保險(xiǎn)業(yè)的信息安全以往是比較容易疏忽的問題，主要是由于回報(bào)不容易直觀計(jì)算，投資決策有一定難度，而且與銀行業(yè)相比，保險(xiǎn)業(yè)面臨的安全風(fēng)險(xiǎn)似乎要小得多。但隨著保險(xiǎn)業(yè)信息化的發(fā)展，信息安全形勢(shì)也日趨嚴(yán)峻。

　　目前，保險(xiǎn)業(yè)的信息安全面臨新的挑戰(zhàn)。一方面由于數(shù)據(jù)的集中處理和集中存放，使得一旦發(fā)生故障產(chǎn)生的損失會(huì)比以前數(shù)據(jù)分散的情況下產(chǎn)生的損失大得多；另一方面保險(xiǎn)業(yè)務(wù)從專用網(wǎng)絡(luò)擴(kuò)展到互聯(lián)網(wǎng)和無線網(wǎng)，使得保險(xiǎn)業(yè)的網(wǎng)絡(luò)面對(duì)外部黑客的威脅和病毒的侵害。這些安全威脅一旦給保險(xiǎn)業(yè)造成損失，將不僅影響到保險(xiǎn)公司本身，而且可能會(huì)涉及到國家金融系統(tǒng)的安全。

　　信息安全風(fēng)險(xiǎn)日益嚴(yán)重

　　據(jù)中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱CNCERT/CC）的統(tǒng)計(jì)報(bào)告顯示，2005年CNCERT/CC共收到國內(nèi)外通過應(yīng)急熱線、網(wǎng)站、電子郵件等報(bào)告的網(wǎng)絡(luò)安全事件12萬多件，與2003年相比數(shù)量增長了十倍。全球范圍內(nèi)的信息安全形勢(shì)也同樣不容樂觀。2003年2月，日本最大的寬帶網(wǎng)接入服務(wù)提供商軟銀公司互聯(lián)網(wǎng)服務(wù)數(shù)據(jù)庫中的452萬名用戶資料被泄漏，據(jù)估花費(fèi)了40億日元賠償損失。2005年6月，萬事達(dá)公司宣布4000萬信用卡用戶的信息可能被竊，共涉及1390萬名萬事達(dá)卡客戶、2200萬名維薩卡用戶以及數(shù)量不詳?shù)拿绹�運(yùn)通和Discover卡用戶。以上種種事例都表明保險(xiǎn)業(yè)面臨的信息安全風(fēng)險(xiǎn)日益嚴(yán)重。

　　對(duì)此國家非常重視，“十五”期間，國家陸續(xù)頒布了《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《商用密碼管理?xiàng)l例》和《電子簽名法》等一系列信息安全法律法規(guī)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)也陸續(xù)推出了《GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則》等一系列信息安全標(biāo)準(zhǔn)。2005年黨的十六屆五中全會(huì)就明確指出要“健全信息安全保障體系，實(shí)現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展”，并在2006年-2020年的國家信息發(fā)展戰(zhàn)略中將信息安全建設(shè)作為重要的組成部分。

　　隨著國家信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)等基礎(chǔ)環(huán)境建設(shè)的不斷加強(qiáng)，對(duì)保險(xiǎn)業(yè)信息安全保障的要求也日趨嚴(yán)格。為了進(jìn)一步加強(qiáng)保險(xiǎn)業(yè)信息安全保障工作，保監(jiān)會(huì)專門下發(fā)了《關(guān)于進(jìn)一步加強(qiáng)保險(xiǎn)系統(tǒng)信息安全保障工作的通知》，并采取了一系列措施來落實(shí)此項(xiàng)工作。同時(shí)，在保監(jiān)會(huì)發(fā)布的《中國保險(xiǎn)業(yè)發(fā)展“十一五”規(guī)劃信息化重點(diǎn)專項(xiàng)規(guī)劃》中將信息安全保障工作提到了相當(dāng)?shù)母叨�，將“信息安全保障工作切�?shí)加強(qiáng)，信息安全保障體系逐步完善”列為發(fā)展目標(biāo)，把“構(gòu)建信息安全保障體系”作為下一步工作的主要任務(wù)。太平洋保險(xiǎn)集團(tuán)作為保險(xiǎn)業(yè)的重要一員，已經(jīng)注意到信息安全的重要性，并已經(jīng)采取了應(yīng)對(duì)措施。

　　保障信息安全的最佳之策

　　面對(duì)復(fù)雜的內(nèi)外部形勢(shì)，太平洋保險(xiǎn)集團(tuán)經(jīng)過多年信息化建設(shè)和安全管理實(shí)踐，認(rèn)為只有建立健全信息安全體系，依托機(jī)制保障，融合技術(shù)與管理，形成合力，才能有效應(yīng)對(duì)信息安全風(fēng)險(xiǎn)。

　　信息安全體系是安全組織、安全管理和安全技術(shù)的緊密結(jié)合，缺少了其中任何一個(gè)要素，都無法實(shí)現(xiàn)公司既定的信息安全管理目標(biāo)。

　　安全組織是指企業(yè)內(nèi)部的信息安全管理組織，它負(fù)責(zé)信息安全體系的管理、實(shí)施和監(jiān)督。安全組織不是一個(gè)孤立的組織，它的工作目標(biāo)需要通過企業(yè)各部門的密切配合才能實(shí)現(xiàn)。舉例來說，對(duì)數(shù)據(jù)的授權(quán)需要由業(yè)務(wù)流程負(fù)責(zé)人審批后才由信息安全人員具體執(zhí)行，少了業(yè)務(wù)部門的配合，授權(quán)管理便無法真正實(shí)現(xiàn)。此外，在我們的實(shí)際工作中，由于個(gè)別員工安全意識(shí)薄弱，未采取一些基本的安全措施，導(dǎo)致個(gè)人電腦被惡意代碼攻擊的事例也時(shí)有發(fā)生。因此，除了安全組織外，公司的每個(gè)員工都應(yīng)切實(shí)履行信息安全職責(zé)。

　　安全管理是指制定和執(zhí)行公司信息安全策略、標(biāo)準(zhǔn)與指導(dǎo)方針、流程和指南。安全策略是根據(jù)公司信息安全原則制定出公司信息安全管理的目標(biāo)和方向，以滿足公司不斷發(fā)展的業(yè)務(wù)需求。安全標(biāo)準(zhǔn)與指導(dǎo)方針是在安全策略指引下，針對(duì)信息安全具體工作內(nèi)容制定的標(biāo)準(zhǔn)和規(guī)范。安全流程和指南是根據(jù)實(shí)際工作開展的需要，將安全策略分解到明細(xì)的規(guī)定和執(zhí)行流程的步驟。在策略、標(biāo)準(zhǔn)和流程制定后，安全管理的另一項(xiàng)工作就是負(fù)責(zé)落實(shí)。

　　安全技術(shù)是指通過一系列技術(shù)手段來保證安全管理目標(biāo)的實(shí)現(xiàn)，是整體信息安全體系中技術(shù)層面的內(nèi)容。安全技術(shù)非常多且在不斷的發(fā)展中，目前大家熟知的有：IDS入侵檢測(cè)技術(shù)、Firewall防火墻技術(shù)、防病毒技術(shù)、加密技術(shù)和認(rèn)證技術(shù)等等。安全技術(shù)運(yùn)用的關(guān)鍵是根據(jù)公司實(shí)際需要選擇合適的技術(shù)在成本合理的前提下達(dá)到公司信息安全管理目標(biāo)。

　　那么，信息安全體系如何協(xié)同工作、發(fā)揮作用呢？我們就拿企業(yè)防病毒管理舉例來說：盡管很多企業(yè)都部署了企業(yè)級(jí)防病毒軟件，但病毒感染事件仍時(shí)有發(fā)生，甚至部分企業(yè)遭受重大影響。為什么呢？仔細(xì)研究后不難發(fā)現(xiàn)，這些企業(yè)只是簡(jiǎn)單的部署了防病毒產(chǎn)品并沒有建立起完整的防病毒管理體系。真正的信息安全體系應(yīng)該是這樣協(xié)同運(yùn)轉(zhuǎn)的：首先，企業(yè)應(yīng)該有專門的安全組織負(fù)責(zé)病毒預(yù)警和病毒感染事件處理，并且建立起行之有效的病毒事件響應(yīng)機(jī)制。其次，在管理上制定公司防病毒管理規(guī)范和標(biāo)準(zhǔn)，并通過信息安全教育使員工提高防病毒的意識(shí)和能力。最后，在技術(shù)上統(tǒng)一部署防病毒系統(tǒng)并定期升級(jí)病毒特征碼，在病毒出現(xiàn)時(shí)由專人處理，以有效地控制病毒的破壞程度。只有這種人、管理、技術(shù)三位一體的信息安全體系才能有效保障公司的信息安全。

　　如何與實(shí)際需要相結(jié)合

　　信息安全體系建設(shè)如此重要，那如何才能構(gòu)建一套符合實(shí)際需要的安全體系呢？從太保集團(tuán)的實(shí)踐來看，在公司2002年信息技術(shù)戰(zhàn)略規(guī)劃中就明確提出要“建立企業(yè)的IT安全體系，為信息化建設(shè)中的IT安全提供原則和指導(dǎo)，滿足CPIC當(dāng)前和長期的IT安全性需求，保護(hù)公司的信息資產(chǎn)”，目標(biāo)就是建立全公司的信息安全體系，在內(nèi)容上涵蓋IT安全組織、IT安全管理制度以及IT安全技術(shù)三部分內(nèi)容。

　　在建設(shè)過程中，太保集團(tuán)以國標(biāo)《GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則》為指導(dǎo)，根據(jù)信息安全建設(shè)的通用方法，有步驟、有系統(tǒng)地推進(jìn)信息安全體系的建設(shè)。從工作步驟上看，可劃分為：評(píng)估、規(guī)劃、設(shè)計(jì)、實(shí)施和運(yùn)維五個(gè)部分內(nèi)容。

　　評(píng)估工作的目的是明確信息安全現(xiàn)狀和安全需求，通過對(duì)現(xiàn)有信息安全管理制度和基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)的評(píng)估，了解信息資產(chǎn)存在的威脅和漏洞，從而確定預(yù)防風(fēng)險(xiǎn)的應(yīng)對(duì)措施。

　　規(guī)劃工作的目的是完成信息安全體系及其核心組件的高端解決方案設(shè)計(jì)。

　　設(shè)計(jì)工作的目的是完成信息安全體系的詳細(xì)設(shè)計(jì)，包括：開發(fā)IT安全管理制度，建立安全組織，設(shè)計(jì)IT基礎(chǔ)設(shè)施安全架構(gòu)、應(yīng)用安全架構(gòu)等，獲取并定制安全產(chǎn)品，并制定現(xiàn)存技術(shù)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的改造方案，以便達(dá)到安全控制的要求。

　　實(shí)施工作的目的是在全司范圍內(nèi)進(jìn)行信息安全體系的試點(diǎn)實(shí)施和推廣工作，包括：新的策略、標(biāo)準(zhǔn)、流程的宣導(dǎo)，改造現(xiàn)有的技術(shù)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)等。

　　運(yùn)維工作的目的是對(duì)信息安全體系進(jìn)行持續(xù)管理、執(zhí)行、監(jiān)控、改進(jìn)，并且根據(jù)業(yè)務(wù)發(fā)展及定期風(fēng)險(xiǎn)評(píng)估的結(jié)果，更新信息安全體系。

　　建立信息安全體系的意義

　　建立健全信息安全體系對(duì)太平洋保險(xiǎn)集團(tuán)的發(fā)展意義重大。首先，此體系的建立將提升信息技術(shù)平臺(tái)的可靠性。信息安全體系建設(shè)是公司信息化建設(shè)中的重要環(huán)節(jié)，必將大大提高信息基礎(chǔ)平臺(tái)的安全性和可靠性，使其更好地服務(wù)于公司的業(yè)務(wù)發(fā)展。其次，通過信息安全體系的建設(shè)，可有效提高對(duì)信息安全風(fēng)險(xiǎn)的管控能力，增強(qiáng)信息安全事件處理的有效性， 降低數(shù)據(jù)被非法修改和使用的風(fēng)險(xiǎn)，持續(xù)保護(hù)公司信息資產(chǎn)；同時(shí)提高客戶和業(yè)務(wù)合作伙伴對(duì)公司的信任度。最后，信息安全體系的建立將使太平洋保險(xiǎn)集團(tuán)在信息安全保障方面與國際先進(jìn)水平接軌，從而為太平洋保險(xiǎn)集團(tuán)參與國際競(jìng)爭(zhēng)、成長為國際化金融控股集團(tuán)提供有力的技術(shù)支撐。（張海斌）