保險業(yè)的信息安全以往是比較容易疏忽的問題，主要是由于回報不容易直觀計算，投資決策有一定難度，而且與銀行業(yè)相比，保險業(yè)面臨的安全風險似乎要小得多。但隨著保險業(yè)信息化的發(fā)展，信息安全形勢也日趨嚴峻。

　　目前，保險業(yè)的信息安全面臨新的挑戰(zhàn)。一方面由于數據的集中處理和集中存放，使得一旦發(fā)生故障產生的損失會比以前數據分散的情況下產生的損失大得多；另一方面保險業(yè)務從專用網絡擴展到互聯(lián)網和無線網，使得保險業(yè)的網絡面對外部黑客的威脅和病毒的侵害。這些安全威脅一旦給保險業(yè)造成損失，將不僅影響到保險公司本身，而且可能會涉及到國家金融系統(tǒng)的安全。

　　信息安全風險日益嚴重

　　據中國國家計算機網絡應急技術處理協(xié)調中心（簡稱CNCERT/CC）的統(tǒng)計報告顯示，2005年CNCERT/CC共收到國內外通過應急熱線、網站、電子郵件等報告的網絡安全事件12萬多件，與2003年相比數量增長了十倍。全球范圍內的信息安全形勢也同樣不容樂觀。2003年2月，日本最大的寬帶網接入服務提供商軟銀公司互聯(lián)網服務數據庫中的452萬名用戶資料被泄漏，據估花費了40億日元賠償損失。2005年6月，萬事達公司宣布4000萬信用卡用戶的信息可能被竊，共涉及1390萬名萬事達卡客戶、2200萬名維薩卡用戶以及數量不詳的美國運通和Discover卡用戶。以上種種事例都表明保險業(yè)面臨的信息安全風險日益嚴重。

　　對此國家非常重視，“十五”期間，國家陸續(xù)頒布了《計算機信息系統(tǒng)安全保護條例》、《計算機信息網絡國際聯(lián)網安全保護管理辦法》、《商用密碼管理條例》和《電子簽名法》等一系列信息安全法律法規(guī)，全國信息安全標準化技術委員會也陸續(xù)推出了《GB/T 19716-2005 信息技術 信息安全管理實用規(guī)則》等一系列信息安全標準。2005年黨的十六屆五中全會就明確指出要“健全信息安全保障體系，實現(xiàn)信息化與信息安全協(xié)調發(fā)展”，并在2006年-2020年的國家信息發(fā)展戰(zhàn)略中將信息安全建設作為重要的組成部分。

　　隨著國家信息安全法制建設和標準化建設等基礎環(huán)境建設的不斷加強，對保險業(yè)信息安全保障的要求也日趨嚴格。為了進一步加強保險業(yè)信息安全保障工作，保監(jiān)會專門下發(fā)了《關于進一步加強保險系統(tǒng)信息安全保障工作的通知》，并采取了一系列措施來落實此項工作。同時，在保監(jiān)會發(fā)布的《中國保險業(yè)發(fā)展“十一五”規(guī)劃信息化重點專項規(guī)劃》中將信息安全保障工作提到了相當的高度，將“信息安全保障工作切實加強，信息安全保障體系逐步完善”列為發(fā)展目標，把“構建信息安全保障體系”作為下一步工作的主要任務。太平洋保險集團作為保險業(yè)的重要一員，已經注意到信息安全的重要性，并已經采取了應對措施。

　　保障信息安全的最佳之策

　　面對復雜的內外部形勢，太平洋保險集團經過多年信息化建設和安全管理實踐，認為只有建立健全信息安全體系，依托機制保障，融合技術與管理，形成合力，才能有效應對信息安全風險。

　　信息安全體系是安全組織、安全管理和安全技術的緊密結合，缺少了其中任何一個要素，都無法實現(xiàn)公司既定的信息安全管理目標。

　　安全組織是指企業(yè)內部的信息安全管理組織，它負責信息安全體系的管理、實施和監(jiān)督。安全組織不是一個孤立的組織，它的工作目標需要通過企業(yè)各部門的密切配合才能實現(xiàn)。舉例來說，對數據的授權需要由業(yè)務流程負責人審批后才由信息安全人員具體執(zhí)行，少了業(yè)務部門的配合，授權管理便無法真正實現(xiàn)。此外，在我們的實際工作中，由于個別員工安全意識薄弱，未采取一些基本的安全措施，導致個人電腦被惡意代碼攻擊的事例也時有發(fā)生。因此，除了安全組織外，公司的每個員工都應切實履行信息安全職責。

　　安全管理是指制定和執(zhí)行公司信息安全策略、標準與指導方針、流程和指南。安全策略是根據公司信息安全原則制定出公司信息安全管理的目標和方向，以滿足公司不斷發(fā)展的業(yè)務需求。安全標準與指導方針是在安全策略指引下，針對信息安全具體工作內容制定的標準和規(guī)范。安全流程和指南是根據實際工作開展的需要，將安全策略分解到明細的規(guī)定和執(zhí)行流程的步驟。在策略、標準和流程制定后，安全管理的另一項工作就是負責落實。

　　安全技術是指通過一系列技術手段來保證安全管理目標的實現(xiàn)，是整體信息安全體系中技術層面的內容。安全技術非常多且在不斷的發(fā)展中，目前大家熟知的有：IDS入侵檢測技術、Firewall防火墻技術、防病毒技術、加密技術和認證技術等等。安全技術運用的關鍵是根據公司實際需要選擇合適的技術在成本合理的前提下達到公司信息安全管理目標。

　　那么，信息安全體系如何協(xié)同工作、發(fā)揮作用呢？我們就拿企業(yè)防病毒管理舉例來說：盡管很多企業(yè)都部署了企業(yè)級防病毒軟件，但病毒感染事件仍時有發(fā)生，甚至部分企業(yè)遭受重大影響。為什么呢？仔細研究后不難發(fā)現(xiàn)，這些企業(yè)只是簡單的部署了防病毒產品并沒有建立起完整的防病毒管理體系。真正的信息安全體系應該是這樣協(xié)同運轉的：首先，企業(yè)應該有專門的安全組織負責病毒預警和病毒感染事件處理，并且建立起行之有效的病毒事件響應機制。其次，在管理上制定公司防病毒管理規(guī)范和標準，并通過信息安全教育使員工提高防病毒的意識和能力。最后，在技術上統(tǒng)一部署防病毒系統(tǒng)并定期升級病毒特征碼，在病毒出現(xiàn)時由專人處理，以有效地控制病毒的破壞程度。只有這種人、管理、技術三位一體的信息安全體系才能有效保障公司的信息安全。

　　如何與實際需要相結合

　　信息安全體系建設如此重要，那如何才能構建一套符合實際需要的安全體系呢？從太保集團的實踐來看，在公司2002年信息技術戰(zhàn)略規(guī)劃中就明確提出要“建立企業(yè)的IT安全體系，為信息化建設中的IT安全提供原則和指導，滿足CPIC當前和長期的IT安全性需求，保護公司的信息資產”，目標就是建立全公司的信息安全體系，在內容上涵蓋IT安全組織、IT安全管理制度以及IT安全技術三部分內容。

　　在建設過程中，太保集團以國標《GB/T 19716-2005 信息技術 信息安全管理實用規(guī)則》為指導，根據信息安全建設的通用方法，有步驟、有系統(tǒng)地推進信息安全體系的建設。從工作步驟上看，可劃分為：評估、規(guī)劃、設計、實施和運維五個部分內容。

　　評估工作的目的是明確信息安全現(xiàn)狀和安全需求，通過對現(xiàn)有信息安全管理制度和基礎設施及應用系統(tǒng)的評估，了解信息資產存在的威脅和漏洞，從而確定預防風險的應對措施。

　　規(guī)劃工作的目的是完成信息安全體系及其核心組件的高端解決方案設計。

　　設計工作的目的是完成信息安全體系的詳細設計，包括：開發(fā)IT安全管理制度，建立安全組織，設計IT基礎設施安全架構、應用安全架構等，獲取并定制安全產品，并制定現(xiàn)存技術基礎設施和應用系統(tǒng)的改造方案，以便達到安全控制的要求。

　　實施工作的目的是在全司范圍內進行信息安全體系的試點實施和推廣工作，包括：新的策略、標準、流程的宣導，改造現(xiàn)有的技術基礎設施和應用系統(tǒng)等。

　　運維工作的目的是對信息安全體系進行持續(xù)管理、執(zhí)行、監(jiān)控、改進，并且根據業(yè)務發(fā)展及定期風險評估的結果，更新信息安全體系。

　　建立信息安全體系的意義

　　建立健全信息安全體系對太平洋保險集團的發(fā)展意義重大。首先，此體系的建立將提升信息技術平臺的可靠性。信息安全體系建設是公司信息化建設中的重要環(huán)節(jié)，必將大大提高信息基礎平臺的安全性和可靠性，使其更好地服務于公司的業(yè)務發(fā)展。其次，通過信息安全體系的建設，可有效提高對信息安全風險的管控能力，增強信息安全事件處理的有效性， 降低數據被非法修改和使用的風險，持續(xù)保護公司信息資產；同時提高客戶和業(yè)務合作伙伴對公司的信任度。最后，信息安全體系的建立將使太平洋保險集團在信息安全保障方面與國際先進水平接軌，從而為太平洋保險集團參與國際競爭、成長為國際化金融控股集團提供有力的技術支撐。（張海斌）