中國保信始終將信息安全作為發展的生命線和基石，不斷加快信息安全體系建設，通過了等保三級測評和國際ISO27001認證。隨著《網絡安全法》的正式實施，必將推動公司信息安全工作進入新階段。

中國保險信息技術管理有限責任公司技術部 李長征 

信息安全體系建設取得顯著成效

        當前，中國保信車險、農險、保單登記等多個平臺發揮著重要作用，信息安全的重要性日益凸顯。為全面把握信息安全風險，加強整體安全防護，公司組織對國內外信息安全實踐案例進行深入的調研，結合中國保信自身特點，制訂了信息安全整體規劃，不斷加強信息安全體系建設。

        1.明確信息安全工作目標

        中國保信信息安全工作全面貫徹國家有關信息安全法律法規和標準規范，落實監管機構的相關政策要求和工作指引，以業務數據和系統運行為核心保障信息安全，加強信息系統的內部管控，建立信息安全管理框架和安全基線，形成總體信息安全風險管理機制。

        2.制訂信息安全整體規劃

        為全面保障行業信息平臺安全，我們于2015年啟動了信息安全整體規劃的編制工作，全面分析了公司的信息安全需求及風險，建立了公司整體信息安全規劃體系，明確了未來3～5年的信息安全工作目標，制定了實施路線及總體計劃。規劃結合中國保信的使命和戰略目標，從安全管理、安全組織、安全技術、安全運行等四個方面開展整體建設規劃，對互聯網、云計算、大數據等新技術的安全風險及應對策略進行分析，建立了一套完善的公司級信息安全保障體系。

        3.構建公司級信息安全管理體系

        中國保信建立了由公司總裁直接領導的信息安全管理委員會，實施強有力的跨部門信息安全協同機制，將信息安全管理決策上升到公司層面。緊緊抓住技術執行和合規內審兩大中心，明確安全責任主體，筑牢管理、執行、審計的三道防線。

        在安全管理上形成了涵蓋基礎設施、應用安全、數據安全、開發安全、運維安全、風險處置和應急管理的全方位信息安全管理制度體系，緊緊抓住事前評估、事中監控、事后響應與恢復等核心管理環節，形成快速反應的應急響應和處置機制。

        4.推進多維度信息安全技術體系建設

        堅持“數據安全為核心，業務安全為關鍵，基礎設施保障為基本”的思路，建立多維信息安全模型，強化邊界安全、傳輸安全、應用安全、系統安全和數據安全建設，逐步豐富流量分析、堡壘機、數據庫審計等多種類型的工具手段建設。自主建設了PKI/CA認證體系，實施生產與測試、辦公等環境的物理隔離，快速建立了“兩地四中心”的應用級災備體系。

        在安全運行上，基于PDCA模型建立風險驅動的信息安全運行模式，從計劃、執行、檢查、改進各階段保障信息安全運行架構持續優化。增強問題、事件、配置、變更等各環節的控制，完善運維監督、審計，提高運維人員安全意識，有效防范操作風險。強化與國家信息安全有關單位和專業安全服務機構的外部合作，建立強有力的外部支持體系。

全面落實《網絡安全法》構建信息安全新體系

        《中華人民共和國網絡安全法》的出臺是我國網絡安全工作中具有深遠意義的重要里程碑。作為第一部專門規范網絡安全工作的“基本大法”，該法即將于2017年6月1日起正式施行，我國信息網絡安全工作將正式進入“有法可依、有法必依、執法必嚴”的新階段。中國保信信息安全工作必將隨著《網絡安全法》的實施進入新的發展階段。

        1.落實《網絡安全法》，完善中國保信信息安全體系

        中國保信將進一步梳理并重構信息安全組織、制度、技術和運行體系，全面完善整個信息安全框架。一是全面落實重要信息系統和關鍵基礎設施網絡安全等級保護制度要求，梳理制度流程，以更高標準定期開展安全檢測評估，保障行業關鍵基礎設施安全穩定運行。二是加強網絡安全監測預警及應急處置，采取有效措施，確保個人信息及行業大數據安全，實現全天候全方位威脅感知和有效防護。三是加強網絡安全專業隊伍培養建設，建立一支能力卓越、反應迅速、安全可靠的網絡安全支撐隊伍。

圖 中國保信信息技術安全保障體系

        2.貫徹《網絡安全法》，加強法規培訓和宣導工作

        《網絡安全法》對所有網絡參與者、建設者、使用者的行為，明確了權利、義務和責任要求，關系到中國保信每一名員工。知法懂法是保證法律貫徹落實的基礎，必須要做好《網絡安全法》的宣傳普及。中國保信將積極推進我司及保險行業《網絡安全法》培訓和宣傳，使每個人都學法、知法、懂法、守法，讓網絡安全概念深入人心，提高信息安全意識，規范網絡信息傳播秩序，做好網絡安全基礎保障工作，形成全公司及相關合作伙伴共同參與并促進網絡安全的良好環境。

        3.圍繞《網絡安全法》，推進保險行業協同安全建設

        中國保信運營的各類行業平臺是我國保險乃至金融領域的關鍵信息基礎設施，連接著全行業每一家保險公司以及保險生態相關的單位。中國保信的信息安全不僅要應對自身面臨的信息安全威脅，還必須正視全行業面臨安全威脅的延伸，挑戰和任務十分艱巨。我們必須充分認識到信息安全已經不是一家機構的孤立行為，必須推動行業級信息安全體系構建，有效實施行業級安全態勢感知，加強行業協同安全建設，才能整體提升信息安全保障能力和水平。中國保信將秉承服務行業的使命，圍繞《網絡安全法》要求，全力配合國家信息安全主管部門和行業監管單位，積極了解行業網絡安全訴求，完善網絡與信息安全標準體系，深入新技術網絡安全問題研究，協同推進保險行業網絡安全建設。

(文章來源：金融電子化雜志) 

掃碼即可手機
閱讀轉發此文