保險信息安全風(fēng)險評估指標(biāo)體系規(guī)范

1、保險信息安全風(fēng)險評估指標(biāo)體系規(guī)范各保監(jiān)局，保監(jiān)會機關(guān)各部門，國有保險公司監(jiān)事會，中國保險行業(yè)協(xié)會，中國保險學(xué)會，各保險公司、保險資產(chǎn)管理公司，全國金融標(biāo)準化技術(shù)委員會保險分技術(shù)委員會：全國金融標(biāo)準化技術(shù)委員會保險分技術(shù)委員會（以下簡稱保標(biāo)委）制定了保險信息安全風(fēng)險評估指標(biāo)體系規(guī)范（標(biāo)準編號為JR/T00582010）,并通過了審查，按照全國金融標(biāo)準化技術(shù)委員會保險分技術(shù)委員會章程，現(xiàn)予以發(fā)布，請遵照執(zhí)行。中國保險監(jiān)督管理委員會二一年七月十三日保險信息系統(tǒng)安全問題關(guān)系保險業(yè)發(fā)展全局，也關(guān)系到社會經(jīng)濟的穩(wěn)定。目前，在對保險機構(gòu)的開業(yè)審核與常規(guī)檢查中，由于保險業(yè)沒有完善的信息安全標(biāo)準制度體系，僅在保

2、險公司分支機構(gòu)開業(yè)統(tǒng)計與信息化建設(shè)驗收指引中有部分說明。在監(jiān)管過程中，針對特定信息安全工作發(fā)布了如保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引等規(guī)范指引，但尚未形成體系化的要求。因此，保險行業(yè)亟需一套科學(xué)、合理的信息安全保障能力指標(biāo)體系，輔助監(jiān)管部門進行有效監(jiān)管，引導(dǎo)保險機構(gòu)合理建設(shè)，促進保險行業(yè)長期健康地發(fā)展。一、指標(biāo)體系與保險安全監(jiān)管保險監(jiān)管機關(guān)充分認識到保險業(yè)信息安全監(jiān)管的重要性，在對保險公司進行充分調(diào)研的基礎(chǔ)上，提出以下新思路：通過充分調(diào)研及科學(xué)的指標(biāo)選取方法選擇信息安全能力指標(biāo)體系的安全要素、指標(biāo)，使其客觀、合理；通過科學(xué)規(guī)范的指引對信息安全能力進行分級、分類，引導(dǎo)保險機構(gòu)進行合理建設(shè)、適度保障；

3、通過設(shè)定行業(yè)關(guān)鍵能力指標(biāo)，突出信息安全保障能力的重點；通過使用信息安全能力指標(biāo)的組合，即監(jiān)管基線，突出監(jiān)管重點、降低在信息安全檢查監(jiān)管工作中的難度。二、指標(biāo)體系模型框架設(shè)計根據(jù)上述思路，保險監(jiān)管機關(guān)站在全行業(yè)信息安全的戰(zhàn)略高度，制訂信息安全保障能力指標(biāo)體系（簡稱指標(biāo)體系）。本文通過對國內(nèi)外信息安全理論、標(biāo)準和方法的研究，結(jié)合對保險行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀、業(yè)務(wù)現(xiàn)狀、安全現(xiàn)狀、組織機構(gòu)、管理模式、人員素質(zhì)、信息流轉(zhuǎn)以及發(fā)展戰(zhàn)略等相關(guān)內(nèi)容的深入調(diào)研；確定適合保險業(yè)務(wù)信息安全目標(biāo)和內(nèi)容的準確要求，采用綜合評價法構(gòu)建合理、可用、完善的指標(biāo)體系。指標(biāo)體系確立的原則本文在設(shè)計指標(biāo)體系時遵循以下基本原則：符合

4、國家有關(guān)信息與信息系統(tǒng)安全的法律和法規(guī)。具有導(dǎo)向性。指標(biāo)體系應(yīng)能反映保險業(yè)信息安全的客觀需求以及國家、行業(yè)監(jiān)管部門政策措施的落實。具有科學(xué)性?？茖W(xué)性原則是通過該指標(biāo)體系應(yīng)當(dāng)能夠客觀全面地評測保險業(yè)信息安全保障能力的現(xiàn)狀、發(fā)展水平及發(fā)展?jié)摿?，并可分析、評測保險機構(gòu)信息安全建設(shè)過程中存在的問題，提高信息安全建設(shè)的質(zhì)量，避免建設(shè)與應(yīng)用過程中的盲目性和任意性，為制訂有關(guān)政策和規(guī)劃服務(wù)。指標(biāo)體系框架設(shè)計指標(biāo)體系框架設(shè)計是在遵循上述原則的基礎(chǔ)上，參考信息系統(tǒng)安全保障理論模型和技術(shù)框架、信息安全管理標(biāo)準ISO/IEC17799：2000、ISO/IECTR13335等系列國際標(biāo)準，以及信息系統(tǒng)安全保障等級保

5、障要求、信息安全風(fēng)險評估指南等國家標(biāo)準作為指標(biāo)體系的分類標(biāo)準。（1）指標(biāo)體系模型框架構(gòu)建由于保險信息安全保障因素眾多，相互關(guān)系復(fù)雜，指標(biāo)體系將復(fù)雜關(guān)系分解為由局部簡單關(guān)系構(gòu)成的多層次結(jié)構(gòu)。指標(biāo)體系整體分為技術(shù)和管理兩大類，規(guī)定了10個方面，各方面均由不同的要素構(gòu)成。指標(biāo)體系中的類、方面、要素之間存在著錯綜復(fù)雜的依賴制約關(guān)系。指標(biāo)模型框架是一個4級的層次結(jié)構(gòu)（如圖1所示）。保障能力指標(biāo)體系框架有如下特點：指標(biāo)體系保障對象定義為“企業(yè)”，以保險機構(gòu)整體為對象，構(gòu)建一個相對完整的保障體系。體系設(shè)計上體現(xiàn)管理和技術(shù)并重。強調(diào)從技術(shù)到管理去尋求某種統(tǒng)一的體系，尋求整體的信息安全保障，是一種體系化、結(jié)構(gòu)化

6、的思想，具有可操作性。技術(shù)指標(biāo)包含5個方面，分別為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全。管理指標(biāo)包含5個方面，分別為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理。每個方面包含多個安全要素。安全要素是指為實現(xiàn)信息安全保障能力所規(guī)定的安全要求，信息安全保障能力要求則歸類到各個安全要素之中。安全保障能力依賴不同能力級別中的安全保護指標(biāo)要求來實現(xiàn)。（2）指標(biāo)體系的分級原則信息安全保障是保證信息與信息系統(tǒng)的保密性、完整性、可用性、可控性和不可否認性的信息安全保護和防御過程。它要求加強對信息和信息系統(tǒng)的保護，加強對信息安全事件和各種脆弱性的檢測，提高應(yīng)急反應(yīng)和系統(tǒng)恢復(fù)能

7、力。保險業(yè)信息安全保障能力從以下4個維度設(shè)計分級標(biāo)準：抵御威脅的能力、發(fā)現(xiàn)安全事件的能力、遭受損害后的恢復(fù)能力和體系化的整體防護能力。從4個不同維度的具體差別定義了指標(biāo)體系的9個安全保障能力等級。保險業(yè)信息安全保障能力級別分類體現(xiàn)漸進原則，依據(jù)行業(yè)規(guī)模、信息安全投入來度量各保險公司的能力；不同組織根據(jù)不同能力級別的要求，制訂合理的、滿意的安全規(guī)劃；監(jiān)管機構(gòu)引導(dǎo)各保險公司逐漸增加投入，逐步提高信息安全保障能力。保險業(yè)信息安全保障指標(biāo)體系有技術(shù)和管理兩大類，10個方面，共74個安全要素，按能力級別分為9級：第1至3級定義為第一檔，是對重要的安全功能點進行要求，體現(xiàn)為相對零散的重要的具體要求。第4至

8、6級定位為第二檔，是對構(gòu)成該安全要素的重要的安全內(nèi)容（面）提出制度化和流程化的要求。第7至9級定位為第三檔，是對構(gòu)成該安全要素的大部分安全內(nèi)容有成體系的要求，并且在重要方面能夠持續(xù)改進。同一檔下更高級別主要差別是如果被攻擊后恢復(fù)到正常保障狀態(tài)的能力，從深度和廣度對基礎(chǔ)級別逐步加強。深度是對基礎(chǔ)級別提出的指標(biāo)進行加深，即提出對應(yīng)基礎(chǔ)級別指標(biāo)更詳細和要求更高的指標(biāo)。廣度是對基礎(chǔ)級別提出的指標(biāo)進行擴展，即提出更多的指標(biāo)，這些指標(biāo)用于保障基礎(chǔ)級別指標(biāo)的有效實現(xiàn)。指標(biāo)選取指標(biāo)選取是構(gòu)建指標(biāo)體系的基礎(chǔ)性工作。由于保險行業(yè)信息安全能力的定義存在諸多不確定因素、難以進行定量分析的情況。因此，采用專家調(diào)研法來選

9、取指標(biāo)。通過匿名方式征詢有關(guān)專家的意見，對行統(tǒng)計、處理、分析和歸納，客觀地綜合多數(shù)專家經(jīng)驗與主觀判斷大量非技術(shù)的無法定量分析的因素做出合理估算，經(jīng)多次反復(fù)進行內(nèi)容進行確定的方法。指標(biāo)的選取依據(jù)以下原則。（1）具有全面性和綜合性選取的指標(biāo)必須反映保險業(yè)信息安全保障能力對象的復(fù)雜性，且具有一定的綜合性，指標(biāo)之間要有較強的邏輯關(guān)聯(lián)。（2）具有良好的可操作性選取的指標(biāo)的含義明確，便于實施。應(yīng)充分考慮所用指標(biāo)的可用性，在采集過程中的可獲得性。（3）具有可延續(xù)性在選擇反映現(xiàn)實的能力安全水平指標(biāo)外，還應(yīng)選擇能反映未來發(fā)展趨勢的指標(biāo)。以保證指標(biāo)體系不僅在時間上可延續(xù)，而且在內(nèi)容上還可拓展。信息系統(tǒng)安全保障能力

10、指標(biāo)進一步細分為關(guān)鍵能力指標(biāo)和一般能力指標(biāo)。關(guān)鍵能力指標(biāo)為達成特定安全保障能力級別的判別性指標(biāo)，一般能力指標(biāo)為達成該安全保障能力級別的輔助性指標(biāo)。關(guān)鍵能力指標(biāo)的滿足度決定了信息系統(tǒng)所能達到的安全保障能力級別。一般能力指標(biāo)的滿足度會影響該安全保障能力級別下能力高低的評定（表1為指標(biāo)體系構(gòu)成樣表）。三、指標(biāo)體系應(yīng)用1.監(jiān)管檢查基線基線測評是根據(jù)監(jiān)管要求設(shè)定的基線，通過使用對應(yīng)的信息安全能力保障測評規(guī)范指引，對保險機構(gòu)進行安全評估?；€測評的目標(biāo)是幫助保險監(jiān)管機關(guān)建立一套滿足信息安全基本目標(biāo)的最小對策集合，可在全行業(yè)范圍內(nèi)實行。如果有特殊需要，可在此基礎(chǔ)上，對特定系統(tǒng)進行更詳細的分解要求?；€測評強

11、調(diào)以保險機構(gòu)為測評目標(biāo)，針對某一個安全基線進行測評及機構(gòu)自我檢查，并可根據(jù)持續(xù)的PDCA過程提升安全管理水平?；€測評的優(yōu)點是需要的資源少，周期短，操作簡單，對于環(huán)境相似且安全需求相當(dāng)?shù)谋ｋU機構(gòu)，基線測評顯然是最經(jīng)濟有效的測評途徑。當(dāng)然，基線測評也有其難以避免的缺點，比如基線水平的高低難以設(shè)定，如果過高，可能導(dǎo)致資源浪費和限制過度；如果過低，可能難以達到充分的安全。圖2指出基線的構(gòu)成，監(jiān)管機關(guān)為每個安全保障能力要素選擇應(yīng)達到的級別。2.應(yīng)用舉例應(yīng)用指標(biāo)體系結(jié)合基線的評測方法，保險監(jiān)管機關(guān)通過利用指標(biāo)類型判斷指標(biāo)在測評中的權(quán)重。對應(yīng)指標(biāo)體系形成行測評規(guī)范指引，該指引定義了指標(biāo)測評項。測評項根據(jù)其

12、安全保障能力又分為關(guān)鍵測評項與非關(guān)鍵測評項。關(guān)鍵指標(biāo)的關(guān)鍵檢查項得分為A分，其他得分為B分。例如：某次安全管理專項檢查，檢查安全管理制度，安全管理機構(gòu)和人員安全3個方面，形成一個行業(yè)監(jiān)管基線。其中重點檢查安全管理機構(gòu)，且主要檢查崗位設(shè)置和人員配備情況。分數(shù)設(shè)定步驟如下。（1）首先為3個方面設(shè)定評分權(quán)重，例如安全管理制度25%，安全管理機構(gòu)50%，人員安全25%。（2）其次為3個方面所含的安全要素設(shè)定權(quán)重，例如安全管理制度的安全要素共4個，權(quán)重一致，均為25%；安全管理機構(gòu)“崗位設(shè)置”及“人員配備”權(quán)重均為26%，其余3個要素均為16%；人員安全的安全要素共5個，權(quán)重一致，均為20%。（3）分數(shù)計算：測評工具將根據(jù)人工設(shè)定的權(quán)重自動計算出每個指標(biāo)的分值，包括A分和B分，根據(jù)檢查結(jié)果，將每個指標(biāo)的A分及B分匯總，即計算出總的A分和B分。保險監(jiān)管機關(guān)在實際安全保障能力指標(biāo)應(yīng)用中，可以通過基線設(shè)定鎖定安全監(jiān)管重點，通過AB評分機制判