发布文号: 保监厅发[2007]28号
各保险公司、保险资产管理公司:
为进一步强化信息安全意识,提高保险业信息安全保障水平,现将开展2007年保险业信息系统安全检查工作有关事项通知如下:
一、信息安全检查的目的、原则和范围
(一)信息安全检查的目的
通过信息安全检查工作,分析网络与信息系统面临的风险,评估网络与信息系统的安全状况,查找薄弱环节和安全隐患,进一步强化信息安全意识,规范信息安全管理,提高保险信息系统的安全保障能力。
(二)信息安全检查的原则
按照“谁主管谁负责,谁运营谁负责”的原则,遵循“统一领导、分级负责,周密部署、务求实效”的方针,突出重点,充分吸纳去年信息安全检查的成功经验,切实做好保险信息系统安全检查工作。
(三)信息安全检查的范围
各保险公司、保险资产管理公司。
二、信息安全检查的方式和具体内容
(一)信息安全检查的方式
以各公司自查为主,中国保监会将组织检查组进行抽查。中国保监会统计信息部负责全行业信息安全检查工作的组织领导,各公司负责各自的信息系统安全自查工作的组织实施。
(二)信息安全检查的具体内容
1、资产调查。对网络与信息系统的资产进行统计调查,并分析其重要程度。资产主要包括网络与信息系统相关的硬件、软件、服务、信息、人员等。
(1)确定自查范围。
(2)对相关资产进行分类。
(3)对资产重要性进行分析。
(4)统计网络设备、安全设备、大型服务器、存储设备、操作系统、数据库等关键资产及信息技术服务和信息安全服务的国产化率。
(5)外国供应商提供产品和服务情况。
资产调查和赋值方法参见附表1和附表2,外国供应商提供产品和服务情况参见附表3。
2、威胁分析。对网络与信息系统所面临的威胁进行分析。
(1)分析威胁来源,包括环境因素和人为因素等。
(2)对威胁进行分类。
(3)研究威胁发生的可能性。
(4)分析威胁的严重程度。
威胁分析和赋值方法参见附表4和附表5。
3、脆弱性分析。对自查对象存在的管理和技术薄弱环节进行查找、分析和归纳,对已有安全管理体系、安全措施进行核实和评价。
(1)规章制度:安全策略及管理规章制度是否健全,有关规章制度的制定、发布、修订及执行情况,对有关政策、法规以及行业监管责任的落实情况。
(2)安全组织与职责:安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否合理。
(3)人员管理:人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗位人员有无特殊管理措施。
(4)体系结构:网络与信息系统的体系结构、各类安全保障措施的组合是否合理。
(5)网络安全:安全域划分、边界保护、内网防护、外部设备接入控制、内外网物理隔离等情况。
(6)设备和操作系统安全:网络交换设备、安全设备。主机和终端设备的安全性,操作系统的安全配置、病毒防护、恶意代码防范等。
(7)应用系统安全:数据库、WEB网站、日常办公和业务系统等应用的安全设计、配置和管理情况;关键应用系统开发过程中的质量控制和安全性测试情况。
(8)运维管理:设备、系统的操作和维护记录,变更管理,安全事件分析和报告;运行环境与开发环境的分离情况;安全审计、补丁升级管理、安全漏洞检测、网管、权限管理及密码管理等情况。
(9)数据安全:数据访问控制情况,服务器、用户终端、数据库等数据加密保护能力,磁盘、光盘、U盘和移动硬盘等存储介质管理情况,数据备份与恢复手段等。
(10)物理环境安全:机房安全管控措施、防灾措施、供电和通信系统的保障措施等。
(11)关键资产和服务管控:关键资产采购时是否进行了安全性测评,对服务机构和人员的保密约束情况,在服务提供过程中是否采取了管控措施。
(12)应急响应与灾难恢复:应急响应体系(应急组织、应急预案、应急物资)建设情况,应急演练情况,系统灾难备份措施情况。
脆弱性分析和赋值方法见附表6和附表7。
4、综合评估。根据上述检查结果,综合分析网络与信息系统的整体安全现状。
(1)对资产、威胁、薄弱环节、已有安全措施进行综合分析,分析安全事件发生的可能性。
(2)分析安全事件发生后可能造成的后果及影响。
(3)分析网络与信息系统的整体风险状况,提出风险列表。
风险赋值方法见附表8。
5、研究提出整改措施。根据对网络与信息系统的风险状况,结合法律法规、国家和行业政策要求以及当前的重点任务,统筹考虑,研究提出风险应对措施。
三、信息安全检查工作的要求和安排
(一)各公司应建立信息安全检查领导机构,由分管信息安全的公司领导亲自抓,切实加强自查工作的组织实施,并将自查方案报中国保监会统计信息部备案。(2007年6月25日前完成)
(二)各公司应完成信息系统的自查工作,并将检查结果以及改进措施报中国保监会统计信息部。中国保监会将对部分公司进行抽查。(2007年7月31日前完成)
(三)中国保监会对此次检查情况、发现的问题进行分析汇总后,将向全行业通报。
中国保监会统计信息部联系人:李春亮、王晓鹏
联系电话:010-66286107、010-66286602
二○○七年六月六日
附表1:资产分类表
|
类别 |
项目 |
资产编号 |
资产名称 |
资产权重 |
说明 |
|
硬件 |
|
|
|
|
|
|
软件 |
|
|
|
|
|
|
服务 |
|
|
|
|
|
|
信息 |
|
|
|
|
|
|
人员 |
|
|
|
|
|
附表2:资产赋值方法
|
等级 |
标识 |
定义 |
| 3 | M(中) | 比较重要,其安全属性破坏后可能对被评估单位造成中等程度的损失。 |
| 2 | L(低) | 不太重要,其安全属性破坏后可能对被评估单位造成较低的损失。 |
| 1 | VL(很低) | 不重要,其安全属性破坏后对被评估单位造成很小的损失,甚至忽略不计 |
附表3:外国供应商提供产品和服务基本情况统计表
|
业务系统名称 |
项目 |
名称 |
型号 |
原产商 |
代理商 |
集成商 |
|
|
硬件 |
|
|
|
|
|
|
|
|
|
|
| ||
|
|
|
|
|
| ||
|
|
|
|
|
| ||
|
软件 |
|
|
|
|
| |
|
|
|
|
|
| ||
|
|
|
|
|
| ||
|
|
|
|
|
| ||
|
服务 |
厂商 名称 |
服务 类型 |
服务内容 |
服务 周期 | ||
|
|
|
|
|
| ||
|
|
|
|
|
| ||
|
|
|
|
|
| ||
|
|
|
|
|
| ||
注:服务类型分为风险评估、安全咨询与培训、系统集成、安全管理服务、安全外包、应急响应与应急恢复以及其他安全服务(如系统运营、工程服务、报警服务、专业招聘服务等)。
附表4:威胁分析表
|
威胁来源 |
子项 |
威胁编号 |
可能影响 的资产 |
严重程度 |
说 明 |
|
环境因素 |
|
|
|
|
|
|
人为因素 |
|
|
|
|
|
附表5:威胁赋值方法
|
等级 |
标识 |
定义 |
|
5 |
很高 |
出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。 |
|
4 |
高 |
出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。 |
|
3 |
中 |
出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。 |
|
2 |
低 |
出现的频率较小;或一般不太可能发生;或没有被证实发生过。 |
|
1 |
很低 |
威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 |
附表6:脆弱性分析表
|
类别 |
编号 |
潜在影响 |
严重程度 |
说明 |
|
规章制度 |
|
|
|
|
|
安全组织与职责 |
|
|
|
|
|
人员管理 |
|
|
|
|
|
体系结构 |
|
|
|
|
|
网络安全 |
|
|
|
|
|
设备和操作系统安全 |
|
|
|
|
|
应用系统安全 |
|
|
|
|
|
运维管理 |
|
|
|
|
|
数据安全 |
|
|
|
|
|
物理环境安全 |
|
|
|
|
|
关键资产和服务管控 |
|
|
|
|
|
应急响应与灾难恢复 |
|
|
|
|
附表7:脆弱性赋值方法
|
等级 |
标识 |
定义 |
| 5 | VH(很高) | 如果被威胁利用,将对资产造成完全损害。 |
| 4 | H(高) | 如果被威胁利用,将对资产造成重大损害。 |
| 3 | M(中) | 如果被威胁利用,将对资产造成一般损害 。 |
| 2 | L(低) | 如果被威胁利用,将对资产造成较小损害。 |
| 1 | VL(很低) | 如果被威胁利用,将对资产造成的损害可以忽略。 |
附表8:风险赋值方法
|
等级 |
标识 |
定义 |
|
5 |
很高 |
风险很高,导致系统受到非常严重影响。 |
|
4 |
高 |
风险高,导致系统受到严重影响。 |
|
3 |
中 |
风险中,导致系统受到较严重影响的。 |
|
2 |
低 |
风险低,导致系统受到一般影响。 |
|
1 |
很低 |
风险很低,导致系统受到较小影响。 |
