資源描述:
《保險信息安全風(fēng)險評估指標(biāo)體系規(guī)范》由會員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1、保險信息安全風(fēng)險評估指標(biāo)體系規(guī)范本資料由豆丁若蓮文檔搜集更多文檔請點(diǎn)擊http://www.docin.com/ljk99保監(jiān)發(fā)〔2010〕57號各保監(jiān)局����,保監(jiān)會機(jī)關(guān)各部門,國有保險公司監(jiān)事會��,中國保險行業(yè)協(xié)會����,中國保險學(xué)會,各保險公司��、保險資產(chǎn)管理公司,全國金融標(biāo)準(zhǔn)化技術(shù)委員會保險分技術(shù)委員會:全國金融標(biāo)準(zhǔn)化技術(shù)委員會保險分技術(shù)委員會(以下簡稱保標(biāo)委)制定了《保險信息安全風(fēng)險評估指標(biāo)體系規(guī)范》(標(biāo)準(zhǔn)編號為JR/T0058-2010���,并通過了審查��,按照《全國金融標(biāo)準(zhǔn)化技術(shù)委員會保險分技術(shù)委員會章程》����,現(xiàn)予以發(fā)布�����,請遵照執(zhí)行��。聯(lián)系人:崔秀王冠
2��、電話:010-66286711����,010-66290355傳真:010-66288109,010-66290335電子郵件:xiu_cui@circ.gov.cn�,wangguan@iachina.cn中國保險監(jiān)督管理委員會二○一○年七月十三日--保險信息系統(tǒng)安全問題關(guān)系保險業(yè)發(fā)展全局�,也關(guān)系到社會經(jīng)濟(jì)的穩(wěn)定。目前���,在對保險機(jī)構(gòu)的開業(yè)審核與常規(guī)檢查中��,由于保險業(yè)沒有完善的信息安全標(biāo)準(zhǔn)制度體系�,僅在《保險公司分支機(jī)構(gòu)開業(yè)統(tǒng)計(jì)與信息化建設(shè)驗(yàn)收指引》中有部分說明。在監(jiān)管過程中����,針對特定信息安全工作發(fā)布了如《保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》等規(guī)范指引
3、��,但尚未形成體系化的要求����。因此,保險行業(yè)亟需一套科學(xué)��、合理的信息安全保障能力指標(biāo)體系���,輔助監(jiān)管部門進(jìn)行有效監(jiān)管���,引導(dǎo)保險機(jī)構(gòu)合理建設(shè),促進(jìn)保險行業(yè)長期健康地發(fā)展����。一��、指標(biāo)體系與保險安全監(jiān)管保險監(jiān)管機(jī)關(guān)充分認(rèn)識到保險業(yè)信息安全監(jiān)管的重要性�����,在對保險公司進(jìn)行充分調(diào)研的基礎(chǔ)上�,提出以下新思路:●通過充分調(diào)研及科學(xué)的指標(biāo)選取方法選擇信息安全能力指標(biāo)體系的安全要素��、指標(biāo)��,使其客觀���、合理�����;●通過科學(xué)規(guī)范的指引對信息安全能力進(jìn)行分級���、分類,引導(dǎo)保險機(jī)構(gòu)進(jìn)行合理建設(shè)�����、適度保障;●通過設(shè)定行業(yè)關(guān)鍵能力指標(biāo)�,突出信息安全保障能力的重點(diǎn)��;●通過使用信息安全能力指
4�、標(biāo)的組合,即監(jiān)管基線��,突出監(jiān)管重點(diǎn)���、降低在信息安全檢查監(jiān)管工作中的難度���。二、指標(biāo)體系模型框架設(shè)計(jì)根據(jù)上述思路��,保險監(jiān)管機(jī)關(guān)站在全行業(yè)信息安全的戰(zhàn)略高度�,制訂信息安全保障能力指標(biāo)體系(簡稱指標(biāo)體系)。本文通過對國內(nèi)外信息安全理論�����、標(biāo)準(zhǔn)和方法的研究���,結(jié)合對保險行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀��、業(yè)務(wù)現(xiàn)狀�、安全現(xiàn)狀、組織機(jī)構(gòu)����、管理模式、人員素質(zhì)��、信息流轉(zhuǎn)以及發(fā)展戰(zhàn)略等相關(guān)內(nèi)容的深入調(diào)研���;確定適合保險業(yè)務(wù)信息安全目標(biāo)和內(nèi)容的準(zhǔn)確要求�,采用綜合評價法構(gòu)建合理����、可用、完善的指標(biāo)體系����。1.指標(biāo)體系確立的原則本文在設(shè)計(jì)指標(biāo)體系時遵循以下基本原則:●符合國家有關(guān)信息與信
5、息系統(tǒng)安全的法律和法規(guī)����。●具有導(dǎo)向性���。指標(biāo)體系應(yīng)能反映保險業(yè)信息安全的客觀需求以及國家���、行業(yè)監(jiān)管部門政策措施的落實(shí)����?���!窬哂锌茖W(xué)性����。科學(xué)性原則是通過該指標(biāo)體系應(yīng)當(dāng)能夠客觀全面地評測保險業(yè)信息安全保障能力的現(xiàn)狀����、發(fā)展水平及發(fā)展?jié)摿Γ⒖煞治?、評測保險機(jī)構(gòu)信息安全建設(shè)過程中存在的問題,提高信息安全建設(shè)的質(zhì)量��,避免建設(shè)與應(yīng)用過程中的盲目性和任意性���,為制訂有關(guān)政策和規(guī)劃服務(wù)����。2.指標(biāo)體系框架設(shè)計(jì)指標(biāo)體系框架設(shè)計(jì)是在遵循上述原則的基礎(chǔ)上,參考《信息系統(tǒng)安全保障理論模型和技術(shù)框架》��、《信息安全管理標(biāo)準(zhǔn)ISO/IEC17799:2000》��、ISO/IECT
6�����、R13335等系列國際標(biāo)準(zhǔn)����,以及《信息系統(tǒng)安全保障等級保障要求》、《信息安全風(fēng)險評估指南》等國家標(biāo)準(zhǔn)作為指標(biāo)體系的分類標(biāo)準(zhǔn)���。(1)指標(biāo)體系模型框架構(gòu)建由于保險信息安全保障因素眾多�����,相互關(guān)系復(fù)雜��,指標(biāo)體系將復(fù)雜關(guān)系分解為由局部簡單關(guān)系構(gòu)成的多層次結(jié)構(gòu)��。指標(biāo)體系整體分為技術(shù)和管理兩大類�,規(guī)定了10個方面,各方面均由不同的要素構(gòu)成���。指標(biāo)體系中的類����、方面�����、要素之間存在著錯綜復(fù)雜的依賴制約關(guān)系���。指標(biāo)模型框架是一個4級的層次結(jié)構(gòu)(如圖1所示)。保障能力指標(biāo)體系框架有如下特點(diǎn):●指標(biāo)體系保障對象定義為"企業(yè)"��,以保險機(jī)構(gòu)整體為對象�,構(gòu)建一個相對完整的保障
7、體系��?�!耋w系設(shè)計(jì)上體現(xiàn)管理和技術(shù)并重���。強(qiáng)調(diào)從技術(shù)到管理去尋求某種統(tǒng)一的體系�����,尋求整體的信息安全保障��,是一種體系化�、結(jié)構(gòu)化的思想,具有可操作性�����?���!窦夹g(shù)指標(biāo)包含5個方面,分別為物理安全���、網(wǎng)絡(luò)安全�����、主機(jī)安全�����、應(yīng)用安全和數(shù)據(jù)安全��?����!窆芾碇笜?biāo)包含5個方面��,分別為安全管理制度����、安全管理機(jī)構(gòu)、人員安全管理��、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理���。●每個方面包含多個安全要素����。安全要素是指為實(shí)現(xiàn)信息安全保障能力所規(guī)定的安全要求,信息安全保障能力要求則歸類到各個安全要素之中��?��!癜踩U夏芰σ蕾嚥煌芰墑e中的安全保護(hù)指標(biāo)要求來實(shí)現(xiàn)��。(2)指標(biāo)體系的分級原則信息安全保障是保
8����、證信息與信息系統(tǒng)的保密性、完整性���、可用性�����、可控性和不可否認(rèn)性的信息安全保護(hù)和防御過程��。它要求加強(qiáng)對信息和信息系統(tǒng)的保護(hù)��,加強(qiáng)對信息安全事件和各種脆弱性的檢測���,提高應(yīng)急反應(yīng)和系統(tǒng)恢
