資源描述:
《保險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系規(guī)范》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)�����。
1、保險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系規(guī)范 篇一:保險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系規(guī)范 各保監(jiān)局�����,保監(jiān)會(huì)機(jī)關(guān)各部門�,國(guó)有保險(xiǎn)公司監(jiān)事會(huì)�����,中國(guó)保險(xiǎn)行業(yè)協(xié)會(huì)�,中國(guó)保險(xiǎn)學(xué)會(huì)��,各保險(xiǎn)公司��、保險(xiǎn)資產(chǎn)管理公司���,全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)保險(xiǎn)分技術(shù)委員會(huì): 全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)保險(xiǎn)分技術(shù)委員會(huì)(以下簡(jiǎn)稱保標(biāo)委)制定了《保險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系規(guī)范》(標(biāo)準(zhǔn)編號(hào)為JR/T0058-XX)���,并通過(guò)了審查,按照《全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)保險(xiǎn)分技術(shù)委員會(huì)章程》���,現(xiàn)予以發(fā)布����,請(qǐng)遵照?qǐng)?zhí)行��?���! ≈袊?guó)保險(xiǎn)監(jiān)督管理委員會(huì) 二○一○年七月十三日 ------------------------------------
2���、------------------ 保險(xiǎn)信息系統(tǒng)安全問(wèn)題關(guān)系保險(xiǎn)業(yè)發(fā)展全局,也關(guān)系到社會(huì)經(jīng)濟(jì)的穩(wěn)定�����。目前��,在對(duì)保險(xiǎn)機(jī)構(gòu)的開業(yè)審核與常規(guī)檢查中�,由于保險(xiǎn)業(yè)沒(méi)有完善的信息安全標(biāo)準(zhǔn)制度體系,僅在《保險(xiǎn)公司分支機(jī)構(gòu)開業(yè)統(tǒng)計(jì)與信息化建設(shè)驗(yàn)收指引》中有部分說(shuō)明����。在監(jiān)管過(guò)程中,針對(duì)特定信息安全工作發(fā)布了如《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》等規(guī)范指引����,但尚未形成體系化的要求。因此��,保險(xiǎn)行業(yè)亟需一套科學(xué)�����、合理的信息安全保障能力指標(biāo)體系�,輔助監(jiān)管部門進(jìn)行有效監(jiān)管,引導(dǎo)保險(xiǎn)機(jī)構(gòu)合理建設(shè)��,促進(jìn)保險(xiǎn)行業(yè)長(zhǎng)期健康地發(fā)展��?! ∫弧⒅笜?biāo)體系與保險(xiǎn)安全監(jiān)管 保險(xiǎn)監(jiān)管機(jī)關(guān)充分認(rèn)識(shí)到保險(xiǎn)業(yè)信息安全監(jiān)管的重要性��,在對(duì)
3�、保險(xiǎn)公司進(jìn)行充分調(diào)研的基礎(chǔ)上,提出以下新思路: ●通過(guò)充分調(diào)研及科學(xué)的指標(biāo)選取方法選擇信息安全能力指標(biāo)體系的安全要素�����、指標(biāo)����,使其客觀、合理���;●通過(guò)科學(xué)規(guī)范的指引對(duì)信息安全能力進(jìn)行分級(jí)����、分類,引導(dǎo)保險(xiǎn)機(jī)構(gòu)進(jìn)行合理建設(shè)����、適度保障;●通過(guò)設(shè)定行業(yè)關(guān)鍵能力指標(biāo)��,突出信息安全保障能力的重點(diǎn)����; ●通過(guò)使用信息安全能力指標(biāo)的組合,即監(jiān)管基線��,突出監(jiān)管重點(diǎn)��、降低在信息安全檢查監(jiān)管工作中的難度�。 二��、指標(biāo)體系模型框架設(shè)計(jì) 根據(jù)上述思路�����,保險(xiǎn)監(jiān)管機(jī)關(guān)站在全行業(yè)信息安全的戰(zhàn)略高度��,制訂信息安全保障能力指標(biāo)體系(簡(jiǎn)稱指標(biāo)體系)����。本文通過(guò)對(duì)國(guó)內(nèi)外信息安全理論�����、標(biāo)準(zhǔn)和方法的研究,結(jié)合對(duì)保險(xiǎn)行業(yè)信息系統(tǒng)的
4����、網(wǎng)絡(luò)現(xiàn)狀、業(yè)務(wù)現(xiàn)狀�����、安全現(xiàn)狀����、組織機(jī)構(gòu)、管理模式�、人員素質(zhì)、信息流轉(zhuǎn)以及發(fā)展戰(zhàn)略等相關(guān)內(nèi)容的深入調(diào)研�����;確定適合保險(xiǎn)業(yè)務(wù)信息安全目標(biāo)和內(nèi)容的準(zhǔn)確要求�����,采用綜合評(píng)價(jià)法構(gòu)建合理、可用��、完善的指標(biāo)體系����。 1.指標(biāo)體系確立的原則 本文在設(shè)計(jì)指標(biāo)體系時(shí)遵循以下基本原則: ●符合國(guó)家有關(guān)信息與信息系統(tǒng)安全的法律和法規(guī)�。 ●具有導(dǎo)向性�����。指標(biāo)體系應(yīng)能反映保險(xiǎn)業(yè)信息安全的客觀需求以及國(guó)家�、行業(yè)監(jiān)管部門政策措施的落實(shí)?���!窬哂锌茖W(xué)性?���?茖W(xué)性原則是通過(guò)該指標(biāo)體系應(yīng)當(dāng)能夠客觀全面地評(píng)測(cè)保險(xiǎn)業(yè)信息安全保障能力的現(xiàn)狀、發(fā)展水平及發(fā)展?jié)摿?,并可分析����、評(píng)測(cè)保險(xiǎn)機(jī)構(gòu)信息安全建設(shè)過(guò)程中存在的問(wèn)題��,提高信息安全建設(shè)的
5��、質(zhì)量���,避免建設(shè)與應(yīng)用過(guò)程中的盲目性和任意性,為制訂有關(guān)政策和規(guī)劃服務(wù)��?�! ?.指標(biāo)體系框架設(shè)計(jì) 指標(biāo)體系框架設(shè)計(jì)是在遵循上述原則的基礎(chǔ)上���,參考《信息系統(tǒng)安全保障理論模型和技術(shù)框架》����、《信息安全管理標(biāo)準(zhǔn)ISO/IEC17799:XX》�、ISO/IECTR13335等系列國(guó)際標(biāo)準(zhǔn),以及《信息系統(tǒng)安全保障等級(jí)保障要求》�、《信息安全風(fēng)險(xiǎn)評(píng)估指南》等國(guó)家標(biāo)準(zhǔn)作為指標(biāo)體系的分類標(biāo)準(zhǔn)?! �。?)指標(biāo)體系模型框架構(gòu)建 由于保險(xiǎn)信息安全保障因素眾多����,相互關(guān)系復(fù)雜,指標(biāo)體系將復(fù)雜關(guān)系分解為由局部簡(jiǎn)單關(guān)系構(gòu)成的多層次結(jié)構(gòu)��。指標(biāo)體系整體分為技術(shù)和管理兩大類��,規(guī)定了10個(gè)方面����,各方面均由不同的要素構(gòu)成。指
6����、標(biāo)體系中的類、方面�、要素之間存在著錯(cuò)綜復(fù)雜的依賴制約關(guān)系。指標(biāo)模型框架是一個(gè)4級(jí)的層次結(jié)構(gòu)(如圖1所示)����。 保障能力指標(biāo)體系框架有如下特點(diǎn): ●指標(biāo)體系保障對(duì)象定義為“企業(yè)”��,以保險(xiǎn)機(jī)構(gòu)整體為對(duì)象,構(gòu)建一個(gè)相對(duì)完整的保障體系��?���! 耋w系設(shè)計(jì)上體現(xiàn)管理和技術(shù)并重。強(qiáng)調(diào)從技術(shù)到管理去尋求某種統(tǒng)一的體系�����,尋求整體的信息安全保障����,是一種體系化���、結(jié)構(gòu)化的思想���,具有可操作性?���! 窦夹g(shù)指標(biāo)包含5個(gè)方面,分別為物理安全����、網(wǎng)絡(luò)安全��、主機(jī)安全���、應(yīng)用安全和數(shù)據(jù)安全?�! 窆芾碇笜?biāo)包含5個(gè)方面��,分別為安全管理制度����、安全管理機(jī)構(gòu)、人員安全管理���、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理��?��! 衩總€(gè)方面包含多個(gè)安全要素。
7����、安全要素是指為實(shí)現(xiàn)信息安全保障能力所規(guī)定的安全要求,信息安全保障能力要求則歸類到各個(gè)安全要素之中?���! 癜踩U夏芰σ蕾嚥煌芰?jí)別中的安全保護(hù)指標(biāo)要求來(lái)實(shí)現(xiàn)?! 。?)指標(biāo)體系的分級(jí)原則 信息安全保障是保證信息與信息系統(tǒng)的保密性����、完整性、可用性���、可控性和不可否認(rèn)性的信息安全保護(hù)和防御過(guò)程���。它要求加強(qiáng)對(duì)信息和信息系統(tǒng)的保護(hù),加強(qiáng)對(duì)信息安全事件和各種脆弱性的檢測(cè)���,提高應(yīng)急反應(yīng)和系統(tǒng)恢復(fù)能力?�! ”kU(xiǎn)業(yè)信息安全保障能力從以下4個(gè)維度設(shè)計(jì)分級(jí)標(biāo)準(zhǔn):抵御威脅的能
