• 快捷搜索
  • 全站搜索

保险公司信息安全管理六项原则

2010-05-06 01:21:18作者:人保财险股份有限公司信息技术部总经理 邵利铎编辑:
新技术的应用改变了保险业传统的经营管理模式,同时信息安全的风险又和企业风险紧密相关,因此信息技术的深度应用给信息安全建设不断带来新的要求。

信息技术是把“双刃剑”。保险业是信息密集型产业,信息化对保险业发展起着重要的支撑作用,信息技术逐步成为我国保险企业核心竞争力的重要组成部分,是促进保险业全面协调、可持续发展的动力源泉。随着保险信息化的逐步深入,各保险公司的业务运营和管理对信息系统的依赖程度越来越高,基于信息系统的各类保险业务处理、客户服务和管理决策系统在给保险机构带来高效运营的同时,也给企业带来各种与信息技术相关的科技风险,其中信息安全风险是保监会的重要监管内容之一,也是各保险公司面临的长期课题和严峻挑战。

保险信息安全面临的严峻形势
        从保险信息化本身来看,随着IT治理理念的不断深入,信息技术与业务深度融合的要求愈加迫切,新技术的应用改变了保险业传统的经营管理模式,同时信息安全的风险又和企业风险紧密相关,因此信息技术的深度应用给信息安全建设不断带来新的要求。一是保险业IT治理风险从信息技术应用风险控制到借助IT手段进行全面企业风险管控,随着保险业务范围的拓展和新产品不断推出,IT管理重点逐步覆盖多业务之间的风险平衡和业务的深度风险控制。二是为实现降低运营成本,提高运营效率,保险业大型综合运营中心建设步入高峰期,业务数据、应用系统和运营平台不断大范围、深层次升级扩容、无缝整合,业务系统、数据中心、呼叫中心不断集中和整合,大型综合运营中心建设仍将是未来一段时间保险信息化投资的热点。三是电子商务应用深化,信息系统建设新技术不断引进,虚拟化、云计算、绿色IT等新技术在保险信息系统得到越来越多尝试,如何及时管控因新技术的应用而衍生的信息安全风险,也是非常值得跟进和研究的课题。

        从外部威胁来看,信息安全形势不容乐观。一是当前国际国内形势错综复杂,信息安全作为一种非传统安全已成为国家安全的重要组成部分,敌对势力对我国重要信息系统的攻击日益增多,金融和政务成为黑客攻击的重点。二是信息技术的快速发展和深化应用使信息安全工作难度日渐加大,全球信息安全事件数量逐年快速增长,造成的损失越来越大,重大泄密问题时有发生,教训惨痛。三是攻击破坏的速度让人难以做出反应;攻击来源既有外部互联网,也有网络内部,让人防不胜防;攻击的工具化和智能化也令人担忧。

        从监管层面来看,公安部和保监会对信息安全监管力度也不断加大。公安部等四部门联合制定下发了《信息安全等级保护管理办法》,将其作为国家在信息安全工作的基本制度和国策,强制推行。保监会也逐步完善信息安全监管体系,将信息科技风险纳入行业风险进行统一管理,不断推进各项信息安全监管措施,积极引导保险机构提高信息技术风险意识和管理水平,并在《中国保险业发展“十一五”规划信息化重点专项规划》中明确了构建保险信息安全保障体系的总体目标,对“十一五”期间保险业信息安全治理、运行安全、风险评估、灾难恢复以及安全标准等工作进行了部署,在近几年每年均在全行业开展保险信息系统安全风险大检查和整改。

保险信息安全存在的问题
        近年来,各保险公司根据国家和保监会对信息安全的要求,认识不断深入,重视程度不断提高,在制度建设、安全建设和应急管理等各个方面取得了突破。但我们必须看到,保险信息安全建设还比较滞后,与保障保险业又好又快发展的要求相比还存在较大差距,主要表现如下:

        信息安全投入不足,信息安全建设滞后。保监会副主席李克穆指出信息安全建设滞后的四个表现方面:一是全行业特别是各公司的高层人员对新时期保险信息安全的认识不充分,重视程度不高,缺乏信息安全规划,安全保障工作的整体性较差。二是信息安全的投入严重不足,安全防护措施滞后于信息系统的开发建设。三是信息安全管理制度仍然不健全,管理相对粗放。四是应急设施不完备,灾难备份与恢复工作较为滞后,应急管理机制不完善,演练不充分,应急处置能力有待加强。

        保险是信息密集型的行业,信息安全保障工作难度大。保险业是一个数据信息集中的行业,聚积了巨量的业务数据及客户信息。对于这些数据的充分挖掘和利用,为企业的经营和管理提供了重要的指导和决策依据,形成公司重要的竞争优势,对保险企业来讲至关重要,一旦丢失,将可能对保险公司和保险客户造成严重的损失和不良的后果。保险数据是各公司的宝贵财富,“信息就是财富,安全才有价值”,保险业海量的数据,对信息安全的压力不言而喻。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

科技金融安全
保险信息安全管理理论与实践

信息安全最终标是让员工、客户、合作伙伴在安全可控的条件下实现对信息的快速、安全访问,提高企业的核心竞争力。