關(guān)于開展保險業(yè)信息系統(tǒng)安全檢查工作的通知
各保險公司�、保險資產(chǎn)管理公司:
為進一步強化信息安全意識,提高保險業(yè)信息安全保障水平�,現(xiàn)將開展2007年保險業(yè)信息系統(tǒng)安全檢查工作有關(guān)事項通知如下:
一、信息安全檢查的目的����、原則和范圍
(一)信息安全檢查的目的
通過信息安全檢查工作,分析網(wǎng)絡(luò)與信息系統(tǒng)面臨的風(fēng)險�����,評估網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況����,查找薄弱環(huán)節(jié)和安全隱患,進一步強化信息安全意識����,規(guī)范信息安全管理,提高保險信息系統(tǒng)的安全保障能力�。
(二)信息安全檢查的原則
按照“誰主管誰負責(zé),誰運營誰負責(zé)”的原則�,遵循“統(tǒng)一領(lǐng)導(dǎo)、分級負責(zé)�,周密部署、務(wù)求實效”的方針�����,突出重點�,充分吸納去年信息安全檢查的成功經(jīng)驗,切實做好保險信息系統(tǒng)安全檢查工作����。
(三)信息安全檢查的范圍
各保險公司、保險資產(chǎn)管理公司��。
二�����、信息安全檢查的方式和具體內(nèi)容
(一)信息安全檢查的方式
以各公司自查為主���,中國保監(jiān)會將組織檢查組進行抽查��。中國保監(jiān)會統(tǒng)計信息部負責(zé)全行業(yè)信息安全檢查工作的組織領(lǐng)導(dǎo)����,各公司負責(zé)各自的信息系統(tǒng)安全自查工作的組織實施。
(二)信息安全檢查的具體內(nèi)容
1���、資產(chǎn)調(diào)查��。對網(wǎng)絡(luò)與信息系統(tǒng)的資產(chǎn)進行統(tǒng)計調(diào)查���,并分析其重要程度。資產(chǎn)主要包括網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)的硬件��、軟件��、服務(wù)���、信息�、人員等��。
(1)確定自查范圍�����。
(2)對相關(guān)資產(chǎn)進行分類����。
(3)對資產(chǎn)重要性進行分析�����。
(4)統(tǒng)計網(wǎng)絡(luò)設(shè)備、安全設(shè)備�����、大型服務(wù)器�、存儲設(shè)備、操作系統(tǒng)����、數(shù)據(jù)庫等關(guān)鍵資產(chǎn)及信息技術(shù)服務(wù)和信息安全服務(wù)的國產(chǎn)化率。
(5)外國供應(yīng)商提供產(chǎn)品和服務(wù)情況�。
資產(chǎn)調(diào)查和賦值方法參見附表1和附表2,外國供應(yīng)商提供產(chǎn)品和服務(wù)情況參見附表3�。
2、威脅分析���。對網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅進行分析�。
(1)分析威脅來源��,包括環(huán)境因素和人為因素等。
(2)對威脅進行分類�����。
(3)研究威脅發(fā)生的可能性����。
(4)分析威脅的嚴(yán)重程度。
威脅分析和賦值方法參見附表4和附表5��。
3���、脆弱性分析����。對自查對象存在的管理和技術(shù)薄弱環(huán)節(jié)進行查找�����、分析和歸納�,對已有安全管理體系、安全措施進行核實和評價�。
(1)規(guī)章制度:安全策略及管理規(guī)章制度是否健全,有關(guān)規(guī)章制度的制定�����、發(fā)布、修訂及執(zhí)行情況���,對有關(guān)政策���、法規(guī)以及行業(yè)監(jiān)管責(zé)任的落實情況�����。
(2)安全組織與職責(zé):安全組織體系是否健全���,管理職責(zé)是否明確��,安全管理機構(gòu)崗位設(shè)置����、人員配備是否合理�����。
(3)人員管理:人員的安全和保密意識教育�����、安全技能培訓(xùn)情況,重點����、敏感崗位人員有無特殊管理措施。
(4)體系結(jié)構(gòu):網(wǎng)絡(luò)與信息系統(tǒng)的體系結(jié)構(gòu)�、各類安全保障措施的組合是否合理。
(5)網(wǎng)絡(luò)安全:安全域劃分�、邊界保護、內(nèi)網(wǎng)防護���、外部設(shè)備接入控制���、內(nèi)外網(wǎng)物理隔離等情況。
(6)設(shè)備和操作系統(tǒng)安全:網(wǎng)絡(luò)交換設(shè)備��、安全設(shè)備���。主機和終端設(shè)備的安全性�����,操作系統(tǒng)的安全配置���、病毒防護�、惡意代碼防范等����。
(7)應(yīng)用系統(tǒng)安全:數(shù)據(jù)庫、WEB網(wǎng)站�、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計、配置和管理情況;關(guān)鍵應(yīng)用系統(tǒng)開發(fā)過程中的質(zhì)量控制和安全性測試情況����。
(8)運維管理:設(shè)備���、系統(tǒng)的操作和維護記錄��,變更管理����,安全事件分析和報告;運行環(huán)境與開發(fā)環(huán)境的分離情況;安全審計����、補丁升級管理、安全漏洞檢測���、網(wǎng)管����、權(quán)限管理及密碼管理等情況。
(9)數(shù)據(jù)安全:數(shù)據(jù)訪問控制情況����,服務(wù)器、用戶終端�����、數(shù)據(jù)庫等數(shù)據(jù)加密保護能力����,磁盤、光盤����、U盤和移動硬盤等存儲介質(zhì)管理情況,數(shù)據(jù)備份與恢復(fù)手段等����。
(10)物理環(huán)境安全:機房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等�����。
(11)關(guān)鍵資產(chǎn)和服務(wù)管控:關(guān)鍵資產(chǎn)采購時是否進行了安全性測評�����,對服務(wù)機構(gòu)和人員的保密約束情況�����,在服務(wù)提供過程中是否采取了管控措施���。
(12)應(yīng)急響應(yīng)與災(zāi)難恢復(fù):應(yīng)急響應(yīng)體系(應(yīng)急組織�����、應(yīng)急預(yù)案、應(yīng)急物資)建設(shè)情況����,應(yīng)急演練情況,系統(tǒng)災(zāi)難備份措施情況�。
脆弱性分析和賦值方法見附表6和附表7。
4、綜合評估�����。根據(jù)上述檢查結(jié)果��,綜合分析網(wǎng)絡(luò)與信息系統(tǒng)的整體安全現(xiàn)狀�。
(1)對資產(chǎn)、威脅�、薄弱環(huán)節(jié)、已有安全措施進行綜合分析�����,分析安全事件發(fā)生的可能性����。
(2)分析安全事件發(fā)生后可能造成的后果及影響。
(3)分析網(wǎng)絡(luò)與信息系統(tǒng)的整體風(fēng)險狀況�,提出風(fēng)險列表。
如果想了解相關(guān)法規(guī)解析和案例可關(guān)注佰佰安全網(wǎng)的安全說法頻道�。讓你的生活更安心。
