亚洲欧美人精品高清_精品亚洲成a人在线观看_国产高清 日本在线观看国产-久久精品一区二区三区不卡-2021国产精品视频-亚洲精品成人久久久

中國保險(xiǎn)監(jiān)督管理委員會|保監(jiān)廳發(fā)〔2007〕28號|2007-06-06發(fā)布|2007-06-06實(shí)施|現(xiàn)行有效
保監(jiān)廳發(fā)〔2007〕28號

為進(jìn)一步強(qiáng)化信息安全意識，提高保險(xiǎn)業(yè)信息安全保障水平，現(xiàn)將開展2007年保險(xiǎn)業(yè)信息系統(tǒng)安全檢查工作有關(guān)事項(xiàng)通知如下：
一、信息安全檢查的目的、原則和范圍
（一）信息安全檢查的目的
通過信息安全檢查工作，分析網(wǎng)絡(luò)與信息系統(tǒng)面臨的風(fēng)險(xiǎn)，評估網(wǎng)絡(luò)與信息系統(tǒng)的安全狀況，查找薄弱環(huán)節(jié)和安全隱患，進(jìn)一步強(qiáng)化信息安全意識，規(guī)范信息安全管理，提高保險(xiǎn)信息系統(tǒng)的安全保障能力。
（二）信息安全檢查的原則
按照“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則，遵循“統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)，周密部署、務(wù)求實(shí)效”的方針，突出重點(diǎn)，充分吸納去年信息安全檢查的成功經(jīng)驗(yàn)，切實(shí)做好保險(xiǎn)信息系統(tǒng)安全檢查工作。
（三）信息安全檢查的范圍
各保險(xiǎn)公司、保險(xiǎn)資產(chǎn)管理公司。
二、信息安全檢查的方式和具體內(nèi)容
（一）信息安全檢查的方式
以各公司自查為主，中國保監(jiān)會將組織檢查組進(jìn)行抽查。中國保監(jiān)會統(tǒng)計(jì)信息部負(fù)責(zé)全行業(yè)信息安全檢查工作的組織領(lǐng)導(dǎo)，各公司負(fù)責(zé)各自的信息系統(tǒng)安全自查工作的組織實(shí)施。
（二）信息安全檢查的具體內(nèi)容
1、資產(chǎn)調(diào)查。對網(wǎng)絡(luò)與信息系統(tǒng)的資產(chǎn)進(jìn)行統(tǒng)計(jì)調(diào)查，并分析其重要程度。資產(chǎn)主要包括網(wǎng)絡(luò)與信息系統(tǒng)相關(guān)的硬件、軟件、服務(wù)、信息、人員等。
（1）確定自查范圍。
（2）對相關(guān)資產(chǎn)進(jìn)行分類。
（3）對資產(chǎn)重要性進(jìn)行分析。
（4）統(tǒng)計(jì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、大型服務(wù)器、存儲設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等關(guān)鍵資產(chǎn)及信息技術(shù)服務(wù)和信息安全服務(wù)的國產(chǎn)化率。
（5）外國供應(yīng)商提供產(chǎn)品和服務(wù)情況。
資產(chǎn)調(diào)查和賦值方法參見附表1和附表2，外國供應(yīng)商提供產(chǎn)品和服務(wù)情況參見附表3。
2、威脅分析。對網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅進(jìn)行分析。
（1）分析威脅來源，包括環(huán)境因素和人為因素等。
（2）對威脅進(jìn)行分類。
（3）研究威脅發(fā)生的可能性。
（4）分析威脅的嚴(yán)重程度。
威脅分析和賦值方法參見附表4和附表5。
3、脆弱性分析。對自查對象存在的管理和技術(shù)薄弱環(huán)節(jié)進(jìn)行查找、分析和歸納，對已有安全管理體系、安全措施進(jìn)行核實(shí)和評價。
（1）規(guī)章制度：安全策略及管理規(guī)章制度是否健全，有關(guān)規(guī)章制度的制定、發(fā)布、修訂及執(zhí)行情況，對有關(guān)政策、法規(guī)以及行業(yè)監(jiān)管責(zé)任的落實(shí)情況。
（2）安全組織與職責(zé)：安全組織體系是否健全，管理職責(zé)是否明確，安全管理機(jī)構(gòu)崗位設(shè)置、人員配備是否合理。
（3）人員管理：人員的安全和保密意識教育、安全技能培訓(xùn)情況，重點(diǎn)、敏感崗位人員有無特殊管理措施。
（4）體系結(jié)構(gòu)：網(wǎng)絡(luò)與信息系統(tǒng)的體系結(jié)構(gòu)、各類安全保障措施的組合是否合理。
（5）網(wǎng)絡(luò)安全：安全域劃分、邊界保護(hù)、內(nèi)網(wǎng)防護(hù)、外部設(shè)備接入控制、內(nèi)外網(wǎng)物理隔離等情況。
（6）設(shè)備和操作系統(tǒng)安全：網(wǎng)絡(luò)交換設(shè)備、安全設(shè)備。主機(jī)和終端設(shè)備的安全性，操作系統(tǒng)的安全配置、病毒防護(hù)、惡意代碼防范等。
（7）應(yīng)用系統(tǒng)安全：數(shù)據(jù)庫、WEB網(wǎng)站、日常辦公和業(yè)務(wù)系統(tǒng)等應(yīng)用的安全設(shè)計(jì)、配置和管理情況；關(guān)鍵應(yīng)用系統(tǒng)開發(fā)過程中的質(zhì)量控制和安全性測試情況。
（8）運(yùn)維管理：設(shè)備、系統(tǒng)的操作和維護(hù)記錄，變更管理，安全事件分析和報(bào)告；運(yùn)行環(huán)境與開發(fā)環(huán)境的分離情況；安全審計(jì)、補(bǔ)丁升級管理、安全漏洞檢測、網(wǎng)管、權(quán)限管理及密碼管理等情況。
（9）數(shù)據(jù)安全：數(shù)據(jù)訪問控制情況，服務(wù)器、用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密保護(hù)能力，磁盤、光盤、U盤和移動硬盤等存儲介質(zhì)管理情況，數(shù)據(jù)備份與恢復(fù)手段等。
（10）物理環(huán)境安全：機(jī)房安全管控措施、防災(zāi)措施、供電和通信系統(tǒng)的保障措施等。
（11）關(guān)鍵資產(chǎn)和服務(wù)管控：關(guān)鍵資產(chǎn)采購時是否進(jìn)行了安全性測評，對服務(wù)機(jī)構(gòu)和人員的保密約束情況，在服務(wù)提供過程中是否采取了管控措施。
（12）應(yīng)急響應(yīng)與災(zāi)難恢復(fù)：應(yīng)急響應(yīng)體系（應(yīng)急組織、應(yīng)急預(yù)案、應(yīng)急物資）建設(shè)情況，應(yīng)急演練情況，系統(tǒng)災(zāi)難備份措施情況。
脆弱性分析和賦值方法見附表6和附表7。
4、綜合評估。根據(jù)上述檢查結(jié)果，綜合分析網(wǎng)絡(luò)與信息系統(tǒng)的整體安全現(xiàn)狀。
（1）對資產(chǎn)、威脅、薄弱環(huán)節(jié)、已有安全措施進(jìn)行綜合分析，分析安全事件發(fā)生的可能性。
（2）分析安全事件發(fā)生后可能造成的后果及影響。
（3）分析網(wǎng)絡(luò)與信息系統(tǒng)的整體風(fēng)險(xiǎn)狀況，提出風(fēng)險(xiǎn)列表。
風(fēng)險(xiǎn)賦值方法見附表8。
5、研究提出整改措施。根據(jù)對網(wǎng)絡(luò)與信息系統(tǒng)的風(fēng)險(xiǎn)狀況，結(jié)合法律法規(guī)、國家和行業(yè)政策要求以及當(dāng)前的重點(diǎn)任務(wù)，統(tǒng)籌考慮，研究提出風(fēng)險(xiǎn)應(yīng)對措施。
三、信息安全檢查工作的要求和安排
（一）各公司應(yīng)建立信息安全檢查領(lǐng)導(dǎo)機(jī)構(gòu)，由分管信息安全的公司領(lǐng)導(dǎo)親自抓，切實(shí)加強(qiáng)自查工作的組織實(shí)施，并將自查方案報(bào)中國保監(jiān)會統(tǒng)計(jì)信息部備案。（2007年6月25日前完成）
（二）各公司應(yīng)完成信息系統(tǒng)的自查工作，并將檢查結(jié)果以及改進(jìn)措施報(bào)中國保監(jiān)會統(tǒng)計(jì)信息部。中國保監(jiān)會將對部分公司進(jìn)行抽查。（2007年7月31日前完成）
（三）中國保監(jiān)會對此次檢查情況、發(fā)現(xiàn)的問題進(jìn)行分析匯總后，將向全行業(yè)通報(bào)。
中國保監(jiān)會統(tǒng)計(jì)信息部聯(lián)系人：李春亮、王曉鵬
聯(lián)系電話：010-66286107、010-66286602
附表：
1、資產(chǎn)分類表
2、資產(chǎn)賦值方法
3、外國供應(yīng)商提供產(chǎn)品和服務(wù)基本情況統(tǒng)計(jì)表
4、威脅分析表
5、威脅賦值方法
6、脆弱性分析表
7、脆弱性賦值方法
8、風(fēng)險(xiǎn)賦值方法
二○○七年六月六日
附表1：資產(chǎn)分類表
類別
項(xiàng)目
資產(chǎn)編號
資產(chǎn)名稱
資產(chǎn)權(quán)重
說明
硬件
軟件
服務(wù)
信息
人員
附表2：資產(chǎn)賦值方法
等級標(biāo)識
定義
VH（很高）非常重要，其安全屬性破壞后可能對被評估單位
造成非常嚴(yán)重的損失。
H（高）
重要，其安全屬性破壞后可能對被評估單位造成
比較嚴(yán)重的損失。
M（中）
比較重要，其安全屬性破壞后可能對被評估單位
造成中等程度的損失。
L（低）
不太重要，其安全屬性破壞后可能對被評估單位
造成較低的損失。
VL（很低）不重要，其安全屬性破壞后對被評估單位造成很
小的損失，甚至忽略不計(jì)。
附表3：外國供應(yīng)商提供產(chǎn)品和服務(wù)基本情況統(tǒng)計(jì)表
業(yè)務(wù)系統(tǒng)名稱
項(xiàng)目名稱型號原產(chǎn)商代理商集成商
硬件
軟件
服務(wù)廠商服務(wù)
服務(wù)內(nèi)容
服務(wù)
名稱類型
周期
注：服務(wù)類型分為風(fēng)險(xiǎn)評估、安全咨詢與培訓(xùn)、系統(tǒng)集成、安全管理服務(wù)、安全外包、應(yīng)急響應(yīng)與應(yīng)急恢復(fù)以及其他安全服務(wù)（如系統(tǒng)運(yùn)營、工程服務(wù)、報(bào)警服務(wù)、專業(yè)招聘服務(wù)等）。
附表4：威脅分析表
威脅來源子項(xiàng)
威脅編號
可能影響
嚴(yán)重程度說明
的資產(chǎn)
環(huán)境因素
人為因素
附表5：威脅賦值方法
等級
標(biāo)識定義
很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避
免；或可以證實(shí)經(jīng)常發(fā)生過。
高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會
發(fā)生；或可以證實(shí)多次發(fā)生過。
中出現(xiàn)的頻率中等（或〉
1次/半年）；或在某種情況下可能會
發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。
低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過。
很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。
附表6：脆弱性分析表
類別
編號
潛在影響嚴(yán)重程度
說明
規(guī)章制度
安全組織與職責(zé)
人員管理
體系結(jié)構(gòu)
網(wǎng)絡(luò)安全
設(shè)備和操作系統(tǒng)安全
應(yīng)用系統(tǒng)安全
運(yùn)維管理
數(shù)據(jù)安全
物理環(huán)境安全
關(guān)鍵資產(chǎn)和服務(wù)管控
應(yīng)急響應(yīng)與災(zāi)難恢復(fù)
附表7：脆弱性賦值方法
等級
標(biāo)識
定義
VH（很高）如果被威脅利用，將對資產(chǎn)造成完全損害。
H（高）
如果被威脅利用，將對資產(chǎn)造成重大損害。
M（中）
如果被威脅利用，將對資產(chǎn)造成一般損害
L（低）
如果被威脅利用，將對資產(chǎn)造成較小損害。
VL（很低）如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。
附表8：風(fēng)險(xiǎn)賦值方法
等級
標(biāo)識
定義
很高風(fēng)險(xiǎn)很高，導(dǎo)致系統(tǒng)受到非常嚴(yán)重影響。
高
風(fēng)險(xiǎn)高，導(dǎo)致系統(tǒng)受到嚴(yán)重影響。
中
風(fēng)險(xiǎn)中，導(dǎo)致系統(tǒng)受到較嚴(yán)重影響的。
低
風(fēng)險(xiǎn)低，導(dǎo)致系統(tǒng)受到一般影響。
很低風(fēng)險(xiǎn)很低，導(dǎo)致系統(tǒng)受到較小影響。