湖北衅匮贸易有限公司

中國保險監(jiān)督管理委員會|保監(jiān)廳發(fā)〔2007〕28號|2007-06-06發(fā)布|2007-06-06實施|現(xiàn)行有效
保監(jiān)廳發(fā)〔2007〕28號

為進一步強化信息安全意識，提高保險業(yè)信息安全保障水平，現(xiàn)將開展2007年保險業(yè)信息系統(tǒng)安全檢查工作有關事項通知如下：
一、信息安全檢查的目的、原則和范圍
（一）信息安全檢查的目的
通過信息安全檢查工作，分析網絡與信息系統(tǒng)面臨的風險，評估網絡與信息系統(tǒng)的安全狀況，查找薄弱環(huán)節(jié)和安全隱患，進一步強化信息安全意識，規(guī)范信息安全管理，提高保險信息系統(tǒng)的安全保障能力。
（二）信息安全檢查的原則
按照“誰主管誰負責，誰運營誰負責”的原則，遵循“統(tǒng)一領導、分級負責，周密部署、務求實效”的方針，突出重點，充分吸納去年信息安全檢查的成功經驗，切實做好保險信息系統(tǒng)安全檢查工作。
（三）信息安全檢查的范圍
各保險公司、保險資產管理公司。
二、信息安全檢查的方式和具體內容
（一）信息安全檢查的方式
以各公司自查為主，中國保監(jiān)會將組織檢查組進行抽查。中國保監(jiān)會統(tǒng)計信息部負責全行業(yè)信息安全檢查工作的組織領導，各公司負責各自的信息系統(tǒng)安全自查工作的組織實施。
（二）信息安全檢查的具體內容
1、資產調查。對網絡與信息系統(tǒng)的資產進行統(tǒng)計調查，并分析其重要程度。資產主要包括網絡與信息系統(tǒng)相關的硬件、軟件、服務、信息、人員等。
（1）確定自查范圍。
（2）對相關資產進行分類。
（3）對資產重要性進行分析。
（4）統(tǒng)計網絡設備、安全設備、大型服務器、存儲設備、操作系統(tǒng)、數據庫等關鍵資產及信息技術服務和信息安全服務的國產化率。
（5）外國供應商提供產品和服務情況。
資產調查和賦值方法參見附表1和附表2，外國供應商提供產品和服務情況參見附表3。
2、威脅分析。對網絡與信息系統(tǒng)所面臨的威脅進行分析。
（1）分析威脅來源，包括環(huán)境因素和人為因素等。
（2）對威脅進行分類。
（3）研究威脅發(fā)生的可能性。
（4）分析威脅的嚴重程度。
威脅分析和賦值方法參見附表4和附表5。
3、脆弱性分析。對自查對象存在的管理和技術薄弱環(huán)節(jié)進行查找、分析和歸納，對已有安全管理體系、安全措施進行核實和評價。
（1）規(guī)章制度：安全策略及管理規(guī)章制度是否健全，有關規(guī)章制度的制定、發(fā)布、修訂及執(zhí)行情況，對有關政策、法規(guī)以及行業(yè)監(jiān)管責任的落實情況。
（2）安全組織與職責：安全組織體系是否健全，管理職責是否明確，安全管理機構崗位設置、人員配備是否合理。
（3）人員管理：人員的安全和保密意識教育、安全技能培訓情況，重點、敏感崗位人員有無特殊管理措施。
（4）體系結構：網絡與信息系統(tǒng)的體系結構、各類安全保障措施的組合是否合理。
（5）網絡安全：安全域劃分、邊界保護、內網防護、外部設備接入控制、內外網物理隔離等情況。
（6）設備和操作系統(tǒng)安全：網絡交換設備、安全設備。主機和終端設備的安全性，操作系統(tǒng)的安全配置、病毒防護、惡意代碼防范等。
（7）應用系統(tǒng)安全：數據庫、WEB網站、日常辦公和業(yè)務系統(tǒng)等應用的安全設計、配置和管理情況；關鍵應用系統(tǒng)開發(fā)過程中的質量控制和安全性測試情況。
（8）運維管理：設備、系統(tǒng)的操作和維護記錄，變更管理，安全事件分析和報告；運行環(huán)境與開發(fā)環(huán)境的分離情況；安全審計、補丁升級管理、安全漏洞檢測、網管、權限管理及密碼管理等情況。
（9）數據安全：數據訪問控制情況，服務器、用戶終端、數據庫等數據加密保護能力，磁盤、光盤、U盤和移動硬盤等存儲介質管理情況，數據備份與恢復手段等。
（10）物理環(huán)境安全：機房安全管控措施、防災措施、供電和通信系統(tǒng)的保障措施等。
（11）關鍵資產和服務管控：關鍵資產采購時是否進行了安全性測評，對服務機構和人員的保密約束情況，在服務提供過程中是否采取了管控措施。
（12）應急響應與災難恢復：應急響應體系（應急組織、應急預案、應急物資）建設情況，應急演練情況，系統(tǒng)災難備份措施情況。
脆弱性分析和賦值方法見附表6和附表7。
4、綜合評估。根據上述檢查結果，綜合分析網絡與信息系統(tǒng)的整體安全現(xiàn)狀。
（1）對資產、威脅、薄弱環(huán)節(jié)、已有安全措施進行綜合分析，分析安全事件發(fā)生的可能性。
（2）分析安全事件發(fā)生后可能造成的后果及影響。
（3）分析網絡與信息系統(tǒng)的整體風險狀況，提出風險列表。
風險賦值方法見附表8。
5、研究提出整改措施。根據對網絡與信息系統(tǒng)的風險狀況，結合法律法規(guī)、國家和行業(yè)政策要求以及當前的重點任務，統(tǒng)籌考慮，研究提出風險應對措施。
三、信息安全檢查工作的要求和安排
（一）各公司應建立信息安全檢查領導機構，由分管信息安全的公司領導親自抓，切實加強自查工作的組織實施，并將自查方案報中國保監(jiān)會統(tǒng)計信息部備案。（2007年6月25日前完成）
（二）各公司應完成信息系統(tǒng)的自查工作，并將檢查結果以及改進措施報中國保監(jiān)會統(tǒng)計信息部。中國保監(jiān)會將對部分公司進行抽查。（2007年7月31日前完成）
（三）中國保監(jiān)會對此次檢查情況、發(fā)現(xiàn)的問題進行分析匯總后，將向全行業(yè)通報。
中國保監(jiān)會統(tǒng)計信息部聯(lián)系人：李春亮、王曉鵬
聯(lián)系電話：010-66286107、010-66286602
附表：
1、資產分類表
2、資產賦值方法
3、外國供應商提供產品和服務基本情況統(tǒng)計表
4、威脅分析表
5、威脅賦值方法
6、脆弱性分析表
7、脆弱性賦值方法
8、風險賦值方法
二○○七年六月六日
附表1：資產分類表
類別
項目
資產編號
資產名稱
資產權重
說明
硬件
軟件
服務
信息
人員
附表2：資產賦值方法
等級標識
定義
VH（很高）非常重要，其安全屬性破壞后可能對被評估單位
造成非常嚴重的損失。
H（高）
重要，其安全屬性破壞后可能對被評估單位造成
比較嚴重的損失。
M（中）
比較重要，其安全屬性破壞后可能對被評估單位
造成中等程度的損失。
L（低）
不太重要，其安全屬性破壞后可能對被評估單位
造成較低的損失。
VL（很低）不重要，其安全屬性破壞后對被評估單位造成很
小的損失，甚至忽略不計。
附表3：外國供應商提供產品和服務基本情況統(tǒng)計表
業(yè)務系統(tǒng)名稱
項目名稱型號原產商代理商集成商
硬件
軟件
服務廠商服務
服務內容
服務
名稱類型
周期
注：服務類型分為風險評估、安全咨詢與培訓、系統(tǒng)集成、安全管理服務、安全外包、應急響應與應急恢復以及其他安全服務（如系統(tǒng)運營、工程服務、報警服務、專業(yè)招聘服務等）。
附表4：威脅分析表
威脅來源子項
威脅編號
可能影響
嚴重程度說明
的資產
環(huán)境因素
人為因素
附表5：威脅賦值方法
等級
標識定義
很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數情況下幾乎不可避
免；或可以證實經常發(fā)生過。
高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數情況下很有可能會
發(fā)生；或可以證實多次發(fā)生過。
中出現(xiàn)的頻率中等（或〉
1次/半年）；或在某種情況下可能會
發(fā)生；或被證實曾經發(fā)生過。
低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實發(fā)生過。
很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。
附表6：脆弱性分析表
類別
編號
潛在影響嚴重程度
說明
規(guī)章制度
安全組織與職責
人員管理
體系結構
網絡安全
設備和操作系統(tǒng)安全
應用系統(tǒng)安全
運維管理
數據安全
物理環(huán)境安全
關鍵資產和服務管控
應急響應與災難恢復
附表7：脆弱性賦值方法
等級
標識
定義
VH（很高）如果被威脅利用，將對資產造成完全損害。
H（高）
如果被威脅利用，將對資產造成重大損害。
M（中）
如果被威脅利用，將對資產造成一般損害
L（低）
如果被威脅利用，將對資產造成較小損害。
VL（很低）如果被威脅利用，將對資產造成的損害可以忽略。
附表8：風險賦值方法
等級
標識
定義
很高風險很高，導致系統(tǒng)受到非常嚴重影響。
高
風險高，導致系統(tǒng)受到嚴重影響。
中
風險中，導致系統(tǒng)受到較嚴重影響的。
低
風險低，導致系統(tǒng)受到一般影響。
很低風險很低，導致系統(tǒng)受到較小影響。