1、保險信息安全風險評估指標體系規范各保監局,保監會機關各部門,國有保險公司監事會,中國保險行業協會,中國保險學會,各保險公司、保險資產管理公司,全國金融標準化技術委員會保險分技術委員會:全國金融標準化技術委員會保險分技術委員會(以下簡稱保標委制定了保險信息安全風險評估指標體系規范(標準編號為JR/T0058-2010,并通過了審查,按照全國金融標準化技術委員會保險分技術委員會章程,現予以發布,請遵照執行。中國保險監督管理委員會二一年七月十三日-保險信息系統安全問題關系保險業發展全局,也關系到社會經濟的穩定。目前,在對保險機構的開業審核與常規檢查中,由于保險業沒有完善的信息安全標準制度體系,僅在保

2、險公司分支機構開業統計與信息化建設驗收指引中有部分說明。在監管過程中,針對特定信息安全工作發布了如保險業信息系統災難恢復管理指引等規范指引,但尚未形成體系化的要求。因此,保險行業亟需一套科學、合理的信息安全保障能力指標體系,輔助監管部門進行有效監管,引導保險機構合理建設,促進保險行業長期健康地發展。一、指標體系與保險安全監管保險監管機關充分認識到保險業信息安全監管的重要性,在對保險公司進行充分調研的基礎上,提出以下新思路:通過充分調研及科學的指標選取方法選擇信息安全能力指標體系的安全要素、指標,使其客觀、合理;通過科學規范的指引對信息安全能力進行分級、分類,引導保險機構進行合理建設、適度保障;

3、通過設定行業關鍵能力指標,突出信息安全保障能力的重點;通過使用信息安全能力指標的組合,即監管基線,突出監管重點、降低在信息安全檢查監管工作中的難度。二、指標體系模型框架設計根據上述思路,保險監管機關站在全行業信息安全的戰略高度,制訂信息安全保障能力指標體系(簡稱指標體系。本文通過對國內外信息安全理論、標準和方法的研究,結合對保險行業信息系統的網絡現狀、業務現狀、安全現狀、組織機構、管理模式、人員素質、信息流轉以及發展戰略等相關內容的深入調研;確定適合保險業務信息安全目標和內容的準確要求,采用綜合評價法構建合理、可用、完善的指標體系。1.指標體系確立的原則本文在設計指標體系時遵循以下基本原則:符

4、合國家有關信息與信息系統安全的法律和法規。具有導向性。指標體系應能反映保險業信息安全的客觀需求以及國家、行業監管部門政策措施的落實。具有科學性。科學性原則是通過該指標體系應當能夠客觀全面地評測保險業信息安全保障能力的現狀、發展水平及發展潛力,并可分析、評測保險機構信息安全建設過程中存在的問題,提高信息安全建設的質量,避免建設與應用過程中的盲目性和任意性,為制訂有關政策和規劃服務。2.指標體系框架設計指標體系框架設計是在遵循上述原則的基礎上,參考信息系統安全保障理論模型和技術框架、信息安全管理標準ISO/IEC 17799: 2000、ISO/IEC TR 13335等系列國際標準,以及信息系統

5、安全保障等級保障要求、信息安全風險評估指南等國家標準作為指標體系的分類標準。(1指標體系模型框架構建由于保險信息安全保障因素眾多,相互關系復雜,指標體系將復雜關系分解為由局部簡單關系構成的多層次結構。指標體系整體分為技術和管理兩大類,規定了10個方面,各方面均由不同的要素構成。指標體系中的類、方面、要素之間存在著錯綜復雜的依賴制約關系。指標模型框架是一個4級的層次結構(如圖1所示。保障能力指標體系框架有如下特點:指標體系保障對象定義為“企業”,以保險機構整體為對象,構建一個相對完整的保障體系。體系設計上體現管理和技術并重。強調從技術到管理去尋求某種統一的體系,尋求整體的信息安全保障,是一種體系

6、化、結構化的思想,具有可操作性。技術指標包含5個方面,分別為物理安全、網絡安全、主機安全、應用安全和數據安全。管理指標包含5個方面,分別為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。每個方面包含多個安全要素。安全要素是指為實現信息安全保障能力所規定的安全要求,信息安全保障能力要求則歸類到各個安全要素之中。安全保障能力依賴不同能力級別中的安全保護指標要求來實現。(2指標體系的分級原則信息安全保障是保證信息與信息系統的保密性、完整性、可用性、可控性和不可否認性的信息安全保護和防御過程。它要求加強對信息和信息系統的保護,加強對信息安全事件和各種脆弱性的檢測,提高應急反應和系

7、統恢復能力。保險業信息安全保障能力從以下4個維度設計分級標準:抵御威脅的能力、發現安全事件的能力、遭受損害后的恢復能力和體系化的整體防護能力。從4個不同維度的具體差別定義了指標體系的9個安全保障能力等級。保險業信息安全保障能力級別分類體現漸進原則,依據行業規模、信息安全投入來度量各保險公司的能力;不同組織根據不同能力級別的要求,制訂合理的、滿意的安全規劃;監管機構引導各保險公司逐漸增加投入,逐步提高信息安全保障能力。保險業信息安全保障指標體系有技術和管理兩大類,10個方面,共74個安全要素,按能力級別分為9級:第1至3級定義為第一檔,是對重要的安全功能點進行要求,體現為相對零散的重要的具體要求

8、。第4至6級定位為第二檔,是對構成該安全要素的重要的安全內容(面提出制度化和流程化的要求。第7至9級定位為第三檔,是對構成該安全要素的大部分安全內容有成體系的要求,并且在重要方面能夠持續改進。同一檔下更高級別主要差別是如果被攻擊后恢復到正常保障狀態的能力,從深度和廣度對基礎級別逐步加強。深度是對基礎級別提出的指標進行加深,即提出對應基礎級別指標更詳細和要求更高的指標。廣度是對基礎級別提出的指標進行擴展,即提出更多的指標,這些指標用于保障基礎級別指標的有效實現。3.指標選取指標選取是構建指標體系的基礎性工作。由于保險行業信息安全能力的定義存在諸多不確定因素、難以進行定量分析的情況。因此,采用專家

9、調研法來選取指標。通過匿名方式征詢有關專家的意見，對行統 計、處理、分析和歸納，客觀地綜合多數專家經驗與主觀判斷大量非 技術的無法定量分析的因素做出合理估算， 經多次反復進行內容進行 確定的方法。 指標的選取依據以下原則。 （1）具有全面性和綜合性 選取的指標必須反映保險業信息安全保障能力對象的復雜性， 且具有 一定的綜合性，指標之間要有較強的邏輯關聯。 （2）具有良好的可操作性 選取的指標的含義明確，便于實施。應充分考慮所用指標的可用性， 在采集過程中的可獲得性。 （3）具有可延續性 在選擇反映現實的能力安全水平指標外， 還應選擇能反映未來發展趨 勢的指標。以保證指標體系不僅在時間上可延續，

10、而且在內容上還可 拓展。 信息系統安全保障能力指標進一步細分為關鍵能力指標和一般能力 指標。關鍵能力指標為達成特定安全保障能力級別的判別性指標，一 般能力指標為達成該安全保障能力級別的輔助性指標。 關鍵能力指標 的滿足度決定了信息系統所能達到的安全保障能力級別。 一般能力指 標的滿足度會影響該安全保障能力級別下能力高低的評定 （表 1 為指 標體系構成樣表） 。 三、指標體系應用 1.監管檢查基線 基線測評是根據監管要求設定的基線， 通過使用對應的信息安全能力 保障測評規范指引，對保險機構進行安全評估。基線測評的目標是幫 助保險監管機關建立一套滿足信息安全基本目標的最小對策集合， 可 在全行業

11、范圍內實行。如果有特殊需要，可在此基礎上，對特定系統 進行更詳細的分解要求。基線測評強調以保險機構為測評目標，針對 某一個安全基線進行測評及機構自我檢查，并可根據持續的 PDCA 過程提升安全管理水平。 基線測評的優點是需要的資源少，周期短，操作簡單，對于環境相似 且安全需求相當的保險機構， 基線測評顯然是最經濟有效的測評途徑。 當然，基線測評也有其難以避免的缺點，比如基線水平的高低難以設 定，如果過高，可能導致資源浪費和限制過度；如果過低，可能難以 達到充分的安全。 圖 2 指出基線的構成， 監管機關為每個安全保障能力要素選擇應達到 的級別。 2.應用舉例 應用指標體系結合基線的評測方法，

12、保險監管機關通過利用指標類型 判斷指標在測評中的權重。對應指標體系形成行測評規范指引，該指 引定義了指標測評項。 測評項根據其安全保障能力又分為關鍵測評項 與非關鍵測評項。 關鍵指標的關鍵檢查項得分為 A 分， 其他得分為 B 分。例如：某次安全管理專項檢查，檢查安全管理制度，安全管理機 構和人員安全 3 個方面，形成一個行業監管基線。其中重點檢查安全 管理機構，且主要檢查崗位設置和人員配備情況。 分數設定步驟如下。 （1）首先為 3 個方面設定評分權重，例如安全管理制度 25%，安全 管理機構 50%，人員安全 25%。 （2）其次為 3 個方面所含的安全要素設定權重，例如安全管理制度 的安全要素共 4 個，權重一致，均為 25%；安全管理機構“崗位設置” 及“人員配備”權重均為 26%，其余 3 個要素均為 16%；人員安全的 安全要素共 5 個，權重一致，均為 20%。 （3）分數計算：測評工具將根據人工設定的權重自動計算出每個指 標的分值，包括 A 分和 B 分，根據檢查結果，將每個指標的 A 分及 B 分匯總，即計算出總的 A 分和 B 分。 保險監管機關在實際安全保障能力指標應用中， 可以通過基線設定鎖 定安全監管重點， 通過 AB 評分機制判斷