關于開展保險業(yè)信息系統(tǒng)安全檢查工作的通知
各保險公司���、保險資產(chǎn)管理公司:
為進一步強化信息安全意識�����,提高保險業(yè)信息安全保障水平�,現(xiàn)將開展2007年保險業(yè)信息系統(tǒng)安全檢查工作有關事項通知如下:
一��、信息安全檢查的目的�、原則和范圍
(一)信息安全檢查的目的
通過信息安全檢查工作,分析網(wǎng)絡與信息系統(tǒng)面臨的風險��,評估網(wǎng)絡與信息系統(tǒng)的安全狀況�����,查找薄弱環(huán)節(jié)和安全隱患�����,進一步強化信息安全意識��,規(guī)范信息安全管理,提高保險信息系統(tǒng)的安全保障能力�����。
(二)信息安全檢查的原則
按照“誰主管誰負責��,誰運營誰負責”的原則�����,遵循“統(tǒng)一領導�、分級負責�,周密部署、務求實效”的方針��,突出重點�,充分吸納去年信息安全檢查的成功經(jīng)驗,切實做好保險信息系統(tǒng)安全檢查工作�����。
(三)信息安全檢查的范圍
各保險公司�����、保險資產(chǎn)管理公司。
二����、信息安全檢查的方式和具體內(nèi)容
(一)信息安全檢查的方式
以各公司自查為主,中國保監(jiān)會將組織檢查組進行抽查�。中國保監(jiān)會統(tǒng)計信息部負責全行業(yè)信息安全檢查工作的組織領導,各公司負責各自的信息系統(tǒng)安全自查工作的組織實施��。
(二)信息安全檢查的具體內(nèi)容
1�����、資產(chǎn)調(diào)查��。對網(wǎng)絡與信息系統(tǒng)的資產(chǎn)進行統(tǒng)計調(diào)查���,并分析其重要程度�����。資產(chǎn)主要包括網(wǎng)絡與信息系統(tǒng)相關的硬件���、軟件、服務、信息�、人員等。
(1)確定自查范圍�。
(2)對相關資產(chǎn)進行分類。
(3)對資產(chǎn)重要性進行分析�����。
(4)統(tǒng)計網(wǎng)絡設備�����、安全設備�、大型服務器、存儲設備����、操作系統(tǒng)����、數(shù)據(jù)庫等關鍵資產(chǎn)及信息技術服務和信息安全服務的國產(chǎn)化率。
(5)外國供應商提供產(chǎn)品和服務情況��。
資產(chǎn)調(diào)查和賦值方法參見附表1和附表2�����,外國供應商提供產(chǎn)品和服務情況參見附表3。
2��、威脅分析��。對網(wǎng)絡與信息系統(tǒng)所面臨的威脅進行分析���。
(1)分析威脅來源����,包括環(huán)境因素和人為因素等���。
(2)對威脅進行分類����。
(3)研究威脅發(fā)生的可能性�。
(4)分析威脅的嚴重程度。
威脅分析和賦值方法參見附表4和附表5����。
3、脆弱性分析�����。對自查對象存在的管理和技術薄弱環(huán)節(jié)進行查找、分析和歸納��,對已有安全管理體系����、安全措施進行核實和評價。
(1)規(guī)章制度:安全策略及管理規(guī)章制度是否健全��,有關規(guī)章制度的制定����、發(fā)布、修訂及執(zhí)行情況��,對有關政策�、法規(guī)以及行業(yè)監(jiān)管責任的落實情況。
(2)安全組織與職責:安全組織體系是否健全�,管理職責是否明確�,安全管理機構崗位設置、人員配備是否合理�����。
(3)人員管理:人員的安全和保密意識教育、安全技能培訓情況���,重點�、敏感崗位人員有無特殊管理措施�����。
(4)體系結構:網(wǎng)絡與信息系統(tǒng)的體系結構���、各類安全保障措施的組合是否合理����。
(5)網(wǎng)絡安全:安全域劃分���、邊界保護���、內(nèi)網(wǎng)防護、外部設備接入控制��、內(nèi)外網(wǎng)物理隔離等情況�。
(6)設備和操作系統(tǒng)安全:網(wǎng)絡交換設備、安全設備�。主機和終端設備的安全性����,操作系統(tǒng)的安全配置���、病毒防護��、惡意代碼防范等���。
(7)應用系統(tǒng)安全:數(shù)據(jù)庫、WEB網(wǎng)站�����、日常辦公和業(yè)務系統(tǒng)等應用的安全設計�����、配置和管理情況;關鍵應用系統(tǒng)開發(fā)過程中的質量控制和安全性測試情況����。
(8)運維管理:設備、系統(tǒng)的操作和維護記錄����,變更管理,安全事件分析和報告;運行環(huán)境與開發(fā)環(huán)境的分離情況;安全審計����、補丁升級管理、安全漏洞檢測�、網(wǎng)管、權限管理及密碼管理等情況��。
(9)數(shù)據(jù)安全:數(shù)據(jù)訪問控制情況���,服務器��、用戶終端��、數(shù)據(jù)庫等數(shù)據(jù)加密保護能力��,磁盤���、光盤、U盤和移動硬盤等存儲介質管理情況�����,數(shù)據(jù)備份與恢復手段等��。
(10)物理環(huán)境安全:機房安全管控措施、防災措施�、供電和通信系統(tǒng)的保障措施等。
(11)關鍵資產(chǎn)和服務管控:關鍵資產(chǎn)采購時是否進行了安全性測評����,對服務機構和人員的保密約束情況,在服務提供過程中是否采取了管控措施���。
(12)應急響應與災難恢復:應急響應體系(應急組織���、應急預案、應急物資)建設情況����,應急演練情況,系統(tǒng)災難備份措施情況�����。
脆弱性分析和賦值方法見附表6和附表7����。
4、綜合評估。根據(jù)上述檢查結果����,綜合分析網(wǎng)絡與信息系統(tǒng)的整體安全現(xiàn)狀�。
(1)對資產(chǎn)、威脅��、薄弱環(huán)節(jié)�����、已有安全措施進行綜合分析�����,分析安全事件發(fā)生的可能性����。
(2)分析安全事件發(fā)生后可能造成的后果及影響。
(3)分析網(wǎng)絡與信息系統(tǒng)的整體風險狀況��,提出風險列表����。
如果想了解相關法規(guī)解析和案例可關注佰佰安全網(wǎng)的安全說法頻道。讓你的生活更安心����。
