返回
保险信息安全风险评估指标体系规范

保险信息安全风险评估指标体系规范

ID:19248293

大小:20.63 KB

页数:10页

时间:2018-09-30

保险信息安全风险评估指标体系规范_第1页
保险信息安全风险评估指标体系规范_第2页
保险信息安全风险评估指标体系规范_第3页
保险信息安全风险评估指标体系规范_第4页
保险信息安全风险评估指标体系规范_第5页
资源描述:

《保险信息安全风险评估指标体系规范》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、保险信息安全风险评估指标体系规范  篇一:保险信息安全风险评估指标体系规范  各保监局,保监会机关各部门,国有保险公司监事会,中国保险行业协会,中国保险学会,各保险公司、保险资产管理公司,全国金融标准化技术委员会保险分技术委员会:  全国金融标准化技术委员会保险分技术委员会(以下简称保标委)制定了《保险信息安全风险评估指标体系规范》(标准编号为JR/T0058-XX),并通过了审查,按照《全国金融标准化技术委员会保险分技术委员会章程》,现予以发布,请遵照执行。  中国保险监督管理委员会  二○一○年七月十三日  ------------------------------------

2、------------------  保险信息系统安全问题关系保险业发展全局,也关系到社会经济的稳定。目前,在对保险机构的开业审核与常规检查中,由于保险业没有完善的信息安全标准制度体系,仅在《保险公司分支机构开业统计与信息化建设验收指引》中有部分说明。在监管过程中,针对特定信息安全工作发布了如《保险业信息系统灾难恢复管理指引》等规范指引,但尚未形成体系化的要求。因此,保险行业亟需一套科学、合理的信息安全保障能力指标体系,辅助监管部门进行有效监管,引导保险机构合理建设,促进保险行业长期健康地发展。  一、指标体系与保险安全监管  保险监管机关充分认识到保险业信息安全监管的重要性,在对

3、保险公司进行充分调研的基础上,提出以下新思路:  ●通过充分调研及科学的指标选取方法选择信息安全能力指标体系的安全要素、指标,使其客观、合理;●通过科学规范的指引对信息安全能力进行分级、分类,引导保险机构进行合理建设、适度保障;●通过设定行业关键能力指标,突出信息安全保障能力的重点;  ●通过使用信息安全能力指标的组合,即监管基线,突出监管重点、降低在信息安全检查监管工作中的难度。  二、指标体系模型框架设计  根据上述思路,保险监管机关站在全行业信息安全的战略高度,制订信息安全保障能力指标体系(简称指标体系)。本文通过对国内外信息安全理论、标准和方法的研究,结合对保险行业信息系统的

4、网络现状、业务现状、安全现状、组织机构、管理模式、人员素质、信息流转以及发展战略等相关内容的深入调研;确定适合保险业务信息安全目标和内容的准确要求,采用综合评价法构建合理、可用、完善的指标体系。  1.指标体系确立的原则  本文在设计指标体系时遵循以下基本原则:  ●符合国家有关信息与信息系统安全的法律和法规。  ●具有导向性。指标体系应能反映保险业信息安全的客观需求以及国家、行业监管部门政策措施的落实。●具有科学性。科学性原则是通过该指标体系应当能够客观全面地评测保险业信息安全保障能力的现状、发展水平及发展潜力,并可分析、评测保险机构信息安全建设过程中存在的问题,提高信息安全建设的

5、质量,避免建设与应用过程中的盲目性和任意性,为制订有关政策和规划服务。  2.指标体系框架设计  指标体系框架设计是在遵循上述原则的基础上,参考《信息系统安全保障理论模型和技术框架》、《信息安全管理标准ISO/IEC17799:XX》、ISO/IECTR13335等系列国际标准,以及《信息系统安全保障等级保障要求》、《信息安全风险评估指南》等国家标准作为指标体系的分类标准。  (1)指标体系模型框架构建  由于保险信息安全保障因素众多,相互关系复杂,指标体系将复杂关系分解为由局部简单关系构成的多层次结构。指标体系整体分为技术和管理两大类,规定了10个方面,各方面均由不同的要素构成。指

6、标体系中的类、方面、要素之间存在着错综复杂的依赖制约关系。指标模型框架是一个4级的层次结构(如图1所示)。  保障能力指标体系框架有如下特点:  ●指标体系保障对象定义为“企业”,以保险机构整体为对象,构建一个相对完整的保障体系。  ●体系设计上体现管理和技术并重。强调从技术到管理去寻求某种统一的体系,寻求整体的信息安全保障,是一种体系化、结构化的思想,具有可操作性。  ●技术指标包含5个方面,分别为物理安全、网络安全、主机安全、应用安全和数据安全。  ●管理指标包含5个方面,分别为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。  ●每个方面包含多个安全要素。

7、安全要素是指为实现信息安全保障能力所规定的安全要求,信息安全保障能力要求则归类到各个安全要素之中。  ●安全保障能力依赖不同能力级别中的安全保护指标要求来实现。  (2)指标体系的分级原则  信息安全保障是保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御过程。它要求加强对信息和信息系统的保护,加强对信息安全事件和各种脆弱性的检测,提高应急反应和系统恢复能力。  保险业信息安全保障能力从以下4个维度设计分级标准:抵御威胁的能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。