信息安全管理体系在保险公司实践

信息安全管理体系在保险行业的实践信息安全管理体系在保险行业的实践本文编者：北京谷安天下科技有限公司网址：地址：北京市海淀区中关村南大街2号数码大厦A座806电话：010-51626887（北京）021-51379800（上海）0755-82024056（深圳）0991-6999166（新疆）手机：13581709033信息安全管理体系在保险行业的实践信息安全管理体系在保险行业的实践作者：牛志军谷安天下咨询顾问保险行业IT简述本部分仅就IT运营模式、业务系统、网络架构三个方面对保险行内的IT情况做了简述，以便读者对保险公司的IT管理情况有个初步了解。保险公司的IT运营模式分为两种情况，一种是IT共享公司模式，整个公司或整个集团建立和使用统一一个IT团队，以平安为代表，一种是分散模式，即集团内各公司甚至各公司下属的各级公司均建立自己的IT团队。保险公司的业务系统以车险系统、水险系统、非水险系统、再保系统、CALLCENTRE系统等为主要的业务系统，有些保险的业务系统是整合在一个系统中，这样可以充分的发掘和利用业务数据。在整个金融行业中，保险公司的网络架构更近似于一般意义的企业，不像证券、基金、银行会有两张或多张网，保险公司大多为一张覆盖多级公司的城域网。造成这种情况的原因与保险行业对IT的投入有关。保险行业是较早导入信息安全管理体系的行业，保险行业的代表公司平安是国内最早通过信息安全管理体系认证的企业之一。通过信息管理体系的导入的实施，保险行业已解决并正在解决一切困扰行业多年的信息安全问题。一、ISMS已解决的保险业信息安全问题保险行业通过信息安全技术的实施，信息安全管理制度的实施，解决了大量具有普遍性的信息安全问题，并形成了行业在信息安全管理方面的特色和管理优势。概要如下：建立了比较详尽的在安全策略，并且总公司的各项IT制度会直接下放到各级分支机构。在安全组织方面，结合保监会建立“网络安全工作小组”的要求，成立的信息安全组织，由公司的主要领导担任组长及副组长，组员由主要业务部门、人力资源部门、稽核部门及信息技术部门等部门组成。在物理环境方面，机房建设按国家A类机房标准建设，符合国家的有关标准；机房实现授权出入管理，出入计算机机房有严格的审批程序和出入记录，物理环境的防火、防水、信息安全管理体系在保险行业的实践空调、电力等基本达到安全要求。建立了较合理的总公司与分支机构的网络基础架构，网络核心交换机与路由器双机容错；公司重要的广域网接入专用线路都有冗余。对网站采用了网页防篡改技术并定期进行检查，员工访问互联网进行了分级限制，外来人员访问互联网有专用网段。对员工PC集中防病毒管理、集中补丁管理，定期对重要主机与网络设备进行安全检查。在计算机信息系统开发、管理与应用上有相对比较清晰和明确的职责分工的要求，在核心业务系统的设计、开发、测试环境基本能做到主机环境的分离，软件源代码通过版本控制器集中进行管理。重要业务系统和数据均有良好的备份措施，特别是进行了数据异地存放等工作。IT人员责任心强，工作勤勉，在超负荷的工作状态下能基本维持系统正常运行。二、ISMS正在解决的保险业信息安全的问题当前保险行业信息安全现状还有许多待改进与提高的地方，与国际标准和最佳信息安全实践相比，还存在着一定的差距，特别是分支机构在资产管理、物理与环境安全、人力资源管理、通信与操作管理、访问控制、软件开发等方面还需付出较大的努力。以下对信息安全管理体系正在解决的保险行业信息安全方面的主要问题进行综述。信息安全投入下表为某保险公司最近3年保险行业的IT投入及信息安全投入如下表所示：年度保费收入增长率IT投入增长率IT投入占保费收入百分比信息安全投入占IT投入百分比200661.64%73.40%1.87%2.45%200751.90%93.80%1.47%1.40%200865.76%110.00%2.430%2.67%从上表来看IT投入虽然呈现年增长状态，但IT投入占保费收入的比例及信息安全投入2007年只占总体IT投入的比例仍是很低。关于信息安全的投入，保监会在《中国保险业发展“十一五”规划信息化重点专项规划》中明确要求到2010年，信息安全投入达到信息化建设投入的10%。信息安全管理体系在保险行业的实践在国际上，发达国家由于IT成熟度已经较高，保险公司的IT投入平均占其保费收入的3%（Celent于2006年对美国保险公司的调查数据），而在中国由于IT成熟度较低，据专家分析这一比例至少应当达到5%至6%为宜，而目前行业的现状与之有很大的差距。因此，当前保险行业IT的主要问题是IT投入不足，而且安全投入又只在IT投入占很小的比例，IT与信息安全的投入不足制约了信息安全水平的提高。目前保险公司一人多岗的情况比较突出，技术人员不仅要肩负现有系统运行维护的工作，还要承担新系统的项目建设工作。随着各大项目的逐步开展和完善，专业技术人员和有经验的项目管理人员十分缺乏，人力不足的压力越来越大。无论总公司还是分公司的IT部门都存在着IT人员不足的问题，有些分支机构的IT人员是兼职人员，而且IT能力上也不能满足要求。当前人员不足的问题已经严重制约了保险公司IT的规划、开发、运维及信息安全管理等方面的工作，从而影响了IT对业务的支持。伴随着竞争的加剧，信息化已经成了保险业的“血脉”，越来越多的保险公司已经把发展信息化作为提升企业核心竞争力的重要手段。因此，管理层应当充分重视IT及信息安全对保险业务发展的重要性。建议保险行业管理层从战略上明确IT对业务的绝对支撑与推动作用，逐步加大对IT的投入，完善IT基础设施和业务应用系统，打造一个高效的保险信息化平台，为保险业务的快速发展提供有力的支撑；同时需要建立一支人员充沛、技能优秀的IT技术队伍，未来才能在激烈的市场中获取竞争优势。IT规划当前保险业务发展迅速、同业竞争激烈，保险公司的业务和管理都处在不断变化之中，如何保证IT建设在保险行业的快速成长，尤其是在“以保单为中心”向“以客户为中心”的转型过程中，要配合业务转型进行一系列的系统建设工作，这是一项巨大而复杂的工程，需要通过科学的IT规划来指导。保险行业的IT规划基本处于无兵无将或兵弱将弱的情况，缺乏对保险行业业务有较深入了解的专业的权威公司协助进行IT规划。资产管理这里所说的资产是信息资产，信息资产是指对公司的业务具有价值的各类资产，包括硬件、软件、信息、服务及人员等类型。信息安全管理体系在保险行业的实践目前保险行业在网络、主机等IT基础设备管理方面，对这些信息资产的管理者和维护者有明确的识别，对于单证、客户档案、财务凭证的管理职责也有明确定义。但业务系统存在着等管理职责不明确的问题。由于保险行业人员流动率高，一般对固定资产登记台帐的登记和保存均不完善。人力资源安全当前保险行业除了在“IT投入”部分中所描述的IT技术人员严重缺乏外，在人力资源管理上也存在诸多信息安全控制的不足。在公司层面上，内部员工的信息安全职责未清楚界定和文件化；员工入职时的背景调查工作开展的并不充分，部分人员还未签订保密协议。公司基本未组织过专门的信息安全方面的培训。特别是各级机构的管理层人员，很少接受过系统性的IT培训。很多人员，包括很多领导对公司可用的IT资源情况了解不多，同时缺乏获得这些信息的渠道。由于保险行业各级机构的人员管理是采用分级管理的模式，分支机构有些人员离职后，特别是外勤人员，不会上报到上一级机构的人力资源部门，因此应用系统管理员也不能及时获得人员离职信息，这种状况可能造成了离职人员在业务系统不能及时清除，对公司信息安全造成了严重威胁。保险公司目前人员流动较大，业务人员方面，比较敏感的是对两类人才的争夺：分公司班子成员、两核人员；IT人员方面，近年来保险行业IT人员的流动性也较大，走的都是骨干成员，对信息技术部的开发和运维工作也有一定的影响。为解决这些问题，需要完善员工信息安全考核与奖惩管理办法并加强其执行力度，对员工进行信息安全意识教育与技能培训。同时，保险行业需要进一步落实完善对技术类人员（两核人员、信息技术、精算师）技术系列的定级，使高级人才的薪水可以达到合理的水平，为技术人员做好职业生涯规划，为他们创造良好的工作与生活环境，以稳定技术人才队伍。物理与环境安全保险公司的总公司在物理与环境安全管理方面实施了较多的控制措施，如前台登记、保安在办公区内不定时巡查、门禁系统等，但其很多分支机构缺乏这些的控制措施，特别是支公司及以下级别机构，出于成本控制的考虑，没有设立前台人员，对物理安全信息安全管理体系在保险行业的实践边界的控制，外来人员可以在办公区域内随意走动。进出办公场所的人员身份标识制度不够完善，无法明显区分出内部人员和外来人员。通信与操作管理网络系统安全架构：在网络系统安全架构方面，很多保险公司还没有形成完善的网络的纵深防御体系，核心业务系统没有做到严格的隔离，需要在网络层面进行完善的隔离。系统能力和性能问题：有些保险企业的应用系统，存在着严重的单点故障风险，需要解决；保险机构的业务系统在运维方面存在以下问题：第一个，系统处理速度问题，在录入数据后，有时不能立即在系统中看到录入的数据，由于这个原因，会导致数据录入人员会误以为数据没有录入，会重复录入，产生了很多垃圾数据；第二个，业务系统的报表功能较弱，导致管理人员要花费大量时间用的业务统计和团队管理；第三个，数据的准确性问题，有的分支曾发现，在核损时是按定损金额进行核损，但发现定损金额与核损金额不同。保险行业网站安全上做了很多的工作，网站有防注入和篡改系统，但是还可能存在着注入漏洞点。需要进行应用层面的加固。一些保险公司的各支机构员工办公电脑硬件老化，造成补丁更新、病毒码升级都存在问题。在部分公司中，对移动介质的使用在技术层面缺乏有效控制，由于很多部门及人员都拥有业务系统数据查询权限，可以将业务系统报表、投保清单和OA中重要信息下载到本地，在这种情况下，移动介质成为公司重要业务信息外泄的一个渠道，而且移动介质的大量使用也造成了电脑病毒的传播。个别保险公司使用的电子商务系统，由于没有使用数字证书，因此，在电子商务环境下还不能有效地确定用户的身份，也没有网上交易所需要的抗抵赖功能。目前保险行业对备份数据的恢复测试进行的比较少，只是不定期进行过一些测试工作，需要加强备份数据的恢复测试工作，以确保灾难发生时，备份数据可用。目前保险行业还有部分应用系统的开发、测试与运维的环境未实现分离；开发、测信息安全管理体系在保险行业的实践试与运维的职责刚刚实现完全分离，在实际工作中并不可能立即实现完全分离；未完全分离的环境与职责很容易造成重大安全问题。访问控制由于系统自身原因，部分保险公司使用的业务系统无法在系统中强制实施口令策略，导致用户的口令也较简单。另外，有些员工，因为业务紧急需要或贪图工作便捷，会将自己的帐户口令借与他人使用，还存在着几个人共用某一用户的帐户口令的情况。业务系统用户的访问权限管理方面，用户的访问权限需要进一步细化，由于缺乏统一的各级别人员权限分配规则，存在着用户访问权限过大的情况，虽然有些公司会每年或每季度会对业务系统用户的权限进行一次评审和清理，但评审的间隔较长，而且评审的质量没有得到保证。由于保险行业人员流动率较大，应用系统中可能存在着离职员工帐号。信息系统获得、开发与维护目前保险行业使用的主要应用系统在开发过程中主要考虑是功能需求，对安全需求考虑很少，如口令强度、登录限制、输入数据的验证、内部信息处理、输出数据的验证、消息的完整性等。应用系统开发缺乏严格的开发过程管理，对开发变更的评审并不充分；开发、测试与运维环境和职责在实际运行中并没有完全实现进行分离，存在较大的风险。由于有些系统的开发工作会交由外包商负责，需要加强对软件外包商的管理，保证开发质量和信息系统的安全性，例如，