信息系统安全管理落实难点及对策建议

为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，保监会于2011年11月18日出台了《保险公司信息系统安全管理指引（试行）》（以下简称《指引》），要求保险公司建立完备的信息安全保障体系、完善的信息系统开发运行维护管理组织体系，制定完备的管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离，合理审慎实施信息化外包等。

        《指引》发布以来，各保险公司十分重视，并积极落实这一政策。笔者根据《指引》的内容对照实际情况发现，大部分保险公司已能满足《指引》要求，但在实际执行中仍存在不少问题。本文主要围绕落实《指引》总体要求的重点难点内容，针对实际问题，提出了相应建议和对策。

一、安全管理总体要求解析
        《指引》分为总则、安全管理总体要求、基础设施与网络设备环境、应用系统与数据安全、信息化工作外包与采购服务、附则六部分，其中第六条至第二十二条为安全管理总体要求。保监会信息安全工作遵循的原则是“积极防御、综合防范”，总体要求可概括归纳为信息安全组织、信息安全制度、信息安全培训、信息安全控制及信息安全风险处置五个方面。

        1．信息安全组织
        （1）明确了信息安全的责任主体为公司法定代表人或主要负责人；

        （2）设立信息安全专业工作机构，由公司级高级管理人员负责，作为信息系统安全的直接责任人；

        （3）配备充足的合格的信息安全工作人员，明确其角色、职责，建立岗位分离和职责权限制约机制，避免人员泄密风险；

        （4）信息安全管理职责包含执行法律法规，组织信息安全规划与建设，制定管理规定，建立安全保障体系并定期检查、评估、审计、改进、监控，处置信息安全事件，组织安全培训等。

        2．信息安全制度
        （1）建立覆盖物理环境、网络、主机系统、桌面系统、数据、存储、灾备、安全事件管理及应用等层面的管理制度，并定期评估、修订制度；

        （2）制定与制度匹配的流程，规范各相关环节处理，加强信息控制和保护。

        3．信息安全培训
        （1）定期对高级管理人员开展信息安全管理与治理相关培训；

        （2）对参与信息系统建设、运维和使用的人员进行安全教育、技能培训和考核；

        （3）加强了岗位管理，签订岗位协议；

        （4）加强了保密教育。

        4．信息安全控制
        （1）建立职责明确的授权机制、审批流程及有效的、能相互制衡的内部控制体系，并对相关过程进行记录；

        （2）设立独立于信息技术部门的IT审计岗位，定期对信息系统进行风险评估与审计；

        （3）推进信息系统知识产权保护和软件正版化工作，禁止使用、传播非授权软件；

        （4）明确信息安全保护等级，并按等级安全要求定期评测、整改；

        （5）选择国家认证认可的监管部门进行信息安全管理体系认证。

        5．信息安全风险处置
        （1）划分信息安全事件等级，制定安全事件报告、响应处理等应急预案，定期演练、评审、修订，并严格执行；

        （2）推荐信息系统灾难恢复建设工作并定期演练，确保业务连续性；

        （3）建立可靠的安全信息获取渠道，及时掌握外部安全预警信息，汇总、整理内部安全信息，提交信息安全专业工作机构；

        （4）当可能对客户服务造成较大影响时，应及时、规范的披露信息系统风险状况，并告知客户。

二、落实总体要求的关键
        从以上内容不难看出，一套严谨且行之有效的制度、流程，一批可胜任的专业人员，是信息安全管理的基础，而执行与监督则是信息安全管理落到实处的保障。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文