一、背景
保险机构对网络信息安全有纵横两方面的要求,纵向是法律、行政法规、央行、银保监会和公安机关等多层面的监管要求;横向是网络安全等级保护在技术层面上的要求,必须识别到保险科技所面临的监管合规风险。
二、策略和制度管理
保险机构需要根据自身业务发展规划和信息科技发展趋势,围绕信息资产的保护措施和监管要求对网络信息安全策略和制度进行整体规划,以监管要求为网络信息安全指导方针,将风险管理、监督和检查管理的流程和机制等内容整合到现有安全管理策略和制度建设当中。
网络信息安全策略至少应包括以下内容:
1.合理的安全制度与流程框架;
2.合理的网络架构;
3.系统设计与开发的安全策略;
4.系统测试与验收的安全策略;
5.系统运行与维护的安全策略;
6.灾备与应急恢复的安全策略。
三、评估与审查
网络信息安全合规的核心工作之一是风险评估与管理,监管对于如何执行风险评估,评估的周期和评估的范围都做出了明确要求,保险机构须根据监管要求,保险机构应建立持续的信息科技风险评估和监测机制,并制定可执行的险识别和评估流程,评估风险和影响,对风险进行排序,依据资源分配和控制措施制定风险处置计划,把风险管理纳入到公司风控体系中。
《网络安全法》要求关键信息基础设施的运营者应当对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送主管部门。
1.安全评估的时间
(1)在新信息系统上线前须对完成测试的信息系统开展信息安全评估;
(2)信息系统上线后若存在以下问题,则应立即开展信息安全评估:
1)因安全漏洞导致系统被攻击瘫痪的;
2) 信息系统进行重大更新或升级后,出现系统意外停机12小时以上的;
3) 因信息系统关键设备或设施更换,导致重大事故修复后仍不能保持业务联系性的;
4) 基于其他信息系统安全管理需要的。
2.安全评估的内容
(1)信息系统架构对风险管理是否具有适应性和合理性;
(2)公司管理层对信息系统安全与风险管理的认知能力与相关政策、策略的制定执行情况;
(3)信息系统权限管理设置的合理性及对相关风险的管控能力;
(4)系统管理人员的配备与培训情况;
(5)信息系统风险管理的规章制度与操作规定、程序等的执行情况;
(6)系统业务的主要风险及管理状况;
(7)外包管理制度建设与管理状况。
3.审查
审查包括保险公司信息技术部门的内部审查、稽核审计部门的审查及外部专业审计机构的审查。
(1)信息技术部门必须建立健全信息科技风险控制管理体系,包括但不限于定期对信息系统进行安全风险评估机制和整改的工作制度,及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞,并进行改进和完善;在公司层面,须在各层级、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的信息安全内部控制体系。
(2)保险机构稽核审计部门须设立信息技术审计岗,专门负责信息科技审计制度制订和信息系统风险评估与审计。审查的主要内容有:
1)业务系统的流程设计、功能设置、参数配置和技术实现应当遵循业务合规的原则,不得违反法律法规及银保监会的规定;
2) 风险管理功能完备、权限清晰,能够与业务系统同步上线运行;
3) 具备完善的信息安全防护措施,能够保障经营数据和客户信息的安全、完整;
4) 具备符合要求的灾备及运维管理能力,能够保障相关系统安全、平稳运行,并留存相应的记录文件。
稽核审计部门每年须对信息安全控制策略和措施及落实情况进行检查,每两年至少须开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送银保监会。
(未完待续)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。