以下解答摘自谷安天下咨詢顧問發表的相關文章!
一、信息安全管理體系已解決的保險公司信息安全問題
保險行業通過信息安全技術的實施,信息安全管理制度的實施,解決了大量具有普遍性的信息安全問題,並形成了行業在信息安全管理方面的特色和管理優勢。概要如下:
建立了比較詳盡的在安全策略,並且總公司的各項IT制度會直接下放到各級分支機構。
在安全組織方面,結合保監會建立「網路安全工作小組」的要求,成立的信息安全組織,由公司的主要領導擔任組長及副組長,組員由主要業務部門、人力資源部門、稽核部門及信息技術部門等部門組成。
在物理環境方面,機房建設按國家A類機房標准建設,符合國家的有關標准;機房實現授權出入管理,出入計算機機房有嚴格的審批程序和出入記錄,物理環境的防火、防水、空調、電力等基本達到安全要求。
建立了較合理的總公司與分支機構的網路基礎架構,網路核心交換機與路由器雙機容錯;公司重要的廣域網接入專用線路都有冗餘。
對網站採用了網頁防篡改技術並定期進行檢查,員工訪問互聯網進行了分級限制,外來人員訪問互聯網有專用網段。
對員工PC集中防病毒管理、集中補丁管理,定期對重要主機與網路設備進行安全檢查。
在計算機信息系統開發、管理與應用上有相對比較清晰和明確的職責分工的要求,在核心業務系統的設計、開發、測試環境基本能做到主機環境的分離,軟體源代碼通過版本控制器集中進行管理。
重要業務系統和數據均有良好的備份措施,特別是進行了數據異地存放等工作。
IT人員責任心強,工作勤勉,在超負荷的工作狀態下能基本維持系統正常運行。
二、信息安全管理體系正在解決的保險公司信息安全問題
當前保險行業信息安全現狀還有許多待改進與提高的地方,與國際標准和最佳信息安全實踐相比,還存在著一定的差距,特別是分支機構在資產管理、物理與環境安全、人力資源管理、通信與操作管理、訪問控制、軟體開發等方面還需付出較大的努力。
以下對信息安全管理體系正在解決的保險行業信息安全方面的主要表現在以下幾個方面:
信息安全投入
IT規劃
資產管理
人力資源安全
物理與環境安全
通信與操作管理
訪問控制
信息系統獲得、開發與維護
信息安全事件管理
② 什麼是信息安全管理體系
信息安全管理體系的定義:Information Security Management Systems是組織在整體或特定范圍內建立信息安全方針和目標,以及完成這些目標所用方法的體系。它是直接管理活動的結果,表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。
信息安全管理體系的遵循原則:
程序文件一般不涉及純技術性的細節,細節通常在工作指令或作業指導書中規定;
程序文件是針對影響信息安全的各項活動的目標和執行做出的規定,它應闡明影響信息安全的管理人員、執行人員、驗證或評審人員的職責、權力和相互關系,說明實施各種不同活動的方式、將採用的文件及將採用的控制方式;
程序文件的范圍和詳細程度應取決於安全工作的復雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度;
程序文件應簡練、明確和易懂,使其具有可操作性和可檢查性;
程序文件應保持統一的結構與編排格式,便於文件的理解與使用。
信息安全管理體系的注意事項:
程序文件要符合組織業務運作的實際,並具有可操作性;
可檢查性。實施信息安全管理體系的一個重要標志就是有效性的驗證。程序文件主要體現可檢查性,必要時附相應的控制標准;
在正式編寫程序文件之前,組織應根據標準的要求、風險評估的結果及組織的實際對程序文件的數量及其控制要點進行策劃,確保每個程序之間要有必要的銜接,避免相同的內容在不同的程序之間有較大的重復;另外,在能夠實現安全控制的前提下,程序文件數量和每個程序的篇幅越少越好;
程序文件應得到本活動相關部門負責人同意和接受,必須經過審批,註明修訂情況和有效期。
③ 信息安全管理體系與信息技術服務管理體系傻傻分不清楚,有人可以解答一下嗎
信息安全管理體系主要側重要保護信息資源和信息安全,提高商業信用度,信息技術服務管理體系側重於IT服務標准化來管理IT問題。具體建議你咨詢ICAS英格爾認證,它是這方面的專家,專門提供體系認證服務的。