法律

中国保险监督管理委员会关于开展保险业信息系统安全检查工作的通知

  各保险公司、保险资产管理公司:

  为进一步强化信息安全意识,提高保险业信息安全保障水平,现将开展2007年保险业信息系统安全检查工作有关事项通知如下:

  一、信息安全检查的目的、原则和范围

  (一)信息安全检查的目的

  通过信息安全检查工作,分析网络与信息系统面临的风险,评估网络与信息系统的安全状况,查找薄弱环节和安全隐患,进一步强化信息安全意识,规范信息安全管理,提高保险信息系统的安全保障能力。

  (二)信息安全检查的原则

  按照“谁主管谁负责,谁运营谁负责”的原则,遵循“统一领导、分级负责,周密部署、务求实效”的方针,突出重点,充分吸纳去年信息安全检查的成功经验,切实做好保险信息系统安全检查工作。

  (三)信息安全检查的范围

  各保险公司、保险资产管理公司。

  二、信息安全检查的方式和具体内容

  (一)信息安全检查的方式

  以各公司自查为主,中国保监会将组织检查组进行抽查。中国保监会统计信息部负责全行业信息安全检查工作的组织领导,各公司负责各自的信息系统安全自查工作的组织实施。

  (二)信息安全检查的具体内容

  1、资产调查。对网络与信息系统的资产进行统计调查,并分析其重要程度。资产主要包括网络与信息系统相关的硬件、软件、服务、信息、人员等。

  (1)确定自查范围。

  (2)对相关资产进行分类。

  (3)对资产重要性进行分析。

  (4)统计网络设备、安全设备、大型服务器、存储设备、操作系统、数据库等关键资产及信息技术服务和信息安全服务的国产化率。

  (5)外国供应商提供产品和服务情况。

  资产调查和赋值方法参见附表1和附表2,外国供应商提供产品和服务情况参见附表3。

  2、威胁分析。对网络与信息系统所面临的威胁进行分析。

  (1)分析威胁来源,包括环境因素和人为因素等。

  (2)对威胁进行分类。

  (3)研究威胁发生的可能性。

  (4)分析威胁的严重程度。

  威胁分析和赋值方法参见附表4和附表5。

  3、脆弱性分析。对自查对象存在的管理和技术薄弱环节进行查找、分析和归纳,对已有安全管理体系、安全措施进行核实和评价。

  (1)规章制度:安全策略及管理规章制度是否健全,有关规章制度的制定、发布、修订及执行情况,对有关政策、法规以及行业监管责任的落实情况。

  (2)安全组织与职责:安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理。

  (3)人员管理:人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无特殊管理措施。

  (4)体系结构:网络与信息系统的体系结构、各类安全保障措施的组合是否合理。

  (5)网络安全:安全域划分、边界保护、内网防护、外部设备接入控制、内外网物理隔离等情况。

  (6)设备和操作系统安全:网络交换设备、安全设备。主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。

  (7)应用系统安全:数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况;关键应用系统开发过程中的质量控制和安全性测试情况。

  (8)运维管理:设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况。

  (9)数据安全:数据访问控制情况,服务器、用户终端、数据库等数据加密保护能力,磁盘、光盘、U盘和移动硬盘等存储介质管理情况,数据备份与恢复手段等。

  (10)物理环境安全:机房安全管控措施、防灾措施、供电和通信系统的保障措施等。

  (11)关键资产和服务管控:关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施。

  (12)应急响应与灾难恢复:应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况,系统灾难备份措施情况。

  脆弱性分析和赋值方法见附表6和附表7。

  4、综合评估。根据上述检查结果,综合分析网络与信息系统的整体安全现状。

  (1)对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性。

  (2)分析安全事件发生后可能造成的后果及影响。

  (3)分析网络与信息系统的整体风险状况,提出风险列表。

  风险赋值方法见附表8。

  5、研究提出整改措施。根据对网络与信息系统的风险状况,结合法律法规、国家和行业政策要求以及当前的重点任务,统筹考虑,研究提出风险应对措施。

  三、信息安全检查工作的要求和安排

  (一)各公司应建立信息安全检查领导机构,由分管信息安全的公司领导亲自抓,切实加强自查工作的组织实施,并将自查方案报中国保监会统计信息部备案。(2007年6月25日前完成)

  (二)各公司应完成信息系统的自查工作,并将检查结果以及改进措施报中国保监会统计信息部。中国保监会将对部分公司进行抽查。(2007年7月31日前完成)

  (三)中国保监会对此次检查情况、发现的问题进行分析汇总后,将向全行业通报。

  中国保监会统计信息部联系人:李春亮、王晓鹏

  联系电话:010-66286107、010-66286602

  中国保监会

  二○○七年六月六日

  附表:1、资产分类表

  2、资产赋值方法

  3、外国供应商提供产品和服务基本情况统计表

  4、威胁分析表

  5、威胁赋值方法

  6、脆弱性分析表

  7、脆弱性赋值方法

  8、风险赋值方法

随便看看
离婚夫妻债务异议情况有怎样的,具体规定有哪些 出了交通责任证明后多久理赔 每月加班不能超过多少个小时? 没有证件的房子怎样维权 损害名誉权怎么处理 购买商住房的注意事项 交通事故致人死亡赔偿起诉书应载明哪些内容 仿制生产假药罪构成要件具体规定 学生课间玩耍受伤学校是否有责任 工伤赔偿认定和流程