保险企业是以保险业务为核心的,融证券、信托、银行、资产管理、企业年金等多元金融业务为一体的紧密、高效、多元的综合金融保险服务集团。信息科技风险管理工作应该得到保险企业管理层的高度重视和参与,根据不同应用系统的安全等级制定实用的安全防护策略,以保证保险企业业务流程的高效畅通和高度安全。
就保险企业信息科技风险管理工作而言,大多数保险企业遵循公安部发布的《信息安全等级保护管理办法》以及保监会发布的《保险公司信息系统安全管理指引》,已经初步建立了技术结合管理的一系列措施,包括对主要业务信息系统进行定级和备案,并按照相关标准执行针对性的控制措施。但随着保险企业信息化大集中,IT技术以及企业业务的不断发展,以及监管机构不断提出新的要求,保险企业也需要修炼内功,持续提升自身的信息科技风险管理水平。
梵禅信息多年来与多家国内外知名保险公司保持着长期合作关系,也时刻关注着保险行业信息科技风险管理的发展动态,先后为包括美国大都会人寿、友邦保险、太平保险等机构提供过专业咨询服务,对保险企业实施信息科技风险管理和内控合规有着深刻的理解,并为此专门提出一套解决方案。
我们认为,保险企业应以公安部《信息安全等级保护管理办法》与保监会《保险公司信息系统安全管理指引(试行)》为总体框架,充分借鉴包括ISO27001、ISO20000、ISO22301(原BS25999)、ISO38500、CMMI、CobiT、ISO31000等权威标准,根据“积极防御、综合防范”以及“自主保护、重点保护、同步建设、动态调整”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
信息系统安全保障体系规划
梵禅信息根据多年的咨询和研究成果, 建立项目的整体合规模型,作为体系建设工作开展的基础,此模型以保险公司信息系统安全管理指引、ISO27001标准、ISO20000标准、信息系统等级保护标准以及其他相关法律法规要求为输入,使各类标准及合规要求进行互相映射,对相同要求进行合并,对细化要求进行融入,对框架外要求进行整理,最终获得总体合规模型。以总体合规模型作为信息系统安全保障体系建设的基础,既着眼全局、不遗漏,同时又突出重点,符合保险行业自身特点,具有较强的针对性。
信息系统技术体系规划
信息安全技术体系是信息系统安全保障体系实现固化的重要保证,通过信息安全技术体系的建设,可以实现对信息科技风险的监控和防范,可实现和强化深层次的信息安全管理。
信息安全技术体系的规划主要通过对风险评估结果及管理体系建设要求进行分析,设计保险公司信息安全技术体系架构,并依据技术体系架构要求进行技术体系的详细设计,分析建设路线,最终形成总体技术体系规划。保险公司信息安全技术体系主要以等级保护技术框架等标准要求为基础,在终端、数据、应用、主机、网络、物理环境、安全管理等方面运用身份认证、访问控制、内容安全、监控审计、备份恢复、集中管控等技术手段,实现信息安全技术管控的全面覆盖。
信息科技风险管理组织的构建与管理
保险公司应成立信息安全委员会,由公司高层领导作为信息安全第一责任人担任委员会主席,成员由主要业务部门、人力资源部门、法务部门、风控部门及信息技术部门等部门组成。信息安全管理委员会应针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并且提高企业员工的信息安全素养,通过培训等方式充分强化全体员工的安全意识,确保信息安全体系的有效运行。