境因素和人為因素等。
(2)對威脅進(jìn)行分類�����。
(3)研究威脅發(fā)生的可能性���。
(4)分析威脅的嚴(yán)重程度��。
威脅分析和賦值方法參見附表4和附表5��。
3���、脆弱性分析。對自查對象存在的管理和技術(shù)薄弱環(huán)節(jié)進(jìn)行查找�、分析和歸納�����,對已有安全管理體系��、安全措施進(jìn)行核實(shí)和評價(jià)����。
(1)規(guī)章制度:安全策略及管理規(guī)章制度是否健全�����,有關(guān)規(guī)章制度的制定�、發(fā)布����、修訂及執(zhí)行情況,對有關(guān)政策���、法規(guī)以及行業(yè)監(jiān)管責(zé)任的落實(shí)情況����。
(2)安全組織與職責(zé):安全組織體系是否健全����,管理職責(zé)是否明確�,安全管理機(jī)構(gòu)崗位設(shè)置����、人員配備是否合理。
(3)人員管理:人員的安全和保密意識教育�、安全技能培訓(xùn)情況,重點(diǎn)���、敏感崗位人員有無特殊管理措施��。
(4)體系結(jié)構(gòu):網(wǎng)絡(luò)與信息系統(tǒng)的體系結(jié)構(gòu)�����、各類安全保障措施的組合是否合理��。
(5)網(wǎng)絡(luò)安全:安全域劃分����、邊界保護(hù)���、內(nèi)網(wǎng)防護(hù)�、外部設(shè)備接入控制、內(nèi)外網(wǎng)物理隔離等情況����。
(6)設(shè)備和操作系統(tǒng)安全:網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備��。主機(jī)和終端設(shè)備的安全性�,操作系統(tǒng)的安全配置、病毒防護(hù)���、惡意代碼防范等。
(7)應(yīng)用系統(tǒng)安全:數(shù)據(jù)庫����、WEB網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計(jì)�����、配置和管理情況;關(guān)鍵應(yīng)用系統(tǒng)開發(fā)過程中的質(zhì)量控制和安全性測試情況�。
(8)運(yùn)維管理:設(shè)備、系統(tǒng)的操作和維護(hù)記錄����,變更管理�,安全事件分析和報(bào)告;運(yùn)行環(huán)境與開發(fā)環(huán)境的分離情況;安全審計(jì)����、補(bǔ)丁升級管理、安全漏洞檢測���、網(wǎng)管��、權(quán)限管理及密碼管理等情況�����。
(9)數(shù)據(jù)安全:數(shù)據(jù)訪問控制情況��,服務(wù)器�、用戶終端��、數(shù)據(jù)庫等數(shù)據(jù)加密保護(hù)能力���,磁盤��、光盤��、U盤和移動硬盤等存儲介質(zhì)管理情況����,數(shù)據(jù)備份與恢復(fù)手段等。
(10)物理環(huán)境安全:機(jī)房安全管控措施�、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等�����。
(11)關(guān)鍵資產(chǎn)和服務(wù)管控:關(guān)鍵資產(chǎn)采購時(shí)是否進(jìn)行了安全性測評��,對服務(wù)機(jī)構(gòu)和人員的保密約束情況���,在服務(wù)提供過程中是否采取了管控措施�。
(12)應(yīng)急響應(yīng)與災(zāi)難恢復(fù):應(yīng)急響應(yīng)體系(應(yīng)急組織��、應(yīng)急預(yù)案�、應(yīng)急物資)建設(shè)情況�,應(yīng)急演練情況,系統(tǒng)災(zāi)難備份措施情況�。
脆弱性分析和賦值方法見附表6和附表7。
4�、綜合評估。根據(jù)上述檢查結(jié)果�,綜合分析網(wǎng)絡(luò)與信息系統(tǒng)的整體安全現(xiàn)狀�。
(1)對資產(chǎn)����、威脅、薄弱環(huán)節(jié)����、已有安全措施進(jìn)行綜合分析,分析安全事件發(fā)生的可能性�。
(2)分析安全事件發(fā)生后可能造成的后果及影響。
(3)分析網(wǎng)絡(luò)與信息系統(tǒng)的整體風(fēng)險(xiǎn)狀況����,提出風(fēng)險(xiǎn)列表。
如果想了解相關(guān)法規(guī)解析和案例可關(guān)注佰佰安全網(wǎng)的安全說法頻道����。讓你的生活更安心。
