保险业资讯安全防护经验借鉴

保险业资讯安全防护经验借鉴

ID:7346266

大小:27.50 KB

页数:13页

时间:2018-02-12

保险业资讯安全防护经验借鉴_第1页
保险业资讯安全防护经验借鉴_第2页
保险业资讯安全防护经验借鉴_第3页
保险业资讯安全防护经验借鉴_第4页
保险业资讯安全防护经验借鉴_第5页
资源描述:

《保险业资讯安全防护经验借鉴》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、精品文档保险业资讯安全防护经验借鉴2016年6月17日,有人在补天漏洞平台发布了某中资中型财产保险公司的一个漏洞,并附有该保险公司漏洞被侵入后的界面图。根据描述,该漏洞可导致该公司的“全部员工个人资讯及公司各种敏感资讯泄露”。其后,某大型上市寿险公司再次被媒体曝出“省系统存在漏洞,可泄漏百万条客户资讯”。《证券日报》记者查阅国内的漏洞盒子、补天漏洞等漏洞检测平台发现,险企的网络平台存在漏洞并非个例,超过20家保险机构的官网等平台被漏洞检测平台测出各类漏洞。2016全新精品资料-全新公文范文-全程指导写作–独家原创13/13精品文档被曝出有漏洞的平台涵盖大、中、小型各类保

2、险公司,从各保险机构曝出的漏洞类型来看,部分高危漏洞可暴露客户的保单资讯、微信支付资讯、客户姓名、电话、身份证、住址、收入、职业等敏感资讯,甚至是充值卡、资金都可以被转移。这些资讯一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如被用于复制身份证、盗办信用卡、盗刷信用卡等一系列刑事或经济犯罪。台湾地区的人寿保险商业同业公会为规范会员公司资讯业务与相关资讯资产的安全,发扬自律精神,防范资讯处理作业过程发生影响资讯及系统机密性、完整性及可用性的安全事件,确保各会员公司资讯处理作业能安全有效地运作,特制定了《寿险业办理资讯安全防护自律规范》,经理监事会决议通过报

3、主管机关备查后施行;为确保提供寿险业具有一致性的计算机系统基本安全防护能力,通过各项资讯安全评估作业,发现资产安全威胁与弱点,藉以实施技术面与管理面相关控制措施,以改善并提升网络与资讯系统安全防护能力,订定了《寿险业办理计算机系统资讯安全评估作业原则》;台湾地区的人寿保险商业同业公会与产物保险商业同业公会为强化保险业的服务效能、提供消费者便利的投保服务并保障其权益,共同订定了《保险业经营行动投保业务自律规范》,经各公会理监事会决议通过,报主管机关备查后施行。其寿险业资讯安全防护、寿险业办理计算机系统资讯安全评估作业原则、保险业经营行动投保业务自律规范等方面的经验,值得借

4、鉴。一、寿险业办理资讯安全防护自律规范2016全新精品资料-全新公文范文-全程指导写作–独家原创13/13精品文档资讯资产包含软件、硬件、环境、文件、通讯、数据、人员等;行动装置亦称为移动设备、流动装置或手持装置等,系指一种可携带的计算装置。典型的行动装置如智能型手机、移动电话、携带型游乐器与平板计算机、笔记型计算机等;员工携带自有设备上班BYOD,是指公司政策允许员工可以在公司内使用自己的笔记本电脑、手机、平板等行动装置来连接到公司网络取用数据,或进行公务处理。台湾地区的人寿保险商业同业公会,要求各会员公司办理资讯安全规范,除依据该公司订立的资产安全处理程序及其注意事

5、项外,还应依《寿险业办理资讯安全防护自律规范》办理,具体要求如下:各会员公司办理资讯安全规范,应至少遵循下列规定:延揽员工时,应依据相关法令、合约、产业文化及业务需求,了解该员工背景、学历、经历;应要求所聘任的员工签署资讯安全保密承诺书、雇佣契约、工作手册或相当文件,明订员工应遵守资讯安全保密协议;有委外业务者,应于委外契约中明订资讯安全保密协议;应通过定期、适当的教育训练或倡导,告知内部员工应遵循的资讯安全规范;管理阶层应督导员工遵循公司既定的资讯安全规范;员工职务异动时,应依既定程序办理资讯资产退回与存取权限的变更或取消。各会员公司应订定使用行动装置的相关规范,其内

6、容应至少包含订定行动装置管理规范、行动装置使用人员管理规范、使用行动装置的安全控管规范等项目。各会员公司应订定使用社群媒体相关规范,其内容应至少包含下列项目:订定使用社群媒体管理与监督机制;若属该公司的社群媒体者,应揭露相关资讯,至少包含公司名称和主营业场所地址、通信联络方式等事项;制定申诉处理机制。各会员公司应订定使用云端服务的相关规范,其内容应至少包含订定云端服务安全管理规范、订定云端服务提供者遴选机制、订定云端服务持续营运管理规范等项目。2016全新精品资料-全新公文范文-全程指导写作–独家原创13/13精品文档各会员公司若有建置管理系统及有关个人资产的资产安全数

7、据,应建立资产安全防御机制,并依据寿险业办理计算机系统资讯安全评估作业原则办理各项资讯安全评估作业,以改善并提升网络与资讯系统安全防护能力。各会员公司应加强资讯安全事故管理,依资讯安全事件通报应变作业实施原则,若发生资讯安全事件时,应尽速回报公会及主管机关,并采取适当处理措施,以控制资产安全事件影响范围的扩大。各会员公司应将该自律规范内容,纳入内稽内控制度中,并定期办理查核。如有违反该自律规范的情况,经查证属实者且违反情节较轻者,先予书面纠正;如情节较重大者,报经公会理监事会通过后,处以新台币5万元以上、20万元以下的罚款;前述处理情形应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。