保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建探析

吳昊

【摘 要】現(xiàn)代社會(huì)是個(gè)信息化高速發(fā)展的社會(huì)，很多企業(yè)都很注重自身的信息化建設(shè)，國(guó)內(nèi)很多保險(xiǎn)企業(yè)亦是如此，都在積極開(kāi)展數(shù)據(jù)中心的建設(shè)。但是保險(xiǎn)企業(yè)在構(gòu)建自己的信息化平臺(tái)的時(shí)候，往往忽視了信息安全管理。信息化雖然提高了企業(yè)的運(yùn)營(yíng)效率，同時(shí)也加大了企業(yè)的信息安全風(fēng)險(xiǎn)，所以構(gòu)建一個(gè)安全的信息管理體系就非常重要了。本文主要闡述了保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建問(wèn)題，通過(guò)計(jì)算機(jī)信息安全管理達(dá)到信息化建設(shè)的健康發(fā)展。

【關(guān)鍵詞】信息安全管理；保險(xiǎn)企業(yè)；體系構(gòu)建

0.引言

保險(xiǎn)企業(yè)的計(jì)算機(jī)信息安全管理給企業(yè)自身的發(fā)展帶來(lái)了非常多的好處，不僅能夠?qū)崿F(xiàn)企業(yè)辦公的自動(dòng)化和信息化，同時(shí)也提高了企業(yè)的運(yùn)營(yíng)效率。保險(xiǎn)企業(yè)的信息化主要是保險(xiǎn)企業(yè)以業(yè)務(wù)流程的優(yōu)化和重構(gòu)為基礎(chǔ)，在一定的深度和廣度上利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫(kù)技術(shù)，控制和集成化管理企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中的各種信息，實(shí)現(xiàn)企業(yè)內(nèi)外部信息的共享和有效利用，以提高企業(yè)的經(jīng)濟(jì)效益和市場(chǎng)競(jìng)爭(zhēng)力。從目前的保險(xiǎn)企業(yè)來(lái)看，很多企業(yè)都已經(jīng)開(kāi)發(fā)了適合自己企業(yè)的計(jì)算機(jī)信息系統(tǒng)來(lái)滿足企業(yè)的運(yùn)轉(zhuǎn)，企業(yè)通過(guò)開(kāi)發(fā)計(jì)算機(jī)信息系統(tǒng)平臺(tái)，提高了自身產(chǎn)品、經(jīng)營(yíng)、管理、決策的效率和水平，進(jìn)而提高了企業(yè)的經(jīng)濟(jì)效益和競(jìng)爭(zhēng)力。同時(shí)，我們也要注意到，保險(xiǎn)企業(yè)開(kāi)發(fā)計(jì)算機(jī)信息系統(tǒng)是好事情，但是如果忽略了對(duì)計(jì)算機(jī)信息安全的管理，就將是個(gè)大問(wèn)題。在如今，計(jì)算機(jī)信息安全性對(duì)于保險(xiǎn)企業(yè)來(lái)說(shuō)比開(kāi)發(fā)系統(tǒng)更為重要，企業(yè)一旦出現(xiàn)信息安全問(wèn)題，后果不堪設(shè)想。有最新的數(shù)據(jù)表明，計(jì)算機(jī)病毒和黑客攻擊已經(jīng)給國(guó)民經(jīng)濟(jì)和企業(yè)造成了難以估量的損失。所以，保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建迫在眉睫，必須要引起高度重視。

1.保險(xiǎn)企業(yè)信息安全管理的現(xiàn)狀

計(jì)算機(jī)信息安全問(wèn)題不是保險(xiǎn)企業(yè)才存在的問(wèn)題，是全球企業(yè)都存在的普遍問(wèn)題，越發(fā)達(dá)的地區(qū)，信息安全存在的隱患越多。一方面，現(xiàn)在互聯(lián)網(wǎng)的發(fā)展速度非?？欤畔⒓夹g(shù)的日趨完善，出現(xiàn)了很多的惡意攻擊工具，再加上信息系統(tǒng)本身的漏洞，讓一些破壞分子更是有機(jī)可乘；從另外一個(gè)角度來(lái)看，企業(yè)自身對(duì)信息安全管理不重視，也是導(dǎo)致出現(xiàn)信息安全問(wèn)題的首要原因之一。近年來(lái)，保險(xiǎn)行業(yè)處于高速發(fā)展的時(shí)期，暴露出的問(wèn)題也相對(duì)比較多，我們應(yīng)該重視起來(lái)。下面列出了當(dāng)前的保險(xiǎn)企業(yè)在信息安全管理上存在的主要幾點(diǎn)問(wèn)題：

1.1沒(méi)有相關(guān)的法規(guī)來(lái)約束

與信息的安全有關(guān)的分散于各種法律、法規(guī)、標(biāo)準(zhǔn)、道德規(guī)范和管理辦法的條文較多，但尚未形成一個(gè)較為規(guī)范完整的保障信息安全的法律制度、道德規(guī)范及管理體系。同時(shí)現(xiàn)有的法規(guī)，由于相關(guān)安全技術(shù)和手段還沒(méi)有成熟和標(biāo)準(zhǔn)化，法規(guī)也不能很好地被執(zhí)行。因此，保險(xiǎn)行業(yè)的信息安全標(biāo)準(zhǔn)和規(guī)范的缺少和無(wú)體系化，導(dǎo)致保險(xiǎn)企業(yè)不能很好的制定合理的安全策略并確保此策略能被有效執(zhí)行。

1.2沒(méi)有引起足夠的重視

很多保險(xiǎn)企業(yè)的管理層對(duì)信息安全管理不太關(guān)注，不夠重視，沒(méi)有投入足夠的人力、物力和財(cái)力去管理。大部分保險(xiǎn)企業(yè)在公司治理上重點(diǎn)關(guān)注的是企業(yè)的業(yè)務(wù)規(guī)模發(fā)展，銷售策略調(diào)整，組織結(jié)構(gòu)和運(yùn)營(yíng)流程的優(yōu)化等，對(duì)信息安全管理不太重視，不太相信信息安全問(wèn)題能給企業(yè)會(huì)帶來(lái)嚴(yán)重危機(jī)，直到發(fā)生了信息安全事件后之后才開(kāi)始重視。因此，保險(xiǎn)企業(yè)必須在公司日常治理中投入足夠的時(shí)間和精力去完善企業(yè)的信息安全管理體系。

1.3對(duì)存在的風(fēng)險(xiǎn)評(píng)估不夠

很多保險(xiǎn)企業(yè)在設(shè)計(jì)搭建相關(guān)信息系統(tǒng)的時(shí)候?qū)Υ嬖诘娘L(fēng)險(xiǎn)評(píng)估不夠，沒(méi)有充分考慮到信息化所帶來(lái)的安全風(fēng)險(xiǎn)，通常只是考慮到信息技術(shù)問(wèn)題，對(duì)于信息系統(tǒng)應(yīng)用后出現(xiàn)的信息安全問(wèn)題欠缺考慮。其實(shí)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)不做評(píng)估或評(píng)估不充分，都會(huì)帶來(lái)嚴(yán)重的后果，一旦信息系統(tǒng)出現(xiàn)嚴(yán)重缺陷或漏洞的時(shí)，系統(tǒng)受到破壞，正常的業(yè)務(wù)操作無(wú)法進(jìn)行，嚴(yán)重的可能會(huì)導(dǎo)致企業(yè)內(nèi)部機(jī)密、客戶個(gè)人信息的泄露或者重要數(shù)據(jù)被盜、被篡改等。所以，保險(xiǎn)企業(yè)面臨解決諸如系統(tǒng)本身缺陷、操作失誤等帶來(lái)的安全問(wèn)題的。

1.4沒(méi)有制定相應(yīng)的安全管理?xiàng)l例，無(wú)明確責(zé)任劃分

保險(xiǎn)企業(yè)相關(guān)的信息技術(shù)安全之所以存在一系列的問(wèn)題，和企業(yè)沒(méi)有制定相應(yīng)的安全管理制度，沒(méi)有明確責(zé)任劃分等有很大的關(guān)系。沒(méi)有相關(guān)的信息安全管理制度去制約，出了信息安全問(wèn)題以后的責(zé)任劃分不清晰，長(zhǎng)此以往，信息安全問(wèn)題的監(jiān)管就會(huì)出很大的漏洞，也很難形成一個(gè)可控的信息安全管理體系。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該是整個(gè)企業(yè)員工共同面對(duì)的問(wèn)題，而不是企業(yè)某個(gè)部門或者某些個(gè)人能夠決定的事情。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該有相應(yīng)的制度和明確的責(zé)任劃分，每個(gè)部門都應(yīng)該有信息安全的負(fù)責(zé)人，出了問(wèn)題要做到有人承擔(dān)，如果不這樣的話就會(huì)影響到信息安全管理體系的構(gòu)建，成為企業(yè)信息安全管理的絆腳石。

所以，針對(duì)以上種種問(wèn)題和現(xiàn)狀，保險(xiǎn)企業(yè)必須要形成一個(gè)良好的信息安全管理體系，這樣才能從根本上解決問(wèn)題，發(fā)揮信息化建設(shè)的作用，保障企業(yè)的計(jì)算機(jī)信息安全。

2.保險(xiǎn)企業(yè)計(jì)算機(jī)信息安全管理的體系構(gòu)建

2.1掌握安全管理標(biāo)準(zhǔn)，構(gòu)建安全管理基本框架

要熟悉掌握信息安全管理標(biāo)準(zhǔn)，對(duì)信息技術(shù)的安全管理標(biāo)準(zhǔn)要進(jìn)行不斷深入的理解，不能僅僅考慮到信息技術(shù)，而忽視了信息安全管理。國(guó)際上對(duì)安全管理研究已經(jīng)取得了一定的成果，推出了信息安全標(biāo)準(zhǔn)，成立了信息安全標(biāo)準(zhǔn)化組織，搭建了信息安全標(biāo)準(zhǔn)體系框架。在我國(guó)，雖然信息安全的研究起步比較晚，但是也在不斷的完善中，已經(jīng)制定了適合我國(guó)國(guó)情的信息安全管理標(biāo)準(zhǔn)。我國(guó)提出的關(guān)于《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》中就明確了安全管理的標(biāo)準(zhǔn)，主要把信息安全劃分成自主保護(hù)級(jí)、系統(tǒng)審核保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)等五個(gè)安全程度不同的安全等級(jí)，根據(jù)這五級(jí)標(biāo)準(zhǔn)，也分別提出了關(guān)于建立安全管理體系的相關(guān)措施。所以，保險(xiǎn)企業(yè)應(yīng)該參考這些標(biāo)準(zhǔn)，構(gòu)建適合自身行業(yè)、企業(yè)信息的安全管理基本框架，這對(duì)于企業(yè)的健康穩(wěn)健發(fā)展是非常有意義的。

2.2實(shí)現(xiàn)科學(xué)的信息安全管理

保險(xiǎn)企業(yè)要實(shí)現(xiàn)科學(xué)的信息安全管理，不能不考慮信息安全影響而隨意的進(jìn)行信息管理。保險(xiǎn)企業(yè)的信息安全管理應(yīng)該要包括對(duì)機(jī)構(gòu)安全管理和人員安全管理以及技術(shù)安全管理和場(chǎng)地設(shè)施安全管理。保險(xiǎn)企業(yè)需要采用一些科學(xué)的方法，如科學(xué)化企業(yè)信息資產(chǎn)評(píng)估和風(fēng)險(xiǎn)分析模型法、設(shè)計(jì)完備的信息系統(tǒng)動(dòng)態(tài)安全模型等，建立科學(xué)的可實(shí)施的計(jì)算機(jī)系統(tǒng)安全策略，采取規(guī)范的安全防范措施，選用可靠穩(wěn)定的安全產(chǎn)品，設(shè)計(jì)完善的安全評(píng)估標(biāo)準(zhǔn)和等級(jí)，實(shí)施有效的審核措施等來(lái)實(shí)現(xiàn)對(duì)信息的安全管理。

2.3進(jìn)行有效的安全風(fēng)險(xiǎn)評(píng)估

保險(xiǎn)企業(yè)在搭建信息化平臺(tái)的時(shí)候，必須要進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估，沒(méi)有風(fēng)險(xiǎn)的評(píng)估是很難實(shí)現(xiàn)信息安全管理的。同時(shí)，還需要在對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估中制定出風(fēng)險(xiǎn)的應(yīng)對(duì)方案，便于應(yīng)對(duì)突發(fā)問(wèn)題，從最大程度上保證信息的安全。

2.4合理配置安全產(chǎn)品

對(duì)于評(píng)估出來(lái)的風(fēng)險(xiǎn)，保險(xiǎn)企業(yè)可以對(duì)信息系統(tǒng)配置一些安全產(chǎn)品來(lái)規(guī)避信息安全風(fēng)險(xiǎn)。比如說(shuō)系統(tǒng)存在一些漏洞，這些漏洞很容易受病毒的攻擊，那么企業(yè)可以配置一些能夠定期更新的殺毒軟件和防火墻來(lái)防止病毒的侵入。在配置產(chǎn)品的時(shí)候需要注意配置的合理性，不能什么安全產(chǎn)品都去配置，要通過(guò)最優(yōu)化的安全產(chǎn)品配置達(dá)到企業(yè)信息的安全管理。

【參考文獻(xiàn)】

[1]許雅娟.網(wǎng)絡(luò)攻擊分類研究[J].硅谷，2011（06）.

[2]宋曉萍.TDCS網(wǎng)絡(luò)安全防護(hù)方案的研究[J].鐵道運(yùn)輸與經(jīng)濟(jì)，2006（11）.

[3]苗亮.計(jì)算機(jī)網(wǎng)絡(luò)可靠性的研究[J].機(jī)械工程與自動(dòng)化，2010（03）.

[4]戴宗坤.信息安全法律法規(guī)與管理/信息安全理論與實(shí)用技術(shù)叢書，2005.

[5]（美）惠特曼信息安全管理/信息安全叢書，2005.