加快建立信息安全体系

保险业的信息安全以往是较为更容易疏失的问题，主要是由于报酬不更容易直观计算出来，投资决策有一定可玩性，而且与银行业比起，保险业面对的安全性风险或许要大得多。但随着保险业信息化的发展，信息安全形势也日益不利。

目前，保险业的信息安全面对新的挑战。一方面由于数据的集中处理和集中于存放在，使得一旦再次发生故障产生的损失不会比以前数据集中的情况下产生的损失小得多；另一方面保险业务从专用网络扩展到互联网和无线网，使得保险业的网络面临外部黑客的威胁和病毒的侵犯。这些安全性威胁一旦给保险业导致损失，将不仅影响到保险公司本身，而且可能会牵涉到到国家金融系统的安全性。信息安全风险日益严重据中国国家计算机网络应急技术处置协商中心（全称CNCERT/CC）的统计资料报告表明，2005年CNCERT/CC共接到国内外通过应急热线、网站、电子邮件等报告的网络安全事件12万多件，与2003年比起数量快速增长了十倍。

全球范围内的信息安全形势也某种程度不容乐观。2003年2月，日本仅次于的宽带网终端服务提供商软银公司互联网服务数据库中的452万名用户资料被外泄，据估花费了40亿日元赔偿损失。

2005年6月，万事达公司宣告4000万信用卡用户的信息有可能失窃，共计牵涉到1390万名万事达卡客户、2200万名维萨卡用户以及数量不可考的美国运通和Discover卡用户。以上种种事例都指出保险业面对的信息安全风险日益严重。回应国家非常重视，“十五”期间，国家相继施行了《计算机信息系统安全维护条例》、《计算机信息网络国际联网安全性维护管理办法》、《商用密码管理条例》和《电子签名法》等一系列信息安全法律法规，全国信息安全标准化技术委员会也相继发售了《GB/T 19716-2005 信息技术 信息安全管理简单规则》等一系列信息安全标准。

2005年党的十六届五中全会就明确指出要“完善信息安全保障体系，构建信息化与信息安全协调发展”，并在2006年-2020年的国家信息发展战略中将信息安全建设作为最重要的组成部分。随着国家信息安全法制建设和标准化建设等基础环境建设的不断加强，对保险业信息安全确保的拒绝也日益严苛。为了更进一步强化保险业信息安全确保工作，保监会专门印发了《关于更进一步强化保险系统信息安全确保工作的通报》，并采行了一系列措施来实施此项工作。同时，在保监会公布的《中国保险业发展“十一五”规划信息化重点专项规划》中将信息安全确保工作提及了非常的高度，将“信息安全确保工作切实加强，信息安全保障体系逐步完善”列入发展目标，把“建构信息安全保障体系”作为下一步工作的主要任务。

太平洋保险集团作为保险业的最重要一员，早已注意到信息安全的重要性，并早已采行了应付措施。确保信息安全的最佳之策面临简单的内外部形势，太平洋保险集团经过多年信息化建设和安全性管理实践中，指出只有建立健全信息安全体系，相结合机制确保，融合技术与管理，构成合力，才能有效应对信息安全风险。

信息安全体系是安全性的组织、安全性管理和安全性技术的紧密结合，缺乏了其中任何一个要素，都无法构建公司既定的信息安全管理目标。安全性的组织是指企业内部的信息安全管理的组织，它负责管理信息安全体系的管理、实行和监督。安全性的组织不是一个孤立无援的的组织，它的工作目标必须通过企业各部门的密切配合才能构建。

举例来说，对数据的许可必须由业务流程负责人审核后才由信息安全人员明确继续执行，较少了业务部门的因应，许可管理之后无法确实构建。此外，在我们的实际工作中，由于个别员工安全意识脆弱，并未采行一些基本的安全措施，造成个人电脑被恶意代码反击的事例也时有发生。因此，除了安全性的组织外，公司的每个员工都不应贯彻遵守信息安全职责。

安全性管理是指制订和继续执行公司信息安全策略、标准与指导方针、流程和指南。安全策略是根据公司信息安全原则制订出有公司信息安全管理的目标和方向，以符合公司大大发展的业务市场需求。安全性标准与指导方针是在安全策略提示下，针对信息安全明确工作内容制订的标准和规范。

安全性流程和指南是根据实际工作积极开展的必须，将安全策略分解成到明细的规定和继续执行流程的步骤。在策略、标准和流程制订后，安全性管理的另一项工作就是负责管理实施。安全性技术是指通过一系列技术手段来确保安全性管理目标的构建，是整体信息安全体系中技术层面的内容。

安全性技术十分多且在大大的发展中，目前大家熟悉的有：IDS侵略检测技术、Firewall防火墙技术、防病毒技术、加密技术和证书技术等等。安全性技术运用的关键是根据公司实际必须自由选择适合的技术在成本合理的前提下超过公司信息安全管理目标。那么，信息安全体系如何协同工作、发挥作用呢？我们就拿企业防病毒管理举例来说：尽管很多企业都部署了企业级防病毒软件，但病毒感染事件仍时有发生，甚至部分企业遭到根本性影响。

为什么呢？细心研究后难于找到，这些企业只是非常简单的部署了防病毒产品并没创建起原始的防病毒管理体系。确实的信息安全体系应当是这样协同运转的：首先，企业应当有专门的安全性的组织负责管理病毒预警和病毒感染事件处理，并且创建起行之有效的病毒事件号召机制。其次，在管理上制订公司防病毒管理规范和标准，并通过信息安全教育使员工提升防病毒的意识和能力。

最后，在技术上统一部署防病毒系统并定期升级病毒特征码，在病毒经常出现时由专人处置，以有效地掌控病毒的毁坏程度。只有这种人、管理、技术三位一体的信息安全体系才能有效地确保公司的信息安全。

如何与实际必须结合信息安全体系建设如此最重要，那如何才能建构一套符合实际必须的安全性体系呢？从太保集团的实践中来看，在公司2002年信息技术战略规划中就明确提出要“创建企业的IT安全性体系，为信息化建设中的IT安全性获取原则和指导，符合CPIC当前和长年的IT安全性市场需求，维护公司的信息资产”，目标就是创建仅有公司的信息安全体系，在内容上涵括IT安全性的组织、IT安全性管理制度以及IT安全性技术三部分内容。在建设过程中，太保集团以国标《GB/T 19716-2005 信息技术 信息安全管理简单规则》为指导，根据信息安全建设的标准化方法，有步骤、有系统地前进信息安全体系的建设。从工作步骤上看，可区分为：评估、规划、设计、实行和运维五个部分内容。

评估工作的目的是具体信息安全现状和安全性市场需求，通过对现有信息安全管理制度和基础设施及应用于系统的评估，理解信息资产不存在的威胁和漏洞，从而确认防治风险的应付措施。规划工作的目的是已完成信息安全体系及其核心组件的高端解决问题方案设计。设计工作的目的是已完成信息安全体系的详细设计，还包括：研发IT安全性管理制度，创建安全性的组织，设计IT基础设施安全性架构、应用于安全性架构等，提供并自定义安全性产品，并制订现存技术基础设施和应用于系统的改建方案，以便超过安全控制的拒绝。

实行工作的目的是在全司范围内展开信息安全体系的试点实行和推展工作，还包括：新的策略、标准、流程的宣导，改建现有的技术基础设施和应用于系统等。运维工作的目的是对信息安全体系展开持续管理、继续执行、监控、改良，并且根据业务发展及定期风险评估的结果，改版信息安全体系。创建信息安全体系的意义建立健全信息安全体系对太平洋保险集团的发展意义根本性。

首先，此体系的创建将提高信息技术平台的可靠性。信息安全体系建设是公司信息化建设中的重要环节，终将大大提高信息基础平台的安全性和可靠性，使其更佳地服务于公司的业务发展。其次，通过信息安全体系的建设，可有效地提升对信息安全风险的管控能力，强化信息安全事件处理的有效性， 减少数据被非法改动和用于的风险，持续维护公司信息资产；同时提升客户和业务合作伙伴对公司的信任度。

最后，信息安全体系的创建将使太平洋保险集团在信息安全确保方面与国际先进设备水平互通，从而为太平洋保险集团参予国际竞争、茁壮为国际化金融控股集团获取有力的技术承托。

本文来源：皇冠手机登录官网-www.dfwpropertyvalues.com